fbpx

Lista de verificação de segurança de rede da GFI Software

Este é um documento que fornece as áreas de segurança da informação nas quais você deve se concentrar, junto com configurações específicas ou práticas recomendadas que o ajudarão a proteger seu ambiente contra ameaças internas e externas.

Usando esta lista de verificação como ponto de partida e trabalhando com o restante de sua equipe de TI, gerenciamento, recursos humanos e assessoria jurídica, você poderá criar a lista de verificação de segurança de rede definitiva para seu ambiente específico.

Essa é uma distinção importante, não existem duas redes exatamente iguais e os requisitos de negócios, obrigações regulamentares e contratuais, leis locais e outros fatores terão uma influência na lista de verificação de segurança de rede específica da sua empresa, então não pense que todo o seu trabalho está concluído.

Você precisará ajustar isso para se adequar ao seu próprio ambiente, mas tenha certeza de que o trabalho pesado está feito!

Vamos dividir esta lista em categorias amplas para sua facilidade de referência. Algumas das divisões podem parecer arbitrárias, mas você tem que traçar linhas e quebrar parágrafos em algum ponto, e é aqui que desenhamos os nossos.

Contas de Usuários

Os usuários são o elo mais fraco em qualquer cenário de segurança de rede. Mas, uma vez que eles também são a razão de termos TI e, mais precisamente, um trabalho, precisamos ter certeza de que cuidamos deles e eles cuidam de nós. É por isso que eles vêm em primeiro lugar nesta lista.

Treinamento

Antes que um usuário obtenha uma conta de rede, ele precisa de treinamento sobre o que fazer, o que não fazer e como proceder para se proteger e proteger a rede. Isso precisa ser feito primeiro e repetidamente, com pelo menos uma revisão e atualização anual.

Contas únicas

Sem contas compartilhadas. Nunca! Certifique-se de que cada usuário tenha uma conta exclusiva que pode ser atribuída apenas a ele.

Separação entre contas de usuários normais e usuários privilegiados

Isso vale mais para os administradores de sistemas que estão lendo isso do que para os usuários finais, então faça o que dizemos e não o que você faz. Certifique-se de fazer logon com uma conta normal e autentique apenas com sua conta privilegiada quando precisar fazer trabalho administrativo. Caso contrário, você nunca sabe quando pode clicar acidentalmente em algo que é executado com esses privilégios elevados.

Autenticação multifator

Se você olhar para cada grande hack que atingiu as notícias nos últimos dois anos, de TJ Max a Target e Premera para o OPM, uma coisa poderia ter evitado todos eles. Autenticação de dois fatores. Cada um desses hacks começou com credenciais comprometidas, que eram simplesmente nome de usuário e senha. O mais irritante de tudo isso é que o OPM deveria já estar usando 2FA, mas não estava. Claro, nem a maior parte do governo. Isso finalmente mudou, mas é um pouco tarde para os milhões de pessoas cujas informações pessoais foram roubadas.

Informação atualizada

Mantenha os dados atualizados em seu sistema. Certifique-se de que os detalhes de contato, cargos, gerentes, etc., sejam atualizados sempre que houver uma mudança para que, se você precisar pesquisar algo sobre um usuário, você tenha o que precisa, e não o número de telefone de sete anos atrás, quando eles foram contratados pela primeira vez.

Revisão das associações de grupo quando as funções mudam

Dado o mínimo de privilégios, deve ser um procedimento operacional padrão para revisar e revisar as associações de grupo e outros privilégios de acesso quando um usuário muda de emprego. Se a nova função não exigir acesso aos recursos que a função anterior lhes concedeu, remova esse acesso.

Sem compartilhamento de contas entre teste e produção, ou entre quaisquer dois serviços externos.

Este é crítico. Se você tiver vários ambientes, pode ser muito tentador compartilhar especificações de credenciais entre eles. Isso torna muito mais provável que ocorra comprometimento, especialmente se o ambiente de laboratório ou UAT não tiver as mesmas medidas de segurança que a produção, ou que o hack de um serviço externo possa revelar suas credenciais que podem ser usadas para fazer logon outros serviços. Pergunta: O seu nome de usuário e senha do Facebook são iguais aos do Twitter? Se você respondeu sim, você está fazendo errado.

