Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosMelhores práticas
Melhores práticas de segurança de rede

Melhores práticas de segurança de rede

As melhores práticas robustas de segurança de rede são mais importantes do que nunca para proteger contra as ameaças cibernéticas cada vez mais sofisticadas de hoje. Este artigo explora uma variedade de melhores práticas e tecnologias de rede e segurança que você precisa para fortalecer sua rede contra acessos não autorizados e violações de dados.

Tipos de dispositivos de rede e soluções de segurança

Antes de mergulhar nas melhores práticas de segurança de rede empresarial, vamos revisar os tipos comuns de dispositivos de rede e soluções de segurança que as organizações podem aproveitar:

  • As pontes eram uma vez usadas para conectar dois ou mais hosts ou segmentos de rede. Elas estão obsoletas e não são mais utilizadas.
  • Hubs eram usados para conectar dispositivos de rede local (LAN). Como não possuem inteligência embutida, hubs raramente são usados em configurações de rede modernas.
  • Um network switch é o dispositivo de rede padrão que conecta computadores, servidores, impressoras e outros dispositivos em uma LAN. Ele usa endereços MAC para gerenciar e encaminhar dados para dispositivos específicos. Diferente de um hub, um switch pode direcionar o tráfego de forma inteligente para reduzir a congestão da rede e melhorar o desempenho da rede.
  • Um network router direciona pacotes de dados entre diferentes redes para facilitar a conectividade à internet e a comunicação de rede interna. Roteadores usam endereços IP para determinar o caminho mais eficiente para a transmissão de pacotes de dados através das redes. Eles também podem fornecer recursos de segurança como listas de controle de acesso para restringir o acesso à rede.
  • Um gateway atua como intermediário para dispositivos em redes separadas, permitindo que eles se comuniquem mesmo que estejam usando protocolos de comunicação diferentes.
  • Um firewall segrega uma rede de outra. Firewalls estão disponíveis em hardware e software e podem ser integrados em dispositivos como roteadores ou servidores. O exemplo clássico de um firewall é um aparelho dedicado que atua como uma barreira entre a rede interna e o mundo exterior.
  • Um sistema de network access control (NAC) avalia se os dispositivos que tentam acessar a rede atendem aos padrões de segurança definidos (como software antivírus atualizado, atualizações do sistema e configurações específicas) e, em seguida, concede ou nega acesso.
  • Um web filter restringe o acesso a conteúdos da internet com base em critérios predefinidos. Por exemplo, esse tipo de solução de segurança pode bloquear o acesso a sites maliciosos ou inadequados conforme definido pelas políticas de uma organização.
  • Um servidor proxy atua como um intermediário entre o dispositivo do usuário e a internet. Os servidores proxy podem mascarar o endereço IP do usuário, além de filtrar solicitações da web para bloquear o acesso a sites ou conteúdos maliciosos..
  • Um filtro de e-mail (filtro de spam) ajuda a prevenir que e-mails indesejados cheguem à caixa de entrada do usuário ou entrega o e-mail, mas remove hiperlinks potencialmente maliciosos e anexos. Filtros simples usam políticas organizacionais ou padrões especificados pelo fornecedor para detectar spam; filtros avançados empregam métodos heurísticos para identificar padrões suspeitos ou frequência de palavras.
  • Ferramentas de mitigação de DDoS são projetadas para identificar ataques de negação de serviço distribuído (DDoS) em seus estágios iniciais, absorver o aumento associado no tráfego e ajudar a localizar a origem do ataque.
  • Os balanceadores de carga contribuem para a segurança da rede distribuindo uniformemente o tráfego de rede por vários servidores. Por exemplo, eles podem ajudar a evitar que um único servidor fique sobrecarregado durante um ataque de DDoS.

Para mais informações de contexto, revise o modelo OSI para sistemas de rede no Apêndice A.

Melhores práticas de segurança de rede empresarial

Com esses fundamentos em mente, vamos explorar as melhores práticas de segurança de rede conhecidas que podem ajudar sua organização a melhorar sua postura de segurança para bloquear ataques, bem como as melhores práticas para detectar e responder prontamente a ameaças em andamento.

Melhores práticas de segurança de rede para prevenção de ameaças

Segregue sua rede.

Uma das principais melhores práticas para segurança de rede, network segmentation envolve dividir uma rede em zonas lógicas ou funcionais. Isso pode ser alcançado por meios físicos como roteadores e switches, ou virtualmente usando VLANs. O objetivo é conter uma violação de segurança em uma única zona e, assim, limitar a interrupção e o dano. A segmentação também permite que as equipes de TI apliquem diferentes controles de segurança e monitoramento a cada zona. 

In particular, organizations can set up a demilitarized zone (DMZ) to serve as a buffer between its internal network and the internet or other untrusted networks. The DMZ hosts external-facing services like web application servers; if these services are compromised, an attacker does not have direct access to the internal network.

Uma forma extrema de segmentação é o air gap, onde sistemas (como servidores com backups ou outras informações sensíveis) são completamente desconectados da rede.

Posicione seus dispositivos de segurança corretamente.

