Varonis | Segurança de dentro para fora

Saiba como a tecnologia NAC pode ajudar a combater as ameaças cibernéticas

Escrito por Emilia Bertolli | Aug 16, 2022 10:14:00 PM

Frustrado com a lerdeza do wi-fi no quarto de hotel – e irritado com o difícil upsell para uma velocidade de nível premium – tomei o assunto em minhas próprias mãos e conectei meu roteador de viagem diretamente à rede com fio sem limite do hotel. 

Na verdade, não esperava que isso funcionasse; certamente uma cadeia internacional de hospitalidade teria algum tipo de controle básico de acesso à rede (NAC) em vigor. Mas meu upgrade instantâneo de velocidade sugeriu duas coisas: 1) tive sucesso em minha busca e 2) esse grupo de hotéis precisa trabalhar sua segurança na rede. 

O que é controle de acesso à rede (tecnologia NAC)? 

NAC é um termo genérico para uma solução que concede acesso à rede a dispositivos com base em um ou diversos critérios. Esses critérios podem ser baseados em autenticação (somente usuários autorizados têm acesso à rede), postura de segurança (apenas dispositivos com sistemas atualizados e antivírus podem se conectar) ou qualquer outro critério (fabricante do dispositivo, funcionário, nível de acesso, etc.). 

As soluções modernas de tecnologia NAC podem ser flexíveis e poderosas, com aplicação baseada em políticas que permitem níveis de controle de acesso granular, mas escaláveis, e que também podem ser aplicadas a redes com e sem fio. 

Por que investir em uma solução de tecnologia NAC? 

A maioria dos protocolos e padrões subjacentes em redes pode não atender a uma perspectiva moderna de segurança de rede. A Ethernet, por exemplo, foi projetada para conectividade e não possui mecanismos de autenticação ou autorização, e é por isso que não precisei provar minha identidade ao me conectar a rede cabeada no quarto. A tecnologia NAC muda essa equação, adicionando um conjunto definível de condições que devem ser atendidas antes de liberar acesso aos dispositivos. 

As soluções tornaram-se uma ferramenta valiosa para melhorar a segurança de rede, servindo para lidar com o aumento da adoção do Bring Your Own Device (BYOD) e Internet das Coisas (IoT), além de ajudar a reduzir ameaças avançadas de dia zero, produção de segmentos e tráfego de convidados e simplificar o provisionamento de dispositivos como telefone VoIP entre outros. 

As redes Wi-Fi corporativas talvez sejam a melhor maneira de ilustrar os benefícios do controle de acesso à rede. Se em casa, é possível compartilhar a chave de acesso com outros familiares e amigos, em uma rede corporativa, esse modelo que já é inseguro se torna ainda mais arriscado. A tecnologia NAC permite que cada funcionário (ou dispositivo) se autentique de forma exclusiva e fornece um mecanismo muito mais robusto para rastrear os logins no caso de um incidente. 

O que compõe uma solução de tecnologia NAC? 

As soluções de tecnologia NAC são construídas em torno de políticas que são definidas em um servidor central e aplicadas por elementos da infraestrutura de rede (switches, roteadores, firewalls, etc.). Servidores separados também podem ser usados para autenticação, autorização e monitoramento e muitas soluções NAC aproveitam o protocolo IEEE 802.1x para autenticação e aplicação e geralmente usam um software proprietário para o servidor de políticas e monitoramento de endpoint. 

As primeiras soluções de NAC consistiam principalmente no gerenciamento e aplicação de políticas. Soluções atuais também se baseiam nisso, mas adicionam recursos como perfil de endpoint, gerenciamento de convidados, visibilidade e análise, além de suporte expandido para ambientes BYOD. Muitos produtos também contornam os limites tradicionais entre o NAC e outros tipos de soluções e são oferecidos como parte de uma oferta superior de segurança. 

O que é uma política de controle de acesso à rede? 

Muitos dos benefícios da tecnologia NAC vêm das políticas. Em vez de aprovar/negar manualmente o acesso por dispositivo ou usuário, um administrador de rede pode definir as condições necessárias para ao cesso. O NAC não é necessariamente tudo ou nada, e políticas avançadas podem conceder aos usuários um nível diferente de acesso à rede. Os dispositivos também podem ser colocados em quarentena, dando-lhes acesso suficiente para atualizar o software ou realizar ações corretivas sem que trafeguem no restante da rede interna. 

