Segmentar redes pode ser a diferença entre ter todos os dispositivos de sua companhia infectados e conter ameaças antes que ela comprometam o negócio.

Fonte: Reprodução

Os últimos ataques globais de ransomware (WannaCry e NotPetya) chamaram a atenção por uma característica singular, a capacidade de se movimentar para outras máquinas da rede como um worm. Muito se falou na importância da aplicação de atualizações, já que o malware explorava a vulnerabilidade MS17-010, uma correção realmente importante e que não deve ser negligenciada, porém existem outras ações que poderiam minimizar muito o impacto da infecção do malware em uma empresa, dentre elas a segmentação de redes.

É importante ressaltar que, para que a segmentação tenha eficácia contra ataques deve conter um firewall, onde possam ser implementadas políticas que permitam somente a comunicação dos dispositivos que devem trocar dados pela necessidade do negócio. A segmentação realizada somente com o uso e configuração por roteadores, sem políticas adequadas, não é uma pratica eficaz para proteger os dados sensíveis da empresa. Preferencialmente, recomendamos um next generation firewall, que seja capaz de identificar as aplicações que trafegam entre as redes, assim como identificar malwares e tentativas de ataque.

Este tipo de conceito também é conhecido como zero trust network, pois nunca podemos garantir que uma determinada estação em nossa rede não esteja infectada, desta forma é natural que haja controle restrito na comunicação entre computadores e servidores internos.

Neste artigo citamos dois cenários que não possuem a segmentação e que podem ser comprometidos muito rapidamente, gerando grandes prejuízos à empresa, em seguida mostramos um cenário recomendado, com a devida segmentação de rede.

Cenário 1
No primeiro cenário utilizamos como exemplo a variante do NotPetya, em uma empresa com diversos setores, onde todas as estações de trabalho se encontram em uma mesma rede sem segmentação.

Cenário 1

Dada a habilidade do Petya de se movimentar entre máquinas, basta que ele explore uma primeira estação de trabalho para que então contamine outras fazendo um acesso através da porta 445. Aqui vale lembrar que outras máquinas podem ser contaminadas mesmo não tendo a vulnerabilidade, pois essa variante também coleta credenciais na primeira estação infectada e então as utiliza para tentar fazer um acesso via SMB em outras estações.

O resultado disso é que em poucos minutos o malware pode infectar todas as estações da rede, conforme ilustração abaixo.

Cenário 2
Neste segundo cenário demonstramos uma rede onde estações e servidores se encontram na mesma rede. Este tipo de topologia é extremamente simples de ser explorado por um atacante, pois basta que ele tenha acesso a uma das estações (através de um ataque bem-sucedido de phishing, por exemplo) para que consiga coletar credenciais e comprometer outras estações e servidores, de onde pode extrair informações sigilosas e valiosas da empresa.

Cenário 2

Cenário recomendado
No cenário abaixo vemos uma rede mais estruturada, segmentada através de firewall, onde há segregação entre diversos setores e também entre diferentes servidores. Nessa configuração, caso um atacante consiga acesso a estação de algum departamento, torna-se muito mais difícil que ele consiga comprometer outros departamentos ou servidores.

Isso se deve porque as políticas de segurança aplicadas ao firewall limitam o tráfego de informações entre os diferentes departamentos e dispositivos, caso haja a infecção do laptop no departamento financeiro, por exemplo, a ameaça não poderá se espalhar para o restante do ambiente, já que a comunicação entre eles estará bloqueada.

Cenário Recomendado

Conclusão
Neste artigo demonstramos os riscos e a facilidade com que uma empresa pode ser comprometida e como uma segmentação adequada pode ajudar a aumentar a segurança e diminuir os riscos ao negócio. O uso de soluções adequadas, que segmentem o ambiente de TI e redes é crucial, mas tão importante quanto ele é a criação, atualização e manutenção de políticas que digam ao firewall (neste exemplo) o que se deve bloquear ou não.

Carlos Guerrero é especialista de segurança da equipe de Managed Security Services da Cipher.