Get 2 Documentation Toolkits for the price of 1
Limited-time offer – ends March 28, 2024

Usando Sistemas de Detecção de Intrusão e Honeypots para atender controles de rede da cláusula A.13.1.1 da ISO 27001

Redes são are o que torna o trabalho colaborativo possível. Sem elas, negócios remotos ou globais não existiram. Este papel crítico atrai atenção, e torna as redes um alvo preferencial para malfeitores, colocando-as entre as prioridades das equipes de segurança.

Em artigos anteriores sobre controles de rede da ISO 27001, abordamos firewalls e segregação de redes (veja Como usar firewalls na implementação da ISO 27001 e ISO 27002 e Requisitos para implementar segregação de rede de acordo com o controle A.13.1.3 da ISO 27001). Enquanto estas opções melhoram a segurança de redes, eles possuem uma falham crítica: como controles de borda, eles são incapazes de trabalhar sobre eventos que ocorram dentro de suas zonas de proteção.

Felizmente, as equipes de segurança têm outras alternativas para cobrir está situação. Este artigo apresentará informações sobre sistemas de detecção de intrusão network em redes e honeynets, um caso particular de honeypots, e como eles podem suportar o controle A.13.1.1 (Controles de rede) da ISO 27001, identificando ataques em andamento ocorrendo dentro das redes de uma organização e coletando informações sobre como ataques são realizados, de forma que elas possam ser usadas para melhorar contramedidas.

Sistemas de Detecção Intrusão em Redes

Sistemas de Detecção de Intrusão em Redes (Network Intrusion Detection Systems – NIDSs) são dispositivos ou aplicações de software que monitoram atividades de rede, procurando por comportamentos maliciosos ou violações de políticas, e reportando suas descobertas para uma estação de gerenciamento.

Eles se diferenciam de um firewall no fato de que enquanto um firewall “olha” para fora e usa regras para limitar o acesso a redes internas, prevenindo intrusões, o NIDS “olha” para o tráfego interno buscando por padrões que possam significar que uma intrusão ou violação de política ocorreu e dar o alarme, reduzindo o tempo de reação ao evento.

Para aumentar a eficácia de um NIDS, uma organização precisa considerar onde colocará o NIDS na rede, e os métodos e modos de avaliação de tráfego que serão usados.

Escolhendo um local para implementar um NIDS

Um NIDS deveria ser colocado em um ponto, ou pontos, onde ele pode monitorar o tráfego de e para todos os dispositivos na rede. Alguns lugares sugeridos são as sub-redes de firewalls e de servidores críticos.

Uma vez que sub-redes de firewalls concentram todo o tráfego entre redes que eles conectam, elas são os locais ideais para se colocar um NIDS para identificar os tipos de ataques mais comuns e amadores mais rapidamente.

No caso de sub-redes de servidores críticos, um NIDS colocado lá pode tirar vantagem dos padrões de tráfego específicos para definir configurações que detectem até mesmo as mais discretas intrusões, geralmente relacionadas a ataques profissionais.

Como um NIDS detecta uma intrusão ou violação de rede?

Basicamente, existem dois métodos que um NIDS pode usar para identificar uma intrusão:

Biblioteca de ataques conhecidos: assinaturas de ataques conhecidos são usadas pelo NIDS para analisar o tráfego de rede. Esta é a forma mais rápida de se preparar um NIDS para operação, mas não funcionará contra ataques para os quais o NIDS não possuir uma assinatura. Este método deveria ser considerado quando o tráfego a ser analisado é muito grande ou apresenta grande variação (ex.: a sub-rede de firewalls).

Amostra de tráfego: amostras do que é considerado tráfego normal são usadas pelo NIDS para analisar o tráfego de rede. Este método leva mais tempo para preparar o NIDS para operação, porque ele precisa primeiro aprender como o tráfego de rede normalmente flui, mas uma vez que isso seja feito, o NIDS é capaz de identificar os menores sinais de uma intrusão. Ele deveria ser considerado para redes mais sensíveis ou aquelas com menor variação de tráfego (ex.: sub-rede de servidores críticos).

Considerando como a análise de tráfego é realizada, ela pode ser online, em tempo real, ou offline, quando o NIDS trabalha com dados armazenados. Uma vez que a operação do NIDS pode criar um gargalo que pode afetar serviços sensíveis a atrasos de tempo, estas duas opções esse devem ser avaliadas com cuidado.

Honeypots e honeynets

É um fato em segurança que você não pode proteger tudo todo o tempo. Então, que tal configurar um ativo especifico para ser invadido e ver o que acontece? Por mais estranho que possa parecer, este é o conceito de um honeypot (“pote de mel”), que pode ajudar muito na detecção de ataques, no entendimento de como um ataque é realizado, e no planejamento de contramedidas apropriadas. Uma vez que neste caso nosso ativo é uma rede, o termo apropriado é honeynet.

Assim, uma honeynet consiste de uma rede que aparenta ser uma parte legítima da infraestrutura da organização, contendo o que parecem ser informações valiosas, mas que na verdade não têm valor de negócio e está isolada e monitorada.

Como honeynets podem ser usadas

Basicamente, você pode usar honeynets para dois propósitos:

Primeira linha de detecção: configurada com parâmetros atrativos (ex.: sengas padrão, software desatualizado, nomes indicando o propósito do ativo, etc.), uma honeynet pode parecer ser um alvo tentador para um atacante, desviando sua atenção de ativos com valor real e ao mesmo tempo soando um alerta para a equipe de segurança. Geralmente, este tipo de honeynet não tem muita capacidade de interação, simulando apenas os serviços frequentemente solicitados, e não pode ser usada para muito mais do que um sistema de alarme.

Coleta de informações: honeynets que proveem mais recursos a serem explorados (ex.: serviços, aplicações, bases de dados, etc.) podem ser usadas para monitorar as ações de um atacante para identificar seus métodos, ferramentas e técnicas, que podem prover conhecimento útil para ser usado para atualizar as capacidades defensivas dos controles de rede implementados para proteger a rede real.

Integrando NIDS e Honeynets a um SGSI

Assim como qualquer controle de segurança da informação em conformidade com a ISO 27001, NIDS e Honeynets deveriam ser integrados a um SGSI como uma mitigação a riscos relacionados a redes na documentação de avaliação de riscos, e referenciados na Declaração de Aplicabilidade (o controle mais adequado relacionado a NIDS e honeynets é o A.13.1.1, Controles de rede). Veja também: A lógica básica da ISO 27001: Como a segurança da informação funciona?

Observação e engodo podem fazer muito para melhorar a segurança

Intrusão de redes não é uma questão de “se”, mas de “quando”. E quando ela ocorre, o tempo de reação pode ser a diferença entre perdas mínimas e desastrosas.

Além de apoiar a conformidade cm o controle A.13.1.1 da ISO 27001, ao melhorar a gestão geral da segurança, através do uso de controles detectivos tais como NIDS, uma organização não deixa margem de tempo para um atacante se beneficiar de suas ações eficiente e, ao usar honeynets, ela pode ao mesmo tempo desviar a atenção de seus ativos valiosos e coletar informações para melhorar a proteção da infraestrutura que realmente importa.

Para saber mais sobre segurança de rede na ISO 27001, tente nosso  ISO 27001 Foundations Online Course gratuito.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.