Introdução à segurança cibernética

Capítulo 4 : Proteção da Empresa

1
Capítulo 4: Proteção da empresa

Este capítulo aborda algumas tecnologias e processos utilizados por profissionais de segurança cibernética
para proteger a rede, o equipamento e os dados da empresa. Primeiro, ele abrange brevemente muitos tipos
de firewalls, equipamentos de segurança e software que são usados no momento, incluindo as melhores
práticas.
Em seguida, explica botnets, Kill Chain, a segurança baseada em comportamento e o uso do NetFlow para
monitorar uma rede.
A terceira seção discute a segurança cibernética da Cisco, incluindo a equipe CSIRT e o manual de
segurança. Resume brevemente as ferramentas que os profissionais de segurança cibernética usam para
detectar e prevenir ataques à rede.

Tipos de firewall

O firewall é uma parede ou partição projetada para impedir que o fogo se espalhe de uma parte de
um edifício para outra. Em redes de computador, um firewall controla ou filtra quais comunicações
podem entrar ou sair de um dispositivo ou uma rede, como mostrado na figura. Um firewall pode
ser instalado em um único computador com o objetivo de protegê-lo (firewall baseado em host), ou
pode ser um dispositivo de rede autônomo que protege uma rede de computadores e todos os
dispositivos hospedados na rede (firewall pela rede).

Ao longo dos anos, à medida que os ataques à rede e aos computadores tornaram-se mais
sofisticados, novos tipos de firewalls foram desenvolvidos para propósitos diferentes na proteção
de uma rede. Esta é uma lista dos tipos comuns de firewall:

• Firewall de camada de rede – filtragem baseada em endereços IP de origem e destino

• Firewall de camada de transporte – filtragem baseada em portas de origem e destino de
dados e em estados de conexão
• Firewall de camada de aplicação – filtragem baseada em aplicativo, programa ou serviço
• Firewall de aplicação com reconhecimento de contexto – filtragem baseada em usuário,
dispositivo, função, tipo de aplicativo e perfil de ameaça
• Servidor proxy – filtragem de solicitações de conteúdo da Web, como URL, domínio, mídia
etc.
• Servidor proxy reverso – colocado na frente de servidores da Web, os servidores proxy
protegem, ocultam, fazem o offload e distribuem o acesso a servidores da Web
• Firewall Network Address Translation (NAT) – oculta ou disfarça os endereços privados de
hosts de rede
• Firewall baseado em host – filtragem de portas e chamadas de serviço do sistema em um
sistema operacional de computador único

2
Atividade: Identificar o Tipo de Firewall

Resultado de Varreduras de Portas do Nmap

porta aberta / serviço e

sistema operacional

Abrir porta/serviço

Rede/plataforma

Kernel do sistema
operacional

Varredura de porta
A varredura de porta é um processo de sondagem de um computador, servidor ou outro host de rede em
busca de portas abertas. Na rede, cada aplicativo em execução em um dispositivo recebe um identificador
3
ou número de porta. Esse número da porta é usado em ambas as extremidades da transmissão para que
os dados certos sejam passados ao aplicativo correto. A varredura de porta pode ser usada de forma mal-
intencionada como uma ferramenta de reconhecimento para identificar o sistema operacional e os serviços
em execução em um host ou computador, ou pode ser usada por um administrador de rede, sem causar
danos, para verificar as políticas de segurança da rede.
Para avaliar a segurança de porta e o firewall da rede do computador, use uma ferramenta de varredura de
porta, como Nmap, para localizar todas as portas abertas na rede. A varredura de porta pode ser considerada
como um precursor para um ataque à rede e, portanto, não deve ser feita em servidores públicos na Internet
ou em uma rede corporativa sem permissão.
Para executar uma varredura de porta Nmap de um computador na rede domiciliar local, baixe e inicialize
um programa como o Zenmap, forneça o endereço IP de destino do computador que você gostaria de
verificar, escolha um perfil de varredura padrão e inicie a varredura. A varredura Nmap relatará quaisquer
serviços em execução (por exemplo, serviços da Web, serviços de e-mail etc.) e os números de porta. A
varredura de uma porta geralmente resulta em uma destas três respostas:
• Aberta ou aceita – o host respondeu indicando que um serviço está escutando na porta.
• Fechada, negada ou não escutando – o host respondeu indicando que as conexões serão negadas
à porta.
• Filtrada, descartada ou bloqueada – não houve resposta do host.
Para executar uma varredura de porta da rede a partir de fora da rede, inicie a varredura de fora da rede.
Isto implicará na execução de uma varredura de porta Nmap no seu firewall ou endereço IP público do
roteador. Para descobrir seu endereço IP público, use um mecanismo de pesquisa, como o Google, com a
consulta "qual é o meu endereço IP". O mecanismo de pesquisa retornará seu endereço IP público.
Para executar uma varredura de seis portas comuns no seu roteador domiciliar ou firewall, vá para o scanner
de porta Nmap on-line em https://hackertarget.com/nmap-online-port-scanner/ e digite o endereço IP público
na caixa de entrada: endereço IP a ser verificado… e pressione Quick Nmap Scan (Varredura Nmap rápida).
Se a resposta for open para qualquer uma das portas: 21, 22, 25, 80, 443 ou 3389, então provavelmente o
encaminhamento de portas foi habilitado em seu roteador ou firewall, e você está executando servidores na
sua rede privada, como mostrado na figura.

