Boas práticas para garantir uma rede informática segura

Por: Rafael Kechichian, engenheiro de soluções da Milestone Systems para a América Latina.

Hoje, praticamente qualquer atividade do profissional de TI depende muito das redes. Se algum dos componentes contidos neles não funcionar bem ou se estiver sendo violado por ameaças internas ou externas, o sistema não poderá executar as funções pretendidas, do mesmo modo, qualquer violação pode ir além do elemento originalmente atacado e afetar o restante da infraestrutura de TI da organização.

E como nenhuma solução atende a todos os aplicativos ou resolve todas as ameaças, a melhor opção é implementar uma estratégia que inclua vários níveis de segurança para obter uma rede com um nível ideal de funcionalidade e segurança.

Medidas para garantir uma rede segura

Os profissionais de segurança e vigilância por vídeo não precisam reinventar a roda; só é questão de seguir algumas boas práticas; felizmente, existem no mercado infraestruturas comprovadas e padronizadas que unem sistematicamente estas medidas.

Eis alguns tópicos de segurança normalmente negligenciados por profissionais de vigilância por vídeo:

Ataque de força bruta

Um ataque de força bruta é um método de tentativa e erro usado para obter informações, como senhas ou códigos PIN. Senhas curtas e simples, que utilizam apenas caracteres alfabéticos, são mais fáceis de hackear do que senhas longas formadas por letras, números e caracteres especiais.

Os dispositivos periféricos são a parte mais vulnerável nas instalações, especialmente se o instalador deixa uma senha padrão inalterada. Embora isolar a rede do dispositivo das outras redes seja a melhor maneira de evitar acessos não autorizados, é preciso lembrar de trocar senhas padrão.

A maioria dos fabricantes têm ferramentas para fazer isso durante um batch job rápido. Alguns fornecedores de VMS têm suas próprias ferramentas para executar esse serviço a partir da interface de administração do sistema. É possível fazê-lo até em intervalos regulares, como exigido em algumas jurisdições. Fazer diretamente do VMS evita que o instalador tenha que inserir a senha em dois locais diferentes. O nível de complexidade e o tamanho das senhas podem ser ajustados para diminuir a eficácia dos ataques de força bruta.

Active Directory

O Active Directory é um serviço de diretório do sistema operacional Windows que facilita o trabalho com recursos de redes interconectadas. Centralizar o gerenciamento de usuários e computadores no Active Directory (AD) pode aumentar a segurança de muitas maneiras. Por exemplo, a autenticação de usuários pode ser administrada pelo AD, que oferece proteções contra ataques de força bruta.

Podem se usar políticas de grupo (GP) para gerenciar muitas tarefas de segurança rotineiras, como políticas de senhas e configurações de segurança de computadores.  O protocolo de autenticação Kerberos adiciona mais uma camada de segurança.

Acima de tudo, o Active Directory pode ajudar a eliminar possíveis erros em sistemas distribuídos que obrigam a equipe de TI a fazer o mesmo trabalho em diferentes máquinas, uma a uma.

Gerenciar múltiplas contas de usuários em sistemas diferentes pode tomar muito tempo, ao usar um sistema centralizado como o Active Directory, os usuários podem ser adicionados ou deletados em apenas um lugar, e a mudança é espalhada por toda a empresa. Isso impede que ex-funcionários e fornecedores tenham acesso quando já não deveriam mais.

Segmentação de rede

A segmentação é uma medida eficaz, porém, muitas vezes, negligenciada. Com ela, redes diferentes são separadas umas das outras por uma ferramenta de firewall ou por isolamento total. Será que a equipe de contabilidade precisa ter acesso ao VMS, e vice-versa? Ao focar no princípio do mínimo privilégio, não deveríamos permitir que usuários (e computadores) tenham acesso a recursos desnecessários para executarem seu trabalho. Por meio da implementação de uma rede segmentada, é possível centralizar o que pode passar de um segmento ao outro.

No mercado de VMS, o isolamento total costuma ser o padrão. É um ótimo método de eliminação de todos os tipos de ameaças oriundas de outras redes, embora não seja uma desculpa para negligenciar a segurança, reduz muitas das ameaças recorrentes.

Criptografia

É difícil encontrar websites que não criptografam tráfego, seja confidencial ou não. Há quem diga que a mania de criptografar já foi longe demais. Entretanto, quando se trata de dados confidenciais e existe a possibilidade de acesso não autorizado, seja por espionagem do tráfego de rede ou por acesso a dados armazenados, a criptografia é a melhor ferramenta de proteção.

Os VMS têm fluxos de dados diferentes. Logo, a mesma estratégia não funciona para todos. A regra de ouro é pensar no fluxo de dados em múltiplas etapas. Primeiro, o recebimento em rede por um servidor de gravação. Depois, a gravação ou não em disco, dependendo da configuração do sistema. As aplicações clientes exigem que dados em tempo real ou gravados estejam à disposição. Por fim, se necessário, a possível exportação de dados para entrega a autoridades. Todas essas etapas impõem riscos à segurança cibernética e à privacidade das pessoas nos dados. Usar a criptografia em cada fase evita o acesso não autorizado.

Comprometimento da camada física

Em muitas empresas, as salas dos servidores e os data centers têm vulnerabilidades físicas facilmente exploráveis sem a necessidade de hackear a rede. O acesso físico contorna muitas medidas de segurança, seja quando os invasores querem apenas vandalizar os servidores ou quando desejam fazer algo mais sofisticado.

As salas dos servidores não devem ser a única preocupação. O acesso a qualquer porta de rede disponível deve ser considerado um risco. Desligar um equipamento e conectar o do próprio agressor também pode conceder acesso não autorizado.

Para uma proteção física ideal, é necessária a combinação de múltiplas estratégias de segurança, incluindo o uso de sistemas profissionais de controle de acesso e bloqueios que exijam autenticação, além de projetos de estrutura e edificação adequados que reduzam espaços ocos e ofereçam barreiras físicas. Sensores de alarme localizados em potenciais pontos de acesso também são uma boa estratégia. E, claro, a adoção de políticas de segurança e de acesso bem definidas, detalhadas e documentadas, comunicadas aos funcionários e estritamente seguidas.

Finalmente, é importante concluir que os gerentes de TI e segurança precisam estar atentos a temas relacionados a software e hardware, incluindo sistemas operacionais, dispositivos móveis, câmeras, dispositivos de armazenamento e de rede. É importante manter-se atualizado sobre vulnerabilidades e exposição de todos os componentes do sistema e comunicar-se com os fabricantes e profissionais da área regularmente.

Para combater tantas ameaças, integradores de sistemas e empresas de todos os portes precisam adotar políticas e boas práticas comprovadas de rede de TI. Treinar os funcionários sobre essas ameaças é tão importante quanto todas as proteções técnicas disponíveis.