A defesa em profundidade refere-se a uma estratégia de segurança cibernética na qual vários produtos e práticas são usados para proteger uma rede.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Segurança de aplicativos web
O que é segurança de APIs?
O que é uma violação de dados?
O que é OWASP Top 10?
Teste de penetração
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
"Defesa em profundidade" (DiD) é uma estratégia de segurança cibernética que usa vários produtos e práticas de segurança para proteger a rede, as propriedades da web e os recursos de uma organização. Às vezes, é usada de forma intercambiável com o termo "segurança em camadas" porque depende de soluções de segurança em várias camadas de controle — física, técnica e administrativa — para evitar que invasores alcancem uma rede protegida ou um recurso local.
Originalmente, defesa em profundidade descrevia uma estratégia militar na qual uma linha de defesa era sacrificada para deter as forças adversárias. Apesar do nome semelhante, essa abordagem não é paralela a essa estratégia de segurança, na qual vários produtos trabalham juntos para manter os invasores e outras ameaças à distância.
O princípio orientador de uma estratégia de defesa em profundidade é a ideia de que um único produto de segurança não pode proteger totalmente uma rede de todos os ataques que ela possa enfrentar. No entanto, a implementação de vários produtos e práticas de segurança pode ajudar a detectar e evitar ataques à medida que surgem, permitindo que as organizações mitiguem efetivamente uma ampla gama de ameaças. Essa abordagem se torna cada vez mais importante à medida que as organizações escalam suas redes, sistemas e usuários.
Outra vantagem da segurança em camadas é a redundância. Se um invasor externo derrubar uma linha de defesa ou uma ameaça interna comprometer parte da rede de uma organização, outras medidas de segurança podem ajudar a limitar e mitigar os danos a toda a rede. Por outro lado, usar apenas um produto de segurança cria um único ponto de falha; se ele for comprometido, toda a rede ou sistema pode ser violado ou danificado como resultado.
Embora as estratégias de defesa em profundidade variem de acordo com as necessidades de uma organização e os recursos disponíveis, elas geralmente incluem um ou mais produtos nas seguintes categorias:
Controles de segurança física que defendem sistemas de TI, edifícios corporativos, data centers e outros ativos físicos contra ameaças como adulteração, roubo ou acesso não autorizado. Isso pode incluir diferentes tipos de controle de acesso e métodos de vigilância, como câmeras de segurança, sistemas de alarme, scanners de cartões de identificação e segurança biométrica (por exemplo, leitores de impressão digital, sistemas de reconhecimento facial etc.).
Controles técnicos de segurança que abrangem o hardware e o software necessários para evitar violações de dados , ataques DDoS e outras ameaças que visam redes e aplicativos. Os produtos de segurança comuns nesta camada incluem firewalls, gateways seguros da web (SWG), sistemas de detecção ou prevenção de intrusão (IDS/IPS), tecnologias de isolamento do navegador, software de detecção e resposta de endpoints (EDR), software de prevenção contra perda de dados (DLP), firewalls de aplicativos web (WAF) e software antimalware, entre outros.
Controles administrativos de segurança que se referem às políticas definidas por administradores de sistema e equipes de segurança que controlam o acesso a sistemas internos, recursos corporativos e outros dados sensíveis e aplicativos. Também pode incluir treinamento de conscientização de segurança para garantir que os usuários pratiquem uma boa higiene de segurança, mantenham os dados confidenciais e evitem expor sistemas, dispositivos e aplicativos a riscos desnecessários.
Além dos produtos e políticas de segurança, as organizações precisam implementar fortes práticas de segurança para limitar o risco de suas redes e recursos. Isso pode incluir um ou mais dos seguintes:
Acesso com o menor privilégio é o princípio de conceder aos usuários permissão para acessar apenas os sistemas e recursos de que precisam para sua função. Isso ajuda a minimizar o risco para o resto da rede se as credenciais de um usuário forem comprometidas e um usuário não autorizado tentar realizar um ataque ou acessar dados sensíveis.