A forma como você posiciona seus dispositivos de segurança afeta o nível de proteção que eles oferecem. O posicionamento eficaz de firewalls é especialmente importante. Idealmente, um firewall deve estar situado em cada junção de zona de rede para atuar como uma barreira entre diferentes segmentos. Firewalls modernos frequentemente vêm com recursos integrados como sistemas de detecção e prevenção de intrusões, mitigação de DDoS e filtragem web, tornando-os altamente adequados para defesa de perímetro.

Os firewalls de aplicativos web (WAFs) são melhor posicionados em zonas onde os aplicativos são hospedados, como a DMZ. Esse posicionamento ajuda a proteger os aplicativos web de ameaças como injeção de SQL e cross-site scripting. Balanceadores de carga que gerenciam o tráfego de aplicativos ou servidores DNS também devem ser localizados dentro da DMZ para otimizar o fluxo de tráfego e melhorar a segurança.

Proteja fisicamente os equipamentos de rede.

Outra melhor prática de infraestrutura de rede segura é controlar rigorosamente o acesso à infraestrutura de rede. Apenas pessoal autorizado deve ter acesso a locais como armários de cabos, quadros de distribuição principal (MDFs), quadros de distribuição intermediária (IDFs), servidores e, especialmente, centros de dados. Autenticação deve ser exigida para entrar em qualquer área crítica.

Além disso, as organizações devem proibir o uso de pen drives e discos externos para impedir que pessoas internas removam dados sensíveis.

Utilize a tradução de endereço de rede.

A tradução de endereços de rede (NAT) converte todos os endereços privados de uma organização em um único endereço IP público para comunicações externas. Sem o NAT, o mundo teria esgotado os endereços IPv4 há muito tempo. Mas o benefício do NAT para a segurança da rede é que ele oculta a estrutura da rede interna de pessoas externas, adicionando uma camada de privacidade e segurança.

Utilize firewalls pessoais.

Os firewalls pessoais são firewalls baseados em software que residem em cada computador ou servidor. Embora frequentemente integrados ao sistema operacional, eles também podem ser instalados como aplicações de terceiros. Assim como os firewalls convencionais, eles restringem o tráfego de entrada e saída para proteger o dispositivo.

Configurar firewalls pessoais pode inicialmente ser demorado devido à variedade de aplicações e serviços em execução num dispositivo. No entanto, negligenciar este passo por conveniência pode deixar os dispositivos vulneráveis a malware e ataques de hackers. Ative sempre os firewalls pessoais para garantir a segurança de cada dispositivo dentro da rede mais ampla.

Utilize listas de permissão quando possível.

A lista de permissões de aplicativos é a prática de criar uma lista de softwares aprovados e permitir apenas a execução desses aplicativos. Essa estratégia pode reduzir significativamente o risco; por exemplo, pode impedir a execução de malwares entregues por ataques de phishing ou sites maliciosos.

No entanto, a lista de permissões nem sempre é prática, pois a lista deve ser mantida atualizada com todos os aplicativos que alguém na organização tem um motivo legítimo para executar.

Use um servidor proxy web para gerenciar o acesso à internet.

Ao autenticar e monitorar conexões de saída, um servidor proxy da web ajuda a garantir que apenas o tráfego da web iniciado por usuários legítimos seja permitido. Por exemplo, isso ajuda a prevenir que malware dentro da rede se comunique com o servidor de comando e controle do atacante.

Aplique o princípio do menor privilégio.

Concentrar-se apenas em ameaças cibernéticas externas pode ignorar o aspecto igualmente crítico das ameaças internas. É vital restringir os direitos de acesso de cada usuário ao que é essencial para suas funções; isso reduz o dano que um usuário pode causar acidentalmente ou deliberadamente, e o poder que um invasor ganharia ao comprometer a conta. Além disso, implemente medidas fortes de autenticação para tornar as credenciais roubadas inúteis.

Exija VPNs para acesso remoto.

Uma rede privada virtual (VPN) estabelece uma conexão de rede segura e privada sobre uma infraestrutura de rede pública. Ela permite que usuários remotos se conectem à rede como se estivessem conectados localmente. VPNs também podem ser usadas para conectar LANs de forma segura através da internet usando um túnel seguro que criptografa todos os dados em trânsito. VPNs requerem ou hardware especializado ou software de VPN instalado em servidores e estações de trabalho.

Melhores práticas de segurança de rede para detecção e resposta a ameaças

Estabeleça protocolos de rede de base e monitore o uso.

Estabeleça o uso base de diferentes protocolos nas suas redes com e sem fio. Para criar uma base precisa, os dados devem ser coletados de uma variedade de fontes, incluindo roteadores, switches, firewalls, pontos de acesso sem fio, analisadores de rede e coletores de dados dedicados. Em seguida, monitore os desvios dessas bases, que podem indicar túnel de dados, software malicioso transmitindo dados para destinos não autorizados e outras ameaças.

Utilize honeypots e honeynets.

