Segurança de rede: Os quatro pilares da segurança de pontos de extremidade

Ao se concentrar nesses aspectos fundamentais da segurança de rede, você pode manter as pessoas mal-intencionadas afastadas e os dados adequados próximos.

Dan Griffin

As redes corporativas e seus ativos estão sob constante ataque de invasores. Para aumentar o problema, o perímetro da rede corporativa é totalmente permeável. Ao trabalhar em uma infraestrutura de TI segura, o principal objetivo da maioria das empresas é manter uma perfeita continuidade dos negócios. Entretanto, como os invasores podem comprometer o computador de um usuário, um dispositivo móvel, o servidor ou um aplicativo, ocorrem tempos de inatividade com frequência em ambientes corporativos.

Um ataque de negação de serviço distribuído (DDoS) é um tipo de ataque que pode causar privações de largura de banda. É importante observar que existem muitas outras condições que também podem causar cargas de rede excessivas. Por exemplo, o compartilhamento de arquivos ponto a ponto, o uso intensivo de streaming de vídeo e picos de uso intensivo de um servidor interno ou externo (como a Black Friday do setor de varejo) podem fazer com que o desempenho da rede fique lento para usuários internos e clientes externos.

O streaming de vídeo é outro excelente exemplo de aplicativo de alto consumo de largura de banda, e existem muitos tipos de empresas que estão se tornando altamente dependentes dele para importantes operações comerciais. Empresas geograficamente distribuídas o utilizam para comunicações entre escritórios, empresas de gerenciamento de marcas o utilizam para campanhas na mídia e o setor militar o utiliza para comando e controle.

Essas condições resultaram em uma situação precária. O DDoS é um ataque fácil de ser iniciado. O streaming de vídeo é altamente sensível quanto à disponibilidade de largura de banda. As redes já estão bastante carregadas, até mesmo em casos ideais. E as empresas estão se tornando cada vez mais dependentes dessas tecnologias.

Os gerentes de TI devem estar preparados. Eles precisam mudar sua forma de pensar e seus planos a longo prazo sobre o uso de recursos, a proteção de dispositivos na rede e a proteção da largura de banda de rede essencial. Esse modelo de segurança de ponto de extremidade pode ajudar a alinhar essa forma de pensar com a realidade moderna.

Quatro pilares

A premissa básica dos Quatro pilares é permitir que a rede funcione, mesmo se estiver sob ataque. A primeira etapa é identificar os pontos de extremidade. O que é um ponto de extremidade? Neste modelo, um ponto de extremidade é qualquer um dos seguintes, no qual o trabalho é realmente realizado: desktops, servidores e dispositivos móveis.

Tendo em mente esses pontos de extremidade, é essencial ter uma estratégia para protegê-los. Essa estratégia — os Quatro pilares da segurança de pontos de extremidade — tem os seguintes objetivos:

• Proteger o ponto de extremidade contra ataques
• Tornar o ponto de extremidade autorrecuperável
• Proteger a largura de banda de rede
• Tornar a rede autorrecuperável

Levando isso em consideração, estes são os Quatro pilares da segurança efetiva de pontos de extremidade:

• Proteção do ponto de extremidade
• Resiliência do ponto de extremidade
• Priorização da rede
• Resiliência da rede

Para cada pilar, existem diversos objetivos adicionais a serem considerados. Primeiro, é aconselhável automatizar o processo o máximo possível. Afinal, o dia é composto por tantas horas e os gerentes de TI já têm agendas cheias.

Em segundo lugar, você deve monitorar de maneira central a sua rede para que saiba o que está acontecendo em tempo real. Embora uma finalidade dos dois pilares de resiliência seja reduzir essa carga de monitoramento o máximo possível, às vezes será necessário implementar defesas manuais e contramedidas. Além disso, os equipamentos às vezes falham — mesmo sob condições normais.

Em terceiro lugar, deve-se estabelecer um loop de comentários. Visto que os ataques estão se tornando cada vez mais sofisticados, nós devemos reconhecer que nossas defesas não nos manterão atualizados, a menos que façamos os investimentos certos continuamente para reforçá-las. Ao mesmo tempo, devemos reconhecer que os investimentos em segurança de rede são historicamente comprovados como sendo difíceis de justificar como despesas empresariais essenciais.

É por isso que monitoramento e comentários constantes são essenciais. Quanto mais compreendermos — e pudermos demonstrar — as ameaças e os ataques reais que ocorrem em nosso perímetro e dentro da rede, melhor poderemos justificar a atenção e as despesas gastas para proteger os ativos da empresa.

Proteção do ponto de extremidade

O objetivo do primeiro pilar — proteção do ponto de extremidade — é garantir que os ativos de rede estejam utilizando as mais recentes tecnologias para as defesas contra ameaças. Ameaças típicas incluem anexos de emails não seguros, vírus do tipo worm que se propagam pela rede e qualquer coisa relacionada que seja uma ameaça para seus navegadores da Web.

Um exemplo de contramedida de ataque são os softwares antivírus/antimalware. Outro exemplo é o isolamento, ou colocação em área restrita, de processos de aplicativos do computador contra potenciais malwares por meio de níveis de integridade obrigatórios impostos pelo sistema operacional. Esse tipo de proteção aplica-se ao Internet Explorer versões 7 e 8 no Windows Vista e no Windows 7.