Autenticação multifator (MFA), como o próprio nome sugere, requer várias formas de autenticação para verificar a identidade de um usuário ou dispositivo antes de permitir o acesso a uma rede ou aplicativo. A MFA normalmente inclui a prática de higiene de senha forte (ou seja, senhas complexas, difíceis de adivinhar e alteradas com frequência), estabelecer controles rígidos para dispositivos e verificar a identidade por meio de dispositivos e ferramentas externas (por exemplo, inserir um código de verificação a partir de um dispositivo móvel).
A criptografia protege os dados sensíveis de serem expostos a partes não autorizadas ou maliciosas. As informações são ocultadas pela conversão de texto não criptografado (informações que podem ser lidas por humanos) em texto criptografado (combinações geradas aleatoriamente de letras, números e símbolos).
A segmentação de rede ajuda a limitar a exposição de sistemas e dados internos a fornecedores, contratados e outros usuários externos. Por exemplo, configurar redes sem fio separadas para usuários internos e externos permite que as organizações protejam melhor as informações confidenciais de partes não autorizadas. A segmentação de rede também pode ajudar as equipes de segurança a conter ameaças internas, limitar a disseminação de malware e cumprir os regulamentos de dados.
A análise comportamental pode ajudar a detectar padrões de tráfego anormais e ataques à medida que ocorrem. Ela faz isso comparando o comportamento do usuário com uma linha de base de comportamento normal que foi observada no passado. Qualquer anormalidade pode acionar os sistemas de segurança para redirecionar o tráfego malicioso e evitar a realização de ataques.
Segurança Zero Trust é uma filosofia de segurança que reúne muitos dos conceitos acima, com a suposição de que as ameaças já estão presentes dentro de uma rede e nenhum usuário, dispositivo ou conexão deve ser confiável por padrão.
Essas são apenas algumas das práticas que devem ser empregadas em uma abordagem de segurança em camadas. À medida que os tipos de ataque continuam a evoluir para explorar vulnerabilidades em produtos de segurança existentes, novos produtos e estratégias devem ser desenvolvidos para destruí-los.
Uma estratégia eficaz de defesa em profundidade requer não apenas controles de segurança em camadas, mas também práticas de segurança integradas. Embora esses termos pareçam semelhantes, eles têm significados ligeiramente diferentes:
Pense na segurança em camadas como uma armadura adquirida de vários vendedores. Algumas peças da armadura podem ser mais novas ou de melhor qualidade do que outras; embora o usuário esteja protegido de muitos tipos de danos físicos, pode haver lacunas entre diferentes peças de armadura ou pontos fracos onde o usuário é mais vulnerável a ataques.
Por outro lado, a segurança integrada é como uma armadura personalizada. Pode consistir em peças diferentes (controles de segurança), mas cada uma delas é inerentemente projetada para trabalhar em conjunto para proteger o usuário — sem deixar lacunas ou pontos fracos.
Ao configurar soluções de segurança cibernética, no entanto, a compra de vários produtos de segurança de um único fornecedor nem sempre garante que uma organização esteja recebendo os benefícios de uma abordagem integrada. Para saber mais sobre esse tópico, consulte "O futuro da segurança dos aplicativos web".
O conjunto de segurança integrado da Cloudflare foi projetado para aprender e operar perfeitamente com outros produtos de segurança e performanceo. Por exemplo, o Cloudflare Bot Management bloqueia efetivamente a atividade maliciosa de bots por conta própria, mas ganha recursos adicionais quando combinado com o Cloudflare WAF, que permite que os clientes bloqueiem dinamicamente solicitações que parecem automatizadas e acionam outros identificadores.
A inteligência contra ameaças compartilhada também é um componente essencial na abordagem de defesa em profundidade da Cloudflare. Com milhões de propriedades da internet em sua vasta Rede global — abrangendo mais de 330 locais — a Cloudflare pode obter informações de padrões de tráfego e melhorar as defesas contra ameaças novas e em desenvolvimento.