A segurança de rede é o campo da segurança cibernética voltado para a proteção de redes de computadores contra ameaças cibernéticas. A segurança da rede tem três objetivos principais: impedir o acesso não autorizado aos recursos da rede; detectar e interromper ataques cibernéticos e violações de segurança em andamento; e garantir que os usuários autorizados tenham acesso seguro aos recursos de rede de que precisam, quando precisam.
À medida que as redes crescem em tamanho e complexidade, também aumenta o risco de ataques cibernéticos. Por exemplo, de acordo com o relatório Cost of a Data Breach (Custo de uma violação de dados) 2022 da IBM, 83% das organizações pesquisadas sofreram mais de uma violação de dados (uma violação de segurança que resulta em acesso não autorizado a informações confidenciais). Esses ataques eram caros: o custo médio global de uma violação de dados é de US$ 4,35 milhões, e o custo médio de uma violação de dados nos Estados Unidos é mais do que o dobro desse valor, US$ 9,44 milhões.
A segurança da rede protege a integridade da infraestrutura, dos recursos e do tráfego da rede para provocar esses ataques e minimizar seu impacto financeiro e operacional.
Os sistemas de segurança de rede funcionam em dois níveis: no perímetro e dentro da rede.
No perímetro, os controles de segurança tentam impedir que ameaças cibernéticas entrem na rede. Mas os invasores de rede às vezes invadem, então as equipes de segurança de TI também colocam controles em torno dos recursos dentro da rede, como laptops e dados. Mesmo que os invasores entrem, eles não terão reinado livre. Essa estratégia — colocar vários controles entre hackers e possíveis vulnerabilidades— é chamada de "defesa em profundidade".
Para criar sistemas de segurança de rede, as equipes de segurança combinam as seguintes ferramentas:
Um firewall é um software ou hardware que impede a entrada ou saída de tráfego suspeito de uma rede, permitindo a passagem de tráfego legítimo. Os firewalls podem ser implantados nas bordas de uma rede ou usados internamente para dividir uma rede maior em sub-redes menores. Se uma parte da rede for comprometida, os hackers ainda estarão isolados do resto.
Existem diferentes tipos de firewalls com recursos diferentes. Os firewalls básicos usam filtragem de pacotes para inspecionar o tráfego. Os Firewalls de próxima geração (NGFWs) mais avançados adicionam prevenção de intrusões, IA e aprendizado de máquina, reconhecimento e controle de aplicativos e feeds de inteligência de ameaças para proteção extra.
As soluções de controle de acesso à rede (NAC) atuam como gatekeepers, autenticando e autorizando os usuários a determinar quem é permitido na rede e o que podem fazer dentro dela. "Autenticação" significa verificar se um usuário é quem ele afirma ser. "Autorização" significa conceder permissão autenticada aos usuários para acessar os recursos da rede.
As soluções NAC são frequentemente usadas para impor políticas de controle de acesso baseado em função (RBAC), nas quais os privilégios dos usuários são baseados em suas funções de trabalho. Por exemplo, um desenvolvedor júnior pode ser capaz de visualizar e editar o código, mas não publicá-lo. Por outro lado, desenvolvedores seniors podem ler, escrever e enviar código para a produção. O RBAC ajuda a evitar violações de dados, mantendo usuários não autorizados longe de ativos que eles não têm permissão para acessar.
Além de autenticar usuários, algumas soluções de NAC podem fazer avaliações de risco nos endpoints dos usuários. O objetivo é impedir que dispositivos não protegidos ou comprometidos acessem a rede. Se um usuário tentar entrar na rede em um dispositivo com software anti-malware desatualizado ou configurações incorretas, o NAC negará o acesso. Algumas ferramentas avançadas de NAC podem corrigir automaticamente endpoints que não estejam em conformidade.
Um sistema de prevenção e detecção de intrusões (IDPS) — às vezes chamado de sistema de prevenção de intrusões (IPS) — pode ser implementado diretamente atrás de um firewall para verificar ameaças à segurança no tráfego de entrada. Essas ferramentas de segurança evoluíram de sistemas de detecção de intrusão (IDSs), que sinalizaram apenas atividades suspeitas para revisão. Os IDPSs têm a capacidade adicionada de responder automaticamente a possíveis violações, como bloquear o tráfego ou redefinir a conexão. As IDPSs são particularmente eficazes na detecção e bloqueio de ataques de força bruta e ataques de negação de serviço (DoS) ou de negação de serviço (DDoS) distribuída.