Atividade – Identificar a resposta da varredura da porta

Equipamentos de segurança
Atualmente, não há equipamentos de segurança ou tecnologia que solucionará todas as necessidades de
segurança da rede. Como há uma variedade de equipamentos de segurança e ferramentas que precisa ser
4
implementada, é importante que todos eles trabalhem juntos. Equipamentos de segurança são mais eficazes
quando fazem parte de um sistema.
Equipamentos de segurança podem ser dispositivos autônomos, como um roteador ou firewall, uma placa
que pode ser instalada em um dispositivo de rede ou um módulo com seu próprio processador e memória
em cache. Equipamentos de segurança também podem ser ferramentas de software executadas em um
dispositivo de rede. Os equipamentos de segurança enquadram-se nestas categorias gerais:
Roteadores - o Cisco Integrated Services Router (ISR), mostrado na Figura 1, tem muitos recursos de
firewall, além de funções apenas de roteamento, incluindo a filtragem de tráfego, a capacidade de executar
um IPS (sistema de prevenção de intrusão), a criptografia e os recursos de VPN para tunelamento
criptografado seguro.
Firewalls - firewalls de última geração da Cisco têm todos os recursos de um roteador ISR, bem como
gerenciamento avançado de redes e análise. O Cisco Adaptive Security Appliance (ASA) com recursos de
firewall é mostrado na Figura 2.
IPS - dispositivos IPS de última geração da Cisco, mostrados na Figura 3, são dedicados à prevenção de
intrusão.
VPN - os equipamentos de segurança da Cisco são equipados com tecnologias de cliente e servidor de uma
rede privada virtual (VPN). Eles são projetados para tunelamento criptografado seguro.
Malware/antivírus - O Cisco Advanced Malware Protection (AMP) vem na próxima geração de roteadores,
firewalls, dispositivos IPS, dispositivos de segurança da Web e e-mail da Cisco e também pode ser instalado
como um software em computadores host.
Outros dispositivos de segurança – esta categoria inclui dispositivos de segurança de e-mail e Web,
dispositivos de descriptografia, servidores de controle de acesso para cliente e sistemas de gerenciamento
de segurança.

