CONTENÇÃO DE AMEAÇAS CIBERNÉTICAS

CONTENÇÃO DE AMEAÇAS CIBERNÉTICAS

ATITUDES PREVENTIVAS CONTRA AMEAÇAS DIGITAIS

Medidas preventivas devem ser adotadas, orientadas, classificadas e tornadas em rotina à equipe de T.I responsável ao combate de ameaças.

Identificação e classificação de ameaças

Quando tratamos de ameaças digitais tendemos a pensar em possíveis ataques externos, por quaisquer meios de invasão e infecção conhecido, entretanto, esse modo de pensar exclui possíveis brechas internas que colaboram em muito para que um potencial invasão seja bem-sucedida, pois, na grande maioria dos casos a tendência é de excluir-se a intervenção humana no ambiente interno de uma corporação como um fator de ameaça.

Então, temos que abstrair a ideia de classificação de ameaças em Worms, Trojans, Ransonware e afins, que remetem a interferência externa a rede e tem origem na internet. Atualmente uma das formas mais comuns e eficientes de infecção é o conhecido MITM (Man in the Middle) – Pessoa (homem) no meio, literalmente. Esse tipo de intervenção se torna a forma mais eficiente de acesso indevido e rupturas nos sistemas de prevenção e remediação à uma infecção, pois conta com a inexperiência, displicência e inocência do usuário final.

PREVENÇÕES MÍNIMAS

a) REVISÃO DE CONTROLE DE ACESSO

 Sabemos que é uma prática comum de alguns administradores de rede em conceder mais acesso a um usuário do que efetivamente ele precise.

b) ATUALIZAÇÕES E PATCHS DE SEGURANÇA

Embora a maioria dos profissionais de TI conheçam a importância de manter-se servidores e aplicações atualizados e com os devidos patchs de segurança aplicados, ainda nos deparamos com situações em que há uma protelação para que as atualizações sejam aplicadas em detrimento do extenso uso de um determinado servidor e/ou aplicação. Isso cria vulnerabilidades crônicas.

c) PADRONIZAÇÃO DE APLICATIVOS 

Ao padronizarmos os aplicativos que devem estar embarcados nos PCs de cada usuário conferimos um ponto a mais de segurança, pois, assim é possível que a equipe de TI iniba a instalação de quaisquer outros aplicativos que não estejam homologados, e, portanto, impedindo que as ameaças possam se instalar automaticamente.

d) REVISÃO DE PERMISSÕES DE USUÁRIO

Também é uma prática comum, onde, concede-se uma permissão elevada ao usuário final para que um possível impedimento de uso ou acesso seja sanado. Tratando paliativamente um problema que mereceria uma análise mais profunda e talvez testes em laboratório.

e) USO DE MEDIDAS DE PROTEÇÃO

Firewalls como gateways de rede, endpoints com EDR nos servidores e com MTR nos computadores clientes, concedem um ganho na proteção do ambiente de rede, somando-se aos itens anteriormente descritos

A saber: 

EDR – Endpoint Detection and Response

Acontece quando o endpoint tem autonomia e padronização de ações configuradas previamente que o permite agir imediatamente e notificando a equipe de TI sobre uma ameaça em potencial ou contida na origem.

MTR – Managed Threat Response

É quando um endpoint conta com a ação principal do fabricante na detecção e tratamento das ameaças antes mesmo que a equipe de TI seja notificada, é bem semelhante ao EDR, porém, o MTR conta com a tratativa antecipada da equipe de desenvolvimento do fabricante que detecta um PUA (Possible Unwanted Application), o analisa e determina a sua criticidade e/ou potencialidade de ser uma ameaça, trata e elimina a aplicação antes mesmo que haja uma possível disseminação, e então notifica a equipe de TI sobre a ocorrência

f) TREINAMENTO DOS COLABORADORES E EQUIPE

Muitas vezes as medidas adotadas e os investimentos em segurança são sobrepujados pela inapetência e incompetência dos colaboradores e da equipe de suporte. Isto não é uma regra, porém é uma realidade.

Na constante de ações, somadas ao firewall e endpoint atualizados, forma um conjunto integrado de mecanismos de defesa, que aliado ao amplo conhecimento e definição de processos, são importantes armas no combate ao terrorismo digital promovido pela enorme gama de ameaças que nos circundam, seja por meios externos quanto por meios internos.

Autor: Cristiano Morais Lima – Engenheiro infraestrutura e segurança

Facebook
Twitter
LinkedIn

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *