Eu sempre tento me definir como um administrador de sistemas consciente, mas do que como um especialista em segurança, pentester, investigador ou algo semelhante. Também tento me definir como uma pessoa bonita, inteligente, agradável, disponível, mas as coisas não vão por aí...

O título do post de hoje é uma brincadeira sobre a quantidade de siglas para os diversos postos de trabalhos que nos inundam e que devemos adicionar a nossa nem tão pequena lista de conceitos importantes. Para quem não sabe, SysAdmin trata-se de um Administrador de Sistemas, já CISO refere-se a Chief Information Security Officer (do inglês).

Nos últimos tempos, tenho colaborado com a empresa de um amigo para melhorar um pouco a sua segurança e, através da identificação de algumas necessidades, criei uma pequena lista de aspectos que considerei bastante interessante. Também achei oportuno adaptar e compartilhar com vocês essas tarefas, que qualquer administrador de sistemas deve controlar em suas infraestruturas. Talvez algumas sejam óbvias, ou talvez algumas sirvam para melhorar o seu trabalho diário.

#1. Técnicas anti-fingerprinting

Do resultado de um pentest externo foi possível perceber como é interessante trabalhar escondendo todas as informações que possam estar disponíveis nos serviços expostos. Por exemplo, trocar a pasta de administração do CMS, alterar o logotipo e o banner do serviço, coletar o kernel para alterar o comportamento do Stack TCP xD, etc.

#2. Firewall e monitorização dos logs

Embora seja importante contar com um sistema de firewall para a rede perimetral, também é preciso ampliar a segurança a nível de servidor e, inclusive, de estações – tanto de entrada como de saída. A gestão dos logs e as decisões em consequência dessa gestão são coisas básicas nas tarefas diárias de um bom administrador. Por isso, é importante garantir que todos os firewall se comportem como esperamos.

#3. Web application firewall

Os aplicativos devem ser protegidos da mesma forma que os demais serviços oferecidos por uma organização. Contar com um sistema WAF nos permite colaborar para a redução de ataques 0-day que usam técnicas conhecidas, mas não sanadas pelo provedor, ou por nós mesmos. Também nos ajuda como técnica de anti-fingerprinting.

#4. Sistema de detecção/prevenção de intrusos

Identificar atividades suspeitas é o primeiro passo para parar esse tipo de atividade. Seja manualmente ou dinamicamente, devemos atuar contra esse registro. Por exemplo, um port scanner passar despercebido para um firewall se o tempo entre tentativas de verificação, ou mesmo de um ataque de força bruta, seja ultrapassado. Minha experiência indica que, ao final, o IDS ajuda inclusive para assuntos de rendimento, por exemplo, quando encontra um multicast suspeito de algum dispositivo mal configurado.

#5. Honeypots

Trabalhar com honeypots ou “equipamentos armadilha” é altamente recomendável para entender o comportamento dos códigos maliciosos quando ocorre uma infecção. Ter sistemas de alerta associados ao honeypot, ou um sistema de prevenção IPS, é estar um passo à frente na prevenção de um futuro ataque contra um serviço.

#6. Política de atualização de aplicativos web

Ter um sistema que acompanhe as atualizações dos portais web é algo básico. Se você usa um WordPress, como o CMS, deve ativar a opção “receber novidades” para estar sempre atualizado sobre as atualizações. Cada provedor tem seus próprios canais de informação de segurança e é fundamental estar ciente.

Em uma próxima publicação, veremos outros elementos (também importantes) que devem ser conferidos por meio da administração de sistemas. Depois de tudo isso, também podemos dizer que, o SysAdmin também é um dos protagonistas no que se refere a gestão de segurança.

Leia também: 5 dicas para melhorar a relação com o seu sysadmin.