Redes s\u00e3o are o que torna o trabalho colaborativo poss\u00edvel. Sem elas, neg\u00f3cios remotos ou globais n\u00e3o existiram. Este papel cr\u00edtico atrai aten\u00e7\u00e3o, e torna as redes um alvo preferencial para malfeitores, colocando-as entre as prioridades das equipes de seguran\u00e7a.<\/p>\n
Em artigos anteriores sobre controles de rede da ISO 27001<\/a>, abordamos firewalls e segrega\u00e7\u00e3o de redes (veja Como usar firewalls na implementa\u00e7\u00e3o da ISO 27001 e ISO 27002<\/a>\u00a0e Requisitos para implementar segrega\u00e7\u00e3o de rede de acordo com o controle A.13.1.3 da ISO 27001<\/a>). Enquanto estas op\u00e7\u00f5es melhoram a seguran\u00e7a de redes, eles possuem uma falham cr\u00edtica: como controles de borda, eles s\u00e3o incapazes de trabalhar sobre eventos que ocorram dentro de suas zonas de prote\u00e7\u00e3o.<\/p>\n Felizmente, as equipes de seguran\u00e7a t\u00eam outras alternativas para cobrir est\u00e1 situa\u00e7\u00e3o. Este artigo apresentar\u00e1 informa\u00e7\u00f5es sobre sistemas de detec\u00e7\u00e3o de intrus\u00e3o network em redes e honeynets, um caso particular de honeypots, e como eles podem suportar o controle A.13.1.1 (Controles de rede) da ISO 27001, identificando ataques em andamento ocorrendo dentro das redes de uma organiza\u00e7\u00e3o e coletando informa\u00e7\u00f5es sobre como ataques s\u00e3o realizados, de forma que elas possam ser usadas para melhorar contramedidas.<\/p>\n Sistemas de Detec\u00e7\u00e3o de Intrus\u00e3o em Redes (Network Intrusion Detection Systems – NIDSs) s\u00e3o dispositivos ou aplica\u00e7\u00f5es de software que monitoram atividades de rede, procurando por comportamentos maliciosos ou viola\u00e7\u00f5es de pol\u00edticas, e reportando suas descobertas para uma esta\u00e7\u00e3o de gerenciamento.<\/p>\n Eles se diferenciam de um firewall no fato de que enquanto um firewall \u201colha\u201d para fora e usa regras para limitar o acesso a redes internas, prevenindo intrus\u00f5es, o NIDS \u201colha\u201d para o tr\u00e1fego interno buscando por padr\u00f5es que possam significar que uma intrus\u00e3o ou viola\u00e7\u00e3o de pol\u00edtica ocorreu e dar o alarme, reduzindo o tempo de rea\u00e7\u00e3o ao evento.<\/p>\n Para aumentar a efic\u00e1cia de um NIDS, uma organiza\u00e7\u00e3o precisa considerar onde colocar\u00e1 o NIDS na rede, e os m\u00e9todos e modos de avalia\u00e7\u00e3o de tr\u00e1fego que ser\u00e3o usados.<\/p>\n Um NIDS deveria ser colocado em um ponto, ou pontos, onde ele pode monitorar o tr\u00e1fego de e para todos os dispositivos na rede. Alguns lugares sugeridos s\u00e3o as sub-redes de firewalls e de servidores cr\u00edticos.<\/p>\n Uma vez que sub-redes de firewalls concentram todo o tr\u00e1fego entre redes que eles conectam, elas s\u00e3o os locais ideais para se colocar um NIDS para identificar os tipos de ataques mais comuns e amadores mais rapidamente.<\/p>\n No caso de sub-redes de servidores cr\u00edticos, um NIDS colocado l\u00e1 pode tirar vantagem dos padr\u00f5es de tr\u00e1fego espec\u00edficos para definir configura\u00e7\u00f5es que detectem at\u00e9 mesmo as mais discretas intrus\u00f5es, geralmente relacionadas a ataques profissionais.<\/p>\n Basicamente, existem dois m\u00e9todos que um NIDS pode usar para identificar uma intrus\u00e3o:<\/p>\n Biblioteca de ataques conhecidos:<\/strong> assinaturas de ataques conhecidos s\u00e3o usadas pelo NIDS para analisar o tr\u00e1fego de rede. Esta \u00e9 a forma mais r\u00e1pida de se preparar um NIDS para opera\u00e7\u00e3o, mas n\u00e3o funcionar\u00e1 contra ataques para os quais o NIDS n\u00e3o possuir uma assinatura. Este m\u00e9todo deveria ser considerado quando o tr\u00e1fego a ser analisado \u00e9 muito grande ou apresenta grande varia\u00e7\u00e3o (ex.: a sub-rede de firewalls).<\/p>\n Amostra de tr\u00e1fego:<\/strong> amostras do que \u00e9 considerado tr\u00e1fego normal s\u00e3o usadas pelo NIDS para analisar o tr\u00e1fego de rede. Este m\u00e9todo leva mais tempo para preparar o NIDS para opera\u00e7\u00e3o, porque ele precisa primeiro aprender como o tr\u00e1fego de rede normalmente flui, mas uma vez que isso seja feito, o NIDS \u00e9 capaz de identificar os menores sinais de uma intrus\u00e3o. Ele deveria ser considerado para redes mais sens\u00edveis ou aquelas com menor varia\u00e7\u00e3o de tr\u00e1fego (ex.: sub-rede de servidores cr\u00edticos).