O modelo baseado em políticas usado na maioria das soluções de controle de acesso à rede permite uma grande escalabilidade e flexibilidade. Os administradores podem adicionar ou editar políticas a qualquer momento e alterar regras quase instantaneamente. Esse é um recurso crítico quando utilizado contra ameaças rápidas, como worms ou ransomware, que podem explorar vulnerabilidades divulgadas recentemente. Durante momentos de alto risco, uma empresa consegue reduzir drasticamente seu risco isolando máquinas não corrigidas do resto da rede. 

Tipos de rede de controle de admissão 

Há um grande número de soluções de tecnologia NAC e cada uma pode operar de forma diferente. Como regra geral, há duas maneiras pelas quais o controle de rede pode ser aplicado: 

  • O controle de pré-admissão aplica as políticas NAC antes que um dispositivo tenha acesso à rede. Se o dispositivo não atender às condições, ele não será admitido. A maioria das implementações NAC usa controle de pré-admissão. 
  • O controle pós-admissão aplica as políticas NAC depois que um dispositivo teve acesso à rede. Talvez haja tráfego suspeito vindo do dispositivo ou ele se conecte a algo que não deveria acessar, ou as políticas foram atualizadas à medida que novas ameaças de segurança são descobertas. 

O NAC também pode ser configurado com base em como os mecanismos de tomada de decisão e aplicação são configurados: 

  • As soluções fora de banda geralmente usam um servidor de políticas que não está diretamente no fluxo de tráfego de rede. Esse servidor se comunica com dispositivos de infraestrutura de rede que aplicarão as políticas NAC e permitirão ou não o tráfego de acordo com essas regras. 
  • As soluções de tecnologia NAC em linha combinam a tomada de decisão e a aplicação em um ponto que fica dentro do fluxo normal de tráfego. Isso pode exigir muitos recursos para redes maiores e tem o potencial de afetar negativamente o desempenho da rede se algo der errado. 

Principais casos de uso do controle de acesso à rede 

As soluções NAC podem ser usadas para diversas finalidades, mas alguns dos principais casos de uso incluem: 

NAC para acesso de convidados e parceiros 

Muitas empresas precisam fornecer acesso à rede para terceiros. As soluções de tecnologia NAC facilitam esse acesso e mantém a segmentação e rede adequada. 

NAC para BYOD 

Além do acesso de convidados, a maioria das empresas agora enfrenta uma combinação de dispositivos pessoais e gerenciados em sua infraestrutura de rede. A solução NAC permite que apenas dispositivos protegidos e corrigidos acessem a rede, limita o acesso de dispositivos não gerenciados a uma rede local virtual (VLAN) separada ou a um segmento de rede ou exija que dispositivos pessoais sejam registrados na solução de gerenciamento de dispositivos móveis da empresa. 

NAC para IoT 

Graças aos amplos recursos de criação de perfis, as soluções NAC podem automatizar o processo direcionando os dispositivos IoT para uma VLAN apropriada sem a necessidade de provisionamento manual. A mesma funcionalidade ajuda a evitar pontos de acesso maliciosos e outras formas de shadow IT. 

Resposta a incidentes 

A tecnologia NAC pode ser uma ferramenta essencial durante todas as fases do processo de resposta a incidentes. Alterar as políticas NAC rapidamente pode ajudar a conter um ataque de ransomware ou violação de dados. A maioria das implementações também oferece grande visibilidade do tráfego de rede, um fator crucial quando se trata de investigar e remediar um incidente. 

Alguns fornecedores também vendem soluções que vão além do que a tecnologia NAC tradicional oferece, com um variedade de integrações e recursos de inteligência artificial que ajudam a detectar tráfego de rede anômalo e agir mais rapidamente. Isso é semelhante à maneira como a Varonis usa a análise de comportamento do usuário e do evento para identificar comportamentos anormais em grandes quantidades de dados. 

Como implementar soluções NAC 

Pode ser tentador comprar uma solução NAC do primeiro fornecedor que encontrar, mas o controle de acesso à rede requer planejamento, implementação e ajustes cuidadosos para que a empresa obtenha seus verdadeiros benefícios. 

