Aumentando a segurança do sistema operacional
Já falamos em nosso blog sobre como aumentar (ou endurecer) a segurança em um servidor com Windows Server, hoje o tema será semelhante mas com foco em sistemas operacionais no geral.
O cuidado para fortalecer (ou endurecer) o sistema operacional é recomendável e essencial numa época com ataques à segurança cibernética aumentando constantemente. Porém será que os fabricantes tem evoluído os seus sistemas afim de manter os dados protegidos dos invasores? A resposta curta é não, por isso elaboramos esse post.
O que é fortalecer (ou endurecer) o sistema operacional?
Todos os sistemas operacionais modernos são projetados para serem seguros por padrão, mas nas na maioria dos sistemas é possível adicionar recursos extras de segurança e modificar as configurações padrão de forma a tornar o sistema menos vulnerável a ataques. Por isso o objetivo principal é adicionar medidas extras de segurança ao sistema operacional, a fim de fortalecê-lo contra ataques cibernéticos.
Podemos pensar nesse processo como se fosse um sistema de segurança instalado em nossa casa ou na instalação de trancas nas portas. Embora a casa tenha sido construída para ser basicamente segura, essas medidas extras fornecem uma confiança adicional de que intrusos não conseguirão ultrapassar as defesas básicas da residência.
O fortalecimento do sistema operacional é especialmente importante em situações onde o sistema enfrenta riscos de segurança acima da média, como um servidor da Web exposto à internet ou um servidor de arquivos que contém dados sujeitos a requisitos de privacidade. No entanto, dada a alta taxa de ataques cibernéticos atualmente, o endurecimento do sistema operacional é uma prática recomendada mesmo em servidores com riscos médios de segurança.
Lista de verificação de proteção do sistema operacional
As etapas exatas para proteger um sistema operacional variam dependendo do tipo de sistema operacional, seu nível de exposição à internet, os tipos de aplicativos que ele hospeda e outros fatores.
No entanto, a seguinte lista de verificação de proteção do sistema operacional é um bom começo para endurecer qualquer tipo de sistema operacional:
#1 – Ajuste fino do firewall
O sistema operacional pode ou não ter um firewall configurado por padrão. Mesmo que tenha um firewall em execução, as regras de firewall podem não ser tão rígidas quanto poderiam ser. Por essa razão, o fortalecimento do sistema operacional deve envolver a revisão das configurações do firewall e sua modificação, de modo que o tráfego seja aceito somente a partir dos endereços IP e das portas das quais é estritamente necessário.
Quaisquer portas abertas não essenciais são um risco de segurança desnecessário.
#2 – Controle de acesso
Windows, Linux e Mac OS X oferecem recursos de gerenciamento de usuários, grupos e contas que podem ser usados para restringir o acesso a arquivos, redes e outros recursos. Mas esses recursos geralmente não são tão rígidos quanto poderiam ser por padrão.
Revisá-los para garantir que o acesso a um determinado recurso seja concedido apenas a usuários que realmente precisam dele é muito recomendável.
Por exemplo, um servidor Linux onde cada conta de usuário tem acesso de leitura aos diretórios iniciais de outros usuários, se esse acesso não for realmente necessário para a aplicação do servidor, deve-se alterar as permissões de arquivo afim de bloquear acessos desnecessários.
#3 – Antivírus
Dependendo do tipo de sistema a se proteger e da carga de trabalho envolvida, pode ser indicado um software antivírus para detectar e corrigir malwares.
Por exemplo, numa estação de trabalho Windows em que os usuários abrirão mensagens de e-mail, ter um software antivírus instalado fornecerá segurança extra útil caso os usuários abram um anexo de arquivo mal-intencionado.
#4 – Atualizações de software
Na maioria dos casos, as atualizações automáticas de software são uma boa ideia, pois ajudam a manter seu sistema à frente das ameaças de segurança à medida que surgem. Mas, em determinadas situações, pode-se querer evitar atualizações automáticas, exigindo que o suporte de TI aprove-as, minimizando o risco de uma atualização interromper um serviço crítico.
#5 – Isolando dados de carga de trabalho
Para o fortalecimento do sistema operacional , é uma boa ideia isolar dados e cargas de trabalho o máximo possível. Seja hospedando diferentes bancos de dados ou aplicativos dentro de diferentes máquinas virtuais ou contêineres, ou restringindo o acesso à rede entre diferentes cargas de trabalho.
Assim, se um invasor conseguir controlar uma carga de trabalho, ele não será necessariamente capaz de acessar outras pessoas também.
Isso é muito comum encontrarmos em bases de conhecimento Microsoft que tratam do projeto e implantação de servidores, não é recomendado inserir serviços como DHCP e DNS e um servidor controlador de domínio.
#6 – Desativando recursos desnecessários
Também é uma prática recomendada desativar quaisquer recursos do sistema operacional não utilizados. Por exemplo, se o servidor Linux executar uma interface gráfica por padrão, mas o acesso ocorre somente por meio de um cliente SSH, é interessante desinstalar completamente a interface gráfica.
Da mesma forma, se uma estação de trabalho Windows tiver o Skype instalado por padrão, mas os usuários não utilizarem o comunicador, recomenda-se desativar ou desinstalar o programa. Além de consumir recursos do sistema desnecessariamente, os recursos que não estão sendo usados criam possíveis brechas de segurança.
Fortalecimento do sistema operacional X Proteção de dados
Mesmo com todas as ações acima, ainda é impossível garantir imunidade contra ataques. Mesmo um computador totalmente desconectado da internet pode ser comprometido por meio de um software mal-intencionado instalado a partir de um pendrive.
Assim como nenhum tipo de segurança em casa pode garantir que um ladrão não consiga invadir a residência, nenhum computador pode ser considerado completamente seguro.
É por isso que é essencial fazer o backup dos dados, com uma estratégia de backup eficaz é possível ter um alto grau de confiança sobre a proteção das informações, mesmo que os sistemas que hospedam os dados em produção sejam comprometidos. O fortalecimento do sistema operacional é muito eficiente em manter a alta disponibilidade dos sistemas.
Nesse sentido, pode-se pensar em backups de dados como uma apólice de seguro a casa. Em uma casa com seguro, há a garantia de compensação no caso de alguém invadir e roubar objetos como eletrônicos, apesar dos melhores esforços para proteger a casa, alguém ainda será capaz de invadir e roubar os pertences.
De forma semelhante, um plano de backup de dados efetivo garante que, independentemente do que acontecer com os sistemas, sempre terá um backup no caso de ransomware, DDoS ou outro tipo de ataque ultrapassar os recursos de proteção.
Conclusão
Dedicar um pouco de tempo ao fortalecimento do sistema operacional pode economizar muito tempo a longo prazo, diminuindo o risco de um ataque cibernético bem-sucedido contra os sistemas e dados.
Ainda assim, é impossível impedir ataques completamente. Nenhuma estratégia de proteção do sistema operacional é suficiente, a menos que seja acompanhada por uma estratégia de backup de dados, que serve como sua linha final de defesa no caso de algo dar errado.
Somos especialistas em implantação, monitoramento e suporte a estações Mac/Windows e servidores Linux/Windows, temos mais de 15 anos de experiência na área e milhares de equipamentos gerenciados. Se a sua empresa precisa de atendimento nessa área, faça contato conosco.