Por que o monitoramento de dispositivos de rede é crítico para a segurança da rede

Uma infraestrutura de rede segura é crítica para as organizações, e isso requer um acompanhamento próximo do que está acontecendo com roteadores, switches e outros network devices. Você precisa ser capaz de detectar e investigar rapidamente ameaças à sua segurança perimetral, como alterações não autorizadas nas configurações, tentativas suspeitas de login e ameaças de varredura. Por exemplo, não detectar mudanças impróprias nas configurações do seu network device de maneira oportuna deixará sua rede suscetível a invasores quebrando a segurança da sua rede e até mesmo ganhando controle sobre ela.

Neste post do blog, compartilho os 4 principais problemas que a auditoria de dispositivos de rede pode ajudar a resolver e ofereço um procedimento de 3 passos para começar a auditar seus dispositivos de rede de forma eficaz.

Principais 4 problemas de segurança para dispositivos de rede

Problema # 1: Dispositivos mal configurados

Alterações de configuração impróprias são uma das principais ameaças associadas a dispositivos de rede. Uma única alteração imprópria pode enfraquecer a segurança do seu perímetro, levantar preocupações durante auditorias regulatórias e até causar interrupções dispendiosas que podem paralisar sua empresa. Por exemplo, um firewall mal configurado pode dar aos atacantes acesso fácil à sua rede, o que poderia levar a danos duradouros à sua organização.

A auditoria de dispositivos de rede combinada com capacidades de alerta fornecerá a visão e o controle que você precisa. Ao permitir que você identifique rapidamente mudanças de configuração impróprias e entenda quem alterou o quê, a auditoria promove uma melhor responsabilização dos usuários e ajuda a detectar incidentes de segurança potenciais antes que eles causem problemas reais.

Problema # 2: Logons não autorizados

A maioria das tentativas de iniciar sessão em um dispositivo de rede são ações válidas por parte dos administradores de rede — mas algumas não são. A incapacidade de detectar prontamente tentativas de início de sessão suspeitas deixa sua organização vulnerável a atacantes tentando hackear seu caminho para a rede. Portanto, você precisa ser alertado imediatamente sobre eventos incomuns, como um dispositivo sendo acessado por um administrador em um feriado ou fora do horário comercial, tentativas de início de sessão mal-sucedidas e a modificação de direitos de acesso, para que o pessoal de TI possa agir para evitar um comprometimento de segurança.

Having network device monitoring and alerting in place is also essential for compliance audits, so you can provide evidence that you keep a close watch on privileged users and their activities on your devices (e.g., who is logging in and how often).

Edição # 3: Logons de VPN

Muitas organizações implementam acesso a redes privadas virtuais (VPN) para melhorar a segurança das conexões remotas, mas existem muitos riscos associados que não devem ser ignorados. A prática mostra que as VPNs não são 100% seguras e qualquer conexão VPN é um risco. Idealmente, os direitos de acesso aos recursos da rede via VPN são concedidos apenas após aprovações adequadas e os usuários podem acessar apenas os ativos de que precisam para realizar seus trabalhos. Na realidade, as conexões VPN geralmente podem ser usadas por qualquer pessoa na organização sem nenhuma aprovação.

Portanto, você precisa ser capaz de identificar ameaças, como um usuário se conectando via Wi-Fi público (já que alguém pode roubar suas credenciais) e um usuário que normalmente não trabalha com VPN de repente começando a usá-la (o que pode ser um sinal de que um usuário perdeu seu dispositivo e outra pessoa está tentando fazer login com ele). Monitorar cuidadosamente seus dispositivos de rede e manter o controle de cada tentativa de logon na VPN ajudará você a entender rapidamente quem tentou acessar seus dispositivos de rede, o endereço IP de cada tentativa de autenticação e a causa de cada falha no logon da VPN.

Problema #4: Escaneamento de ameaças

A varredura de rede não é um processo inerentemente hostil, mas hackers frequentemente a utilizam para aprender sobre a estrutura e o comportamento de uma rede para executar ataques na rede. Se você não monitorar seus dispositivos de rede contra ameaças de varredura, pode não perceber atividades impróprias até que ocorra uma data breach e seus dados sensíveis sejam comprometidos.

O monitoramento e alerta de dispositivos de rede ajudarão você a defender proativamente sua rede contra ameaças de varredura, respondendo a perguntas como qual host e sub-rede foram varridos, de qual endereço IP a varredura foi iniciada e quantas tentativas de varredura foram feitas.

Estudo de caso: Falhas de segurança em dispositivos de rede da D-Link deixam usuários vulneráveis a ataques

A experiência demonstra que muitos incidentes de segurança começam com ataques a dispositivos de rede. Portanto, quaisquer vulnerabilidades nesses dispositivos representam um grande risco para os sistemas e dados de uma organização. Um exemplo é uma grande falha de segurança nos dispositivos D-Link que foi descoberta em 2016 por pesquisadores da startup de segurança Senrio. Eles relataram que um problema de estouro de pilha em uma câmera Wi-Fi, D-Link DCS-930L, permitiu que eles alterassem silenciosamente a senha do administrador para a interface de gerenciamento baseada na web. Essa vulnerabilidade poderia ter sido usada por atacantes para sobrescrever senhas de administrador e instalar malware nos dispositivos. Em resposta ao relatório, a D-Link prometeu lançar uma atualização de firmware para o DCS-930L para corrigir a vulnerabilidade e começou a testar o impacto da falha em seus outros modelos.

Esta não foi a última vez que a D-Link falhou em descobrir por si só vulnerabilidades graves em seus dispositivos. Em 2018, um pesquisador da Universidade de Tecnologia da Silésia na Polônia reportou que oito modelos de roteadores D-Link da linha “DWR” da empresa, voltada para pequenos escritórios e uso doméstico, são vulneráveis a uma tomada de controle completa. Desta vez, a D-link disse que irá corrigir apenas dois dos oito dispositivos afetados; os outros não receberão mais suporte.

Começando com a auditoria de dispositivos de rede

Três passos básicos ajudarão você a começar com o monitoramento adequado da infraestrutura de rede. Estas são recomendações gerais que devem ser adaptadas às necessidades da sua organização; você precisa conhecer bem o seu ambiente de TI e processos de negócios para auditar seus dispositivos de rede da maneira mais eficaz.

• Avalie regularmente os riscos e realize testes de penetração.

Você precisa entender sua área de superfície de ataque e detectar vulnerabilidades que podem colocá-lo em risco. Avaliações regulares de risco ajudarão muito aqui, mas, idealmente, você também deve realizar testes de penetração regulares para identificar falhas em seus dispositivos de rede antes que hackers possam descobrir e explorá-los.

• Determine quais dispositivos você precisa auditar.

Não existe uma lista definitiva de dispositivos de rede que você precisa auditar; isso dependerá das especificidades do seu negócio, da sua indústria e do tamanho e arquitetura da sua rede. Eu definitivamente recomendo que você monitore os dispositivos responsáveis pelos ativos mais críticos da sua organização, bem como todos os dispositivos conectados à internet.

• Determine a frequência da auditoria.

Uma das perguntas comuns é com que frequência você precisa auditar seus dispositivos de rede. Nenhum padrão de conformidade define um prazo específico para a auditoria de dispositivos de rede, e a prática mostra que isso depende da natureza do seu negócio e da complexidade da sua infraestrutura de rede. Uma diretriz comum é realizar verificações mensais do estado geral dos seus dispositivos de rede e garantir que você receba alertas imediatos sobre atividades suspeitas que possam representar uma ameaça ao seu ambiente de rede, como uma mudança na configuração de um dispositivo.