Atividade: Identificar o equipamento de Segurança

5
Detecção de ataques em tempo real

O software não é perfeito. Quando um hacker explora uma falha em uma parte do software antes do criador
poder corrigi-la, isso é conhecido como um ataque de dia zero. Devido à sofisticação e à grande quantidade
de ataques de dia zero que ocorrem atualmente, os ataques à rede estão se tornando comuns e uma defesa
bem-sucedida é avaliada de acordo com a velocidade em que uma rede pode responder a um ataque. A
capacidade de detectar ataques, como eles acontecem em tempo real, bem como parar os ataques
imediatamente, ou dentro de minutos da ocorrência, é o objetivo ideal. Infelizmente, muitas empresas são
incapazes de detectar ataques, em até dias ou mesmo meses depois que eles ocorreram.
Varredura em tempo real da borda para o endpoint - a detecção de ataques em tempo real requer a varredura
ativa de ataques usando firewall e dispositivos de rede IDS/IPS. A detecção de malware de cliente/servidor
de última geração com conexões a centros de ameaças on-line globais também deve ser usada. Atualmente,
os softwares e dispositivos de varredura ativos devem detectar anomalias de rede usando a detecção de
comportamento e análise baseada em contexto.
Ataques de DDoS e resposta em tempo real - DDoS é a maior ameaça de ataque, que exige resposta e
detecção em tempo real. É extremamente difícil se defender de ataques de DDoS, pois eles originam
centenas ou milhares de hosts zumbis e aparecem como tráfego legítimo, conforme mostrado na figura.
Para muitas empresas, os ataques de DDoS que ocorrem regularmente prejudicam os servidores de Internet
e a disponibilidade de rede. A capacidade de detectar e responder a ataques de DDoS em tempo real é
crucial.

Proteção contra malware

Como você oferece defesa contra a constante presença de ataques de dia zero, bem como ameaças
persistentes avançadas (APT) que roubam dados por longos períodos? Use uma solução de detecção de
malware de nível empresarial avançada que oferece a detecção de malware em tempo real.
Os administradores da rede devem monitorá-la constantemente para detectar sinais de malware ou
comportamentos que revelam a presença de um APT. A Cisco tem uma Proteção avançada contra malware
(AMP) que analisa milhões de arquivos com segurança e correlaciona-os a centenas de milhões de outros
artefatos de malware analisados. Isso proporciona uma visão geral de ataques, de campanhas e de
distribuição de malware. O AMP é um software de servidor/cliente, implantado em dispositivos finais
(endpoints), como um servidor autônomo, ou em outros dispositivos de segurança de rede. A figura mostra
os benefícios do AMP Threat Grid.

6
Vantagens do AMP Threat Grid

Práticas recomendadas de segurança

Muitas empresas e profissionais publicaram listas das melhores práticas de segurança. Esta é uma lista das
melhores práticas de segurança:
• Realizar a avaliação de risco – Saber o valor do que você está protegendo ajudará a justificar as
despesas de segurança.
• Criar uma política de segurança – Criar uma política que define claramente as regras da empresa,
os deveres e as expectativas do trabalho.
• Medidas de segurança física – Restringir o acesso a racks de rede, locais de servidor, bem como
supressão de fogo.
• Medidas de segurança de recursos humanos – Os antecedentes dos funcionários devem ser
devidamente pesquisados.
• Executar e testar backups – Fazer backups regulares e teste de recuperação de dados de backups.
• Manter atualizações e patches de segurança – Atualizar regularmente o servidor e os sistemas
operacionais e programas de dispositivos de rede e do cliente.
• Empregar controles de acesso – Configurar funções de usuário e níveis de privilégio, bem como
autenticação forte ao usuário.
• Testar regularmente a resposta a incidentes – Empregar uma equipe de resposta a incidentes e
testar cenários de resposta a emergências.
• Implementar uma rede de monitoramento, análise e ferramenta de gerenciamento - Escolher
uma solução de gerenciamento de segurança que se integra a outras tecnologias.
7
 • Implementar dispositivos de segurança de rede – Use roteadores next generation, firewalls e
outros dispositivos de segurança.
• Implementar uma solução abrangente de segurança de endpoint – Use software antivírus e
antimalware de nível corporativo.
• Treinar os usuários – Treinar os usuários e funcionários nos procedimentos de segurança.
• Criptografar dados – Criptografar todos os dados confidenciais da empresa, incluindo e-mail.
Algumas das orientações mais úteis são encontradas nos repositórios corporativos, tais como o Centro de
recursos de segurança em computação do Instituto Nacional de Padrões e Tecnologia (NIST), conforme
mostrado na figura.

Uma das empresas mais conhecidas e respeitadas para o treinamento de segurança cibernética é o Instituto
SANS. Clique aqui para saber mais sobre SANS e os tipos de treinamento e certificações disponíveis.