Uma rede privada virtual (VPN) protege a identidade do usuário criptografando seus dados e mascarando seu endereço IP e localização. Quando alguém usa uma VPN, não se conecta mais diretamente à Internet, mas a um servidor seguro que se conecta à Internet em seu nome.
As VPNs podem ajudar funcionários remotos a acessar redes corporativas com segurança, mesmo por meio de conexões Wi-Fi públicas não seguras, como as encontradas em cafeterias e aeroportos. As VPNs criptografam o tráfego de um usuário, mantendo-o protegido contra hackers que possam querer interceptar suas comunicações.
Em vez de VPNs, algumas organizações usam acesso de rede confiável (ZTNA). Em vez de usar um servidor proxy, o ZTNA usa políticas de controle de acesso de confiança zero para conectar usuários remotos com segurança. Quando os usuários remotos fazem login em uma rede por meio do ZTNA, eles não têm acesso a toda a rede. Em vez disso, eles só obtêm acesso aos ativos específicos que têm permissão para usar e devem ser verificados novamente sempre que acessarem um novo recurso. Consulte a seção "Uma abordagem de confiança zero para a segurança da rede" abaixo para obter uma visão mais detalhada de como funciona a segurança de confiança zero.
A segurança de aplicativos refere-se às etapas que as equipes de segurança adotam para proteger aplicativos e interfaces de programação de aplicativos (APIs) contra invasores de rede. Como muitas empresas atualmente usam aplicativos para realizar funções comerciais importantes ou processar dados confidenciais, os aplicativos são um alvo comum para os criminosos cibernéticos. E como muitos aplicativos de negócios são hospedados em nuvens públicas, os hackers podem explorar suas vulnerabilidades para invadir as redes privadas da empresa.
As medidas de segurança de aplicativos protegem os aplicativos de agentes mal-intencionados. Ferramentas comuns de segurança de aplicativos incluem firewalls de aplicativos da web (WAFs), autoproteção de aplicativos em tempo de execução (RASP), testes estáticos de segurança de aplicativos (SAST) e testes dinâmicos de segurança de aplicativos (DAST).
O IBM Security X-Force Threat Intelligence Index descobriu que o phishing é o vetor inicial de ataque cibernético mais comum. As ferramentas de segurança de e-mail podem ajudar a impedir ataques de phishing e outras tentativas de comprometer as contas de e-mail dos usuários. A maioria dos serviços de e-mail tem ferramentas de segurança incorporadas, como filtros de spam e criptografia de mensagens. Algumas ferramentas de segurança de e-mail apresentam sandboxes, ambientes isolados nos quais as equipes de segurança podem inspecionar anexos de e-mail em busca de malware sem expor a rede.
Embora as ferramentas a seguir não sejam estritamente ferramentas de segurança de rede, os administradores de rede geralmente as usam para proteger áreas e recursos em uma rede.
A prevenção contra perda de dados (DLP) refere-se a estratégias e ferramentasde segurança da informaçãoque garantem que dados confidenciais não sejam roubados nem vazados acidentalmente. O DLP inclui políticas de segurança de dados e tecnologias específicas que rastreiam fluxos de dados, criptografam informações confidenciais e emitem alertas quando atividades suspeitas são detectadas.
Soluções de segurança de endpoints protegem todos os dispositivos que se conectam a uma rede — laptops, desktops, servidores, dispositivos móveis, dispositivos IoT — contra hackers que tentam usá-los para entrar na rede. O software antivírus pode detectar e destruir trojans, spyware e outros softwares maliciosos em um dispositivo antes que ele se espalhe para o resto da rede. As soluções de detecção e resposta de endpoints (EDR) são ferramentas mais avançadas que monitoram o comportamento dos endpoints e respondem automaticamente a eventos de segurança. O software UEM (Gerenciamento unificado de endpoints) permite que as empresas monitorem, gerenciem e protejam todos os dispositivos do usuário final a partir de um único console.
Soluções de segurança na Web, como gateways da Web seguros, bloqueiam o tráfego malicioso da Internet e impedem que os usuários se conectem a sites e aplicativos suspeitos.
A segmentação de rede é uma forma de dividir grandes redes em subredes menores, fisicamente ou por meio de software. A segmentação de rede pode limitar a disseminação de ransomware e outros malwares, despertando uma subrede comprometida do resto da rede. A segmentação também pode ajudar a manter os usuários legítimos longe dos ativos que eles não deveriam acessar.
Segurança na nuvem as soluções protegem datacenters, aplicativos e outros ativos de nuvem contra ataques cibernéticos. A maioria das soluções de segurança na nuvem são simplesmente medidas padrão de segurança na rede, como firewalls, NACs e VPNs, aplicadas a ambientes de nuvem. Muitos provedores de serviços de nuvem incorporam controles de segurança em seus serviços ou os oferecem como complementos.
