Escolar Documentos
Profissional Documentos
Cultura Documentos
Este capítulo discute várias abordagens que as organizações podem seguir para
ajudar a atingir as suas metas de disponibilidade. A redundância fornece backup e
inclui componentes extra para computadores ou sistemas de rede para garantir que os
sistemas permanecem disponíveis. Os componentes redundantes podem incluir hardware,
como unidades de disco, servidores, comutadores e encaminhadores, ou software, como
sistemas operativos, aplicações e bases de dados. O capítulo também discute a
resiliência, a capacidade de um servidor, rede ou data center de recuperar
rapidamente e continuar a operação.
Ameaças à Disponibilidade
As seguintes ameaças representam um alto risco para a disponibilidade de dados e
informações:
2. Resiliência do Sistema
3. Tolerância a Falhas
Identificação de Ativos
Uma organização precisa de saber que hardware e software estão presentes como um
pré-requisito para saber quais serão os parâmetros de configuração. A gestão de
ativos inclui um inventário completo do hardware e software.
Isto significa que a organização precisa de conhecer todos os componentes que podem
estar sujeitos a riscos de segurança, incluindo:
Classificação de Ativos
A classificação de ativos atribui todos os recursos de uma organização a um grupo
com base em características comuns. Uma organização deve aplicar um sistema de
classificação de ativos a documentos, registos de dados, ficheiros e discos. As
informações mais críticas precisam de receber o mais alto nível de proteção e podem
até exigir um manuseamento especial.
Uma organização pode adotar um sistema de rotulagem de acordo com o quão valiosa,
delicada e crítica é a informação. Conclua as etapas a seguir para identificar e
classificar os ativos de uma organização:
Por exemplo, o governo dos EUA usa a sensibilidade para classificar os dados da
seguinte forma: ultra secreto; secreto; confidencial; confiança pública; e não
classificado.
Normalização de Ativos
A gestão de ativos gere o ciclo de vida e o inventário de ativos tecnológicos,
incluindo dispositivos e software. Como parte de um sistema de gestão de ativos de
TI, uma organização especifica os ativos de TI aceitáveis que cumprem os objetivos.
Essa prática reduz efetivamente os diferentes tipos de ativos. Por exemplo, uma
organização só instalará aplicações que atendam às suas diretrizes. Quando os
administradores eliminam aplicações que não cumprem as diretrizes, eles estão
efetivamente a melhorar a segurança.
Identificação de Ameaças
O United States Computer Emergency Readiness Team (US-CERT) e o Departamento de
Segurança Interna dos EUA patrocinam um dicionário de vulnerabilidades comuns e
exposição (CVE). O CVE contém um número de identificador padrão, com uma breve
descrição e referências a relatórios da vulnerabilidade e aconselhamento. A MITRE
Corporation mantém a lista CVE e o seu site público.
Análise de Risco
A análise de risco é o processo de análise dos perigos para os ativos de uma
organização, provocados por eventos naturais ou causados pelo homem.
Uma equipe avalia cada ameaça a um ativo e coloca-a na tabela. A equipe classifica
os resultados e usa os resultados como um guia. Eles podem determinar a tomada de
medidas apenas sobre ameaças que se enquadram na zona vermelha.
Mitigação
A mitigação envolve a redução da gravidade da perda ou a probabilidade de a perda
ocorrer. Muitos controlos técnicos reduzem os riscos, incluindo sistemas de
autenticação, permissões de ficheiros e firewalls. Os profissionais da organização
e segurança devem entender que a mitigação de riscos pode ter impacto positivo e
negativo na organização. Uma boa mitigação dos riscos encontra um equilíbrio entre
o impacto negativo das contramedidas e dos controlos e o benefício da redução do
risco. Existem quatro maneiras comuns de reduzir o risco:
Organizar em Camadas
A defesa em profundidade não fornecerá um escudo de cibersegurança impenetrável,
mas ajudará uma organização a minimizar o risco, mantendo-a um passo à frente dos
cibercriminosos.
Estruturar a defesa em camadas é criar uma barreira com várias defesas que se
coordenam para evitar ataques. Por exemplo, uma organização pode armazenar os seus
documentos secretos num servidor, num prédio protegido por uma cerca eletrónica.