Botnet

Uma botnet é um grupo de robôs (bots), conectados pela Internet, com a capacidade de ser controlado por
um indivíduo ou grupo mal-intencionado. Um computador bot normalmente é infectado por visitar um site,
abrir um anexo de e-mail ou abrir um arquivo de mídia infectado.
Uma botnet pode ter dezenas de milhares, ou até mesmo centenas de milhares, de robôs. Esses robôs
podem ser ativados para distribuir malware, lançar ataques de DDoS, distribuir e-mail de spam ou executar
ataques de senha de força bruta. Botnets são geralmente controlados por um servidor de comando e
controle.
Os criminosos virtuais frequentemente alugam Botnets, por uma taxa, para terceiros com finalidade
inapropriada. A figura mostra como um filtro de tráfego de botnet é usado para informar a comunidade de
segurança em todo o mundo sobre os botnet locais.

8
O ASA Botnet Traffic Filter

Kill Chain na defesa cibernética

Em segurança cibernética, a Kill Chain consiste nas etapas de um ataque de sistemas de informação.
Desenvolvida pela Lockheed Martin como uma estrutura de segurança para detecção e resposta a incidente,
a Cyber Kill Chain é composta das seguintes etapas:
Etapa 1. Reconhecimento - o invasor reúne informações sobre o alvo.
Etapa 2. Armamento - o invasor cria um exploit e payload mal-intencionado para enviar ao alvo.
Etapa 3. Entrega -o invasor envia o exploit e o payload mal-intencionado para o alvo por e-mail ou outro
método.
Etapa 4. Exploração - o exploit é executado.
Etapa 5 Instalação - malware e backdoors são instalados no alvo.
Etapa 6. Comando e controle - controle remoto do alvo é adquirido por um servidor ou canal de comando
e controle.
Etapa 7. Ação - o invasor executa ações mal-intencionadas, como roubo de informações, ou executa
ataques adicionais em outros dispositivos de dentro da rede, percorrendo novamente as etapas da Kill Chain.
Para se defender contra a Kill Chain, as defesas de segurança de rede são projetadas contra essas etapas.
Estas são algumas perguntas sobre as defesas de segurança da empresa, com base na Cyber Kill Chain:
• Quais são os indicadores de ataque em cada etapa da Kill Chain?

9
• Quais ferramentas de segurança são necessárias para detectar os indicadores de ataque em cada uma
das etapas?
• Existem lacunas na capacidade de a empresa detectar um ataque?
De acordo com a Lockheed Martin, compreender as etapas de Kill Chain permitiu colocar obstáculos
defensivos, retardar o ataque e, finalmente, evitar a perda de dados. A figura mostra como cada etapa de
Kill Chain equivale a um aumento na quantidade de esforço e custo para inibir e remediar ataques.

Atividade – Ordenar as etapas de KillChain

Segurança baseada em comportamento

Segurança baseada em comportamento é uma forma de detecção de ameaças que não depende de
assinaturas mal-intencionadas conhecidas, mas em vez disso, usa o contexto de informações para detectar
anomalias na rede. A detecção baseada em comportamento envolve capturar e analisar o fluxo de
comunicação entre um usuário na rede local e um destino local ou remoto. Estas comunicações, quando
capturadas e analisadas, revelam o contexto e os padrões de comportamento que podem ser usados para
detectar anomalias. A detecção baseada em comportamento pode descobrir a presença de um ataque por
uma mudança no comportamento normal.
10
Honeypots - a Honeypot é uma ferramenta de detecção baseada em comportamento que primeiro atrai o
invasor apelando ao padrão previsto de comportamento malicioso, e então, quando dentro da honeypot, o
administrador de rede pode capturar, registrar e analisar o comportamento do invasor. Isso permite que um
administrador obtenha mais conhecimento e desenvolva uma defesa melhor.
Arquitetura de soluções da Threat Defense Cyber da Cisco - esta é uma arquitetura de segurança que
usa detecção baseada em comportamento e indicadores para fornecer maior visibilidade, contexto e
controle. O objetivo é saber quem, o quê, onde, quando e como um ataque está ocorrendo. Essa arquitetura
de segurança usa muitas tecnologias de segurança para atingir esse objetivo.