Desative contas obsoletas. Exclua os realmente antigos.

Execute uma tarefa agendada para desativar e relatar qualquer conta que não tenha sido usada para autenticação em um período fixo de tempo. Acho que duas semanas é bom, mas a maioria diria 30 dias. Faça outra execução pelo menos uma vez por mês que identifique as contas que foram desativadas por 90 dias e as exclua. Contas antigas podem ser “ressuscitadas” para fornecer acesso, por meio de engenharia social ou opses. Não seja uma vítima.

Políticas de segurança de rede

Os melhores planos de ratos e homens frequentemente dão errado, e em nenhum lugar isso pode acontecer mais rapidamente do que quando você tenta implementar a segurança de rede sem um plano, na forma de políticas.

As políticas precisam ser criadas, socializadas, aprovadas pela administração e oficializadas para ter qualquer peso no meio ambiente e devem ser usadas como referência final ao tomar decisões de segurança.

Por exemplo, todos nós sabemos que compartilhar senhas é ruim, mas até que possamos apontar para a política da empresa que diz que é ruim, não podemos responsabilizar nossos usuários caso compartilhem uma senha com outra pessoa.

Aqui está uma pequena lista das políticas que toda empresa com mais de dois funcionários deve ter para ajudar a proteger sua rede:

  • Política de Utilização Aceitável
  • Política de acesso à internet
  • Política de email e Comunicações
  • Política de Segurança de Rede
  • Política de Acesso Remoto
  • Política BYOD
  • Política de Criptografia
  • Política de Privacidade

Um ótimo recurso para arquivos e modelos iniciais de política é o SANS Institute em: http://www.sans.org

Implantando Servidores

Willie Sutton, um notório criminoso americano, quando questionado por que ele roubou bancos, respondeu “porque é lá que está o dinheiro.” Se você pudesse perguntar a um hacker por que ele invade servidores, ele provavelmente responderia com uma resposta semelhante “porque é onde estão os dados”.

Na sociedade de hoje, os dados são uma mercadoria fungível que é fácil de vender ou trocar, e seus servidores são onde reside a maioria dos dados mais valiosos de sua empresa. Aqui estão algumas dicas para proteger esses servidores contra todos os inimigos, tanto estrangeiros quanto domésticos.

Crie uma lista de verificação de implantação de servidor e certifique-se de que todos os itens a seguir estejam na lista e que cada servidor implantado esteja em conformidade com 100% antes de entrar em produção.

Lista de Servidores

Mantenha uma lista de servidores (o SharePoint é um ótimo lugar para isso) que detalha todos os servidores em sua rede. No mínimo, deve incluir todo o nome, finalidade, ip.addr, data do serviço, etiqueta de serviço (se física), localização do rack ou host padrão, sistema operacional e pessoa responsável.

Falaremos sobre algumas outras coisas que podem ser armazenadas nesta lista de servidores abaixo, mas não tente colocar muito nesta lista; é mais eficaz se puder ser usado sem rolagem lateral. Qualquer documentação adicional pode ser vinculada ou anexada.

Queremos que esta lista de servidores seja uma referência rápida, fácil de atualizar e manter, para que você faça isso. Incluir nesta lista quando o hardware físico sair da garantia e quando o sistema operacional passar para o suporte estendido, para que você possa rastrear e planejar a substituição de hardware e atualizações do sistema operacional ou substituições de servidor.

Parte Responsável

Cada servidor deve ter uma parte responsável; a pessoa ou equipe que sabe para que serve o servidor e é responsável por garantir que ele esteja atualizado, e pode investigar quaisquer anomalias associadas a esse servidor. Certifique-se de atualizar isso quando as pessoas mudarem de função.

Convenções de nomenclatura

As convenções de nomenclatura podem parecer algo estranho para vincular à segurança, mas ser capaz de identificar rapidamente um servidor é crítico quando você detecta algum tráfego estranho e, se um incidente estiver em andamento, cada segundo salvo é importante.