Colete dados 

Se a ideia é restringir como os usuários acessam a rede, primeiro é preciso entender como eles a estão usando. Quem está se conectando a quais informações e de quais dispositivos? Existe um requisito de negócios por trás do nível de acesso atual? Esse levantamento também precisa considerar servidores, impressoras, telefones, dispositivos IoT e qualquer outro dispositivo conectado à rede. 

Gerenciamento de identidades 

Se for incluir um componente de autenticação na política NAC, é necessário certificar-se de que o gerenciamento de identidades esteja integrado aos sistemas da empresa. Se um novo funcionário não conseguir acessar o sistema por que o diretório ativo não está sincronizado com o banco de dados do RH, a tecnologia NAC simplesmente não atenderá às necessidades da empresa. 

Permissões e nível de acesso 

Idealmente, adotar o principio de privilégio mínimo e limitar todos os usuários aos recursos mínimos de rede necessários para realizar seus trabalhos é o melhor caminho. Entretanto, a maioria das redes simplesmente não é segmentada o suficiente para aderir a esse principio.  Então, a implementação do controle de acesso baseado em função pode ser um bom meio termo para não comprometer a segurança. 

Teste a configuração 

A maioria das soluções de tecnologia NAC pode ser configurada no modo Monitor, que significa que o impacto das políticas pode ser medido antes de realmente aplicá-las. Essa é uma etapa importante, pois permite identificar possíveis problemas antes que eles gerem um grande volume de tíquetes de suporte. 

Monitore e ajuste 

O controle de acesso à rede exige monitoramento e ajustes constantes. Então, certifique-se de ter os recursos necessários para monitorar e otimizar continuamente a solução antes de iniciar uma jornada de implementação da tecnologia NAC. 

Como escolher uma solução com tecnologia NAC 

Soluções NAC precisam atender diferentes modelos de implantação, casos de uso e necessidades das empresas. Essa variação significa que não há uma solução certa ou melhor, pois o que funcionaria para uma empresa, pode ser totalmente inadequado para outra. Então, para escolher a solução, faça algumas perguntas: 

  1. Ela se integra à infraestrutura existente? 
  2. Funciona com a arquitetura de rede em uso? 
  3. Quão bem se alinha aos nossos casos de uso? 
  4. Oferece escalabilidade? 
  5. Quanto custa? 

Comparando cinco produtos e soluções NAC 

Existem diversas soluções de tecnologia NAC no mercado, mas vamos dar uma olhada nas cinco mais populares: 

  • Cisco Identity Services Engine (ISE) 
    A oferta mais recente da Cisco, a Cisco ISE, integra-se a muitas outras partes do ecossistema Cisco para oferecer segmentação, visibilidade e resposta automatizada, além da tecnologia NAC tradicional 
  • Ivanti Policy Secure 
    É uma solução NAC que funciona com uma variedade de produtos de terceiros e fornece recursos cruciais de gerenciamento de políticas, perfis, visibilidade e análise comportamental esperados em uma plataforma moderna de NAC 
  • Aruba ClearPass 
    Tem forte integração entre hardware e software e pode gerar informações em tempo real sobre como os dispositivos estão sendo usados na rede, muitas vezes combinado com produtos de rede sem fio oferecidos pela empresa. 
  • FortNAC 
    A Fortinet divulga sua variedade de métodos de criação de perfil, escalabilidade chegando a milhões de dispositivos e suporte para dispositivos de infraestrutura de rede de mais de 150 fornecedores. 
  • Portnox Clear 
    É uma plataforma NAC nativa da nuvem e entregue via SaaS, além de contar com opções no local. Tem funcionalidade combinada de autenticação em nuvem e servidor de políticas, que pode ser uma opção atraente para empresas que não desejam configura ou manter seus próprios servidores de serviço de usuário discado de autenticação remota. 

O controle de acesso à rede pode fornecer um grande impulso à segurança de rede, mas é importante lembrar que esse é apenas um aspecto da estratégia de segurança cibernética. Uma boa segurança de dados é tão importante quanto bloquear quem pode acessar sua rede e a plataforma Varonis Data Protection torna isso muito mais fácil, com recursos poderosos para gerenciar, classificar e proteger seus dados mais importantes.