Procedimentos de Segurança para Redes Corporativas

A diminuição na ocorrência de incidentes de segurança em redes corporativas pode ser fruto direto de algumas medidas periódicas extremamente importantes, porém dificil- mente efetuadas pelos administradores destas redes.

Atualização de Software

É a principal recomendação encontrada em qualquer literatura, palestra e curso na área de segurança da informação.

Praticamente todos os ataques que conseguem êxito contra máquinas em uma rede corporativa são fruto da exploração de vulnerabilidades em seus serviços ou mesmo em seu sistema operacional, cuja correção já estaria disponível em versões mais novas desses programas, mas que, porém, não chegam a ser instaladas.

Patches, hotfixes e service packs devem ser aplicados periodicamente, tão logo se-

jam disponibilizados, principalmente em máquinas servidoras de aplicação com acesso externo, de modo a minimizar as possibilidades de ataques exitosos contra suas informa- ções.

Testes de Penetração (Sondagens Internas)

Os testes de penetração contra a própria rede se justificam como medida preventiva, ou seja, a possível identificação (e correção) de vulnerabilidades, antes que possam ser exploradas por atacantes.

É recomendável a realização periódica deste tipo de atividade por uma equipe interna preparada para tal. Se isso não for possível, deve-se apelar para empresas especializadas no assunto.

Não é recomendável que se contratem hackers para a realização dos testes de penetra- ção, já que se desconhecem os princípios éticos e morais destas pessoas, que podem não se adequar aos princípios da instituição [Moreira 2001].

Uma vez escolhida a instituição que irá efetuar os testes, é primordial que seja cele- brado um contrato onde, entre outras, deve conter algumas considerações [Moreira 2001]: * As informações obtidas, bem como as vulnerabilidades, não podem de forma alguma ser divulgadas;

* Todas as senhas, arquivos importantes e confidenciais obtidos devem ser entregues à instituição contratante;

* Todos os testes que utilizarem ferramentas devem, de forma antecipada, ser previa- mente acordados;

* É de fundamental importância que o responsável pelo teste não saiba da estrutura de proteção que a instituição utiliza atualmente, já que em uma situação normal de ataque este tipo de informação não é público;

* Todos os testes devem caminhar para que sejam identificadas vulnerabilidades do ambiente computacional investigado, isso quer dizer que os testes não devem de forma alguma violar a privacidade e os direitos individuais;

* Quanto ao horário mais adequado para a realização dos testes, deve-se observar os horários de menor atividade;

* Ao final dos testes, a instituição contratada deve entregar um relatório com as reco- mendações detalhadas relativas a todas as vulnerabilidades encontradas.

Peopleware

A educação e conscientização dos usuários de máquinas em uma rede corporativa constituem um grande passo em busca de uma rede minimamente segura.

Uso de senhas robustas, não divulgação de informações privilegiadas em fóruns não apropriados, submissão à política de utilização de e-mails, acesso Web e demais serviços da instituição, dentre outras medidas comportamentais, quando adotadas irrestritamente pelos usuários minimizam as possibilidades de ataques como engenharia social, password

crackers (ataque do dicionário), phishing scam, além de vírus, worms e spywares. Definição e Implantação de uma Política de Segurança

Em [Moreira 2001] encontra-se um conjunto de conceitos e definições relacionados à política de segurança de uma organização, que são apresentados a seguir de forma resu- mida.

A Política de Segurança pode ser entendida como sendo um conjunto de normas e diretrizes destinadas a proteção dos ativos da Organização.

No documento que estabelece essa política de segurança deve estar descrito a forma que a instituição deseja que seus ativos sejam:

* Protegidos * Manuseados * Tratados

O objetivo de qualquer política de segurança é o de definir as expectativas da institui- ção quanto ao uso de seus recursos (computadores e rede), estabelecendo procedimentos com o intuito de prevenir e responder a incidentes relativos à segurança.

Dentre outros aspectos, uma política de segurança deve: * Ser flexível com relação às mudanças necessárias; * Ser simples na comunicação;

* Ser objetiva e curta; * Conter regras simples;

* Ser consistente, de acordo com as outras políticas da corporação;

* Ser aplicável utilizando os equipamentos e tecnologias de rede existentes; * Estar de acordo com as leis locais, estaduais e federais;

* Ser facilmente acessível a todos os membros da instituição; * Definir um conjunto claro de metas de segurança;

* Definir com precisão cada um dos assuntos discutidos na política; * Mostrar claramente a posição da instituição sobre cada ponto;

* Descrever a justificativa da política, independente dos assuntos secundários; * Definir sobre que circunstâncias determinado item é aplicável;

* Definir as regras e as responsabilidades dos membros da organização com respeito a cada uma das diretivas definidas;

* Descrever ou associar as conseqüências do não-cumprimento da política descrita, preferencialmente com punições já existentes na instituição (pode-se basear na CLT);

* Indicar informações para contato, mais detalhes e esclarecimentos de qualquer uma das diretivas;

* Definir as expectativas de privacidade dos usuários;

* Incluir a responsabilidade sobre a definição de temas não especificamente definidos para a resolução de impasses.

CSIRTs - Grupos de Resposta a Incidentes de Segurança

Detectar incidentes de segurança contra redes de computadores, embora não seja uma tarefa complicada, não é também algo tão simples. Muitos atacantes não deixam rastros, e os que deixam, muitas vezes são sutis [Moreira 2001].

Analisar de forma consciente e responsável os registros de acesso, identificando, ca- talogando e reportando incidentes de segurança exige dedicação e formação.

Os CSIRTs (Computer Security Incident Response Team) são grupos treinados e quali- ficados para lidar de forma apropriada com estes tipos de incidentes, coletando evidências e reportando com brevidade e consistência a ocorrência desses incidentes aos responsáveis pelas redes em que estão as máquinas atacantes e aos grupos de segurança dos backbones aos quais estão conectadas as redes envolvidas no incidente.