Segurança da Informação – Como proteger uma rede corporativa, servidores e estações de trabalho
Segurança da Informação – Se você é proprietário de uma empresa ou gerente de TI, então o WannaCry, o NotPetya, Zero Days, entre outros, provavelmente fizeram você repensar o quão importante é proteger sua rede.
Essa é a única vantagem desses ataques cibernéticos. No entanto, WannaCry ou NotPetya não são o ponto de partida de ameaças cibernéticas, são apenas a evolução mais recente. O ransomware tem sido a maior ameaça para as empresas nos últimos 2 a 3 anos, e as condições são definidas para que permaneçam assim no futuro.
Mas ransomware é apenas a ponta da lança quando se trata de ameaças cibernéticas. Existem muitas outras como phishing, caça e vazamento de dados. Esta pequena lista de verificação de medidas de segurança ajudará a proteger sua rede comercial, incluindo seus servidores e endpoints. Sem contar com a evolução destas tecnologias como, por exemplo, o uso da inteligência virtual – Veja: Pesquisadores desenvolveram Malware Furtivo com Inteligência Artificial.
- Fornecer treinamento em segurança cibernética aos funcionários
O treinamento em segurança cibernética para funcionários é agora uma obrigação para todos os negócios. Muitos usuários ignoram práticas básicas de segurança, como senhas fortes, atualização de software ou não reconhecimento de e-mail de phishing.
Para colocar as coisas em perspectiva, quase 41% dos vazamentos de dados da empresa acontecem por causa de funcionários negligentes ou sem treinamento que se enquadram até mesmo em simples e-mails de phishing.
- Certifique-se de que seus servidores executem um programa antivírus
A execução de um programa antivírus em seu servidor é uma decisão com segurança. Sem um, você corre o risco de ter uma infecção espalhada do seu arquivo ou servidor de terminal até os seus endpoints.
Um antivírus em seus servidores também ajuda a limitar e mitigar os danos de uma infecção a partir de um dos seus endpoints.
Quando você está procurando um antivírus para seus servidores, avalie-os sobre o impacto no desempenho deles.
- Use o Kit de ferramentas de experiência de atenuação aprimorada da Microsoft
O EMET da Microsoft é uma ferramenta de segurança gratuita da Microsoft que aumenta sua segurança adicionando protocolos de segurança adicionais para protegê-lo contra determinadas ameaças.
Por exemplo, o EMET irá:
– Ajudar a impedir a execução de dados maliciosos. O EMET faz isso evitando usos incorretos de código na memória do sistema.
– Obter confiança de certificado SSL / TLS. Esse recurso do EMET ajuda a evitar ataques man-in-the-middle que usam infra-estrutura de chave pública.
– Proteção de sobregravação do manipulador de exceção estruturada. Isso impede que invasores explorem o estouro de pilha.
Este foi apenas um pequeno exemplo do que o EMET pode fazer. Sua lista de recursos é muito mais extensa e merece um artigo próprio.
- Rastreie a atividade de login / logoff do usuário na sua rede de negócios
Saber quando um usuário faz login ou logoff em suas contas ou dispositivos de trabalho ajuda a identificar o início de uma infecção. Também é um bom método de prevenção, pois você pode rastrear se um usuário possui hábitos perigosos ao se conectar a contas de trabalho.
Infelizmente, o rastreamento de login pode ser um problema de acerto e erro, independentemente do método usado. Aquele que geralmente obtém os melhores resultados é usar um script no seu processo de login.
Outra coisa que você pode fazer para ver onde uma infecção começa e como ela se espalha é rastrear o compartilhamento de arquivos. Programas dedicados vão acompanhar quem e quando acessa um arquivo e o que eles fazem com ele. Aqui está uma lista de tais programas, mais outro.
- Mantenha sempre seus servidores atualizados
Como qualquer outro hardware e software, os servidores também precisam ser constantemente atualizados com os mais recentes recursos e patches de segurança. Estes podem fazer toda a diferença entre um servidor limpo e um hacker.
Há uma razão pela qual o primeiro conselho de cada especialista em segurança cibernética é atualizar seu software: ele funciona e o mantém protegido contra malware projetado para explorar vulnerabilidades (como o WannaCry fez).
- Não faça navegação na web do lado do servidor
Isso inclui qualquer outro tipo de atividade não relacionada ao trabalho. Use o servidor estritamente para o seu propósito principal: gerenciar os terminais da empresa.
