O home office se tornou uma realidade nesses tempos de COVID-19. Nas últimas semanas, observamos diversas empresas e clientes tendo que migrar para a operação remota, com uma grande preocupação relativa com a segurança digital dentro desse novo cenário

O SOC Real Protect também precisou se adaptar a esses novos tempos. Como somos uma empresa de segurança, especializada em gerenciar a segurança de outras empresas, gostaríamos de compartilhar algumas lições e dicas que botamos em prática dentro de casa e mostrar como executamos nossa operação de segurança remota.


A preparação inicial

Mesmo antes do período de determinação de isolamento social, a Real Protect e consequentemente o SOC já estavam se alinhando com as tendências mais modernas de trabalho, adotando em alguns casos o modelo de “flex office”, onde o funcionário pode alternar a jornada de trabalho entre sua residência ou o escritório da empresa.

Essa preparação inicial, feita pela adoção do modelo “flex office” ajudou o SOC a estar pronto muito rapidamente, mesmo antes das determinações oficiais de isolamento social no Rio de Janeiro e São Paulo.

Quando soubemos dos primeiros casos, e da possibilidade de um isolamento social necessário, logo no início de março, nos preparamos para entrar em operação remota, o que foi feito gradualmente. Até 16/03, 80% da operação esteve remota, chegamos ao 100% no dia 20/03, em São Paulo, a determinação oficial do governo ocorreu no dia 24/03.


Níveis de Controle e Acesso

Para que os colaboradores pudessem seguir com suas atividades, apoiando nossos clientes e mantendo a segurança de nossa operação, foram criados três níveis de controle diferentes para a operação remota.


Nível 1 – Menos Restritivo 

Para o colaborador se conectar, é verificado uma chave de registro específica no cliente remoto, que está presente apenas nos notebooks corporativos, protegidos da Real Protect e que estão ingressados no nosso domínio interno. Esta política permite a maior parte das comunicações necessárias. A experiência para o colaborador é praticamente como se estivesse na rede interna da empresa.


Nível 2 – Mais Restritivo 

O nível 2 se configura quando a Real Protect não tem controle algum do equipamento que está fazendo a conexão, casos onde o colaborador precisou trabalhar usando equipamento próprio. Aqui, a única informação solicitada ao colaborador é o mac address do seu equipamento. 

Nós incluímos o endereço mac dele dentro da configuração da VPN, permitindo apenas os dispositivos autorizados. Os únicos acessos que estes colaboradores possuem são de resolução de nomes via DNS e do protocolo RDP, para fazer a conexão interna para uma máquina do ambiente interno e assim realizar o seu trabalho normalmente.


Nível 3 – Política de Exceção

Além de todas as proteções e liberações que nós também aplicamos ao nível mais restritivo, esta permite também alguns outros serviços específicos que são necessários para algumas funções internas. Basicamente é uma política que atende exceções e algumas particularidades, controlamos de perto quem pertence a este grupo.

Outros controles colocados em prática

Duplo Fator de Autenticação

100% De todas as autenticações na VPN e aplicações de negócio são feitas usando-se uma solução de Duplo Fator de Autenticação (2FA).

Antimalware e Comunicação com Servidor

Com a saída das máquinas do ambiente corporativo, é normal que as soluções de antimalware parem de se comunicar com o servidor. Para contornar esse problema, já que não sabemos quando os colaboradores poderão retornar para o ambiente corporativo, a solução de antimalware passou a se conectar diretamente com a nuvem do fabricante.

Políticas de Segurança

Revisamos todas as políticas de UTM do Firewall, habilitando ou desabilitando de acordo com o cenário imposto pelo home office e de acordo com os níveis definidos de restrição.

Esse ponto é importante porque observamos que muitas empresas acabam não aplicando as proteções de UTM no tráfego de VPN client-to-site. É fundamental que isso seja feito, visto que é um tráfego vindo da internet com destino a rede interna. Por mais que ele seja criptografado, devemos garantir o máximo possível de visibilidade e proteção, uma vez que a rede interna de cada pessoa conectada na VPN não pode ser considerada como segura.

Para mais dicas de proteção, confira o outro artigo de produzimos: https://realprotect.net/blog/como-montar-um-home-office-com-cybersecurity/

Split Tunelling

Habilitamos o Split Tunelling, dessa forma, toda a navegação dos usuários é forçada e direcionada ao túnel de VPN enquanto a VPN estiver conectada e ativa. Isso significa que, enquanto o colaborador estiver conectado na VPN, ou seja, em horário de trabalho, ele terá sua conexão completamente monitorada, isso aumenta os níveis de segurança.

Contudo, é importante ter atenção a uma questão com relação ao Split Tunelling: criar um perfil de UTM que não gere bloqueio, apenas visibilidade. Isso é feito para evitar problemas, por exemplo, de bloqueio de sites e aplicações de uso doméstico do usuário.


VPN Assessment

Para colocar os níveis de controle e as políticas de segurança habilitadas na VPN dos colaboradores, o Red Team Real Protect passou a realizar periodicamente pentests nessas VPNs. Esse assessment feito internamente teve insights e resultados tão positivos que acabou se tornando também um novo serviço oferecido e desenvolvido por nosso Red Team para as empresas melhorarem seu nível de segurança nesse período.


Monitoramento Contínuo e Automatizado

O monitoramento contínuo automatizado permite que, mesmo em um ambiente completamente pulverizado, o SOC tenha total visibilidade e controle sobre todas as máquinas e usuários conectados, qualquer acesso indevido ou comportamento suspeito é imediatamente identificado e tratado pela operação de segurança.

Foi necessário investir em soluções adicionais?

A resposta simples e direta para essa pergunta é não. Mas isso se deu pela junção de dois fatores muito importantes: gestão inteligente das soluções e monitoramento contínuo a automatizado.

A gestão inteligente das soluções permite que a empresa, no caso nosso próprio SOC, consiga extrair o máximo das soluções de segurança já adquiridas, dessa forma, foi possível habilitar novas funcionalidades e colocar em prática o que era necessário para essa operação. O duplo fator de autenticação para 100% dos acessos, por exemplo, não foi uma solução adquirida, foi adaptado uma solução que já era usada para outros casos.


Próximos Passos e Retorno à Normalidade

A direção da Real Protect tem feito reuniões semanais durante este momento de isolamento social. Foi decidido que mesmo em caso de flexibilização do isolamento, o SOC continuará operando de forma remota, até que o retorno seja considerado seguro e correto pelas autoridades médicas competentes.

Quando isso ocorrer, já temos um plano desenhado para o retorno, que será gradual, com o retorno dos colaboradores em grupo de risco ocorrendo apenas no último estágio.