Configuração de Rede

Certifique-se de que todas as configurações de rede sejam feitas corretamente, incluindo atribuições estáticas de ip.addr, servidores DNS, servidores WINS, registrando ou não uma interface específica, ordem de ligação e desativação de serviços em DMZ, gerenciamento OOB ou redes de backup.

Certifique-se de desabilitar todas as interfaces que não estão sendo usadas para que elas não obtenham um ip.addr ou registrem seu endereço APIPA no DNS se forem conectadas a uma porta Ethernet ativa por engano.

IPAM

Todos os servidores devem receber endereços IP estáticos, e esses dados precisam ser mantidos em sua ferramenta de gerenciamento de endereço IP (mesmo que seja apenas uma planilha do Excel). Quando um tráfego estranho é detectado, é vital ter uma referência de autoridade atualizada para cada ip.addr em sua rede. O Windows Server 2012 R2 inclui serviços IPAM.

Patching

Cada servidor implantado precisa ser totalmente corrigido assim que o sistema operacional for instalado e adicionado ao seu aplicativo de gerenciamento de patch imediatamente.

Antivírus

Todos os servidores precisam executar um software antivírus e relatar ao console de gerenciamento central. As exceções de varredura precisam ser documentadas na lista de servidores para que, se houver suspeita de epidemia, esses diretórios possam ser verificados manualmente.

Prevenção de intrusão de host / firewall

Se você usa a prevenção de intrusão de host, é necessário garantir que ela esteja configurada de acordo com seus padrões e se reporta ao console de gerenciamento. Os firewalls de software precisam ser configurados para permitir o tráfego necessário para sua rede, incluindo acesso remoto, registro e monitoramento e outros serviços.

Acesso Remoto

Escolha uma solução de acesso remoto e fique com ela. Eu recomendo os serviços de terminal integrados para clientes Windows e SSH para todo o resto, mas você pode preferir remotamente suas caixas Windows com PCAnywhere, RAdmin ou qualquer um dos outros aplicativos de acesso remoto para gerenciamento. Qualquer que você escolher, escolha um e torne-o o padrão.

UPS e economia de energia

Certifique-se de que todos os servidores estejam conectados a um no-break e, se você não usar um gerador, certifique-se de que eles tenham o agente necessário para desligar normalmente antes que as baterias se esgotem. Embora você não queira que os servidores hibernem, considere desligar os discos durante os períodos de baixa atividade (como após o expediente) para economizar eletricidade.

Domínio Ingressado

A menos que haja um bom motivo para não o fazer, como problemas de aplicativo ou porque está no DMZ, todos os servidores Windows devem ser associados ao domínio e todos os servidores não-Windows devem usar LDAP para autenticar usuários no Active Directory. Você obtém gerenciamento centralizado e um único armazenamento de conta de usuário para todos os seus usuários.

Conta de Administrador renomeada e senha definida

Renomeie a conta do administrador local e certifique-se de definir (e documentar) uma senha forte. Não é uma abordagem infalível, mas nada em segurança é. Estamos criando camadas aqui.

Conjunto de associações de grupos locais e permissões atribuídas

Faça quaisquer atribuições apropriadas usando grupos de domínio quando possível e defina permissões usando grupos de domínio também. Recorra a grupos locais apenas quando não houver outra escolha e evite contas locais.

UO correta com políticas apropriadas

Servidores diferentes têm requisitos diferentes e as Políticas de Grupo do Active Directory são ideais para administrar essas configurações. Crie quantas UOs forem necessárias para acomodar os diferentes servidores e defina o máximo possível usando um GPO em vez da política de segurança local.

Confirme se ele está se reportando aos consoles de gerenciamento

Não importa o que você use para administrar e monitorar seus servidores, certifique-se de que todos eles relatem (ou possam ser consultados por) antes de colocar um servidor em produção. Nunca deixe isso ser uma das coisas para a qual você se esquece de voltar.

