Dez maneiras de implementar a segurança em várias camadas

Transcrição

1 Dez maneiras de implementar a segurança em várias camadas

2 2 Qual é o nível de segurança da sua empresa? Sua estratégia atual inclui uma segurança realmente completa? Conheça dez maneiras de implementar melhor uma abordagem de segurança em várias camadas na sua organização. Os tópicos abordados incluem: notebooks e smartphones perdidos, segurança de rede, segurança de mensagens, serviço de prevenção contra invasão (IPS), segurança de endpoints e muito mais. Qualquer negócio complexo tem brechas de segurança, e não são poucas. No mundo atual de computação ilimitada, sempre ativa, conectividade universal da Internet e fácil mobilidade, está cada vez mais difícil identificar os riscos, quanto mais impedi-los. Pior que isso, com o crescimento de grupos dedicados a disseminar e praticar golpes, fica mais difícil prever ataques e montar defesas efetivas. Embora a preferência dos hackers continue sendo a busca de seu IP estratégico ou de dados confidenciais sobre seus clientes - como números de cartão de crédito -, seu negócio também pode ser alvo de ataques menos graves, como tirar do ar sua solução de s ou de e-commerce, ou phishing aleatório destinado a capturar dados pessoais de funcionários ou clientes. Em resumo, como defesa, você precisa lutar para impedir qualquer possível ataque. O invasor, no entanto, só precisa localizar uma porta de entrada para causar estrago. A melhor solução para esse dilema é a segurança em várias camadas: implementar várias soluções de segurança sobrepostas para que seus ativos mais essenciais fiquem bem escondidos atrás de várias linhas de defesa. Teoricamente, é uma estratégia sólida, mas que as grandes empresas, inclusive com recursos comparativamente grandes e grandes grupos de TI especializados, estão sofrendo para implantar.

3 3 TEMPO PARA UMA ATUALIZAÇÃO Dificilmente você ainda estaria no mercado se já não tivesse uma segurança de endpoints (isto é, proteção contra vírus e malware) e não tivesse orientado seus funcionários para "jamais abrir s estranhos". A atualização dos sistemas operacionais de desktops e notebooks como etapa seguinte talvez seja a medida mais eficiente que você pode tomar para proteger sua empresa, não apenas porque uma atualização de sistema operacional contém conhecimentos de segurança on-line coletivos de versões anteriores, mas também porque o processo de atualização em si tende a simplificar e impor rigor: eliminando antigos aplicativos pouco usados e fornecendo um ponto de mudança para negociar novos protocolos de segurança com os usuários. O Windows 7, por exemplo, já está bastante difundido e de forma geral é bem mais estável que o XP, além de ser compatível com softwares legados e tem aprimoramentos de segurança, Mas como simplificar e reduzir a carga de trabalho de transição e ainda gerenciar as licenças envolvidas? A resposta é implementar uma solução automatizada para distribuição e gerenciamento de atualizações de sistema operacional, com características apropriadas (por exemplo, armazenamento de grandes arquivos, largura de banda de sessão, registros específicos de sistema operacional, gerenciamento de políticas etc.) para lidar com essa tarefa específica, que possui características computacionais, de rede e armazenamento bastante diferentes do gerenciamento diário de configuração e emissão de patches (veja a seguir). ATUALIZAÇÃO DE PATCHES DE FORMA ANTECIPADA E FREQUENTE A propósito, entender sobre patches de sistema operacional e de aplicativo permite que você se previna contra ataques, bem como melhore a estabilidade e a performance do produto. As soluções de implantação de As soluções de implantação de patches permitem que você avalie, selecione, teste, agregue, implante, registre e audite o histórico de patches. criptografia, remoção de malware, sequenciamento de patches automatizado e outros recursos integrados. patches permitem que você avalie, selecione, teste, agregue, implante, registre e audite o histórico de patches. Por isso, elas reduzem a carga de trabalho, aumentam a confiança e fornecem um vínculo importante para a busca de conformidade regulamentar. Como a implantação de patches normalmente é mais suscetível a prazos, mas usa menos armazenamento e largura de banda do que as atualizações de sistema operacional, a arquitetura que oferece suporte a essas soluções é um pouco diferente. Em geral, a função de gerenciamento de patches é complementada pelo gerenciamento de configurações e políticas (veja a seguir). CONFIGURE REMOTAMENTE Servidores, PCs, notebooks e dispositivos móveis podem se tornar mais seguros "fortalecendo" as configurações -- um processo complexo e demorado que envolve a desativação de serviços não utilizados, a restrição do acesso remoto e outros recursos convenientes; a configuração das identidades de administrador e usuário, a definição da política de execução para os aplicativos e muitos outros detalhes. O software de gerenciamento de configurações mantém o controle de máscaras de dispositivo, sistema operacional, aplicativo e outras configurações, define e aplica as configurações apropriadas em toda a rede e muitas vezes pode ser usado para requisitar remotamente dispositivos roubados ou expostos de alguma forma.