Limitando
Limitar o acesso a dados e informações reduz a possibilidade de uma ameaça. Uma
organização deve restringir o acesso de modo a que os utilizadores tenham apenas o
nível de acesso necessário para fazer o seu trabalho. Por exemplo, as pessoas no
departamento de marketing não precisam de acesso aos registos da folha de
pagamentos, para executar os seus trabalhos.
Diversidade
Se todas as camadas protegidas fossem as mesmas, não seria muito difícil para os
cibercriminosos realizar num ataque bem-sucedido. Portanto, as camadas devem ser
diferentes. Se os cibercriminosos penetram numa camada, a mesma técnica não
funcionará em todas as outras camadas. A violação de uma camada de segurança não
compromete todo o sistema. Uma organização pode usar diferentes algoritmos de
criptografia ou sistemas de autenticação para proteger dados em diferentes estados.
Obscuridade
Obscurecer informações também pode proteger dados e informações. Uma organização
não deve revelar nenhuma informação que os cibercriminosos possam usar para
descobrir qual a versão do sistema operativo que um servidor está a executar ou o
tipo de equipamento que ele usa. Por exemplo, as mensagens de erro não devem conter
detalhes que os cibercriminosos possam usar para determinar quais as
vulnerabilidades que estão presentes. Ocultar certos tipos de informações torna
mais difícil para os cibercriminosos atacar um sistema.
Simplicidade
A complexidade não garante necessariamente a segurança. Se uma organização
implementa sistemas complexos que são difíceis de entender e solucionar problemas,
o tiro pode sair pela culatra. Se os funcionários não entenderem como configurar
corretamente uma solução complexa , isso pode na realidade facilitar aos
cibercriminosos a tarefa de comprometer esses sistemas. Para manter a
disponibilidade, uma solução de segurança deve ser simples por dentro, mas complexa
por fora.
Redundância N+1
A redundância N+1 garante a disponibilidade do sistema em caso de falha de um
componente. Os componentes (N) precisam ter pelo menos um componente de backup
(+1). Por exemplo, um carro tem quatro pneus (N) e um pneu sobressalente no porta-
malas no caso de um furo (+1).
Num data center, a redundância N+1 significa que o projeto do sistema pode suportar
a perda de um componente. O N refere-se a muitos componentes diferentes que compõem
o data center, incluindo servidores, fontes de alimentação, comutadores e
encaminhadores. O +1 é o componente ou sistema adicional que está pronto para
substituir um componente que falhe, se necessário.
Um exemplo de redundância N+1 num data center é um gerador de energia que é ligado
quando algo acontece com a fonte de energia principal. Embora um sistema N+1
contenha equipamento redundante, não é um sistema totalmente redundante.
RAID
Uma matriz redundante de discos independentes (RAID) combina vários discos rígidos
físicos numa única unidade lógica para fornecer redundância de dados e melhorar o
desempenho. O RAID pega em dados que normalmente estão armazenados num único disco
e espalha-os em várias unidadesde disco. Se algum disco único for perdido, o
utilizador poderá recuperar dados a partir dos outros discos onde os dados também
residem.
Uma solução RAID pode ser baseada em hardware ou baseada em software. Uma solução
baseada em hardware requer um controlador de hardware especializado no sistema que
contém as unidades RAID. Os termos a seguir descrevem como o RAID armazena dados
nos vários discos:
Clique aqui para ver um tutorial de nível RAID que explica a tecnologia RAID.
Spanning Tree
A redundância aumenta a disponibilidade da infraestrutura, protegendo a rede de um
ponto único de falha, como um cabo de rede com falha ou um comutador avariado.
Quando os projetistas criam redundância física numa rede, ocorrem loops e frames
duplicadas. Os loops e as frames duplicadas têm consequências graves para uma rede
comutada.
O Spanning Tree Protocol (STP) resolve estes problemas. A função básica do STP é
impedir loops numa rede quando os comutadores se ligam através de caminhos
múltiplos. O STP garante que os links físicos redundantes ficam sem loops. Garante
que exista apenas um caminho lógico entre todos os destinos na rede. O STP bloqueia
intencionalmente caminhos redundantes que poderiam causar um loop.
Clique em Reproduzir na figura para ver o STP quando ocorre uma falha:
O PC1 envia uma difusão para a rede.
A ligação de tronco entre S2 e S1 falha, resultando na interrupção do trajeto
original.
O S2 desbloqueia a porta previamente bloqueada para Trunk2 e permite que o tráfego
de difusão atravesse o caminho alternativo em redor da rede, permitindo que a
comunicação continue.