Serviços desnecessários desativados

Se um servidor não precisar executar um serviço específico, desative-o. Você economizará memória e CPU, e é uma maneira a menos que os bandidos terão de obtê-lo. Mas não desative algo apenas porque você não sabe o que faz. Confirme o que está fazendo e certifique-se de verificar novamente ao configurar novos aplicativos que podem precisar de um serviço.

SNMP configurado

Se você for usar SNMP, certifique-se de configurar suas strings de comunidade e restringir o acesso de gerenciamento aos seus sistemas conhecidos.

Agentes instalados

Agentes de backup, agentes de registro, agentes de gerenciamento; qualquer software que você usar para gerenciar sua rede, certifique-se de que todos os agentes apropriados estejam instalados antes que o servidor seja considerado completo.

Backups

Se vale a pena construir, vale a pena fazer o backup. Nenhum dado de produção deve entrar em um servidor até que seja feito o backup.

Restaurações

E nenhum backup deve ser confiável até que você confirme que ele pode ser restaurado.

Verificação de vulnerabilidade

Se você realmente acha que o servidor está pronto para funcionar e tudo o mais na lista foi verificado, há mais uma coisa a fazer; escaneie-o. Execute uma varredura completa de vulnerabilidade em cada servidor antes de entrar em produção para garantir que nada foi esquecido e, em seguida, certifique-se de que seja adicionado às varreduras programadas regularmente.

Assinado em produção

Alguém que não seja a pessoa que construiu o servidor deve verificar se está tudo pronto, antes de entrar em produção. Ao “assiná-lo”, o usuário está dizendo que confirmou que o servidor atende aos requisitos de segurança da sua empresa e está pronto para tudo o que o mundo pode lançar nele. Essa pessoa também é o segundo par de olhos, então é muito menos provável que você descubra que algo foi esquecido.

Implantando estações de trabalhos

Certificar-se de que as estações de trabalho estão seguras é tão importante quanto com seus servidores. Em alguns casos, é ainda mais, já que seus servidores se beneficiam da segurança física de seu datacenter, enquanto as estações de trabalho são frequentemente laptops sentados em mesas em cafés enquanto seus usuários pegam outro café com leite. Não subestime a importância de garantir que suas estações de trabalho sejam o mais seguras possível.

Lista de estações de trabalho

Mantenha uma lista de todas as estações de trabalho, assim como a lista de servidores, que inclui para quem a estação de trabalho foi emitida e quando seu aluguel acabou ou chegou ao final de sua programação de depreciação. Não se esqueça das etiquetas de serviço!

Usuário atribuído

Rastreie onde estão suas estações de trabalho, certificando-se de que o hardware emitido por cada usuário do usuário seja mantido atualizado.

Convenções de nomenclatura

É muito útil ao olhar os registros se uma estação de trabalho for nomeada para o usuário que a possui. Isso torna muito mais fácil rastrear quando algo parece estranho nos logs.

Configuração de rede

Você provavelmente atribuirá endereços IP usando DHCP, mas desejará ter certeza de que seus escopos estão corretos e usar um GPO para atribuir quaisquer zonas DNS internas que devem ser pesquisadas ao resolver nomes simples.

Patching

Como seus usuários estão conectados e executando programas em suas estações de trabalho e acessando a Internet, eles correm um risco muito maior do que os servidores, portanto, aplicar patches é ainda mais importante. Certifique-se de que todas as estações de trabalho estejam totalmente atualizadas antes de serem implantadas, atualize sua imagem mestre com frequência e certifique-se de que todas as estações de trabalho estão sendo atualizadas por seu sistema de gerenciamento de patches.

Antivírus

Veja como lidar com o antivírus da estação de trabalho. 100% de cobertura de todas as estações de trabalho. As estações de trabalho verificam se há atualizações em um servidor central pelo menos a cada seis horas e podem baixá-las do fornecedor quando não puderem acessar o servidor central. Todas as estações de trabalho relatam o status ao servidor central e você pode enviar atualizações quando necessário. Fácil.

