Eliminar completamente falhas de segurança pode ser uma tarefa impossível, mas isso não significa que não se deva fazer tudo o possível para contrariar os attackers. Michael Kassner compartilhar conosco de 10 prática fáceis de implementar. Medidas que irão ajudar a proteger a organização de ameaças.
Recentemente, participei de um seminário que tratava das formas de como evitar violações de segurança. A medida que o encontro foi avançando, percebi uma coisa: As pessoas têm refletido sobre o assunto ‘ter segurança por um longo tempo’. É demasiadamente ousado parar e pensar que nós podemos finalmente fazer algo sobre isso? Talvez se nós usassemos uma abordagem direta, mas como seria trabalhar com a natureza humana?
Mais especificamente, a segurança foi e sempre será cercada de esforços. Se eu quiser roubar um carro, certamente não vou encontrar um carro de portas abertas, motor ligado e engatado ao passar na rua. Acho que podemos concordar que na maioria das condições, o carro vai exigir um maior esforço, pois o compromisso assumido é ser o mais seguro.
Com essa premissa em mente, criei uma lista de 10 práticas que irão aumentar significativamente o esforço necessário para violar a segurança da sua rede e computadores.
Definição
Antes de começar, vamos definir o que estamos falando. O conceito de violação de segurança pode evocar todos os tipos de significados, mas gostaria de focar o modo como se relaciona com a tecnologia da informação. Veja o que você pensa sobre esta definição:
Violação da segurança: é uma situação em que o indivíduo intencionalmente faz a utilização da rede, sistema ou o acesso aos dados de forma que afeta negativamente a segurança dos dados da organização, sistemas ou operações.
Eu gosto dessa definição porque implica que qualquer violação de segurança quais implicações tem no mundo real, seja roubado informações financeiras pessoais, empresariais ou segredos comerciais que caiam nas mãos erradas.
1 – Mudar senhas padrão
É surpreendente como muitos dispositivos e aplicativos são protegidos por nomes de usuários e senhas padrão. Attackers também estão bem conscientes deste fenômeno. Não convencido? Execute uma pesquisa na web por “senhas padrão”, e você vai ver porque elas precisam ser alterados. Utilizar uma boa política de senha é a melhor maneira. Opte por uma seqüência de caracteres diferentes do padrão oferecido, fazendo assim, já é um enorme passo na direcção certa.
2 – Não reutilizar senhas
Em mais de uma ocasião, vi situações onde para mais de um nome de usuário foram utilizados a mesma combinação de senhas. Sei que é mais fácil, mas se eu sei disso, estou bastante certo de que o bandido faz a mesma dedução. Se um Attacker tem em mãos dados sobre um nome de usuário e a combinação da senha, certamente ele vai tentar usar esses dados em outro lugar. Não deixemos as coisas assim tão simples .
3: Desactivar contas de usuário quando um empregado deixa
Violações de segurança são mais fáceis de tirar, quando o Attacker tem informações privilegiadas. Isso torna essencial desativar todas as contas de TI um usuário que tenha sido desligado do emprego. Não importa se o trabalhador está deixando em termos amigável ou não.
Determinar características baseline
No passado, chamei meu mentor com um problema que não podia resolver, as suas primeiras palavras seriam sempre: “O que mudou?” Depois de algumas vezes, o que ele estava tentando me ensinar finalmente compreendi e comecei a prestar atenção a características baseline.
Baselining tem duas finalidades:
- Para compreender o que significa estar funcionando normalmente
- Para simplificar a constatação do que não está funcionando normalmente
Posso estar afirmando o óbvio no que diz respeito aos baselining, mas pode ajudar todos a definirem e perceberem o grande papel que ele desempenha nos próximos três tópicos.
4 – Analisar logs de segurança
Para os administradores, é bom saber sobre baselining. Tentar de forma sistemática análisar registros em uma base diária. Uma vez que este artigo trata das violações de segurança, eu gostaria de colocar ênfase especial nos logs de segurança, como eles são a primeira linha de defesa.
Por exemplo, ao revisar o log de segurança de um servidor Windows, o administrador tem vários eventos 529 (Logon Failure – Nome de usuário desconhecido ou senha incorreta). Isso deve gerar imediatamente um alerta, o administrador deve tentar determinar se é um usuário válido que esqueceu a senha ou um Attacker está tentando ganhar acesso.
