dado o quão complexo é o tema da segurança cibernética no mundo de alta tecnologia de hoje, muitas organizações sentem a necessidade de abordá-lo de vários ângulos. Eles adquirem uma solução antivírus de um fornecedor, adicionam um firewall de um diferente, e usam um sistema totalmente separado para gerenciar permissões de acesso.
mas ultimamente, a tendência mudou para uma abordagem mais centralizada, abraçando o conceito de controle de acesso à rede (NAC)., As soluções da NAC são projetadas para aumentar a segurança geral de sua infraestrutura interna através da aplicação de políticas em todos os usuários e dispositivos.
Get the Free Pen Testing Active Directory Environments ebook
um único produto da ESAN pode não bloquear todos os potenciais ciberataques, mas irá diminuir significativamente o nível de risco dos activos de dados mais críticos da sua organização.,como escolher uma solução FAQ de controlo de acesso à rede FAQ
por que investir numa solução de controlo de acesso à rede (NAC)?
soluções NAC tornaram-se uma ferramenta extremamente valiosa nos últimos anos, como dispositivos móveis e a Internet das Coisas (IoT) têm aumentado a proeminência em várias indústrias em todo o mundo. Estas novas peças de tecnologia emergente vêm com seu próprio conjunto de vulnerabilidades, o que coloca um desafio aos especialistas em segurança de TI.,
Felizmente, os produtos NAC são projetados para lidar com grandes redes empresariais que têm uma gama de tipos de dispositivos tentando se conectar em todos os momentos. Sem uma ESAN em vigor, as empresas assumem uma enorme quantidade de risco adotando uma política de trazer-o-seu-próprio-dispositivo (BYOD), que permite que funcionários e vendedores usem seus próprios smartphones e tablets na rede local. A NAC solutions requer um investimento inicial, mas provam o seu valor a longo prazo.,
capacidades das soluções de controlo de acesso à rede
o objectivo principal de qualquer produto da ESAN é defender todo o perímetro da rede de uma organização, incluindo tanto a infra-estrutura física como quaisquer sistemas baseados na nuvem que estejam ligados entre si. As ferramentas NAC são principalmente proativas na natureza, o que significa que eles procuram bloquear ou parar ataques antes que eles se tornem uma realidade. Mas algumas soluções de monitoramento como Varonis também ajudarão um grupo de TI a gerir incidentes a partir de um portal central.,
NAC para vendedores ou parceiros
a fim de serem bem sucedidos numa indústria de ritmo acelerado, as empresas precisam de ser capazes de se integrar de forma fácil e eficiente com os seus fornecedores e parceiros terceiros. Às vezes, isso pode ser conseguido através do compartilhamento de feeds de dados brutos, mas em muitos casos, a verdadeira integração rede-a-rede é necessária para uma experiência sem descontinuidades.
Quando se trata de controles de acesso à rede, a parte complicada é fornecer acesso à rede para seus fornecedores e parceiros sem se expor a novos canais de ataque., Uma solução NAC muitas vezes inclui um cliente virtual private network (VPN) para permitir que usuários externos tenham acesso a recursos internos através de um canal seguro. Claro, toda a atividade será registrada através da ferramenta NAC para que possa ser monitorada.
NAC for Incident Response
novos produtos NAC estão agora a ser construídos em cima de inteligência artificial e tecnologias de aprendizagem de máquinas. O que isso significa para as equipes de TI é que certas partes do processo de resposta a incidentes podem ser automatizadas., Em vez de desperdiçar esforço tentando isolar um problema e impedir que ele se espalhe, você agora pode se concentrar em devolver os sistemas a plena capacidade.por exemplo, digamos que um hacker consegue sequestrar um sensor IoT localizado na sua rede corporativa. A ferramenta NAC será capaz de identificar que esta peça de hardware foi comprometida e desativar seu acesso automaticamente para limitar o escopo do ataque.,
NAC para o BYOD
Como mencionado anteriormente, a grande maioria das empresas, hoje, estão adotando uma política de BYOD para permitir que os funcionários usem seus próprios dispositivos pessoais no trabalho, em vez de desperdiçar fundos para a compra de cada pessoa o seu próprio hardware dedicado. Mas isso torna a tarefa de segurança de TI muito mais difícil, uma vez que você não tem controle total sobre como os dispositivos funcionarão em sua rede.