Prevenção de intrusão de host / firewall

Considere o uso de um produto de prevenção de intrusão de host ou firewall pessoal para fornecer mais defesa para suas estações de trabalho, especialmente quando são laptops que frequentemente se conectam fora da rede corporativa. Certifique-se de que a configuração não interfira em suas tarefas de gerenciamento, como enviar atualizações de antivírus, verificar registros, software de auditoria, etc.

Acesso Remoto

Muito parecido com os servidores, escolha um método de acesso remoto e fique com ele, banindo todos os outros. Quanto mais maneiras de entrar em uma estação de trabalho, mais maneiras um invasor pode tentar explorar a máquina. O serviço de Área de Trabalho Remota integrado que vem com o Windows é minha preferência, mas, se preferir outro, desative o RDP. Certifique-se de que apenas usuários autorizados possam acessar a estação de trabalho remotamente e que eles devem usar suas credenciais exclusivas, em vez de alguma combinação comum de administrador / senha.

Economia de energia

Considere implantar configurações de economia de energia por meio de GPO para ajudar a estender a vida útil do seu hardware e economizar na conta de serviços públicos. Certifique-se de ter placas de rede compatíveis com Wake-On-LAN para que você possa implantar patches após o expediente, se necessário.

Domínio ingressado

Todas as estações de trabalho devem ser associadas ao domínio para que você possa administrá-las centralmente com credenciais exclusivas.

Conta de administrador renomeada e senha definida

Renomeie a conta do administrador local e defina uma senha forte para essa conta que seja exclusiva por máquina. Acredite em mim, um dia desses você não terá escolha a não ser dar a algum usuário em viagem a conta de administrador local e, se for a mesma em todas as máquinas, você terá que redefinir todas. Use um script para criar senhas aleatórias e armazene-as com segurança, onde podem ser recuperadas em uma emergência. Parece muito trabalho no início, mas você vai economizar tempo e esforço no futuro. Se você precisar usar uma conta de domínio para acessar remotamente uma máquina, use uma que SÓ tenha permissões para estações de trabalho para que nenhum invasor possa executar um ataque Pass The Hash em você e usar esses creds para entrar nos servidores.

Conjunto de associações de grupos locais e permissões atribuídas

Defina associações apropriadas em administradores locais ou usuários avançados para cada estação de trabalho.

UO correta com políticas apropriadas

Organize suas estações de trabalho em unidades organizacionais e gerencie-as com a Política de Grupo tanto quanto possível para garantir gerenciamento e configuração consistentes.

Confirme seus relatórios para os consoles de gerenciamento

Valide se cada estação de trabalho se reporta ao seu antivírus, gerenciamento de patches e quaisquer outros consoles antes de entregá-lo ao usuário e, em seguida, audite com frequência para garantir que todas as estações de trabalho relatem.

Backups/ Restaurações

Você provavelmente não fará backups completos regulares de suas estações de trabalho, mas considere o redirecionamento de pastas ou backups baseados na Internet para proteger os dados críticos do usuário.

Criptografia local

Não há desculpa para deixar qualquer laptop ou unidade portátil fora dos limites físicos do escritório sem criptografia para proteger os dados confidenciais. Quer você use Bitlocker, software de terceiros ou criptografia de hardware, torne obrigatório que todas as unidades sejam criptografadas.

Verificação de vulnerabilidade

Execute varreduras regulares de vulnerabilidade de uma amostra aleatória de suas estações de trabalho para ajudar a garantir que suas estações de trabalho estejam atualizadas.

Equipamento de rede

Sua infraestrutura de rede é fácil de ignorar, mas também crítica para proteger e manter. Começaremos com algumas recomendações para todos os equipamentos de rede e, em seguida, examinaremos algumas recomendações específicas da plataforma.

Lista de hardware de rede

Mantenha uma lista de hardware de rede semelhante à sua lista de servidores e inclua nome e tipo de dispositivo, localização, número de série, etiqueta de serviço e parte responsável.

Configuração de rede

Tenha uma configuração padrão para cada tipo de dispositivo para ajudar a manter a consistência e facilitar o gerenciamento.

IPAM

Atribua endereços IP estáticos a todas as interfaces de gerenciamento, adicione registros A ao DNS e controle tudo em uma solução de gerenciamento de endereço IP (IPAM).

