Monitoramento de Segurança da Informação

A eficácia do monitoramento de segurança é o passo seguinte para a evolução de um departamento de segurança (departamento, time, pessoas, ou mesmo apenas o CSO). Onde como relatado em outros posts, é necessária uma presença constante desde time que monitorem ativamente eventos e façam pesquisas em tempo real.

Um substancial número de eventos suspeitos ocorrem dentro da maioria das redes corporativas todos os dias e tenha certeza que passam completamente despercebidos. Só com uma estratégia eficaz de monitoramento de segurança, um plano de resposta a incidentes e validação de segurança e métricas no lugar certo, com ferramentas adequadamente configuradas, que será possível um bom nível de segurança ser alcançado.

A ideia é simples, termos um relacionamento automático aos eventos presentes e vulnerabilidades, para construir inteligência em ferramentas de segurança para que tenhamos alertas de eventos ocorridos, ocorrendo, ou sintomas de futuros ataques.

  • É necessário definir um monitoramento de segurança e logs em geral por meio de uma estratégia de gestão;
  • Plano de resposta a incidentes integrado;
  • Exercícios de validação e de ataques contra controles de segurança;
  • Controle de métricas de segurança objetivando a mensuração e avaliação de melhorias ou não;

mon2O monitoramento de segurança envolve em tempo real ou quase em tempo real, o monitoramento de eventos e atividades acontecendo em todos os sistemas importantes da sua organização em todos os momentos. Para monitorar corretamente uma organização, por meio de eventos técnicos que podem levar a um incidente ou de uma investigação, geralmente é usado um produto como os gerenciamentos de informações de segurança e eventos (SIEM).

Estas ferramentas são usadas pelos analistas de segurança e gerentes para filtrar toneladas de dados para identificar e focar apenas nos eventos mais relevantes.

Além disso, é necessário ter o entendimento de impactos regulamentares de cada evento e alertas em sua empresa, além de um planejamento e profunda compreensão da quantidade de dados que o sistema será obrigado a lidar. Estes pontos são importantes para monitorar não somente um compliance de invasão, mas de leis e regras. Caso contrário, você fará um investimento em mais uma ferramenta que não entendes em sua totalidade a funcionalidade. E acredite, muitas empresas fazem isso.

Os melhores registos podem ser armazenados, compreendidos e correlacionados, melhorando a
possibilidade de detectar um incidente à tempo de mitigação. A necessidade de responder a incidentes, identificar comportamentos anômalos ou não autorizados, e a proteção à propriedade intelectual, nos dias de hoje nunca foi tão crítica. Sem um log sólido, uma estratégia de gestão e tratativas corretas, torna-se quase impossível ter os dados necessários para realizar
uma investigação forense, e sem ferramentas de monitoramento, identificação de ameaças e responder a ataques contra a confidencialidade, integridade ou disponibilidade, tornam-se muito mais difíceis, quase impossíveis.

Mas o que isso quer dizer ? Quer dizer que caso não existam pessoas preparadas não somente tecnicamente, mas com tratativa de pessoas (bom senso, tato, e até mesmo intuição), regras e procedimentos, ferramentas adequadamente administradas, você pode ter uma suspeita de ataque, invasão, deleção, e não saber como tratar. E acredito, isso pode trazer consequências à empresa, e não ao invasor. Tenha em mente que inclusive um departamento jurídico deve estar envolvido.

Como ter evidências concretas fim à fim de uma invasão ? Com ferramentas adequadas.

mon1Alguns pontos importantes para uma resposta à incidentes ou investigação forense ser bem sucedida é fundamental que tenhamos:

  • Adquirir e armazenar dados de registros de ativos de redes, softwares, e demais dispositivos e ativos tanto quanto possível, proporcionando pesquisar e restaurar as capacidades destes para análise;
  • Monitorar eventos destes ativos em tempo real tanto quanto possível;
  • Executar varreduras de vulnerabilidades regulares em seus hosts e dispositivos e correlacionar essas vulnerabilidades para alertas de detecção de intrusão ou outros eventos críticos, identificando assim ataques de alta prioridade, e como eles acontecem minimizando falsos positivos;
  • Agregar eventos normalizando dados de dispositivos de rede independentes, e adequar a segurança de dispositivos e servidores de aplicativos em informação utilizável;
  • Analisar informações correlacionandas a partir de várias fontes, tais como scanners de vulnerabilidade, IDS, IPS, firewalls, servidores, e assim por diantes. De modo a identificar ataques logo que possivel;
  • Revisão e análise periódica forense em eventos históricos ou em tempo real através de visualização e repetição de eventos;
  • Criação de relatórios personalizados para melhor visualização da sua segurança organizacional;
  • Efetuar ajustes de performance e desempenho em dispositivos de segurança periódicamente de modo a proporcionar um aumento de velocidade em analises;

E os últimos dois pontos, mais importantes:

  • Treinar, treinar e treinar o time de segurança, incidentes, usuários finais, gerentes, e demais membros para ajudar na gestão de riscos de TI e focar nos eventos mais importantes;
  • Reuniões periódicas de conformidade regulamentar, forense e de incidentes de modo à viabilizar a transparência nas ações;

Em resumo, não compre sem ter os requisitos levantados, e pessoas treinadas.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

This site uses Akismet to reduce spam. Learn how your comment data is processed.