NetFlow

A Tecnologia NetFlow é usada para coletar informações sobre dados fluindo por uma rede. As informações
do NetFlow podem ser comparadas a uma conta de telefone para seu tráfego de rede. Ele mostra quem e o
que são dispositivos na sua rede, quando e como os usuários e dispositivos acessaram a sua rede. O
NetFlow é um componente importante na análise e detecção baseada em comportamento. Switches,
roteadores e firewalls equipados com NetFlow podem relatar informações sobre dados que entram, saem e
se deslocam pela rede. As informações são enviadas para os coletores NetFlow que coletam, armazenam
e analisam registros de NetFlow.
O NetFlow é capaz de coletar informações sobre o uso por muitas características diferentes de como os
dados são movidos através da rede, como mostrado na figura. Ao coletar as informações sobre os fluxos de
dados de rede, o NetFlow é capaz de estabelecer comportamentos de parâmetros em mais de 90 diferentes
atributos.

11
CSIRT

Muitas empresas de grande porte têm uma Equipe de resposta a incidentes de segurança computacional
(CSIRT) para recepção, análise e resposta de incidentes de segurança de computador, conforme mostrado
na Figura 1. A principal missão da CSIRT é ajudar a garantir a preservação de dados, do sistema e da
empresa pela realização de investigações abrangentes sobre incidentes de segurança computacional. Para
evitar incidentes de segurança, a CSIRT da Cisco fornece avaliação proativa de riscos, planejamento de
mitigação, análise de tendência de incidentes e revisão da arquitetura de segurança, conforme mostrado na
Figura 2.
A CSIRT da Cisco colabora com a Forum of Incident Response and Security Teams (FIRST), National Safety
Information Exchange (NSIE), Defense Security Information Exchange (DSIE) e o DNS Operations Analysis
and Research Center (DNS-OARC).
Existem empresas de CSIRT nacionais e públicas, como a divisão de CERT do Instituto de Engenharia de
Software na Universidade Carnegie Mellon, que estão disponíveis para ajudar empresas e CSIRTs nacionais
a desenvolver, operar e melhorar os recursos de gerenciamento de incidentes.

Manual de segurança

A tecnologia está em constante mudança. Isso significa que os ataques cibernéticos estão evoluindo
bastante. As novas vulnerabilidades e métodos de ataque são descobertos continuamente. A segurança
está se tornando uma preocupação corporativa importante por causa da reputação resultante e o impacto
financeiro de violações de segurança. Os ataques estão apontando redes importantes e dados confidenciais.
As empresas devem ter planejamento, preparação, método e recuperação de uma violação.
Uma das melhores maneiras de se preparar para uma violação de segurança é evitá-la. Deve haver
orientação para identificar o risco de segurança cibernética para sistemas, ativos, dados e recursos; proteger
o sistema com a implementação de proteções e treinamento de pessoal; e detectar eventos de segurança
cibernética o mais rápido possível. Quando é detectada uma violação de segurança, as ações apropriadas
devem ser tomadas para minimizar o impacto e os danos. O plano de resposta deve ser flexível com várias
opções de ação durante a violação. Depois de conter a violação e restaurar os sistemas e serviços
comprometidos, as medidas e os processos de segurança devem ser atualizados para incluir as lições
aprendidas durante a violação.
Todas estas informações devem ser compiladas em um manual de segurança. Um manual de segurança é
uma coleção de consultas repetidas (relatórios) em fontes de dados de evento de segurança que levam à
detecção e resposta a incidente. O manual de segurança deve realizar as seguintes ações:

• Detectar máquinas infectadas com malware.

• Detectar atividades suspeitas na rede.
• Detectar tentativas de autenticação irregulares.
• Descrever e compreender o tráfego de entrada e de saída.
• Fornecer informações resumidas, incluindo tendências, estatísticas e contagens.
• Dar acesso útil e rápido a estatísticas e métricas.
• Correlacionar eventos em todas as fontes de dados relevantes.