Patching

O hardware de rede também executa um sistema operacional, apenas o chamamos de firmware. Mantenha-se atualizado sobre os patches e atualizações de segurança para o seu hardware.

Acesso remoto

Use o método de acesso remoto mais seguro que sua plataforma oferece. Para a maioria, deve ser SSH versão 2. Desative telnet e SSH 1 e certifique-se de definir senhas fortes nas conexões remota e local (serial ou console).

Credenciais únicas

Use o TACACS + ou outra solução de gerenciamento remoto para que os usuários autorizados se autentiquem com credenciais exclusivas.

SNMP configurado

Se você for usar SNMP, altere as sequências de comunidade padrão e defina as estações de gerenciamento autorizadas. Se você não estiver, desligue-o.

Backups/Restaurações

Certifique-se de fazer backups regulares de suas configurações sempre que fizer uma alteração e de confirmar que pode restaurá-las.

Verificação de vulnerabilidade

Inclua todo o seu equipamento de rede em suas varreduras de vulnerabilidade regulares para detectar quaisquer falhas que surjam com o tempo.

VLANs

Use VLANs para separar os tipos de tráfego, como estações de trabalho, servidores, gerenciamento fora de banda, backups, etc.

Dispositivos e hubs promíscuos

Defina restrições de porta para que os usuários não possam executar dispositivos de modo promíscuo ou conectar hubs ou switches não gerenciados sem autorização prévia.

Portas desativadas

As portas que não são atribuídas a dispositivos específicos devem ser desabilitadas ou definidas para uma rede de convidado padrão que não pode acessar a rede interna. Isso evita que dispositivos externos possam se conectar à sua rede interna a partir de escritórios vazios ou cubículos não utilizados.

Permissões explícitas, negações implícitas

Negar tudo deve ser a postura padrão em todas as listas de acesso, entrada e saída.

Registro e alertas

Registre todas as violações e investigue os alertas imediatamente.

Protocolos de roteamento

Use apenas protocolos de roteamento seguro que usam autenticação e só aceite atualizações de pares conhecidos em suas fronteiras.

Verificação de vulnerabilidade

Varreduras externas semanais agendadas

Configure seu aplicativo de varredura de vulnerabilidade para varrer todo o seu espaço de endereço externo semanalmente.

Diferenças comparadas semanalmente

Valide todas as diferenças de uma semana para a próxima em relação aos procedimentos de controle de alterações para garantir que ninguém tenha habilitado um serviço não aprovado ou conectado a um host não autorizado.

Varreduras internas programadas mensalmente

Realize varreduras internas mensais para ajudar a garantir que nenhum dispositivo invasor ou não gerenciado esteja na rede e que tudo esteja atualizado com os patches.

Backups

Rotação da fita estabelecida

Certifique-se de estabelecer uma rotação de fita que rastreie a localização, o propósito e a idade de todas as fitas. Nunca reaproveite fitas que foram usadas para fazer backup de dados altamente confidenciais para fins menos seguros.

Fitas antigas destruídas

Quando uma fita atingir o fim de sua vida útil, destrua-a para garantir que nenhum dado possa ser recuperado dela.

Armazenamento externo seguro

Se você for armazenar fitas fora do local, use um serviço de correio confiável que ofereça armazenamento seguro.

Encriptação

Até mesmo serviços de correio de boa reputação perderam fitas, portanto, certifique-se de que qualquer fita transportada para fora do local, seja por meio de um serviço ou por um funcionário, seja criptografada para proteger os dados contra perda acidental.

Restaurações confirmadas regularmente

Os backups são inúteis se não puderem ser restaurados. Verifique seus backups pelo menos uma vez por mês, realizando restaurações de teste para garantir que seus dados estejam seguros.

Acesso restrito a fitas, grupos de operadores de backup

As fitas de backup contêm todos os dados e os operadores de backup podem ignorar a segurança em nível de arquivo no Windows para que possam realmente fazer backup de todos os dados. Proteja o acesso físico às fitas e restrinja a associação ao grupo de operadores de backup da mesma forma que você faz ao grupo de administradores de domínio.