O logs de segurança do Windows server para dizer o mínimo, para ter algum tipo de guia de referência. Randy Franklin Smith ajuda, ele tem uma página na web que define log de segurança do Windows e explica cada evento. Randy também tem como referência um livro gráfico que pode ser inestimável para explicar a segurança dos eventos de log.
5 – Não regular rede scans
Comparando varrimentos da rede regularmente com uma base operacional, tipo inventário é inestimável. Ela permite que o administrador saiba quando qualquer equipamento desonesto foi instalado na rede.
Um método de digitalização da rede é a utilização do espaço construído, no Microsoft comando net view. Outra opção é utilizar programas freewares como o NetView. Eles são tipicamente uma interface gráfica formatada e tendem a serem mais informativos.
6 – Monitor de saída de tráfego
Os malwares estão se tornardo suficientemente sofisticados para evitarem detecção. Um método de explorar e fazer o acompanhamento no tráfego de saída da rede. Suspeitas devem ser levantadas quando o número de conexões de saída ou a quantidade de tráfego afastasse da basseline normal de funcionamento. Para dizer a verdade, pode ser a única indicação de que uma informação sensível está sendo roubado ou que um robô de email está ativamente mandando spam.
A maioria dos aplicativos de firewall pode monitorar o tráfego de saída. Firewalls mais robustos podem até mesmo criar relatórios programados
7 – Patchs e atualizações regulares
A atualização do sistema operacional e seus aplicativos de software sobre uma base de dados é a melhor forma de violar tentativas originários de fora do perímetro da rede (Internet). É tão simples quanto isso. Se o sistema operacional e aplicativos não são vulneráveis, uma exploração não vai funcionar.
Utilizando um produto como o Microsoft Baseline Security Analyzer ou um dos produtos da Secunia é uma forma mais eficaz para garantir que os computadores sob seu cuidado estão, de fato, atualizado em uma base de dados e tem todos os patches necessários.
Agora, o duro tópicos
Até agora, cada melhoria foi no domínio do departamento de TI. Estamos prestes a mudar, de tal forma que os três últimos temas exigirão a contribuição de outros departamentos da organização. Vai ser difícil, mas vale a pena o esforço.
8 – Implementar um plano de segurança
Não importa o tamanho da organização, tendo um plano de segurança no local é de valor inestimável para as seguintes razões:
- Toda pessoal está trabalhando fora do mesmo playbook, que prevê a continuidade.
- Quando a organização está em modo de pânico, o plano de segurança irá fornecer soluções sólidas desenvolvidas numa altura em que todos estavam menos ansiosos.
Planos de segurança devem ser individualmente esculpidos para satisfazer as necessidades de cada organização. Para ter uma idéia do que é exigido, já lincado a dois guias, um genérico da Microsoft e um todo mais amplo, englobado pela NIST.
9 - Elevar a conscientização do usuário sobre segurança da informação
Alguns dos meus clientes estão em alta, usuários em formação e outros não. A web está cheia de documentos que explicam os benefícios da utilização da formação, mas eles são tipicamente orientadas para a utilização crescente e eficiente no ambiente de trabalho.
Kathleen Coe escritor da Symantec tem um trabalho intitulado Conscientização do Empregado - A Missing Link, que faz um bom trabalho ao explicar o que é obrigado a criar um programa de treinamento de segurança na informática.
10 – Obter aprovação dos superiores de gestão
Deixei o mais difícil para o fim. Como superior management buy-in para políticas de segurança e da tecnologia é tipicamente duro vender a idéia necessária. Outro problema é quando as pessoas da alta gerência dão luz verde para implementar práticas de segurança, mas sentem que as regras não se aplicam a eles.
Uma coisa que encontrei é que geralmente a alta gerência muda a posição de realizar uma auditoria de segurança por conta da violação de segurança pessoal (obtenha permissão) ou faça um TPV . Tem sido minha experiência, os resultados são uma verdadeira função de despertar do convite à apresentação de todos os envolvidos.
Final pensamentos
Eliminar completamente as falhas de segurança podem efetivamente ser uma tarefa impossível. Mas quando chegar a essa conclusão ”Porque tentar, então?” Os 10 métodos acima são simples de implementar e têm um longo caminho para tornarem-se mais difícil para uma falha de segurança ocorrer.
Michael Kassner esteve envolvido com comunicações, mais de 40 anos, começando com radioamadores (K0PBX) e agora como uma rede de campo para a Orange Business Services engenheiro e consultor com MKassner Net. Atuais certificações Cisco incluem ESTQ Field Engineer, CWNA, e CWSP.
Note: This article is also available as a PDF download.
Comentários