Quanto menos interação um servidor tiver com a Web, menos chances haverá de uma ameaça de segurança cibernética para comprometê-lo.
Naturalmente, em certos casos, você precisa ter um navegador no servidor para acessar outros servidores usando uma funcionalidade do console da web.
- Não mantenha vários serviços de servidor no mesmo hardware
Para reduzir custos, você pode ficar tentado a executar dois ou mais serviços do servidor (como os serviços SQL e de servidor de arquivos) no mesmo hardware.
Do ponto de vista do desempenho, isso nem sempre é ideal. Para obter os melhores resultados de desempenho, é melhor manter cada servidor separado em seu próprio hardware.
Do ponto de vista da segurança cibernética, manter todos os serviços do servidor no mesmo hardware permitirá que a infecção em um serviço se espalhe para todos os outros e os dados que eles contêm, a menos que você use a virtualização.
Por exemplo, no mesmo dispositivo, você pode usar duas máquinas virtuais, uma para hospedar o servidor de arquivos e outra para o servidor SQL. Se uma infecção atingir a máquina virtual que hospeda o servidor de arquivos, ela não se espalhará para o dispositivo em si e nem para o servidor SQL.
Em essência, a infecção fica presa na máquina virtual, que você pode excluir e reinstalar a qualquer momento, mesmo se perder as informações nela. Mas, pelo menos, mantenha o hardware do seu dispositivo em segurança, assim como o servidor SQL.
Para as melhores medidas de segurança, você deve executar cada serviço de servidor em seu próprio hardware (para o servidor SQL na máquina A, o servidor de arquivos na máquina B e assim por diante). Além disso, cada serviço deve ser hospedado em uma máquina virtual.
- Mantenha usuários e senhas separados para o laptop e os servidores do administrador
Dessa forma, se um hacker mal-intencionado conseguir comprometer as credenciais de login no laptop do administrador, ele não poderá reutilizá-las para acessar os próprios servidores.
Essa é uma dica de segurança importante, já que muitos usuários da Internet simplesmente decidem reutilizar a mesma senha e fazer o login em qualquer nova conta que criem. Os cibercriminosos sabem disso e exploram isso de maneiras criativas.
Mitigar ataques de força bruta
Além disso, é importante evitar o uso de nomes de usuário padrão (para não mencionar as senhas). Especialmente quando se trata de administrar serviços críticos. Isso significa que o nome de usuário do seu administrador nunca deve ser “admin” ou “administrator”. Essa é a primeira opção que os invasores testam quando se trata de ataques de força bruta, que são frequentemente usados para comprometer endpoints e infectá-los manualmente com ransomware.
Outra camada de segurança contra ataques de força bruta é definir uma duração de bloqueio em sua política de grupo:
Por exemplo, eles podem usar força bruta ou ataque de dicionário em um fórum ou site que eles sabem que o administrador de sistemas usa (pode ser para o trabalho, como StackOverflow ou fóruns para uso pessoal, como jogos). Se o fórum tiver pouca segurança, o cibercriminoso reutilizará essa senha e nome de usuário para todas as contas do administrador do sistema.
“Mais do que alguns envios de senha malsucedidos durante uma tentativa de login em um computador podem representar tentativas de um invasor de determinar uma senha de conta por tentativa e erro. Os sistemas operacionais Windows e Windows Server podem rastrear tentativas de login e você pode configurar o sistema operacional para desabilitar a conta por um período de tempo predefinido após um número especificado de tentativas com falha. As configurações da política de bloqueio de conta controlam o limite para essa resposta e qual ação tomar após o limite ser atingido.”
Você também pode combinar isso com um limite de bloqueio de conta para segurança aprimorada.
“A configuração de diretiva de limite de bloqueio de conta determina o número de tentativas de login com falha que farão com que uma conta de usuário seja bloqueada. Uma conta bloqueada não pode ser usada até que seja redefinida por um administrador ou até que o número de minutos especificado pela configuração de política de duração do bloqueio de conta expire.”
Combinando as duas configurações de segurança, você pode limitar a eficácia de um ataque de força bruta, quase eliminando o risco.
- Mantenha backups atualizados e frequentes
42% das empresas atingidas pelo ransomware não recuperam todas as suas informações. Isso inclui empresas que acabam pagando o resgate para recuperar seus dados.
