Vamos ver como proteger nosso ambiente contra hackers e curiosos.
Vale ressaltar que para a proteção de nosso ambiente não é só a utilização de mecanismos de segurança como os antivírus, firewalls, ids, ips e etc…
Proteger um ambiente vai além de apenas utilizar softwares para coibir pessoas com segundas intenções, assim entrando na sua rede e prejudicando o seu ambiente.
Para isso existe alguns conceitos a ser seguido para garantir a maior segurança e que não aja complicações, eu indico para quem é estudante na área de segurança ou começou agora a conhecer essa área, ir se aprofundando mais para o lado defensivo do que o ofensivo, afinal a defesa é sempre o mais difícil, obviamente que você pode utilizar de conhecimentos ofensivos para testar melhor ainda seu ambiente, então minha recomendação é saber os 2, porém vale ressaltar que em um analise rápida do mercado o lado defensivo esta com menos profissionais.
Falamos demais né? Vamos colocar em prática, vou passar alguns truques para defender seu ambiente e ferramenta de mercado para você estudar e utilizar.
PRÁTICA
Agora vamos pegar um ambiente de Rede com máquinas Linux e Windows e vamos partir para a sua proteção, no caso vou indicar ferramentas e tutoriais para vocês brincarem ai nas suas casas, além de indicar certificações para quem quer se tornar um Blue Team certificado
Ferramentas para identificar vulnerabilidades (Gestão de Vulnerabilidades)
É essencial fazer a identificação das vulnerabilidades em seu sistemas e mitigar, vale ressaltar que é diferente de um PenTest, aonde se realiza testes simulando um ataque real e explorando as vulnerabilidades.
Na gestão é feito um Scanner utilizando ferramentas de mercado e garantindo a mitigação de vulnerabilidades.
No caso a gestão de vulnerabilidade é o processo de identificação de vulnerabilidades na TI e seus riscos subsequentes avaliados para que possíveis patches e soluções possam ser formulados. Essa avaliação é um precursor para corrigir as vulnerabilidades, além de possivelmente remover o risco. No entanto, se o risco não puder ser totalmente removido, deve haver uma aceitação formal do risco pela gerência da organização e, em seguida, soluções para mitigação, correção e recuperação serão colocadas em prática para esses riscos.
Para isso é utilizado algumas ferramentas para facilitar a auditoria
- Comodo HackerProof
- OpenVAS
- Comunidade Nexpose
- Nikto
- Tripwire IP360
- Wireshark
- Acunetix
- Nessus Professional
- Comunidade Retina CS
- MBSA (Microsoft Baseline Security Analyzer)
Cada um serve para auditar diferentes tipos de ambientes, mas é obvio que existem milhares de outras ferramentas.
Identificar riscos (Gestão de Riscos)
Na gestão de riscos você analisa até aonde é aceitável tal risco, por exemplo: Um servidor apache2 desatualizado, qual seria as consequências de manter ele ali? As vezes você não quer atualizar para a última versão por alguma questão que talvez seja válida, então para isso é feito uma analise de risco para ver até aonde é aceitável. Assim você pode traçar um plano caso o risco acabe se tornando maior.
Mais informações: https://www.softwaretestinghelp.com/risk-management-tools/
Firewall (Segurança de redes)
Um firewall é essencial para barrar qualquer tipo de conexão indesejada ou até mesmo limitar acessos de uma pessoa na comunicação com outra máquina ou rede, além disso o firewall representa quase 90% dos dispositivos de segurança implementados nas empresas, ou seja, todos tem um firewall instalado para gerenciar uma rede e seus usuários.
Então é essencial conhecer de firewall e saber utilizar para aplicar regras conforme o ambiente em que você vai implementar o seu firewall.
Conheça alguns firewalls:
https://4fasters.com.br/2018/10/18/o-guia-completo-do-iniciante-em-iptables/
https://www.fortinet.com/br/products/sd-wan.html
https://www.cisco.com/c/pt_br/products/security/firewalls/index.html
https://www.sonicwall.com/pt-br/products/firewalls
https://www.4linux.com.br/por-que-usar-firewall-pfsense
Identificar e Prevenir uma intrusão (Segurança de rede)
A utilização de IDS e IPS são essenciais para proteger uma rede, pois eles vão detectar e prevenir qualquer tipo de intrusão em uma rede ou sistema, obviamente existe diversas categorias de IDS, sendo HIDS, WIDS, NIDS e etc..
