Camadas para atender o ecossistema de segurança em conformidade com a LGPD e 4.658

Chegamos ao último artigo da série de quatro, onde apresento um ecossistema com diversas camadas mínimas para atendimento da LGPD e 4.658.

Desta forma, vale recapitular para quem não viu as edições anteriores.

1. camada de Endpoint onde apresento diversas soluções com objetivo de minimizar o impacto na última milha (usuário final).
2. camada de servidores tem como objetivo apresentar um conjunto de soluções na camada de servers.
3. Rede Interna apresento formas de mitigar impactos quando o atacante já está dentro da rede, principalmente com técnicas de movimentação lateral e por fim.
4. Rede externa muitas vezes chamadas como perímetro. Ou seja, a camada que fica exposta ao mundo externo. Está camada precisa de uma atenção especial, visto que a maioria dos ataques se inicia por lá.

Pois bem, vamos ao que interessa e citar algumas tecnologias que podem ajudar na evolução da postura de segurança nesta camada tão exposta:

• Firewall de Borda e IPS (Intrusion Prevention System): Soluções que vem logo na cabeça de profissionais técnicos e não técnicas de quando falamos em perímetro. Entendo que são soluções básicas que podem delimitar a DMZ como o Firewall e possibilitar respostas a ataques de forma automatizadas (regras pré-configuradas) por meio do IPS.
• WAF (Web Application Firewall): Solução para detecção e respostas a ataque na camada de aplicação que normalmente soluções de IPS e anti-DDoS não conseguem bloquear. Neste caso, são ataques mais elaborados que possuem baixa volumetria e têm uma capacidade de indisponibilizar as aplicações. Outra solução atribuída ao WAF são proteções contra vulnerabilidades existentes nas aplicações que às vezes podem levar muito tempo para correção nas próprias aplicações.
• Clean-Pipe (Anti-DDoS): Estas soluções visam realizar a limpeza do trafego volumétrico que causam indisponibilidade nas aplicações / redes por meio de alto volume de trafego. Permitindo assim, separar o tráfego “sujo” do tráfego legitimo de um usuário do site.
• CASB (Cloud Access Security Broker): solução que tem como objetivo monitorar todo tráfego que está saindo para as nuvens e tomar ações de bloqueio em caso de vazamentos de arquivos com classificações não permitidas configuradas previamente.
• Anti-Spam: Estas soluções têm como objetivo monitorar todos e-mails maliciosos que estão sendo recebidos nas caixas dos usuários finais.
• DLP de e-mail: Tem como objetivo monitorar, detectar e bloquear possíveis vazamentos de informações classificadas previamente como não permitidas para envio através do e-mail exemplo: Dados de Cartão, CPF e informações que podem trazer um risco ao proprietário da informação.
• Performance Center: Soluções de análise de performance mesmo sendo normalmente contratado pelo time de negócio e/ou infraestrutura faz muito sentido para saber exatamente possíveis alterações e desvio de comportamento através de volume de trafego.
• Caixa de denúncia Phishing CSIRT: Caixa de e-mail externa e interna com objetivo de recebimento de denúncias de e-mails suspeitos onde, o time do SOC realiza um trabalho reativo e preventivo aos recebedores de phishing.
• OTP (one-time password): Serviço destinado a duplo fator de autenticação para consumo de serviços internos como VPN Client-to-Site. Muito importante para acesso remoto de forma segura.
• Scan Externo: No caso de empresas certificadas pelo PCI existe a obrigatoriedade do scan de perímetro ASV (Approved Scanning Vendors) de forma periódica, mesmo não sendo uma solução instalada no perímetro tem uma representatividade significante para atestar a existência ou não de vulnerabilidades externas.
• Honeypot: soluções avançadas chamadas de deception cada vez mais crescem na rede interna e externa exponencialmente e têm a função de criar ativos fake a fim de entender formas de ataques para prevenção do ambiente.
• Threat Intel: São serviços externos de inteligência que visam entender movimentações externas como ataques, tráfego de informações ou fraudes com a finalidade de tomar uma ação rápida de contenção e proteção do ambiente interno. Hoje, com leaks constantes, faz sentido este tipo de monitoração, uma vez que permite antecipar possíveis questionamentos da mídia em caso de um vazamento.

Espero que este último artigo possa dar uma visão um pouco mais detalhada de cybersecurity de ações mínimas que podem ser implementadas para demonstrar a Autoridade Nacional de Proteção de Dados  e ao BACEN (4.658 ou 3.909) e quais ações básicas foram tomadas com o intuito de aumentar o nível de segurança em conformidade com a LGPD. Importante ressaltar que não basta colocar as soluções na tomada, tunings e controles devem ser implementados além de melhorias contínuas para atender os diversos casos de uso baseados em ataques avançados.

* Alex Amorim é CISO e DPO