Um honeypot é um sistema de isca projetado para parecer um ativo de rede real, e uma honeynet é uma rede de honeypots que simula um ambiente de rede maior e mais complexo. Eles são projetados para atrair adversários a interagirem com eles, tanto para desviar atores maliciosos dos verdadeiros ativos quanto para permitir que equipes de segurança estudem técnicas de ataque e coletar outras informações para o gerenciamento eficaz de ameaças.

Utilize sistemas de detecção e prevenção de intrusões.

É vital monitorar e registrar atividades em toda a rede e analisá-las para identificar logins incomuns, eventos suspeitos em computadores e outras anomalias. Um intrusion detection system (IDS) monitora o fluxo de dados da rede em busca de atividades potencialmente maliciosas e alerta os administradores sobre anomalias. Um intrusion prevention system (IPS) também monitora o tráfego da rede para ameaças; no entanto, além de alertar os administradores, ele pode tomar medidas automáticas para bloquear ou mitigar ameaças.

Essas ferramentas podem ser uma parte valiosa da sua estratégia de segurança de rede. Por exemplo, ao comparar a atividade atual com uma linha de base estabelecida, elas podem identificar um pico na atividade da rede que pode indicar um ataque de ransomware ou injeção de SQL. Elas também podem usar assinaturas de ataque — características comuns a um ataque específico ou padrão de ataques — para identificar ataques que não geram atividade que viola a linha de base da sua organização.

Automatize a resposta a ataques quando apropriado.

Muitas ferramentas modernas de segurança podem ser configuradas para responder automaticamente a ameaças conhecidas. Por exemplo, esses sistemas podem:

  • Bloquear endereço IP — Um IPS ou firewall pode bloquear o endereço IP de origem do ataque. Esta opção é muito eficaz contra ataques de phishing e de negação de serviço. No entanto, alguns atacantes falsificam o endereço IP de origem durante os ataques, então o endereço errado será bloqueado.
  • Encerrar conexões — Roteadores e firewalls podem ser configurados para interromper as conexões que um invasor mantém com o sistema comprometido, direcionando pacotes TCP RESET para o atacante.
  • Adquira informações adicionais — As ferramentas também podem coletar informações valiosas que ajudam a determinar o ponto inicial de acesso, quais contas foram comprometidas, como os invasores se movimentaram pela rede e quais dados foram comprometidos.

Melhor prática bônus

Uma prática final de melhor segurança de rede se aplica tanto à prevenção de ameaças quanto à detecção & resposta.

Utilize vários fornecedores.

A utilização de soluções de diferentes fornecedores aumenta a resiliência cibernética ao reduzir o risco associado a um único ponto de falha — se uma solução de um fornecedor for comprometida, a presença de soluções de outros fornecedores ajuda a manter o escudo defensivo. Esta abordagem também possibilita uma maior adaptabilidade em resposta a ameaças e requisitos de segurança em evolução. De forma mais ampla, pode levar a uma precificação competitiva e impulsionar a inovação, à medida que os fornecedores se esforçam para oferecer as soluções mais avançadas e com melhor custo-benefício.

Conclusão

Ao seguir as melhores práticas de segurança de rede detalhadas aqui, sua organização pode reduzir o risco de disrupções comerciais custosas e incidentes de segurança, bem como garantir a conformidade com as rigorosas exigências legislativas atuais.

Appendix A: O Modelo OSI

O modelo OSI (Interconexão de Sistemas Abertos) é uma estrutura estabelecida para sistemas de rede. Ele é composto por sete camadas, do hardware físico às interações no nível de aplicação:

Camada

Função

Tipos de Dispositivos de Rede

Protocolos ou Padrões

7: Aplicativo

Fornece serviços como e-mail, transferências de arquivos e servidores de arquivos

HTTP, FTP, TFTP, DNS, SMTP, SFTP, SNMP, RLogin, BootP, MIME

6: Apresentação

Fornece criptografia, conversão de código e formatação de dados

MPEG, JPEG, TIFF

5: Sessão

Negocia e estabelece uma conexão com outro computador

Gateways

SQL, X- Window, ASP, DNA, SCP, NFS, RPC

4: Transporte

Suporta a entrega de dados de ponta a ponta

Gateway

TCP, UDP, SPX

3: Rede

Realiza o roteamento de pacotes

Roteador

IP, OSPF, ICMP, RIP, ARP, RARP

2: Vínculo de dados

Fornece verificação de erro e transferência de quadros de mensagem

Switch

Ethernet, Token Ring, 802.11

1: Físico

Interage fisicamente com o meio de transmissão e envia dados pela rede

Hub

EIA RS-232, EIA RS-449, IEEE, 802

Netwrix Auditor for Network Devices

Melhore a segurança da sua rede com visibilidade sobre mudanças de configurações, tentativas de login, ameaças de varredura e falhas de hardware nos seus dispositivos de rede

Baixar a versão de avaliação gratuita de 20 dias

Compartilhar em

Recursos Relacionados

Aprofunde-se com nossos recursos relacionados

Resource Center
eBook

Facilitando a Prevenção de Perda de Dados com as Soluções Netwrix

Prevenção de Perda de Dados
eBook

Instalando Software no Windows: Doloroso, mas não precisa ser

Endpoint Management