com uma solução NAC, geralmente, a regra é que qualquer novo dispositivo será bloqueado da rede interna até que ele cumpra os critérios da Política de segurança da organização., Como empregado, isso significa que você deve instalar o aplicativo ou cliente aprovado pela NAC em seu dispositivo, a fim de obter acesso total aos recursos internos.quando os empregados trazem o seu próprio hardware para o trabalho, normalmente os dispositivos usam um sistema operacional comum que pode ser facilmente controlado. O mesmo não é verdade para produtos IoT, que não têm interfaces de usuário normais e podem estar executando software proprietário. Dito isto, a NAC solutions ainda é capaz de incluir hardware IoT em suas políticas de acesso.,
uma função chave de qualquer sistema NAC é a capacidade de inventariar e marcar cada peça desconhecida de hardware dentro da rede. Dessa forma, você pode categorizar dispositivos IoT em grupos que têm permissão limitada com o que eles podem e não podem fazer. A NAC tools irá monitorar constantemente a atividade da IoT para garantir que os próprios dispositivos não foram sequestrados por forasteiros, como aconteceu com o infame incidente Mirai botnet em 2016.,
As Entradas e Saídas de uma política de controle de acesso à rede
fora da caixa, uma ferramenta da ESAN pode trazer um monte de valor para a sua organização, monitorando o perímetro da rede para ameaças e ataques. No entanto, o sistema não vai realmente provar o seu valor até que você construir uma política de controle de acesso à rede dentro dele. Uma política da ESAN é uma lista de regras, específicas da sua empresa, que determina quem pode acessar os recursos.o que é o sistema de controle de acesso à rede?, E como usá-lo
o sistema CAD é responsável por armazenar as Políticas de acesso da organização e aplicá-las a cada pedido que é submetido. Isto é tipicamente feito através de um processo de duas fases: autenticação e autorização. Se qualquer das etapas falhar, o pedido é bloqueado para preservar a segurança da rede. Isto é o que se chama segurança de confiança zero.
durante a autenticação, o sistema NAC pede ao utilizador para introduzir credenciais para verificar a sua identidade. Isto pode ser feito através de uma verificação de nome de utilizador / senha ou de uma análise biométrica., Após a autenticação estar completa, o sistema NAC passa para a fase de autorização, onde consulta as Políticas de acesso local e verifica se o pedido do Usuário é aprovado ou não.
como criar uma lista de controle de acesso à rede
configurar uma lista de ACN pela primeira vez pode ser um pouco tedioso. Você precisa olhar para cada pedaço de hardware dentro de sua rede e cada usuário dentro de sua organização para entender como a segurança deve ser configurada. Felizmente, existem algumas boas práticas que você pode seguir para tornar o processo mais eficiente.,
em primeiro lugar, adoptar uma estrutura baseada no papel para a sua lista de CAD. Isto significa que, em vez de definir políticas para cada usuário, você agrupa funcionários em papéis baseados em sua função de trabalho e construir políticas de acesso dessa forma. O outro passo fundamental é usar o princípio do menor privilégio (POLP), que instrui as equipes de TI a fornecer apenas aos usuários os níveis de acesso que eles absolutamente precisam para cumprir seus deveres.,
os Passos para Implementar Soluções de NAC
por Isso pode ser tentador para correr para fora e comprar um NAC produto e, em seguida, instalá-lo rapidamente sobre o seu hardware, especialmente se você está preocupado que sua empresa pode estar suscetível a cibernético. No entanto, é importante dar um passo atrás e planejar toda a implementação de sua solução NAC. Aqui estão os principais passos a seguir:
recolha de dados
Antes de poder implementar com sucesso uma solução da ESAN, deve realizar uma pesquisa exaustiva de todos os parâmetros dentro da sua rede., Isto inclui todos os dispositivos, servidores e peças de equipamento que têm de interface com os recursos digitais. Sem esta informação, o seu sistema NAC lutará para proteger toda a organização.
gerir identidades
a seguir, tem de decidir como irá gerir identidades de Utilizador dentro da sua organização. Isto volta ao tópico de autenticação e autorização. Seus sistemas de diretórios existentes devem ser configurados para verificar identidades de usuário, e então você pode ir sobre determinar como os papéis de permissão devem ser configurados.,
Determine permissões
lembre-se das regras do POLP ao criar políticas de permissão: apenas conceda o acesso ao nível absolutamente necessário para que um indivíduo desempenhe as suas funções. Caso contrário, você corre o risco de abrir seus sistemas para atacar através de falhas de segurança que você não sabia que existia.
aplique permissões
dentro da sua ferramenta NAC, deverá ser capaz de integrar o seu sistema de pastas existente ou então importar as suas políticas de permissões directamente., Todos os funcionários, parceiros e fornecedores devem ser registrados no sistema NAC como Usuário para que seus níveis de acesso e atividade possam ser rastreados.
actualizar conforme necessário
tenha sempre em mente que gerir os controlos de acesso à rede não é uma tarefa única. Sua equipe de TI deve continuar a monitorar as operações de segurança e fazer ajustes nas políticas de permissão com base em como a organização evolui ao longo do tempo.,
como escolher uma solução de controle de acesso à rede
como discutido anteriormente, os produtos NAC de hoje visam cobrir uma ampla gama de casos de uso para aumentar a segurança geral de sua empresa. Isso pode tornar difícil encontrar a solução certa para sua empresa, especialmente se você não sabe quais são suas fraquezas de segurança interna.
o que procurar numa solução ACN?