Se a ligação entre S2 e S1 voltar a ficar ativa, o STP bloqueia novamente a ligação
entre S2 e S3.
Redundância de Encaminhadores
O gateway padrão é tipicamente o encaminhador que fornece acesso de dispositivos ao
resto da rede ou à Internet. Se houver apenas um encaminhador servindo como gateway
padrão, é um ponto único de falha. A organização pode optar por instalar um
encaminhador adicional em espera.
Hot Standby Router Protocol (HSRP) - O HSRP assegura alta disponibilidade de rede,
fornecendo redundância de encaminhamento de primeiro salto. Um grupo de
encaminhadores usa o HSRP para selecionar um dispositivo ativo e um dispositivo em
espera. Num grupo de interfaces de dispositivo, o dispositivo ativo é o dispositivo
que distribui pacotes; o dispositivo em espera é o dispositivo que assume esse
papel quando o dispositivo ativo falha. A função do encaminhador em espera HSRP é
monitorizar o estado operacional do grupo HSRP e assumir rapidamente a
responsabilidade de encaminhamento de pacotes se o encaminhador ativo falhar.
Virtual Router Redundancy Protocol (VRRP) - Um encaminhador VRRP executa o
protocolo VRRP em conjunto com um ou mais outros encaminhadores ligados a uma LAN.
Numa configuração VRRP, o encaminhador eleito é o encaminhador virtual mestre, e os
outros encaminhadores atuam como backups, caso o encaminhador virtual mestre falha.
Gateway Load Balancing Protocol (GLBP) - O GLBP protege o tráfego de dados de um
encaminhador ou circuito com falha, tal como o HSRP e o VRRP, mas ao mesmo tempo
que permite o balanceamento de carga (também chamado de partilha de carga) entre um
grupo de encaminhadores redundantes.
Redundância da Localização
Uma organização pode precisar de considerar a redundância de localização,
dependendo das suas necessidades. A seguir são descritas três formas de redundância
de localização.
Síncrona
Projeto Resiliente
A resiliência consiste nos métodos e configurações usados para tornar um sistema ou
rede tolerante à falha. Por exemplo, uma rede pode ter ligações redundantes entre
comutadores executando o STP. Embora o STP forneça um caminho alternativo através
da rede se um link falhar, a recuperação da falha pode não ser imediata se a
configuração não for ótima.
Resiliência de Aplicações
A resiliência de aplicações é a capacidade da aplicação de reagir a problemas num
dos seus componentes enquanto ainda funciona. O tempo de inatividade é devido a
falhas provocadas por erros de aplicações ou falhas de infraestrutura. Um
administrador eventualmente precisará de encerrar aplicações para aplicação de
remendos, atualizações de versão ou implantar novos recursos. O tempo de
inatividade também pode ser o resultado de corrupção de dados, falhas de
equipamentos, erros de aplicações e erros humanos.
Resiliência de IOS
O sistema operativo Interwork (IOS) para encaminhadores Cisco e comutadores inclui
um recurso de configuração resiliente. Ele permite uma recuperação mais rápida se
alguém maliciosamente ou involuntariamente reformatar a memória flash ou apagar o
ficheiro de configuração inicial. A funcionalidade mantém uma cópia de trabalho
segura do ficheiro de imagem IOS do encaminhador e uma cópia do ficheiro de
configuração da imagem em execução. O utilizador não pode remover esses ficheiros
seguros também conhecidos como o bootset principal.
Preparação
A resposta a incidentes são os procedimentos que uma organização segue depois de um
evento que ocorre fora do intervalo normal. Uma violação de dados liberta
informações para um ambiente não confiável. Uma violação de dados pode ocorrer como
resultado de um ato acidental ou intencional. Uma violação de dados ocorre sempre
que uma pessoa não autorizada, copia, transmite, visualiza, rouba ou acede a
informações confidenciais.
Detecção e Análise
A detecção começa quando alguém descobre o incidente. As organizações podem comprar
os sistemas de detecção mais sofisticados; no entanto, se os administradores não
analisarem os logs e monitorizarem os alertas, esses sistemas serão inúteis. A
detecção adequada inclui como o incidente ocorreu, quais os dados envolvidos e que
sistemas implicados. A notificação da violação é enviada aos gestores superiores e
aos gestores responsáveis pelos dados e sistemas, para envolvê-los na remediação e
reparação. Detecção e análise incluem o seguinte:
Alertas e Notificações
Monitorização e acompanhamento
A análise de incidentes ajuda a identificar a origem, extensão, impacto e detalhes
de uma violação de dados. A organização pode precisar de decidir se precisa chamar
uma equipe de especialistas para realizar a investigação forense.