Um aprimoramento que pode ajudar é a capacidade de implantar e gerenciar configurações de isolamento de maneira central para todo o host. Para que seja útil, isso deve ser feito de forma que os aplicativos de terceiros funcionem perfeitamente e sejam protegidos.

Dessa maneira, como o monitoramento se aplica a esse pilar? Você deve monitorar os ativos de rede quanto a invasões em campo de maneira escalonável. Você também deve observar padrões de comportamentos inesperados.

Resiliência do ponto de extremidade

O objetivo da resiliência do ponto de extremidade é garantir que informações de integridade de dispositivos e aplicativos sejam continuamente coletadas e monitoradas. Dessa maneira, os dispositivos ou aplicativos com falhas poderão ser automaticamente corrigidos, o que permite a continuidade das operações.

As tecnologias a seguir são exemplos que podem tornar os pontos de extremidade mais resilientes: Proteção de Acesso à Rede, configuração de “criação de linha de base” e ferramentas de gerenciamento, como o Microsoft System Center. Um aprimoramento nessa área seria combinar essas tecnologias a fim de gerar um comportamento de autorrecuperação de acordo com linhas de base padronizadas e fáceis de estender.

Como o monitoramento se aplica a esse pilar? Considere as tendências de qualquer uma destas áreas: Que máquinas em particular não estão em conformidade; de que maneira elas não estão em conformidade; e quando ocorre esse estado de não conformidade? Todas essas tendências podem levar a conclusões sobre ameaças em potencial, independentemente de serem uma ameaça interna ou externa, um erro de configuração, um erro do usuário e assim por diante. Além disso, ao identificar ameaças dessa maneira, você pode continuamente tornar os pontos de extremidade mais robustos frente aos ataques distribuídos cada vez mais sofisticados.

Priorização da rede

O objetivo da priorização da rede é assegurar que sua infraestrutura possa sempre atender às necessidades de largura de banda de aplicativos. Essa consideração se aplica aos momentos de pico de demanda bastante conhecidos e também quando ocorrem inesperadas sobretensões nas cargas de rede e ataques distribuídos externos e internos.

As tecnologias que podem gerenciar a largura de banda de aplicativos incluem DiffServ e QoS. Entretanto, esse pilar representa atualmente a maior lacuna de tecnologia entre o que é necessário e o que está comercialmente disponível. No futuro, seria útil ter soluções para integrar identidades de usuários, identidades de aplicativos e prioridades comerciais. Dessa maneira, os roteadores de rede poderiam fazer o particionamento da largura de banda automaticamente com base nessas informações.

Como o monitoramento se aplica a esse pilar? Os roteadores de rede deveriam estar fazendo o registro em log do fluxo para a análise de tendências. Qual a diferença entre os fluxos atuais e os antigos? Existe um aumento de carga? Quais endereços novos estão envolvidos? Eles estão no exterior? O monitoramento efetivo e abrangente pode ajudar a fornecer respostas para essas perguntas.

Resiliência da rede

O objetivo da resiliência da rede é permitir um failover de ativos uniforme. As técnicas nessa área sustentam de maneira ideal a reconfiguração da rede em tempo real enquanto o desempenho diminui. Esse pilar é semelhante à resiliência do ponto de extremidade quanto ao objetivo de facilitar a autorrecuperação da rede a fim de diminuir a carga de gerenciamento.

No entanto, esse pilar também chama a atenção para o fato de que o failover e a redundância devem ser considerados em larga escala, bem como em pequena escala. Por exemplo, você pode usar a tecnologia de clustering para fornecer o failover de um único nó dentro de um data center, mas como fazemos o failover de todo um data center ou toda uma região? De fato, o desafio relacionado a esse planejamento de recuperação de desastre é ainda mais abrangente, pois também devemos considerar o espaço do escritório, serviços básicos e, ainda mais importante, a equipe.

Além de clustering, outras tecnologias relevantes sob esse pilar incluem a replicação e a virtualização. Como o monitoramento se aplica a esse pilar? As tecnologias de failover em geral baseiam-se em monitoramento. Além disso, você pode usar dados de carga para o planejamento de recursos e aquisições conforme as necessidades comerciais evoluem.

Atender a cada pilar

Para cada um desses Quatro pilares da segurança de pontos de extremidade, é provável que existam tecnologias de segurança, rede e continuidade dos negócios comercialmente disponíveis que estejam subutilizadas ou que ainda não tenham sido implantadas pela maioria das organizações. Dessa maneira, os gerentes de TI têm as seguintes possibilidades:

• Usar os Quatro pilares, ou alguma outra estrutura, para identificar as ameaças e as lacunas na defesa de suas redes.
• Fazer mais investimentos em automação e monitoramento.
• Conversar mais com os tomadores de decisões comercias sobre os custos e os benefícios desses esforços.

Algumas empresas podem já estar na vanguarda do que está prontamente disponível para uma ou mais das áreas dos pilares. Sendo assim, também existem diversas possibilidades para o empreendedor. O ponto principal é reestruturar sua forma de pensar, a fim de acomodar cada um desses Quatro pilares, pois cada um deles é essencial.

Dan Griffin é consultor de segurança de software em Seattle. Entre em contato com ele pelo site www.jwsecure.com

Conteúdo relacionado

• Windows 7: Uma segurança excelente no Windows 7
• Microsoft Forefront: Usando o Microsoft Forefront TMG 2010 como um gateway da Web seguro
• Pau pra toda obra: AppLocker: a primeira panaceia de segurança da TI?