4 4 VIRTUALIZE O NAVEGADOR E NAVEGUE INTERNAMENTE A Web é uma ferramenta extremamente importante para a empresa moderna. Mas o navegador é um ponto de inserção conhecido para malware e tornou-se o vetor de técnicas de ataque remoto como Cross-Site Request Forgery (CSRF). Permitir que os usuários gerenciem seus próprios navegadores pode ser um problema: usuários despreparados tendem a instalar barras de ferramentas, plugins e outros recursos extremamente práticos que podem incorporar malware ou deixá-los expostos a ataques, além de ativar recursos, como armazenamento de senhas, preenchimento de formulários e histórico, que transformam um PC roubado em uma porta de entrada para aplicativos, e dados empresariais. Uma solução mais adequada, que agora tem suporte em alguns endpoints de rede orientados à segurança, pode ser fornecer aos usuários uma instância virtualizada de um navegador padrão. Essa estratégia oferece aos usuários um alto nível de segurança contra ataques comuns e até evita que ataques bem-sucedidos executem código, acessem o sistema operacional ou alcancem e comprometam o sistema de arquivos local ou outros alvos vulneráveis. PROTEJA O PERÍMETRO Um estudo da EMA em meados de 2010 revelou que 71% das organizações com até funcionários têm dificuldade de encontrar e manter especialistas em segurança de TI. É uma estatística considerável levandose em conta a complexidade de uma solução de segurança em camadas de classe empresarial repleta de recursos. Para atacar o problema, os sistemas de gerenciamento unificado de ameaças consolidam funções de segurança e extremidade de rede, misturando comutação e roteamento de gateway com firewall, VPN, filtragem da Web com reconhecimento de conteúdo, antivírus, anti-spam e prevenção de perda de dados (DLP). O resultado pré-integrado pode ser mais simples de gerenciar, e os dispositivos UTM também podem ser importantes facilitadores para ajudá-lo a terceirizar, o gerenciamento da rede e o monitoramento da segurança. PROTEJA OS ENDPOINTS A proteção dos endpoints em um ambiente empresarial nem sempre é fácil, e as soluções não são perfeitas. Por isso, as camadas também devem ser implementadas aqui. Antivírus, firewall local e aplicativos semelhantes funcionam para barrar ataques e vírus. A segurança biométrica e de acesso de dois fatores ajuda a evitar a exposição dos dados. Por fim, a criptografia baseada em arquivo mantém as principais informações seguras, mesmo fora da rede empresarial, quando é copiada para mídia portátil.

5 5 SEGURANÇA EM VÁRIAS CAMADAS E KITS DE FERRAMENTAS APLICÁVEIS Área de foco de TI Áreas Kits de ferramentas Endpoints Nível do sistema operacional Acesso a desktops Acesso a aplicativos Instalar/Usar política Acesso a arquivos Armazenamento de arquivos Autenticação VPN Navegação Backups Appliance de atualização de sistema operacional Appliance de configuração/patch Appliance de patch Biométrica incorporada Gerenciamento remoto de políticas Criptografia de endpoints Gerenciamento de UTM Navegador seguro seguro Backup incremental Rede VPN Firewall Inspeção de estado Prevenção contra perda de dados Backup/Arquivamento de registro Nível do sistema operacional Inspeção de status Listas brancas/listas negras Criptografia de informações Backups e arquivamento Criptografia de dados de endpoints Nível do sistema operacional Inspeção de estado Criptografia de banco de dados Backups e arquivamento Gerenciamento de UTM Gerenciamento opcional fora do local Gerenciamento de equipamento de cluster de seguro Gerenciamento de arquivos Gerenciamento de infraestrutura Appliance de configuração/patch Gerenciamento de backup

6 6 BIOMÉTRICA Um aspecto pouco discutido, mas importante, da segurança de endpoints é o controle de acesso. Embora acrescente certo custo a notebooks, o controle de acesso biométrico incorporado (por exemplo, pela impressão digital) oferece alto nível de segurança e reduz a exposição. OCULTE SEM ESCONDER Às vezes, até mesmo os sistemas de controle de acesso e de prevenção contra invasão mais bem projetados falham. E nenhuma defesa periférica está imune a um "trabalho interno". Uma maneira eficiente de minimizar o risco é usar uma criptografia sofisticada em arquivos críticos e proprietários para evitar a perda de dados. As soluções modernas de criptografia baseadas em arquivo para toda a empresa podem ser projetadas para executar arquivos de criptografia de maneira transparente, que não impeça o uso autorizado e os proteja em trânsito e no armazenamento, tanto nas instalações da empresa como quando os arquivos são copiados para pen drives ou outra mídia removível. PROTEJA O O é um ponto de ataque clássico para introduzir malware, phishing e outros. Também é o suporte principal de conformidade, auditoria e fornecimento de diligência prévia sob qualquer regime de regulamentação. Por isso, a integridade do é essencial para gerenciar todas as formas de risco nos negócios. Assim, faz sentido, mesmo que dentro do contexto de um plano de segurança em camadas abrangente, tratar o como um caso especial e dar-lhe uma camada extra de proteção. A boa notícia é que os melhores sistemas de segurança de estão melhorando radicalmente, oferecendo proteção contra malware e spam, criptografia de limites para proteger a comunicação entre parceiros, controles de administração sofisticados e recursos de capacitação do usuário final, como a capacidade de definir e gerenciar Uma maneira eficiente de minimizar o risco é usar uma criptografia sofisticada em arquivos críticos e proprietários para evitar a perda de dados. listas brancas e definir as configurações de spam dentro das diretrizes de política. NADA SUBSTITUI A INTELIGÊNCIA HUMANA A habilidade, a atenção e a inteligência humana (HUMINT) são a espinha dorsal da segurança confiável. Mas se você estiver com poucos recursos, pode ser difícil, ou impossível, manter e implantar as habilidades necessárias para gerenciar seu sistema de segurança em camadas e intervir a qualquer momento quando o problema surgir. Felizmente, novos modelos para interagir com especialistas em segurança e terceirizar de forma econômica a constante vigilância necessária para manter a integridade de vários sistemas estão evoluindo rapidamente, em conjunto com arquiteturas de hardware, firmware e software para o gerenciamento unificado de ameaças. A natureza préintegrada simplificada de soluções UTM é o que as torna ideais para permitir a rede remota e o monitoramento de aplicativos, fornecendo à equipe de TI acesso aos especialistas dessa área sempre que necessário e onde se mais precisa, além de controlar com eficiência os custos, bem como os riscos.