Então implementar na sua rede um IDS e IPS é essencial, assim como o firewall é bom você conhecer e buscar algum que você goste e ache fácil de manusear para dar um inicio na sua carreira.
Mais informações:
https://www.juniper.net/us/en/products-services/what-is/ids-ips/
SIEM (Gestão de vulnerabilidades ou Riscos ou Segurança de Rede kk)
Gerenciamento e Correlação de Eventos de Segurança, esse é o SIEM. O software SIEM coleta e agrega dados de log gerados em toda a infraestrutura de tecnologia da organização, desde sistemas host e aplicativos até dispositivos de rede e segurança, como firewalls e filtros antivírus. O software identifica e categoriza incidentes e eventos, além de analisá-los.
Conheça alguns SIEM de mercado:
- IBM Security (QRadar): https://www.ibm.com/br-pt/security
- Splunk: https://www.splunk.com/en_us/cyber-security.html
- McAffe: https://www.mcafee.com/enterprise/pt-br/products/siem-products.html
- Logrhythm:https://logrhythm.com/
- OSSIM: https://www.alienvault.com/products/ossim
- EventTracker: https://www.eventtracker.com/
- Elastic: https://www.elastic.co/pt/products/siem
- TrustWave: https://www.trustwave.com/en-us/services/managed-security/threat-detection/
Veja como implementar um desses SIEM em sua rede, eu recomendo o splunk por ser bem utilizado ou da IBM.
E-mail Security
Gerenciar os e-mails que a sua empresa recebe é essencial para evitar ataques de engenharia social e afins, além de evitar spam que prejudica muito o andamento da empresa.
Por isso defender o seu servidor SMTP é essencial para evitar ataques, então implemente:
- Regras do postfix
- DNSBL
- SPF
- DKIM
- DMARC
- Spam Assasin
- fail2ban
Esse são mecanismos essenciais para proteger o seu servidor SMTP, além de filtros de spam e a utilização de protocolos de segurança como o SSL para mandar e-mails de forma segura também.
Hardening
Mitigação de riscos é essencial na proteção do seu ambiente, afinal o hardening é um processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas, com foco na infraestrutura e objetivo principal de torná-la preparada para enfrentar tentativas de ataque.
Mais informações:
http://www.serverhardening.com/
Gerenciamento de Senhas
Senhas são essenciais para coibir o acesso de alguém a um sistema, pois se não existisse senhas as coisas seriam diferentes.
Mas para ter mais segurança, as senhas devem ser armazenadas em um servidor com uma boa criptografia e bem seguro.
Você pode utilizar ferramentas para gerenciar suas senhas de maneira segura, conheça algumas acessando esse site:
Gerenciamento de patches
Patches de segurança é essencial, afinal imagine ter uma vulnerabilidade grave em um sistema e não ter nada para corrigir?
Então os patches são a base para garantir a segurança do seu sistema, porém pode ser perigoso se não for testado corretamente e não saber implementar.
Então conheça mais sobre as boas prática de gerenciamento de patches
http://www.strati.com.br/patch-management-o-que-e-gestao-de-patches-2/
Gerenciamento de Backup
Backup, sem backup a sua organização pode morrer facilmente, afinal muitos ataques de ransomware acaba prejudicando as empresas por não ter nenhum backup salvo.
Então aprender a gerenciar backups é essencial para ter a continuidade de negócio e a sua empresa funcionar caso algum problema surja.
Procure softwares de gerenciamento de backup no mercado.
Essa são algumas dicas de segurança na sua rede, obviamente leva outras coisas como utilização de proxys, vpns, mecanismos de segurança e etc..
Certificações
Quais certificações posso tirar para me tornar um profissional na área de defesa cibernética?
CND: https://www.eccouncil.org/programs/certified-network-defender-cnd-pt/
Sec+: https://certification.comptia.org/pt/certifica%C3%A7%C3%B5es/security
Casp+: https://certification.comptia.org/pt/certifica%C3%A7%C3%B5es/comptia-advanced-security-practitioner
CySa+: https://certification.comptia.org/pt/certifica%C3%A7%C3%B5es/cybersecurity-analyst
Views: 1003