A única maneira de ter certeza de recuperar seus dados é fazer o backup constantemente. Cada empresa é diferente, algumas precisam fazer backup de seus dados semanalmente, outras diariamente. O que importa é que você encontre a melhor frequência para sua empresa e atenha-se a ela.
- Use um bom filtro de e-mail do Exchange
Se você estiver executando e-mails por meio de um servidor Microsoft Exchange, considere ajustar seus filtros de e-mail para bloquear spam e outros e-mails indesejados de fontes indesejadas. Isso bloqueará os e-mails no nível do servidor, para que eles não acabem nas caixas de entrada de seus terminais, onde os usuários podem acidentalmente clicar neles.
Aqui está um guia detalhado da Microsoft sobre como você pode configurar um filtro de e-mail do Exchange.
- Executar antivírus em todos os seus endpoints
A maioria dos ataques cibernéticos contra empresas atinge o terminal, não o servidor. Isso ocorre porque os funcionários não são tão cuidadosos com suas atividades online quanto os administradores de sistemas.
Segmentar os pontos finais em vez do servidor é estatisticamente muito mais propenso ao sucesso. Em alguns casos, leva apenas 1 computador infectado para infectar o resto da rede. Então, em vez de segmentar um usuário em particular, o hacker malicioso cobre toda a base de funcionários. Se apenas 1 de 100 bits, então é algo que o hacker mal-intencionado pode trabalhar.
- Alterar sua porta padrão RDP (Remote Desktop Protocol)
Um dos procedimentos mais fáceis que pouparão muitos problemas no futuro é alterar a porta padrão do protocolo RDP usada pelo Windows.
Como você deve saber, o Windows usa a porta RDP padrão 3389. Se você mantiver essa porta aberta para a Internet, deve saber que está muito exposto à varredura de porta. Os criminosos cibernéticos empregam uma infinidade de ferramentas de hackers para procurar pontos de extremidade expostos, para que possam direcioná-los a ataques de todos os tipos.
Uma vez que os criminosos on-line determinam que sua porta RDP padrão esteja aberta, nada os impedirá de executar scripts para forçar a entrada de força bruta. A solução simples aqui é alterar a porta RDP padrão para algo não utilizado e não de conhecimento comum. Se você nunca fez isso antes, pode usar este guia completo fornecido pela Microsoft para fazer isso.
- Você precisa ser proativo para sobreviver ao malware
Os programas antivírus têm dificuldade em detectar os tipos mais recentes de malware (o que chamamos de malware de segunda geração). Isso ocorre porque os criadores de malware se tornaram mais hábeis em usar medidas evasivas, como ofuscação, exploração de vulnerabilidades ou outros métodos semelhantes.
Por esse motivo, uma empresa deve considerar o uso de outros produtos de segurança que fecham as lacunas deixadas pelo antivírus.
Uma maneira particularmente eficaz de manter computadores e endpoints seguros é usar soluções de filtragem de tráfego . Estes verificam o tráfego de entrada da Internet para o seu PC, procurando por malware e impedindo que ele chegue ao PC.
O filtro de tráfego também verifica o tráfego de saída e bloqueia vazamentos suspeitos de dados, mantendo seus arquivos seguros e informações privadas.
Basicamente, uma solução de filtragem de tráfego fará a varredura do tráfego de entrada e saída para o seu PC e impedirá que o malware entre no seu PC.
Conclusão
Manter uma empresa segura na Internet pode ser uma tarefa assustadora. Mas, seguindo certos passos e procedimentos, você pode reduzir muitos riscos de segurança cibernética em seu caminho.
“Embora seja mais fácil para todos – empresas de segurança e empresas – não existe “uma solução para resolver cada problema”. Segurança é um processo e eu acho que o modelo de serviço é a melhor maneira de lidar com isso: desde auditorias de segurança até sessões de treinamento para funcionários e previsão de ataques futuros baseados em inteligência de ameaças, é um modelo muito complexo. Mas funciona tanto para empresas quanto para pequenas empresas que podem se tornar vítimas de invasores que visam grandes empresas.”
Os dados da sua empresa estão seguros? Conheça a solução Sophos Central Endpoint.
Participe neste post! Comente abaixo ou compartilhe conosco no Facebook, Twitter ou Linkedin.