Na era do controle de dados, as informações nestas áreas precisam ser protegidas.
Por Paulo Henrique de Oliveira Diniz
Cada vez mais os ambientes de videomonitoramento se tornam relevantes e essenciais para a operação das empresas, não só pelo aspecto da segurança, mas também pelo ponto de vista comercial que envolve a entrega de informações, alimentam BI (Business Intelligence) e o auxiliam na tomada de decisões.
Toda a carga de relevância colocada nesse ambiente gera a obrigatoriedade de planejá-lo de forma eficiente, flexível e segura para que não sejam prejudicados por ataques e possíveis falhas, que não gerem incidentes ou que estes sejam rapidamente mitigados sem comprometer dados sensíveis e importantes.
Para garantir e atingir os níveis necessários de segurança são necessárias boas práticas que quando aplicadas, conseguem entregar resiliência, segurança, robustez e capacidade de expansão.
Veja algumas delas abaixo:
1 –Planejar o Ambiente
O planejamento é primordial em qualquer ocasião. Na nossa vida, por exemplo, ele traz muitos benefícios, entre eles evitar incidentes. Em projetos de videomonitoramento isso não é diferente. Nesse momento, temos a possibilidade de juntar os atores e partes interessadas do projeto debatendo e testando, encontrando pontos de falha além de elencar os requerimentos, necessidades e focos de atenção que serão a base para o dimensionamento do ambiente em termos de políticas de segurança, performance e atuação de cada componente.
2 – Segmentar as redes, reduzindo a superfície de ameaça
Ambientes segmentados de rede são menos complexos de administrar, escaláveis e facilitam o gerenciamento dos ativos e aplicação das políticas de segurança.
Aliada às políticas de segurança, a segmentação reduz o tamanho do domínio de broadcast e a superfície de ameaça, utilizando o VLSM (Variable Length Subnet Masking) e a VLANs conseguimos reduzir o alcance e impacto de algumas ameaças como vírus ou malwares, por exemplo, que se disseminam nas redes layer 2 prioritariamente. Exemplo: se uma estação de trabalho for comprometida, o ambiente de servidores pode ficar protegido e a ameaça contida no segmento de estações de trabalho, sendo rapidamente corrigido. Assim, teríamos minimamente três segmentos de rede: câmeras, servidores/gravadores e estações de trabalho. Estes, concentrados em um equipamento do tipo firewall UTM/NGFW, operando a análise de ameaças e aplicando as políticas de segurança entre as redes e acessos.
3 – Analisar para controlar e mitigar
De nada adianta segmentar a rede com várias VLANs e uma super VLSM se o tráfego não for analisado e limitado ao que realmente deve trafegar entre elas.
Quando se inicia o planejamento, como comentado no primeiro tópico, os requerimentos de comunicação do ambiente devem ser levantados com os fluxos, as origens/destinos e as portas/protocolos necessários, tudo isso se traduzindo nas políticas de segurança que serão aplicadas no firewall de borda e que fará a intermediação entre a comunicação dessas subredes.
Somado a essas políticas básicas de firewall (protocolo/porta), temos a capacidade de proteger os ativos e o ambiente utilizando regras de antivírus, application control, web filtering e o uso de IPS (Intrusion Prevention System) para proteção direta dos servidores e clientes. Da mesma forma, esse equipamento pode atuar como um concentrador de VPNs e até mesmo como borda de internet provendo recursos de segurança para o acesso à internet e à nuvem.
Uma boa prática importante nesse plano de fluxos, portas e protocolos é a modificação das portas padrão dos protocolos quando possível, assim, dificultamos a resposta ao escaneamento do ambiente.
4 – Dar acesso a quem precisa
Tão importante quanto controlar os tráfegos entre as redes ou segmentá-las é dar direito a quem realmente necessita. O controle de usuários é algo extremamente importante em um ambiente seguro. Esse controle inicia com a alteração das senhas de fábrica dos equipamentos e a não utilização dos usuários “admin” desses equipamentos, cada pessoa deve ter o seu usuário quando necessário e de forma restrita ao seu nível e requerimento de acesso.
Um exemplo a se destacar é que de forma básica, cada pessoa deve ter o seu usuário para acesso aos ativos e esse acesso possuindo os direitos necessários para que ele possa fazer o seu trabalho. Também não adianta restringir apenas por restringir porque provavelmente o tiro sairá pela culatra.
Outro ponto importante nessa construção é a implantação do controle de ingresso à rede, ou seja, controlar o equipamento que está espetado na porta de rede e identificar se realmente é uma câmera habilitada, ou estação de trabalho, ou servidor, ou NVR etc. Esse equipamento é o conhecido NAC (Network Access Control), ele controla e valida se o equipamento conectado à rede realmente pode se conectar e se possui os requerimentos mínimos para tal conexão.
5 – Criptografar o que for possível
Com o advento das capacidades dos chips e protocolos, a criptografia já vem por padrão nos ativos e não onera a performance. Hoje, conseguimos ter o fluxo de vídeo já criptografado da câmera até o armazenamento utilizando os protocolos e com o advento das unidades de disco alto criptografadas. Da mesma forma, componentes como base de dados e sistemas de arquivos também podem e devem se utilizar da criptografia para proteção de dados.
Esse ambiente, operando de forma criptografada, auxilia na não exposição de dados sensíveis em caso de vazamento. Um HD pode até ser roubado, mas a informação dentro dele não será exposta por não estar inteligível. Assim como o ambiente pode sofrer um ataque do tipo “man in the middle” e copiar os fluxos de vídeo, mas os dados também não serão inteligíveis pelo atacante.
6 – Informação nunca é demais
Hoje a informação vale mais que dinheiro, desta forma é vital monitorar tudo que acontece no ambiente. Um monitoramento proativo entrega informação e capacidade de antever possíveis problemas de performance ou inoperância de componentes. Minimamente informações como: estado dos ativos e links, CPU e memória dos ativos e a quantidade de tráfego que está passando pelos links e interfaces, auxiliam na descoberta de pontos de saturação, equipamentos defeituosos e mostram quando é necessário expansões e até mesmo se estão ocorrendo ataques na rede dependendo da análise do comportamento dela.
Adicionalmente aos dados de performance e estado dos ativos, é importantíssimo salvar os logs do que ocorre na rede. Essa guarda auxilia em ocorrências e nas necessidades de investigações e fortifica a implantação da LGPD. Deve-se logar todo as atividades de usuários, ingressos na rede e ocorrências alarmadas pelo firewall ou ativos de rede.
Soluções free como Zabbix, Grafana e Servidores Syslog, quando bem implantadas, fornecem o mínimo de dados e até mesmo certo nível de BI para a tomada de decisão e controle do ambiente.
Toda essa guarda de informações deve estar alinhada com os prazos que determinam as leis em vigência, projetando o ambiente com capacidade para o mínimo de tempo necessário.
Os tópicos acima são apenas uma base de boas práticas e técnicas que caso implementadas, fortalecem a robustez, resiliência e segurança do ambiente e sempre devem caminhar junto com a tríade das pessoas, processos e equipamentos ajudando a alcançar os resultados esperados nos projetos.
Paulo Henrique de Oliveira Diniz é engenheiro de soluções na Avantia.
Fique por dentro desta matéria que saiu na Revista Segurança Eletrônica.