Acesso remoto

Apenas usuários e métodos aprovados

Configure e mantenha um método aprovado para acesso remoto e conceda permissões a qualquer usuário que possa se conectar remotamente e, em seguida, certifique-se de que a política da sua empresa proíba outros métodos.

Autenticação de dois fatores

Considere o uso de autenticação de dois fatores, como tokens, cartões inteligentes, certificados ou soluções SMS, para proteger ainda mais o acesso remoto.

Sem túnel dividido

Proteja seus usuários em viagem que podem estar em redes sem fio inseguras, canalizando todo o tráfego através da VPN em vez de habilitar o túnel dividido.

Resolução de nome interno

Se você for fazer um túnel dividido, aplique a resolução interna de nomes apenas para proteger ainda mais os usuários em redes inseguras.

Bloqueios de conta

Defina políticas fortes de bloqueio de conta e investigue todas as contas bloqueadas para garantir que os invasores não possam usar seu método de acesso remoto como forma de invadir sua rede.

Revisão regular dos registros de auditoria

Realize revisões regulares de seus registros de auditoria de acesso remoto e verifique pontualmente com os usuários se você encontrar padrões incomuns, como logons no meio da noite ou durante o dia quando o usuário já está no escritório.

Wireless

Além dos itens da lista de equipamentos de rede acima, você deseja garantir o seguinte para sua rede sem fio.

SSID

Use um SSID que não possa ser facilmente associado à sua empresa e suprima a transmissão desse SSID. Nenhum dos dois é particularmente eficaz contra alguém que está seriamente interessado em sua rede sem fio, mas o mantém fora do radar de um motorista de guerra casual.

Autenticação

Use 802.1x para autenticação em sua rede sem fio para que apenas dispositivos aprovados possam se conectar.

Encriptação

Use o tipo de criptografia mais forte possível, de preferência WPA2 Enterprise. Nunca use WEP. Se você tiver leitores de código de barras ou outros dispositivos legados que só podem usar WEP, configure um SSID dedicado apenas para esses dispositivos e use um firewall para que eles possam se conectar ao software central pela porta necessária e nada mais em sua porta interna rede.

Rede de Convidados

Use sua rede sem fio para estabelecer uma rede de convidado para visitantes de clientes, fornecedores, etc. Não permita a conectividade da rede de convidado para a rede interna, mas permita que usuários autorizados usem a rede de convidado para se conectar à Internet, e de lá para VPN de volta à rede interna, se necessário.

BYOD

Crie uma política “Traga seu próprio dispositivo” agora, mesmo que essa política seja apenas para proibir os usuários de trazer seus laptops pessoais, tablets, etc. para o escritório ou de se conectarem pela VPN.

E-mail

Filtragem de entrada e saída

Implante uma solução de filtragem de e-mail que pode filtrar mensagens de entrada e saída para proteger seus usuários e clientes.

Prevenção de colheita de diretório

Certifique-se de que seus dispositivos de borda rejeitarão tentativas de coleta de diretório.

Antivírus / Antispam / Antiphishing

Implante um software de filtragem de e-mail que proteja os usuários de toda a gama de ameaças de e-mail, incluindo malware, ataques de phishing e spam.

Acesso à internet

Forneça aos seus usuários acesso seguro à Internet, implementando uma solução de monitoramento da Internet.

Listas de filtros

Use listas de filtros que apoiem ​​a política de uso aceitável de sua empresa.

Verificação de malware

Faça a varredura de todo o conteúdo em busca de malware, seja download de arquivos, mídia de streaming ou simplesmente scripts contidos em páginas da web.

Restrições de largura de banda

Proteja seus aplicativos críticos de negócios implantando restrições de largura de banda, para que o acesso dos usuários à Internet não tenha um impacto adverso nas funções da empresa, como e-mail ou site corporativo.

Bloqueio de porta

Bloqueie o tráfego de saída que pode ser usado para contornar a solução de monitoramento da Internet para que, se os usuários forem tentados a violar a política, eles não possam. Lembre-se de que nem todo navegador respeitará as configurações de GPO e nem todo aplicativo processará o que está em um PAC ou WPAD. Você não quer nenhum buraco em suas defesas.

