07 de maio de 2020

Para uma migração segura para o trabalho remoto, sua empresa deve estar bem preparada em termos de segurança, e pra isso é necessário um bom sistema de VPN

vpn

Com o aumento repentino de profissionais trabalhando remotamente, a Agência da União Europeia para a Cibersegurança (ENISA), emitiu um comunicado alertando todos sobre o risco de ataques de hackers aproveitando-se da vulnerabilidade das redes domésticas.

Ainda que o alerta tenha ocorrido em solos europeus, a mensagem vale para o mundo todo – que está mais vulnerável já que nem todos estávamos preparados para isso.

A mudança repentina de hábitos abre espaços para falhas humanas e o uso de dispositivos comprometidos, e é por isso que uma empresa deve possuir ao menos um serviço de Virtual Private Network (VPN) para manter a troca de dados entre servidor e rede, seguros.

Segurança na VPN (Virtual Private Network)

A VPN (também conhecidas como Redes Privadas Virtuais) são responsáveis pela conexão segura entre dados de uma organização e os seus colaboradores.

Durante o regime de home office, a VPN é uma das alternativas mais populares para proporcionar essa conexão segura através do processo de tunelamento, e às vezes também criptografada entre servidor (neste caso, a organização/empresa) e os usuários (colaboradores).

Protocolo de Tunelamento

O protocolo de tunelamento é responsável pela segurança entre o que é solicitado pelo servidor e o que é enviado no processo. Ele oculta essas informações de forma que não seja possível sua visualização até que chegue ao usuário final, no caso o colaborador.

O objetivo disso é criar uma dificuldade para que hackers identifiquem o que está sendo feito pelo usuário e com quais arquivos ele está trabalhando.

Como um reforço ao tunelamento, temos o processo de criptografia, que se baseia em codificar o que está sendo enviado de modo que somente a VPN possa ler as informações presentes.

Assim, ainda que um cibercriminoso consiga quebrar a barreira de tunelamento, ele ainda não conseguiria as informações que ambicionava.

Quais os tipos de VPN?

O meio de conexão mais utilizado no meio empresarial é a conexão de VPN Corporativa, visto que esse é um dos mais seguros meios de garantir a comunicação remota entre organização e colaboradores.

A partir da configuação, a corporação pode permitir o acesso da VPN para seus colaboradores acessarem sua intranet com os protocolos de credenciamento adequados a sua política de proteção de dados.

Isso pode acontecer com uso de uma pré-configuração ou de aplicações como o Standalone VPN, utilitário comum entre empresas de pequeno e médio porte.

A partir dele é possível conectar-se por uma aplicação especifica. Também é usual seu uso em faculdades, que assim podem liberar o acesso de estudantes credenciados aos seus servidores e internet.

Outra opção é o Browser VPN, que permite ao usuário se manter no anonimato ao acessar determinados endereços. Esse tipo de VPN, focado na navegação, é preferidopara acesso a endereços restritos devido a sua função de geolocalização.

Temos também a opção de roteadores que conectam e criptografam diversos aparelhos ao mesmo tempo e sem maiores configurações. A grande desvantagem de se apostar em um Router VPN, é que essa solução pode sair um pouco mais cara, pois possui a necessidade de se comprar um aparelho específico.

De onde vem a segurança de uma conexão VPN?

Comumente o mais utilizado protocolo de segurança utilizado é PPTP, devido a sua velocidade e facilidade de configurar. Além disso ele é suportado praticamente todo tipo de aparelho e sistema operacional. Entretanto, ele não apresenta segurança considerável e é aconselhado apenas para sistemas obsoletos. Outros tipos de protocolo incluem:

Layer 2 Tunneling Protocol (L2TP/IPSec)

Esse tipo de protocolo é uma união entre o popular PPTP da Microsoft e um sistema de hardware em rede criado pela Cisco. É o mais popular para acesso de VPN em redes corporativas.

A sua arquitetura transfere as informações de forma que não possam ser acessadas antes de chegarem ao destino final.

Um processo bastante seguro, mas que não conta com encriptação. Por isso ao utilizar esse tipo de protocolo é preciso também alia-lo ao protocolo de segurança IPSec, que fornecerá a camada de tunelamento.

Secure Socket Tunneling Protocol (SSTP)

Criado pela Microsoft, esse protocolo é semelhante aos utilizados no acesso com SSL.

Isso significa que seu funcionamento ocorre da seguinte forma: ele transmite suas informações de forma segura entre servidor e usuário, e apenas eles têm permissão de visualizar os dados enviados.

Internet Key Exchange, version 2 (IKEv2)

Uma melhoria do Internet Key Exchange, o IKEv2 foi desenvolvido para aprimorar a função de troca de chaves dinâmicas e autenticação de parceiros em uma VPN.

É considerado uma excelente opção para dispositivos móveis, porém não realiza encriptação de dados e por isso é recomendado o uso simultâneo do IPSec.

OpenVPN

Um dos mais utilizados protocolos de VPN no mundo, o OpenVPN é uma tecnologia de licença aberta que realiza autenticação ponto-a-ponto pelo sistema de chaves, certificados ou usuário e senha. Embora não seja compatível com IPSec, o OpenVPN possui o próprio sistema de encriptação, OpenSSL.

Atualmente é considerado um dos melhores no quesito segurança e é um dos mais populares do mundo.

Por que é importante o uso de VPNs no home office?

Obviamente, a primeira necessidade é a segurança da informação compartilhada entre empresa e colaborador, já que sem essas conexões, a troca de dados se torna muito suscetível a ataques de cibercriminosos.

Em determinadas circunstancias, a navegação pode ser ameaçada por agentes maliciosos que interceptam a troca de dados e coletam informações pessoais e empresariais como números de cartões, códigos de acesso e arquivos privados.

Além disso, é preciso considerar que a partir do momento que o colaborador utiliza um dispositivo particular para acessar o ambiente de trabalho virtual, ele expõe toda a rede ao risco de malwares do seu sistema doméstico.

Imagine keyloggers, que buscam por dados corporativos, como também possíveis infecções de unidades, já que ao utilizar uma máquina particular, os critérios de segurança naturalmente serão mais baixos que os padronizados na empresa por não estarem sujeitos a mesma politica de segurança da informação.

Mesmo que certos servidores em nuvem possuam proteção base na proteção de transferência de informações com o usuários, como no caso de websites certificados com SSL, é importante sempre lembrar de não confiar apenas nestes recursos de segurança.

As vulnerabilidades podem não partir de novidades tecnológicas

A Engenharia Social pode representar uma grande vulnerabilidade durante períodos de adaptação como esse, e por isso, a Compugraf preparou um guia muito completo sobre o tema. Confira!

ebook engenharia social
eboo

Como a sua empresa lida com o acesso remoto dos arquivos corporativos?

Converse com um especialista em segurança da informação da Compugraf para descobrir como sua empresa pode implementar as melhores soluções de segurança durante a transformação digital e a mudança para o trabalho remoto!

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?