Rede Interna: Ações que podem auxiliar na jornada da LGPD e 4.658

Em seu terceiro artigo sobre Lei Geral de Proteção de Dados, o CISO e DPO, Alex Amorim, explica dez práticas para um direcionamento macro de camadas na jornada da conformidade com a regulamentação

Por: Alex Amorim, ⌚ 25/04/2019 às 17h40 - Atualizado em 30/04/2019 às 19h29

Quando falamos nesta terceira camada, acaba sendo um pouco mais complicadas as implantações pois, são necessárias ações muito forte em conjunto com o time de infraestrutura. Não que as camadas de endpoint e servidores não tenham esta necessidade, mas quando falamos em rede interna acabamos alterando toda arquitetura corporativa para as implementações de segurança.

 

Então vamos ao que interessa, compartilho com os amigos uma visão mínima de segurança que pode ser aplicada na terceira camada.

 

·         Segregação de rede: esta prática foi largamente utilizada para implantação do ambiente chamado “rede compliance PCI” existente em diversas empresas que trabalham com cartão. Os profissionais de segurança em conjunto com a equipe de Telecom/infraestrutura criavam um barramento específico para o trafego dos dados de cartão. Pensando na LGPD podemos imaginar que agora teremos a rede PCI e rede de dados pessoais.

 

Vale ressaltar que este modelo tradicional de segmentação através de zonas de segurança VLANs (Virtual Local Area Network – Rede Local Virtual) normalmente não atende à demanda das áreas de negócio uma vez que não é possível efetivamente segmentar ou segregar os serviços na camada de rede. Em muitos casos existem recursos de rede que são compartilhados através de diversos ambientes como serviços de monitoramento, ferramentas de segurança, ferramentas de gestão e até mesmo bancos de dados são compartilhados entre diversas aplicações

 

Desta forma, a segmentação tradicional não possui mecanismos para realizar estes controles uma vez que ela não possui visibilidade das aplicações e por consequência não consegue realizar/prover os controles necessários.

 

·         Micro segmentação e Nano segmentação: visto a complexidade da reengenharia e novo desenho de arquitetura exposta no item anterior (segregação de rede) existem algumas soluções que visam facilitar e muito este processo através de mecanismos que auxiliam na segregação a nível de servidor ou até mesmo serviço.

 

Com esta solução, mesmo tendo os ativos em uma mesma VLAN é possível aplicar as segmentações por contextos de serviços ou até mesmo, ambiente de Desenvolvimento, Homologação, Produção, PCI, Dados Pessoais, Dados Pessoais Sensíveis e assim por diante. Facilitando e muito a gestão e definição dos ambientes.

 

Com isso, o time de segurança e infraestrutura passa a ter uma visibilidade detalhada das aplicações e dos ambientes pois, normalmente não há um conhecimento a fundo de como a aplicação foi desenvolvida e qual a real necessidade de algumas solicitações de liberação para funcionamento. Importante salientar que este modelo é possível evitar/detectar o lateral spread (movimentação lateral) técnica amplamente utilizada por atacantes dentro da rede interna.

 

·         Honeypot – Deception: Este tipo de solução traz uma ótima visibilidade do ambiente uma vez que o atacante está dentro de sua rede, esta solução cria servidores fakes no mesmo contexto para entender e aprender as técnicas utilizadas pela atacante proporcionando assim, conhecimento do modus operandi para proteção do ambiente.

 

·         Cofre de Senhas: Este ponto é fundamental para que funcionários não tenham senhas anotadas em post-its, bloco de notas e planilhas como visto em alguns últimos incidentes de segurança reportados nos veículos de comunicação. Importante na implantação desta solução é garantir que somente será possível acessar o ambiente produtivo através do cofre.

 

Lembrando que é sempre bom ter um botão de emergência para acionamento em caso de indisponibilidade do cofre por qualquer motivo. Neste caso é acionado este botão onde, é possível dar um by-pass no cofre até o reestabelecimento do mesmo. Vale ressaltar que normalmente o cofre de senhas permite uma total rastreabilidade e inclusive a gravação das ações que estão sendo executadas para uma possível análise posterior.

 

·         Solução de IAM (Identity Access Management): esta solução é bem antiga, mas continua sendo o calcanhar de Aquiles dos CISOs pois, normalmente temos problemas em auditorias devido ao não desligamento de um usuário, a não revisão de acesso, a criação de forma errada e assim por diante. Desta forma, esta solução com a LGPD e 4.658 passa a ser uma peça critica na infraestrutura para gerenciar usuários built in, usuários de serviço e usuários dos administradores. Esta solução de IAM em conjunto com o cofre de senhas poderão elevar para um patamar altíssimo de poucas empresas no mercado.

 

·         IPS (Intrusion Prevention System): mesmo sendo rede interna pouco se tem visibilidade das ações que estão sendo executadas. Desta forma, caso não tenham a micro ou nano segmentação a estrutura de IPS poderá ajudar e muito com esta visibilidade de ações que possam estar acontecendo nas redes internas.

 

·         Network APT (Advanced Persistent Threat): As soluções de APT dentro da rede visa identificar possíveis comunicações que os ativos internos estão realizando para ambientes externos como command-and-control (C&C) provenientes de infecções do ambiente interno. Este tipo de solução foi muito útil no início das infecções de Wannacry onde era necessária uma comunicação externa para baixar os componentes do malware.

 

·         Scan de vulnerabilidades interno: muito importante ter o controle das vulnerabilidades do ambiente interno. Existem diversas soluções que podem auxiliar neste processo. Sugiro realizar este tipo de análise sempre com autenticação desta forma, poderá ter uma visibilidade completa dos ativos de sua empresa.

 

·         Proxy para servidores: Esta é uma ação básica porem, em diversas empresas é possível identificar servidores com acesso full à internet expondo assim toda o ambiente produtivo. Desta forma, é recomendado que as liberações de acesso à internet sejam de forma pontual conforma a efetiva necessidade.

 

·         Monitoração de Disponibilidade: mesmo sendo uma ação muito mais voltadas ao time de infraestrutura vale acompanhar de perto a performance dos ativos de seu ambiente, pois, estas informações correlacionadas com ferramentas de segurança podem trazer verdadeiras surpresas antes mesmos de eventuais problemas em seu ambiente.

 

Espero que este artigo dê um direcionamento macro de camadas de possam ser implantadas no ambiente para comprovar que todos os esforços estão sendo realizados para ter um ambiente robusto nesta jornada da LGPD e 4.658.

 

*Alex Amorim é CISO e DPO

 

/ VEJA TAMBÉM



/ COMENTÁRIOS