Acompanhamento Pós-Incidente
Depois de restaurar todas as operações para um estado normal, a organização deve
olhar para a causa do incidente e fazer as seguintes perguntas:
Uma estrutura NAC pode usar a infraestrutura de rede existente e software externo,
para impor a conformidade com a política de segurança a todos os dispositivos que
se ligam à rede. Em alternativa, um dispositivo NAC controla o acesso à rede,
avalia a conformidade e reforça a política de segurança. As verificações comuns dos
sistemas NAC incluem:
1. Anti-vírus atualizado
A vantagem de operar com uma cópia do tráfego é que o IDS não afeta negativamente o
fluxo de pacotes do tráfego encaminhado. A desvantagem de operar com uma cópia do
tráfego é que o IDS não pode impedir ataques maliciosos de pacote único de alcançar
o alvo antes de responder ao ataque. Um IDS geralmente requer assistência de outros
dispositivos de rede, como encaminhadores e firewalls, para responder a um ataque.
Uma solução melhor é usar um dispositivo que possa detectar e parar imediatamente
um ataque. Um Sistema de Prevenção de Intrusão (IPS) executa esta função.
Um IPS monitoriza o tráfego de rede. Ele analisa o conteúdo e a carga útil dos
pacotes para ataques incorporados mais sofisticados que podem incluir dados
maliciosos. Alguns sistemas usam uma mistura de tecnologias de detecção, incluindo
a detecção de intrusão baseada em assinatura, baseada em perfil e análise de
protocolos. Essa análise mais profunda permite que o IPS identifique, pare e
bloqueie ataques que passariam por um dispositivo de firewall tradicional. Quando
um pacote entra através de uma interface num IPS, a interface externa ou confiável
não recebe esse pacote até que o IPS o analise.
A vantagem de operar no modo inline é que o IPS pode impedir que ataques de pacote
único atinjam o sistema de destino. A desvantagem é que um IPS mal configurado pode
afetar negativamente o fluxo de pacotes do tráfego encaminhado.
A maior diferença entre o IDS e o IPS é que um IPS responde imediatamente e não
permite que nenhum tráfego malicioso passe, enquanto que um IDS permite que o
tráfego malicioso passe antes de abordar o problema.
NetFlow e IPFIX
O NetFlow é uma tecnologia Cisco IOS que fornece estatísticas em pacotes que fluem
através de um encaminhador Cisco ou um comutador multicamadas. NetFlow é o padrão
para recolher dados operacionais a partir de redes. A Internet Engineering Task
Force (IETF) usou a versão 9 do NetFlow da Cisco como base para o IP Flow
Information Export (IPFIX).
As organizações podem ser capazes de detectar indicadores de ataque nos seus logs e
relatórios do sistema, para os seguintes alertas de segurança:
Bloqueios de conta
Todos os eventos de bases de dados
Criação e destruição de ativos
Modificação de configuração de sistemas
A inteligência avançada de ameaças é um tipo de evento ou perfil que pode
contribuir para a monitorização e a resposta de segurança. À medida que os
cibercriminosos se tornam mais sofisticados, é importante entender as manobras do
malware. Com maior visibilidade das metodologias de ataque, uma organização pode
responder mais rapidamente aos incidentes.
Tipos de Desastres
É fundamental manter uma organização a funcionar quando ocorre um desastre. Um
desastre inclui qualquer evento natural ou causado pelo homem que danifique ativos
ou propriedades e prejudique a capacidade de a organização continuar a operar.
Desastres Naturais
Os desastres naturais diferem dependendo da localização. Alguns desses eventos são
difíceis de prever. Os desastres naturais enquadram-se nas seguintes categorias:
As medidas preventivas incluem controlos que impedem que um desastre ocorra. Estas
medidas visam identificar riscos.
Medidas de deteção incluem controlos que descobrem eventos indesejados. Estas
medidas revelam novas ameaças potenciais.
As medidas corretivas incluem controlos que restauram o sistema após um desastre ou
um evento.
Clique nos controlos da figura para ver exemplos de cada um.
7. Testar o plano.