A análise do comportamento de usuários e entidades (UEBA) usa análise comportamental e aprendizagem automática para sinalizar atividades anormais de usuários e dispositivos. A UEBA pode ajudar a detectar ameaças internas e hackers que contrataram contas de usuários.
As redes tradicionais da empresa estavam centralizadas, com os principais endpoints, dados e aplicativos localizados no local. Os sistemas tradicionais de segurança de rede se concentram em impedir que as ameaças violem o perímetro da rede. Depois que um usuário entrou, ele foi tratado como confiável e recebeu acesso praticamente irrestrito.
No entanto, à medida que as organizações buscam a transformação digital e adotam ambientes de nuvem híbrida, as redes estão se tornando descentralizadas. Agora, existem recursos de rede em data centers na nuvem, endpoints locais e remotos e dispositivos móveis e IoT.
Os controles de segurança baseados em perímetro são menos eficazes em redes distribuídas, portanto, muitas equipes de segurança de TI estão mudando para estruturas de segurança de rede de confiança zero. Em vez de se concentrar no perímetro, a segurança de rede de confiança zero coloca os controles de segurança em torno de recursos individuais. Os usuários nunca confiam implicitamente. Toda vez que um usuário tenta acessar um recurso, ele deve ser autenticado e autorizado, independentemente de já estar na rede da empresa. Os usuários autenticados recebem apenas acesso com privilégios mínimos e suas permissões são revogadas assim que a tarefa é concluída.
A segurança de rede de confiança zero depende de políticas de acesso granulares, validação contínua e dados coletados do maior número possível de fontes — incluindo muitas das ferramentas descritas acima — para garantir que apenas os usuários certos possam acessar os recursos certos pelos motivos certos no momento certo.
Embora uma abordagem de defesa profunda possa proteger a rede de uma empresa, isso também significa que a equipe de segurança de TI precisa gerenciar vários controles de segurança separados. As plataformas de segurança de rede corporativa podem ajudar a simplificar o gerenciamento de segurança de rede, integrando ferramentas de segurança diferentes e permitindo que as equipes de segurança monitorem toda a rede a partir de um único console. Plataformas comuns de segurança de rede incluem:
O SIEM (Security Information and Event Management, gerenciamento de eventos e informações de segurança) coleta informações de ferramentas de segurança internas, agrega-as em um log central e sinaliza anomalias.
As soluções de orquestração, automação e resposta (SOAR) de segurança coletam e analisam dados de segurança e permitem que as equipes de segurança definam e executem respostas automatizadas a ameaças cibernéticas.
As ferramentas de detecção e resposta de rede (NDR) usam IA e aprendizado de máquina para monitorar o tráfego de rede e detectar atividades suspeitas.
Detecção e resposta estendida (XDR) é uma arquitetura aberta de segurança cibernética que integra ferramentas de segurança e unifica as operações de segurança em todas as camadas de segurança: usuários, endpoints, e-mail, aplicativos, redes, cargas de trabalho na nuvem e dados. Com o XDR, as soluções de segurança que não são necessariamente projetadas para trabalhar juntas podem interoperar perfeitamente na prevenção, detecção, investigação e resposta de ameaças. O XDR também pode automatizar fluxos de trabalho de detecção de ameaças, triagem de incidentes e caça a ameaças.
Capture ameaças ocultas à espreita na sua rede, antes que seja tarde demais. O IBM Security QRadar Network Detection and Response (NDR) ajuda suas equipes de segurança analisando a atividade da rede em tempo real. Ele combina profundidade e amplitude de visibilidade com dados e análises de alta qualidade para proporcionar insights e respostas práticos.
Proteja toda a sua rede com soluções de segurança de rede de última geração que reconhecem de forma inteligente até mesmo ameaças desconhecidas e se adaptam para evitá-las em tempo real.
Amplie sua equipe com habilidades, experiência e soluções de segurança comprovadas para proteger sua infraestrutura e rede contra ameaças sofisticadas de segurança cibernética.
O SIEM é uma solução de segurança para as empresas reconhecerem possíveis ameaças e vulnerabilidades de segurança antes que elas interrompam as operações de negócios.
A IDC reconheceu o IBM Security QRadar SIEM como líder em sua avaliação de fornecedores do IDC Marketscape de 2022. Obtenha os detalhes no relatório completo.
O IBM Security® X-Force® Threat Intelligence Index oferece aos CISOs, equipes de segurança e líderes de negócios insights acionáveis para entender ataques cibernéticos e proteger proativamente sua organização.