Carregando
Uma análise das etapas mais importantes e essenciais que as organizações podem realizar para se proteger contra ameaças cibernéticas
Com a atual natureza altamente divulgada das violações de dados, é mais fácil do que nunca para os executivos e auditores de risco entenderem os graves danos financeiros e de reputação causados como resultado direto de ataques cibernéticos.
O que não é tão divulgado é o gerenciamento de riscos de segurança, estratégias de defesa e mitigação que as empresas violadas podem ou não ter implementado antes da violação.
Dividimos todas essas informações em doze etapas principais para construir uma estratégia de defesa cibernética sólida.
Se você já tem tudo isso coberto, considere sua empresa em boa forma no que diz respeito à defesa cibernética. Caso contrário, você pode precisar tomar medidas para evitar algumas lições futuras potencialmente preocupantes.
Boas estratégias de defesa começam com a mentalidade de “conhecer a si mesmo”. De acordo com o SANS Institute Critical Security Controls para provedores, a primeira etapa na construção de uma estratégia de defesa cibernética eficaz é reunir um inventário de dispositivos e softwares autorizados e não autorizados.
Isso inclui a classificação de ativos, infraestrutura, dados e processos críticos. Saber o que defender é fundamental para uma estratégia de sucesso. Os provedores de serviços ou prestadores de serviços profissionais também precisarão dessas informações ao implantar ou configurar quaisquer produtos de segurança. Simplesmente dizer ao seu contratante, provedor ou funcionários de segurança para proteger todos os ativos é imprudente, a menos que você tenha orçamento e recursos ilimitados. As prioridades devem ser escolhidas.
É fácil ficar preso a vulnerabilidades, patches e operações de segurança e ignorar uma parte importante da avaliação de risco – modelagem de possíveis ameaças. Talvez uma empresa esteja preparada para ataques externos e abusos de rede interna por parte dos funcionários, mas não considera o que pode acontecer durante uma falha do sistema. Os desastres naturais podem fazer com que a empresa mude para um local de recuperação de desastres que pode ter menos precauções de segurança em vigor. É importante entender todas as áreas que podem ser vulneráveis a ataques, quais serão os prováveis objetivos de um invasor e quais de seus ativos serão prejudicados. Boas perguntas para fazer às suas equipes técnicas incluem:
Os invasores gravitam em torno de dispositivos e sistemas que são deixados nas configurações “padrão ou quase padrão”. Quando um invasor está “dentro”, ele começa a mudar a forma como os sistemas operam para seu benefício.
O bom gerenciamento de configuração impede essas falhas de segurança e permite que as violações sejam detectadas mais cedo. Reserve um momento e considere que tipo de controles de gerenciamento de configuração são implementados para seus sistemas e dispositivos de rede.
Uma organização não precisa apenas implementar configurações seguras utilizando medidas de segurança integradas, mas auditar essas configurações regularmente. Além de proteger a configuração e a auditoria, é importante ter um método hierárquico definido para aprovar alterações na configuração. Supervisionar as mudanças de configuração, registros de mudanças de configuração e auditorias da eficácia de qualquer configuração pode ajudar a prevenir erros de configuração críticos e reduzir a chance de ameaças internas.
Já falamos sobre as três primeiras etapas na construção de uma estratégia de defesa cibernética: classificação de ativos, definição de ameaças e gerenciamento de configuração.
A seguir, consideraremos os controles de acesso e o projeto de rede – como eles podem ser usados para controlar o movimento de um invasor potencial no caso de violar uma parede defensiva.
As próximas três etapas abordarão como as permissões dos funcionários e o design geral da rede podem ser usados na proteção contínua contra danos cibernéticos. As estratégias a seguir se concentram em limitar os movimentos de um invasor em potencial, caso sua empresa seja vítima de um ataque parcial ou de uma campanha de phishing.
Por fim, daremos uma olhada nos logs de auditoria, que podem ser usados para descobrir brechas difíceis de encontrar em sua configuração de segurança antes e depois de um ataque.
Antes de qualquer sistema ou dispositivo entrar em produção, métodos e controles de acesso precisam ser planejados. Isso vale para usuários que acessam sistemas e comunicações que atravessam, saem e entram na rede.
Todos os usuários devem receber o mínimo de privilégios de que precisam (com base na necessidade de saber e nas responsabilidades do trabalho). Isso evita que os usuários realizem ações fora do escopo de seu trabalho, conectando-se de um local não permitido ou conectando-se de maneira não segura – além de facilitar a separação de tarefas.
Isso deve ser feito usando métodos de autenticação e autorização centralizados, sempre que possível, para tornar o gerenciamento mais simples e permitir um bom registro de auditoria para sistemas externos.
Freqüentemente chamada de “defesa em profundidade”, uma estratégia de defesa em várias camadas e um projeto de rede são úteis para evitar que invasores atravessem a rede caso tenham feito uma entrada de alguma forma, por exemplo, uma campanha de phishing bem-sucedida.
A parte mais eficaz da defesa multicamadas é a separação interna da rede por meio de VLANs, sub-redes e zonas de firewall. Ter várias camadas de zonas e componentes de rede logicamente separados aumentará significativamente a quantidade de esforço que um invasor precisará para se mover lateralmente na rede para onde os dados ou ativos protegidos são mantidos.
O ideal é que os dados protegidos fiquem por trás de um aplicativo, um host, pelo menos um segmento de rede interna, uma rede de perímetro e a rede externa. Entre cada camada lógica, um firewall e possivelmente outros dispositivos de segurança ou medidas de segurança estarão idealmente instalados.
Embora geralmente seja mais uma forma posterior de ajudar na resposta a incidentes, os logs de auditoria adequados ajudam a identificar muitos problemas antes que se tornem incidentes de segurança e podem ser extremamente úteis na defesa, no planejamento e na resposta a incidentes.
O gerenciamento contínuo de vulnerabilidades e os testes de penetração podem destacar as maneiras pelas quais um invasor real pode se infiltrar e se mover lateralmente na rede, mas resista ao impulso de tentar corrigir todas as vulnerabilidades conhecidas de uma vez!
É tudo uma questão de proteger as joias da coroa. Saiba quanto risco a organização pode suportar e onde. Use logs de auditoria, avaliações de vulnerabilidade, testes de penetração e outras ferramentas à sua disposição para medir o risco real em comparação com o risco percebido ou esperado.
Com base em sua classificação de ativos, modelagem de ameaças, gerenciamento de configuração, controle de acesso e design de rede:
A defesa cibernética está profundamente enraizada em controles adequados, políticas, design seguro e na disponibilidade dos recursos certos para gerenciar o dia a dia de um negócio.
Incluir dispositivos de segurança adicionais na mistura funciona melhor quando a rede é projetada em torno de políticas cuidadosamente concebidas a partir do gerenciamento de riscos de negócios para reduzir os riscos. Às vezes, obter ajuda externa é a maneira mais rápida e eficiente de trabalhar com essas políticas e eliminar preconceitos. Não há razão para sucumbir ao medo e à incerteza na segurança cibernética.
A chave para uma estratégia defensiva vencedora é ter um plano sólido elaborado por especialistas e implementado e mantido por uma equipe de confiança.
Converse com nossa equipe para obter auxílio agora mesmo!