10 “coisinhas” que um IPS efetivo deve fazer

Postado em: 12 de dezembro de 2013 - Por: Thiago Palmeira

seguranca

 

Os constantes avanços em tecnologia da informação nos tem permitido cada vez mais flexibilidade, acessibilidade e funcionalidades através da internet. Isso permite que nossos negócios fiquem cada vez mais ágeis, acessíveis e eficientes. Entretanto, como nem tudo são flores, estes mesmos avanços também se aplicam ao “lado mau da força”. Ataques, pragas e ameaças eletrônicas também se beneficiam destes mesmos avanços tecnológicos e tornam-se cada vez mais complexas e perigosas. A última geração destas explorações contam com técnicas de invasão extremamente sofisticadas que as permitem, inclusive, evitar sua detecção. Ataques mais incisivos e comprometedores podem permitir, ao atacante, inserir comandos a nível de sistema, no ambiente atacado.

Os Sistemas de Prevenção de Intrusão ou IPS atuais possuem a habilidade de identificar e bloquear ameaças e softwares maliciosos antes que estes possam adentrar sua rede, protegendo-a das mais sofisticadas técnicas de invasão. Para ser efetivo, um IPS deve ser capaz de realizar algumas manobras especiais, capazes de por estas ameaças em cheque.

 

Numeramos 10 destas manobras consideradas indispensáveis a um bom IPS:

 

1 – Prover múltiplos métodos de proteção contra ataques

Um IPS precisa possuir funcionalidades de proteção a aplicativos, proteção contra estouro de buffer e detecção de anomalias em protocolos para uma grande variedade de ataques conhecidos. A eficácia de um IPS depende, basicamente, de sua capacidade de identificar e bloquear ataques. Sendo assim, ao escolher um IPS procure por fabricantes que disponibilizem atualizações e definições constantes de forma a sempre dispor da melhor proteção possível.

 

2 – Analisar todo o tráfego, sem exceções

É necessário que seu IPS atue como uma “mãe-coruja”, analisando e monitorando todo o tráfego de sua rede, e não apenas algumas portas ou protocolos selecionados. Os ataques mais modernos são capazes de atingir qualquer aplicação rodando em sua rede, através de qualquer porta de serviço. O IPS precisa inspecionar, minuciosamente, cada pacote de modo a identificar comportamentos estranhos e bloquear os mais sofisticados ataques.

Alguns ataques podem enviar informações confidenciais através de sistemas comprometidos dentro de sua rede, outros podem utilizar estes mesmos sistemas comprometidos para lançar mais ataques. IPS tradicionais focam apenas no tráfego de entrada, o que deixa seu ambiente vulnerável a ataques provenientes de outras partes de sua rede. De modo a evitar isso, o IPS precisa monitorar todo o tráfego, seja de entrada ou de saída.

Escanear o tráfego de entrada é legal para manter os caras maus do lado de fora, mas e quanto aos que já estão do lado de dentro?

 

3 – Normalizar o tráfego a procura de anomalias

Criminosos virtuais mais eficientes costumam utilizar técnicas sofisticadas na tentativa de evitar detecção. Essas técnicas podem ser aplicadas a todas as portas e camadas de rede, tanto no tráfego de entrada como de saída. Estes criminosos estão cientes das técnicas utilizadas pela maioria dos IPS e procuram estudar (bastante!) novas manobras para prevenir a detecção de seus ataques.

Um IPS eficaz depende de sua habilidade em normalizar o tráfego para um formato comum e bem definido, podendo assim detectar estas técnicas de evasão e prevenir os ataques.

 

4 – Monitorar e bloquear o tráfego ao redor do globo

Algumas vezes, de onde o tráfego vem e para onde ele vai pode ser um indício de que alguma coisa está errada. Alguns países são conhecidos por possuírem uma legislação capaz de permitir uma maior tranquilidade na hora de disparar ataques cibernéticos.

O IPS deve ser capaz de traçar, geograficamente, a origem de um endereço IP de modo a identificar destinos ou localidades suspeitas. É trabalho do IPS facilitar a identificação e o bloqueio de comportamentos estranhos, como o tráfego indo ou vindo de localidades estrangeiras.

Se você possui apenas escritórios na América Latina, porque raios eles estariam falando com o Paquistão? Hum…

 

5 – Obter informação contextual baseada no usuário

Para nós, é importante saber quem é quem e o que cada um faz dentro da organização. Isso nos permite identificar as necessidades e privilégios de cada um, individualmente. Essa consciência também precisa ser refletida no seu IPS. O IPS precisa fornecer informações não apenas sobre qual o tráfego ou quais aplicações estão na sua rede mas, também, sobre quem as está utilizando.

A informação sobre quem utiliza o que permite, ao administrador, elaborar níveis de acesso mais específicos para determinadas credenciais. Além disso, no caso de comportamentos estranhos, fica mais fácil montar o quebra-cabeças quando as peças estão organizadas e bem definidas.