12
Ferramentas para prevenção e detecção de incidentes

Estas são algumas das ferramentas usadas para detectar e prevenir incidentes de segurança:
• SIEM – um sistema de informações de segurança e gerenciamento de eventos (SIEM) é um software
que recolhe e analisa os alertas de segurança, registros e outros dados históricos e em tempo real dos
dispositivos de segurança na rede.
• DLP – o software de prevenção de perda de dados (DLP) é um sistema de software ou hardware
projetado para impedir que os dados confidenciais sejam roubados ou vazem de uma rede. Um sistema
DLP pode abordar a autorização de acesso de arquivo, a troca de dados, cópia de dados,
monitoramento das atividades do usuário e muito mais. Os sistemas DLP são projetados para monitorar
e proteger dados em três estados diferentes: dados em uso, dados em movimento e dados em repouso.
Dados em uso são focados no cliente, dados em movimento se referem aos dados em deslocamento
pela rede e dados em repouso se referem ao armazenamento de dados.

• Cisco TrustSec e ISE – Cisco Identity Services Engine (Cisco ISE) e Cisco TrustSec executam o acesso
aos recursos da rede através da criação de políticas de controle de acesso por função, que segmentam
o acesso à rede (convidados, usuários de dispositivos móveis, funcionários) sem mais complexidade. A
classificação de tráfego baseia-se na identidade do usuário ou dispositivo. Clique em Play (Reproduzir)
na figura para obter mais informações sobre ISE.
• Clique aqui para ler a transcrição do vídeo.

IDS e IPS

Um sistema de detecção de invasão (IDS), mostrado na figura, é um dispositivo de rede dedicado, ou uma
das várias ferramentas em um servidor ou firewall que varre os dados em um banco de dados de regras ou
de assinaturas de ataques, à procura de tráfego mal-intencionado. Se uma correspondência for detectada,
o IDS registrará a detecção de registro e criará um alerta para um administrador de rede. O sistema de
detecção de invasão não age quando uma correspondência é detectada, então não impede os ataques. O
trabalho do IDS é apenas detectar, registrar e relatar.

Sensor Cisco IPS 4240

A varredura realizada pelo IDS deixa a rede mais lenta (conhecido como latência). Para se prevenir contra
o atraso de rede, um IDS é geralmente colocado off-line, separado do tráfego de rede regular. Dados são
copiados ou espelhados por um switch e então encaminhados para o IDS para a detecção off-line. Também
existem ferramentas de IDS que podem ser instaladas sobre o sistema operacional do computador, como o
Linux ou Windows.

Um IPS (sistema de prevenção de intrusão) tem a capacidade de bloquear ou negar o tráfego com base em
uma correspondência de regra ou assinatura positiva. Um dos sistemas mais conhecidos de IPS/IDS é o
Snort. A versão comercial do Snort é o Sourcefire da Cisco. O Sourcefire tem a capacidade de executar o
tráfego em tempo real e análise de porta, gerar registros, buscar e corresponder conteúdo e pode detectar
probes, ataques e varreduras de portas. Ele também se integra com outras ferramentas de terceiros para
geração de relatórios, análise de desempenho e registro.
13
Atividade – Identificar a terminologia de abordagem à segurança cibernética

Capítulo 4: Proteção da empresa - Resumo

Este capítulo começou discutindo algumas tecnologias e processos utilizados por profissionais de segurança
cibernética para proteger a rede, o equipamento e os dados da empresa. Isto inclui tipos de firewalls,
equipamentos de segurança e software.
Botnets, Kill Chain, a segurança baseada em comportamento e o uso do NetFlow para monitorar uma rede
foram abordados.
Por fim, a abordagem da Cisco para segurança cibernética, incluindo a equipe CSIRT, e o manual de
segurança foram explicados. Ele resume brevemente as ferramentas que os profissionais de segurança
cibernética usam para detectar e prevenir ataques à rede, incluindo SIEM, DLP, Cisco ISE e TrustSec, além
de sistemas IDS e IPS.
Se você quiser se aprofundar ainda mais nos conceitos deste capítulo, confira a página de Recursos e
atividades adicionais nos Recursos do aluno.

14