O que é defesa em profundidade?

O princípio da defesa em profundidade afirma que uma organização não deve confiar em uma única linha de defesa para protegê-la contra possíveis ameaças. O problema com uma única linha de defesa é que, se ela falhar, a organização fica vulnerável à defesa.

 

Com a defesa em profundidade, a organização terá várias linhas de defesa em toda a organização. Dessa forma, há uma probabilidade maior de que, se um invasor passar por uma linha de defesa, uma linha posterior bloqueará ou detectará o ataque.

Saiba mais Solicite uma demo

O que é defesa em profundidade?

Como funciona a defesa em profundidade

O cenário de ameaças cibernéticas está em constante evolução, e as empresas estão enfrentando ameaças cibernéticas mais numerosas e sofisticadas do que nunca. Como resultado, as estratégias tradicionais de segurança cibernética focadas na proteção do perímetro não são mais eficazes. Em muitos casos, os invasores estão dentro do perímetro ou os ativos corporativos vitais, como a computação em nuvem, estão fora dele.

A defesa em profundidade envolve a criação de várias linhas de defesa para proteger a organização contra possíveis ameaças. Isso pode incluir etapas como a segmentação da rede, mas também deve incorporar vários tipos de tecnologias de segurança. Por exemplo, as defesas em nível de rede contra malware podem ser ampliadas por soluções de segurança de endpoint, como antimalware, plataformas de proteção de endpoint (EPP) e detecção e resposta de endpoint (EDR).

O ideal é que uma organização possa identificar e bloquear tentativas de ataques no nível da rede antes que eles cheguem ao dispositivo da organização e causem possíveis impactos. No entanto, a defesa em profundidade oferece a capacidade de detectar e bloquear um ataque em andamento que tenha passado despercebido pelas defesas de uma organização.

Estratégias de defesa em profundidade

As organizações podem implementar a defesa em profundidade em seus ambientes de TI. A seguir, alguns exemplos de estratégias para implementar a defesa em profundidade para lidar com várias ameaças.

Segurança da conta

Os ataques de sequestro de conta são uma ameaça comum a uma organização que corre o risco de um invasor obter acesso à conta de um usuário legítimo com todas as suas permissões associadas. Um exemplo de uma estratégia de defesa em profundidade para a segurança da conta seria:

 

  • Segurança da senha: Como as senhas são um mecanismo de autenticação comum, exigir senhas fortes, exclusivas e complexas torna mais difícil adivinhá-las ou violá-las de outra forma.
  • Autenticação multifatorial (MFA): A MFA exige vários fatores para autenticação em uma conta, o que torna mais difícil para um invasor tirar proveito de uma senha comprometida.
  • Mínimo privilégio: O princípio do privilégio mínimo afirma que um usuário, sistema, aplicativo etc. deve ter apenas as permissões e o acesso necessários para realizar seu trabalho. A implementação do privilégio mínimo limita os danos que um invasor pode causar com uma conta comprometida.
  • Monitoramento comportamental: O monitoramento comportamental permite que uma organização detecte ações suspeitas, mal-intencionadas ou perigosas de um usuário autenticado. A empresa pode então bloquear essas ações e iniciar a resposta ao incidente.

Segurança de dados

Os dados são o ativo mais valioso da maioria das empresas. A defesa em profundidade para a segurança de dados pode incluir os seguintes controles:

  • Criptografia: a criptografia é um controle fundamental de segurança de dados. Os dados criptografados só podem ser acessados com as chaves de criptografia apropriadas, o que dificulta o acesso ou o abuso por parte de usuários não autorizados.
  • Controles de acesso: Os controles de acesso podem ser usados para gerenciar o acesso a sistemas, dados e aplicativos. A implementação de controles de acesso com privilégios mínimos impede que os usuários acessem dados sem autorização.
  • Data Loss Prevention (DLP): As soluções DLP são projetadas para impedir que dados confidenciais fluam para fora da organização. Isso ajuda a garantir que os usuários autorizados não coloquem em risco dados corporativos e de clientes confidenciais.
  • Backup e recuperação: Além do roubo, os dados correm o risco de perda ou criptografia por malware. Os sistemas de backup e recuperação ajudam a empresa a se recuperar rapidamente de eventos que interrompem os negócios.

Segurança da endpoint

O dispositivo corporativo pode ser alvo de malware e outras ameaças. Os elementos de uma estratégia de defesa em profundidade para a segurança do endpoint incluem:

 

  • Sistema de detecção e prevenção de intrusão (IDPS): Um IDPS - instalado no nível da rede ou do endpoint - pode identificar e bloquear conteúdo mal-intencionado antes que ele chegue ao dispositivo do usuário.
  • Software antivírus (AV): Um AV usa assinaturas para identificar e bloquear variantes de malware conhecidas que obtiveram acesso a um dispositivo.
  • Plataforma de proteção de endpoints (EPP): A EPP oferece proteção mais sofisticada, identificando e evitando infecções por malware usando aprendizado de máquina (ML) e inteligência de ameaça.
  • Detecção e resposta de endpoint (Endpoint Detection and Response, EDR): O EDR apoia os esforços dos responsáveis pela resposta a incidentes para remediar uma infecção por malware residente em um dispositivo corporativo.

Segurança da rede

 

A segurança da rede protege a organização contra ameaças internas e externas. As soluções que podem ser usadas para implementar a defesa em profundidade para a rede incluem:

  • firewall: Um firewall define um limite de rede e permite a inspeção de todo o tráfego que entra e sai da rede corporativa. O firewall pode bloquear ameaças de entrada e impedir que dados confidenciais deixem a rede.
  • Rede privada virtual (VPNs): Uma VPN ou uma solução de acesso remoto seguro semelhante fornece aos usuários remotos acesso criptografado à rede corporativa e permite que a organização gerencie e monitore o acesso remoto a aplicativos e sistemas corporativos.
  • Gateway seguro: Um gateway seguro monitora e protege o tráfego da rede segura para a Internet e a nuvem. Isso ajuda a impedir a entrada de conteúdo malicioso por meio de infecção ou conteúdo malicioso da Web.
  • Segmentação de rede: A segmentação da rede divide a rede corporativa em partes com base na finalidade e no nível de classificação. O tráfego entre segmentos é inspecionado, permitindo que a organização detecte e bloqueie tentativas de movimentação lateral por parte de um adversário dentro do perímetro da rede.

Defesa em profundidade com a Check Point

Defense in depth requires an array of security solutions and the ability to monitor and manage them all effectively. Check Point’s Workspace Security Suite of solutions offers the capabilities that organizations need and the ability to operate them as a single, integrated security architecture.

To learn more about Check Point Workspace Security’s capabilities, sign up for a free demo. Then, register for a demo of Check Point’s unified security platform to see how to architecture, monitor, and secure a defense in depth architecture at scale.