Os serviços de diretório do Windows (Active Directory), por exemplo, podem ser integrados ao IPS no intuito de amarrar aplicações utilizadas em sua rede a credenciais específicas. Essa granularidade aprimora a segurança e permite maior visibilidade dentro de sua rede.

 

6 – Permitir a criação e instalação de assinaturas personalizadas

As assinaturas do IPS devem ser constantemente atualizadas de modo a combater novas ameaças. Porém, para lidar com aplicações personalizadas, o IPS deve permitir que se crie assinaturas customizadas no intuito de incorporar uma camada adicional de proteção contra tecnologias proprietárias.

As assinaturas inclusas no IPS são de extrema importância mas, muitas vezes, só isso não é suficiente. E quanto àquele aplicativo CRM legado qual foi desenvolvido somente para o seu negócio? O IPS deve permitir que você crie assinaturas customizadas, “tapando os buracos”. Estas assinaturas podem ser utilizadas para prover proteção contra um ataque desenvolvido especificamente para o seu ambiente.

 

7 – Examinar o tráfego SSL

Hoje em dia, o tráfego web utiliza, frequentemente, SSL de forma a criptografar comunicação sensível como transações bancárias e de cartão de crédito. Entretanto, criminosos virtuais também se utilizam de SSL para criptografar e ocultar ameaças. A internet está repleta de sites que fazem uso de SSL para esconder e distribuir software malicioso (malware).

Aquele tráfego aparentemente confiável e seguro pode não pertencer a quem ele diz que pertence nem carregar o que ele diz estar carregando. O IPS deve ser desconfiado e capaz de descriptografar e interceptar estes ataques.

 

8 – Detectar e bloquear software malicioso

Considerando a gigantesca quantidade de softwares maliciosos quecirculam pela internet, é fundamental que se utilize, no gateway, camadas adicionais de proteção de forma a proteger a infraestrutura.

O IPS, para ser efetivo, precisa ser capaz de identificar e bloquear qualquer tipo de ataque, incluindo cavalos de tróia (trojan), vírus e worms que possam estar escondidos em um tráfego aparentemente comum.

 

9 – Detectar e bloquear sistemas comprometidos

Botnets e ataques encenados normalmente fazem uso de portas e protocolos comuns numa tentativa de ocultar comandos e controlar o tráfego enviado por sistemas que já foram comprometidos. Bots são dispositivos e sistemas que foram infectados para serem utilizados como fonte de novos ataques e uma rede deles (botnet) pode ser extremamente perigosa.

Ataques mais sofisticados costumam esconder suas comunicações abusando de uma série de protocolos para direcionar o tráfego para foda da rede. Botnets frequentemente se comunicam com servidores comprometidos através de métodos similares.

O IPS precisa suportar detecção de anomalias e repudiação de endereçamento IP (IP repudiation) de modo a bloquear a comunicação proveniente destes sistemas comprometidos.

 

10 – Proteger a rede de ataques contra a disponibilidade dos serviços

Ataques que afetam a disponibilidade dos serviços são extremamente comuns. Você já deve ter ouvido falar de ataques de inundação (flooding) e negação de serviço (DoS – denial of service ou DDoS – distributed denial of service). Estes ataques tem o intuito de derrubar determinados serviços, sobrecarregando seus recursos e deixando-os indisponíveis.

No mundo atual, impedir uma organização de conduzir seus negócios através da internet, mesmo que por pouco tempo, pode causar danos astronômicos. O IPS precisa ser capaz de compreender o fluxo das informações e proteger a infraestrutura de ataques que possam prejudicar as operações do negócio.

 

E como conseguir um IPS eficiente?

Antigamente, organizações se viam ante a necessidade de utilizarem diversas soluções distintas para se protegerem: antivírus, firewall, proxy, anti-spam, etc. Já nos dias atuais, estas mesmas organizações podem obter soluções unificadas que dispensam a complexidade do gerenciamento de diversos sistemas de proteção funcionando separadamente e individualmente.

Soluções consolidadas oferecem maior segurança, melhor integração e facilitam o gerenciamento (menos ativos, consoles e problemas com interoperabilidade). Isso além de garantir uma maior flexibilidade de implementação e reduzir o TCO (Total Cost of Ownership).

A InfoLink oferece a solução integrada Sophos UTM (Unfied Threat Management): um appliance de segurança unificado com funcionalidades de Firewall, IPS, Web filtering, Network monitoring, Email protection, Application Protection, Anti-virus, Anti-spam, VPN, Wireless Security e criptografia.

Através do Sophos UTM, nossa equipe de Serviços Gerenciados de Segurança (MSS) é capaz manter a linha de frente contra as ameaças digitais e permitir que nossos clientes não apenas trabalhem, mas também durmam tranquilos e protegidos.

E você, vai dormir tranquilo hoje?

 

Leia também