ATITUDES PREVENTIVAS CONTRA AMEAÇAS DIGITAIS
Medidas preventivas devem ser adotadas, orientadas, classificadas e tornadas em rotina à equipe de T.I responsável ao combate de ameaças.
Identificação e classificação de ameaças
Quando tratamos de ameaças digitais tendemos a pensar em possíveis ataques externos, por quaisquer meios de invasão e infecção conhecido, entretanto, esse modo de pensar exclui possíveis brechas internas que colaboram em muito para que um potencial invasão seja bem-sucedida, pois, na grande maioria dos casos a tendência é de excluir-se a intervenção humana no ambiente interno de uma corporação como um fator de ameaça.
Então, temos que abstrair a ideia de classificação de ameaças em Worms, Trojans, Ransonware e afins, que remetem a interferência externa a rede e tem origem na internet. Atualmente uma das formas mais comuns e eficientes de infecção é o conhecido MITM (Man in the Middle) – Pessoa (homem) no meio, literalmente. Esse tipo de intervenção se torna a forma mais eficiente de acesso indevido e rupturas nos sistemas de prevenção e remediação à uma infecção, pois conta com a inexperiência, displicência e inocência do usuário final.
PREVENÇÕES MÍNIMAS
a) REVISÃO DE CONTROLE DE ACESSO
Sabemos que é uma prática comum de alguns administradores de rede em conceder mais acesso a um usuário do que efetivamente ele precise.
b) ATUALIZAÇÕES E PATCHS DE SEGURANÇA
Embora a maioria dos profissionais de TI conheçam a importância de manter-se servidores e aplicações atualizados e com os devidos patchs de segurança aplicados, ainda nos deparamos com situações em que há uma protelação para que as atualizações sejam aplicadas em detrimento do extenso uso de um determinado servidor e/ou aplicação. Isso cria vulnerabilidades crônicas.
c) PADRONIZAÇÃO DE APLICATIVOS
Ao padronizarmos os aplicativos que devem estar embarcados nos PCs de cada usuário conferimos um ponto a mais de segurança, pois, assim é possível que a equipe de TI iniba a instalação de quaisquer outros aplicativos que não estejam homologados, e, portanto, impedindo que as ameaças possam se instalar automaticamente.
d) REVISÃO DE PERMISSÕES DE USUÁRIO
Também é uma prática comum, onde, concede-se uma permissão elevada ao usuário final para que um possível impedimento de uso ou acesso seja sanado. Tratando paliativamente um problema que mereceria uma análise mais profunda e talvez testes em laboratório.
e) USO DE MEDIDAS DE PROTEÇÃO
Firewalls como gateways de rede, endpoints com EDR nos servidores e com MTR nos computadores clientes, concedem um ganho na proteção do ambiente de rede, somando-se aos itens anteriormente descritos
A saber:
EDR – Endpoint Detection and Response
Acontece quando o endpoint tem autonomia e padronização de ações configuradas previamente que o permite agir imediatamente e notificando a equipe de TI sobre uma ameaça em potencial ou contida na origem.
MTR – Managed Threat Response
É quando um endpoint conta com a ação principal do fabricante na detecção e tratamento das ameaças antes mesmo que a equipe de TI seja notificada, é bem semelhante ao EDR, porém, o MTR conta com a tratativa antecipada da equipe de desenvolvimento do fabricante que detecta um PUA (Possible Unwanted Application), o analisa e determina a sua criticidade e/ou potencialidade de ser uma ameaça, trata e elimina a aplicação antes mesmo que haja uma possível disseminação, e então notifica a equipe de TI sobre a ocorrência
f) TREINAMENTO DOS COLABORADORES E EQUIPE
Muitas vezes as medidas adotadas e os investimentos em segurança são sobrepujados pela inapetência e incompetência dos colaboradores e da equipe de suporte. Isto não é uma regra, porém é uma realidade.
Na constante de ações, somadas ao firewall e endpoint atualizados, forma um conjunto integrado de mecanismos de defesa, que aliado ao amplo conhecimento e definição de processos, são importantes armas no combate ao terrorismo digital promovido pela enorme gama de ameaças que nos circundam, seja por meios externos quanto por meios internos.
Autor: Cristiano Morais Lima – Engenheiro infraestrutura e segurança