<\/p>\n Considerando como a an\u00e1lise de tr\u00e1fego \u00e9 realizada, ela pode ser online<\/strong>, em tempo real, ou offline<\/strong>, quando o NIDS trabalha com dados armazenados. Uma vez que a opera\u00e7\u00e3o do NIDS pode criar um gargalo que pode afetar servi\u00e7os sens\u00edveis a atrasos de tempo, estas duas op\u00e7\u00f5es esse devem ser avaliadas com cuidado.<\/p>\n \u00c9 um fato em seguran\u00e7a que voc\u00ea n\u00e3o pode proteger tudo todo o tempo. Ent\u00e3o, que tal configurar um ativo especifico para ser invadido e ver o que acontece? Por mais estranho que possa parecer, este \u00e9 o conceito de um honeypot (\u201cpote de mel\u201d), que pode ajudar muito na detec\u00e7\u00e3o de ataques, no entendimento de como um ataque \u00e9 realizado, e no planejamento de contramedidas apropriadas. Uma vez que neste caso nosso ativo \u00e9 uma rede, o termo apropriado \u00e9 honeynet.<\/p>\n Assim, uma honeynet consiste de uma rede que aparenta ser uma parte leg\u00edtima da infraestrutura da organiza\u00e7\u00e3o, contendo o que parecem ser informa\u00e7\u00f5es valiosas, mas que na verdade n\u00e3o t\u00eam valor de neg\u00f3cio e est\u00e1 isolada e monitorada.<\/p>\n Basicamente, voc\u00ea pode usar honeynets para dois prop\u00f3sitos:<\/p>\n Primeira linha de detec\u00e7\u00e3o:<\/strong> configurada com par\u00e2metros atrativos (ex.: sengas padr\u00e3o, software desatualizado, nomes indicando o prop\u00f3sito do ativo, etc.), uma honeynet pode parecer ser um alvo tentador para um atacante, desviando sua aten\u00e7\u00e3o de ativos com valor real e ao mesmo tempo soando um alerta para a equipe de seguran\u00e7a. Geralmente, este tipo de honeynet n\u00e3o tem muita capacidade de intera\u00e7\u00e3o, simulando apenas os servi\u00e7os frequentemente solicitados, e n\u00e3o pode ser usada para muito mais do que um sistema de alarme.<\/p>\n Coleta de informa\u00e7\u00f5es:<\/strong> honeynets que proveem mais recursos a serem explorados (ex.: servi\u00e7os, aplica\u00e7\u00f5es, bases de dados, etc.) podem ser usadas para monitorar as a\u00e7\u00f5es de um atacante para identificar seus m\u00e9todos, ferramentas e t\u00e9cnicas, que podem prover conhecimento \u00fatil para ser usado para atualizar as capacidades defensivas dos controles de rede implementados para proteger a rede real.<\/p>\n Assim como qualquer controle de seguran\u00e7a da informa\u00e7\u00e3o em conformidade com a ISO 27001, NIDS e Honeynets deveriam ser integrados a um SGSI<\/a>\u00a0como uma mitiga\u00e7\u00e3o a riscos relacionados a redes na documenta\u00e7\u00e3o de avalia\u00e7\u00e3o de riscos<\/a>, e referenciados na\u00a0Declara\u00e7\u00e3o de Aplicabilidade<\/a>\u00a0(o controle mais adequado relacionado a NIDS e honeynets \u00e9 o A.13.1.1, Controles de rede). Veja tamb\u00e9m:\u00a0A l\u00f3gica b\u00e1sica da ISO 27001: Como a seguran\u00e7a da informa\u00e7\u00e3o funciona?<\/a><\/p>\n Intrus\u00e3o de redes n\u00e3o \u00e9 uma quest\u00e3o de \u201cse\u201d, mas de \u201cquando\u201d. E quando ela ocorre, o tempo de rea\u00e7\u00e3o pode ser a diferen\u00e7a entre perdas m\u00ednimas e desastrosas.<\/p>\n Al\u00e9m de apoiar a conformidade cm o controle A.13.1.1 da ISO 27001, ao melhorar a gest\u00e3o geral da seguran\u00e7a, atrav\u00e9s do uso de controles detectivos tais como NIDS, uma organiza\u00e7\u00e3o n\u00e3o deixa margem de tempo para um atacante se beneficiar de suas a\u00e7\u00f5es eficiente e, ao usar honeynets, ela pode ao mesmo tempo desviar a aten\u00e7\u00e3o de seus ativos valiosos e coletar informa\u00e7\u00f5es para melhorar a prote\u00e7\u00e3o da infraestrutura que realmente importa.<\/p>\nSistemas de Detec\u00e7\u00e3o Intrus\u00e3o em Redes<\/strong><\/h2>\n
Escolhendo um local para implementar um NIDS<\/strong><\/h2>\n
Como um NIDS detecta uma intrus\u00e3o ou viola\u00e7\u00e3o de rede?<\/strong><\/h2>\n
Honeypots e honeynets<\/strong><\/h2>\n
Como honeynets podem ser usadas<\/strong><\/h2>\n
Integrando NIDS e Honeynets a um SGSI<\/strong><\/h2>\n
Observa\u00e7\u00e3o e engodo podem fazer muito para melhorar a seguran\u00e7a<\/strong><\/h2>\n