Segurança de endpoint
Segurança de endpoint

Segurança de Endpoint

[note note_color=”#21ab5136″ text_color=”#2c2c2d” radius=”3″ class=”” id=””]Bem-vindo: este tópico faz parte do Capítulo 10 do curso Cisco CCNA 2, para um melhor acompanhamento do curso você pode ir para a seção CCNA 2 para orientá-lo durante um pedido.[/note]

Ataques à Rede Hoje

A mídia de notícias geralmente cobre ataques a redes corporativas. Basta pesquisar na Internet os “últimos ataques de rede” para encontrar informações atualizadas sobre os ataques atuais. Provavelmente, esses ataques envolverão um ou mais dos seguintes:

  • Negação de serviço distribuída (DDoS) – é um ataque coordenado de muitos dispositivos, chamados zumbis, com a intenção de degradar ou interromper o acesso público ao site e aos recursos de uma organização.
  • Violação de dados – é um ataque no qual os servidores de dados ou hosts de uma organização são comprometidos para roubar informações confidenciais.
  • Malware – é um ataque no qual os hosts de uma organização são infectados com software malicioso que causa uma variedade de problemas. Por exemplo, ransomware como WannaCry, mostrado na figura, criptografa os dados em um host e bloqueia o acesso a ele até que o resgate seja pago.
Ataques à rede hoje

Dispositivos de segurança de rede

Vários dispositivos de segurança de rede são necessários para proteger o perímetro da rede de acesso externo. Esses dispositivos podem incluir um roteador habilitado para rede privada virtual (VPN), um firewall de próxima geração (NGFW) e um dispositivo de controle de acesso à rede (NAC).

Clique em cada dispositivo de segurança de rede para obter mais informações

Um roteador habilitado para VPN fornece uma conexão segura para usuários remotos em uma rede pública e na rede corporativa. Os serviços VPN podem ser integrados ao roteador.

Roteador habilitado para VPN

Um NGFW fornece inspeção de pacotes com estado, visibilidade e controle de aplicativos, um sistema de prevenção de intrusão de última geração (NGIPS), proteção avançada contra malware (AMP) e filtragem de URL.

NGFW

Um dispositivo NAC inclui serviços de autenticação, autorização e contabilidade (AAA). Em empresas maiores, esses serviços podem ser incorporados a um dispositivo que pode gerenciar políticas de acesso em uma ampla variedade de usuários e tipos de dispositivos. O Cisco Identity Services Engine (ISE) é um exemplo de dispositivo NAC.

NAC

Endpoint Protection

Dispositivos de LAN, como switches, controladores de LAN sem fio (WLCs) e outros dispositivos de ponto de acesso (AP) interconectam pontos de extremidade. A maioria desses dispositivos é suscetível aos ataques relacionados à LAN que são abordados neste módulo.

Mas muitos ataques também podem se originar de dentro da rede. Se um host interno for infiltrado, ele pode se tornar um ponto de partida para um ator da ameaça obter acesso a dispositivos críticos do sistema, como servidores e dados confidenciais.

Endpoints são hosts que normalmente consistem em laptops, desktops, servidores e telefones IP, bem como dispositivos pertencentes a funcionários, normalmente chamados de trazer seus próprios dispositivos (BYODs). Os endpoints são particularmente suscetíveis a ataques relacionados a malware que se originam por meio de e-mail ou navegação na web. Esses terminais normalmente usam recursos de segurança baseados em host tradicionais, como antivírus / antimalware, firewalls baseados em host e sistemas de prevenção de intrusão baseados em host (HIPSs). No entanto, os terminais de hoje são mais bem protegidos por uma combinação de NAC, software AMP baseado em host, um dispositivo de segurança de e-mail (ESA) e um dispositivo de segurança da web (WSA). Os produtos Advanced Malware Protection (AMP) incluem soluções de endpoint, como Cisco AMP for Endpoints.

A figura é uma topologia simples que representa todos os dispositivos de segurança de rede e soluções de endpoint discutidos neste módulo.

Endpoint Protection

Cisco Email Security Appliance

Os dispositivos de segurança de conteúdo incluem controle refinado sobre e-mail e navegação na web para os usuários de uma organização.

De acordo com o Talos Intelligence Group da Cisco, em junho de 2019, 85% de todos os e-mails enviados eram spam. Os ataques de phishing são uma forma particularmente virulenta de spam. Lembre-se de que um ataque de phishing induz o usuário a clicar em um link ou abrir um anexo. O spear phishing tem como alvo funcionários ou executivos de alto nível que podem ter credenciais de login elevadas. Isso é particularmente importante no ambiente atual, onde, de acordo com o SANS Institute, 95% de todos os ataques a redes corporativas são resultado de um ataque de spear phishing bem-sucedido.

O Cisco ESA é um dispositivo projetado para monitorar o protocolo SMTP. O Cisco ESA é constantemente atualizado por feeds em tempo real do Cisco Talos, que detecta e correlaciona ameaças e soluções usando um sistema de monitoramento de banco de dados mundial. Esses dados de inteligência de ameaças são obtidos pelo Cisco ESA a cada três a cinco minutos. Estas são algumas das funções do Cisco ESA:

  • Bloqueie ameaças conhecidas.
  • Corrija o malware furtivo que evitou a detecção inicial.
  • Descarte e-mails com links ruins (como mostrado na figura).
  • Bloqueie o acesso a sites recém-infectados.
  • Criptografe o conteúdo do e-mail de saída para evitar perda de dados.

Na figura, o Cisco ESA descarta o e-mail com links inválidos.

Cisco Email Security Appliance
  1. O ator da ameaça envia um ataque de phishing a um host importante na rede.
  2. O firewall encaminha todos os e-mails para o ESA.
  3. O ESA analisa o e-mail, registra-o e, se for malware, o descarta.

Cisco Web Security Appliance

O Cisco Web Security Appliance (WSA) é uma tecnologia de mitigação para ameaças baseadas na web. Ajuda as organizações a enfrentar os desafios de proteger e controlar o tráfego da web. O Cisco WSA combina proteção avançada contra malware, visibilidade e controle de aplicativos, controles de política de uso aceitável e relatórios.

O Cisco WSA oferece controle completo sobre como os usuários acessam a Internet. Certos recursos e aplicativos, como chat, mensagens, vídeo e áudio, podem ser permitidos, restritos com limites de tempo e largura de banda ou bloqueados, de acordo com os requisitos da organização. O WSA pode executar a lista negra de URLs, filtragem de URL, varredura de malware, categorização de URL, filtragem de aplicativo da Web e criptografia e descriptografia do tráfego da web.

Na figura, um funcionário interno da empresa usa um smartphone para tentar se conectar a um site conhecido na lista negra.

Cisco Web Security Appliance
  1. Um usuário tenta se conectar a um site.
  2. O firewall encaminha a solicitação do site ao WSA.
  3. O WSA avalia o URL e determina que é um site conhecido na lista negra. O WSA descarta o pacote e envia uma mensagem de acesso negado ao usuário.

Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.