Compartilhamento de arquivos

É aqui que se encontra a maioria das coisas boas, portanto, garantir que você proteja seus compartilhamentos de arquivos é extremamente importante.

Remover todos e usuários autenticados

As permissões padrão geralmente são um pouco permissivas demais. Remova o grupo Todos dos compartilhamentos legados e o grupo de usuários autenticados dos compartilhamentos mais recentes e defina permissões mais restritivas, mesmo que seja apenas para “usuários do domínio”. Isso economizará muito tempo, caso precise configurar um compartilhamento com outra entidade.

Último privilégio

Sempre atribua permissões usando o conceito de “privilégio mínimo”. “Acesso necessário” deve ser traduzido como “somente leitura” e “controle total” deve ser concedido apenas aos administradores.

Grupos

Nunca atribua permissões a usuários individuais; use apenas grupos de domínio. É mais escalonável, mais fácil de auditar e pode ser transferido para novos usuários ou departamentos em expansão com muito mais facilidade do que permissões de usuários individuais.

Evite negar acesso

Se você tem um sistema de arquivos que o tenta a usar “Negar acesso” para consertar um “problema”, você provavelmente está fazendo algo errado. Reconsidere sua estrutura de diretório e as permissões de nível superior e mova esse arquivo de caso especial ou diretório para outro lugar para evitar o uso de Negar Acesso.

Auditoria

Se houver dados confidenciais lá, ative a auditoria e certifique-se de que o proprietário dos dados analise os registros regularmente para qualquer acesso impróprio. Não audite apenas falhas ou mudanças. Se o usuário errado simplesmente ler um arquivo, coisas ruins podem acontecer.

Correlação de log

Se você tiver mais servidores do que pode contar sem tirar os sapatos, terá muitos para verificar manualmente os registros de cada um. Use uma solução de registro que reúna os registros de todos os seus servidores para que você possa analisar facilmente os registros em busca de eventos interessantes e correlacionar os registros ao investigar os eventos.

Tempo

Use uma forma central de gerenciamento de tempo em sua organização para todos os sistemas, incluindo estações de trabalho, servidores e equipamentos de rede. O NTP pode manter todos os sistemas sincronizados e tornará os logs de correlação muito mais fáceis, pois todos os carimbos de data / hora estarão de acordo.

Certifique-se de que todos os seus hosts VM, o emulador de PDC do Active Directory, todo o seu equipamento de rede, seu SEM, seu sistema de câmera de vídeo e seus outros sistemas de segurança física estão todos configurados para usar a mesma fonte de tempo para que você saiba que a correlação entre os eventos irá ser preciso.

Há muitas coisas a serem feitas para garantir que sua rede seja o mais segura possível, então enfrente isso da mesma forma que comeria um elefante. Uma mordida de cada vez. Faça de 2021 o ano em que colocará sua casa de segurança em ordem e você estará no caminho certo para garantir que não seja notícia de primeira página em 2022.

Sobre a GFI Software

A GFI Software fornece segurança de web e email, arquivamento e fax, software de rede e segurança e soluções de TI hospedadas para pequenas e médias empresas (SMB) por meio de uma ampla comunidade global de parceiros.

Os produtos GFI estão disponíveis como soluções locais, na nuvem ou como um híbrido de ambos os modelos de entrega. Com tecnologia premiada, uma estratégia de preços competitiva e um forte foco nos requisitos exclusivos das SMBs, a GFI atende às necessidades de TI das organizações em uma escala global.

A empresa possui escritórios nos Estados Unidos, Reino Unido, Áustria, Austrália, Malta, Hong Kong, Filipinas e Romênia, que juntos suportam centenas de milhares de instalações em todo o mundo. A GFI é uma empresa focada em canais com milhares de parceiros em todo o mundo e também é Microsoft Gold ISV Partner.

Texto: GFI Software


Gostou deste conteúdo sobre segurança de rede? Leia artigos relacionados no blog da FCBrasil!