para ajudar a reduzir a sua procura por produtos da ESAN, deve primeiro concentrar-se nas ferramentas que oferecem integração nativa com o software existente da sua empresa., Você não quer ter que mudar sua infra-estrutura ou design de rede, a fim de colocar a solução NAC online. Se você é fortemente dependente de uma arquitetura de nuvem, em seguida, procurar soluções que são totalmente suportados pelo seu provedor de hospedagem.em seguida, pense sobre que tipo de ferramentas proativas vêm incluídas com a suíte NAC. Alguns fornecedores oferecem pacotes all-in-one que apresentam um utilitário de varredura de vírus completo e mecanismo de firewall ao lado de tudo o resto no NAC. Se a sua estratégia de segurança de TI não é muito madura, este tipo de suite pode ser muito útil.,
claro, um fator chave ao olhar para as opções da ESAN é o ponto de preço. Alguns fornecedores vão vender seus produtos a uma taxa fixa, enquanto outros estão rapidamente indo a rota do Software como uma assinatura de serviço (SaaS), um modelo de Negócio cada vez mais popular que requer um pagamento mensal e contrato em curso. Pense sobre o estado de seu orçamento de TI ao lembrar que o investimento inicial poderia economizar muito dinheiro ao longo da estrada.,
5 produtos e soluções de controle de acesso à rede
Agora vamos olhar mais profundamente em cinco opções da ESAN e como eles se empilham entre si em termos de características e funcionalidade.
- Cisco Identity Services Engine-Cisco é um dos líderes em tecnologia de rede, por isso não é surpresa que eles tenham uma solução robusta da ESAN. Ele suporta 1,5 milhões de endpoints por implantação e inclui recursos de IA para uma resposta mais rápida a incidentes.a solução NAC oferecida pela Pulse Secure é totalmente capaz de proteger dispositivos móveis e hardware IoT em sua rede., As Políticas de permissão podem ser criadas através de um assistente fácil de usar e podem ser ampliadas para suportar 50.000 usuários concorrentes em sua organização.Aruba ClearPass-o foco da solução NAC de Aruba é fornecer informações em tempo real sobre quais dispositivos estão em sua rede e como eles estão sendo usados. Ele pode ser associado com a Firewall de Aplicação da Política de Aruba para reduzir o risco de ataques externos.FortiNAC-a Fortinet oferece uma gama de soluções de segurança, incluindo um produto NAC que pode lidar com ambientes físicos e virtuais., O melhor de tudo, FortiNAC é especialmente projetado para se integrar com mais de 150 produtos de fornecedores para ajudar a completar sua estratégia de cibersegurança.contraproposta ForeScout-o produto NAC de ForeScout foi concebido para reunir todos os seus silos de segurança e criar um portal de gestão único. Ele é especialmente projetado para lidar com qualquer tipo de hardware IoT e ajudá-lo a automatizar o monitoramento de segurança desses dispositivos.
FAQ De Controle de acesso à rede
vamos rever algumas das questões mais comuns que surgem ao avaliar diferentes opções e produtos da ESAN.,
Q: O que não é uma variável com a qual uma lista de controle de acesso à rede possa filtrar o tráfego?
A: uma variável que pode ser difícil de rastrear é a localização geográfica. Devido à forma como as redes de área ampla e VPNs são configurados, os endereços IP nem sempre correspondem às coordenadas físicas. Isso significa que você não pode necessariamente filtrar controles de acesso com base em onde uma pessoa está localizada.
Q: Há quanto tempo existe o acesso à rede?,
A: O conceito de controle de acesso à rede existe desde os primeiros dias da Internet, mas o termo em si não ganhou popularidade até 2006. Isso foi quando grandes empresas como a Microsoft e a Cisco começaram a montar padrões para como as permissões de acesso devem ser gerenciadas.
Q: O Que Faz A camada de controle de acesso à rede?
A: A camada de controle de acesso à rede é responsável pelo tratamento da autenticação e autorização dos pedidos do Usuário. Isto tipicamente ocorre na camada 2 do modelo de interconexão de sistemas abertos (OSI), também conhecida como camada de ligação de dados.,
Q: O que é o Controle de acesso de Análise de rede Social?
A: controle de acesso de Análise de rede Social é a prática de como sites e aplicações de redes sociais públicas gerem a complexa rede de permissões, que controlam como os usuários podem ver ou modificar diferentes pedaços de dados.
Q: Como testar os dispositivos de controlo do acesso à rede?
A: Com uma prática conhecida como teste de penetração, as empresas irão contratar grupos externos para testar a resistência de um perímetro de rede e ver que tipos de dispositivos podem ser vulneráveis a problemas de controle de acesso.,
Pensamentos finais
No mundo actual de ciberataques e violações de dados, confiar numa única ferramenta antivírus ou firewall não é suficiente para proteger a infra-estrutura e sistemas da sua empresa. Para a maioria das organizações, os dados digitais são o ativo mais valioso que têm e uma ferramenta como Varonis é capaz de gerenciar, classificar e proteger esses dados.com esse nível de Supervisão, você pode implementar um sistema geral de controle de acesso à rede para ajudar a proteger seus sistemas de ameaças externas., O objetivo deve ser sempre restringir o acesso a apenas indivíduos autorizados e dispositivos que atendam aos padrões de segurança de sua organização.
confira a demonstração Live Cyber Attack para ver como Varonis aumenta a sua solução NAC.