10 perguntas críticas sobre ataques cibernéticos

0

A importância da coleta e monitoração de logs


Renato Maia*

Em relatório recente, o renomado Gartner fez a previsão: “em 2020, prevenção será inútil”. E emendou a orientação para planejamento estratégico: “60% do orçamento das áreas de segurança da informação será destinado à detecção e às respostas rápidas, saindo dos 10% dedicados atualmente”. Estas declarações embasam a visão que motivou a criação da TechBiz Forense Digital, quase 10 anos antes, em 2004: o reconhecimento de que existe uma desproporcional alocação dos recursos – financeiros, humanos, tecnológicos – na tentativa de evitar o “incidente de segurança”,  e quase nenhuma capacidade de reagir e respondê-los, quando  ocorrem.

Os recentes casos de invasões e roubos de dados que ganharam destaque na imprensa mundial – da rede varejista Target, das lojas de departamento de luxo Neiman Marcus, da cadeia de restaurantes PF Chang e mesmo, mais recentemente, da rede Home Depot – têm um elemento comum que salta aos olhos: o longo período – de semanas ou meses – entre a ação inicial dos criminosos e o efetivo vazamento dos dados. 

O desenvolvimento de capacidades organizacionais focadas na área de detecção, reação e resposta, mesmo em estágios iniciais, potencialmente poderiam ter impedido o roubo dos dados de clientes, ainda que não impedissem o comprometimento inicial. A cegueira profunda causada pela ilusão da prevenção total potencializa os danos causados pelos inevitáveis incidentes. Reconhecer esta verdade – que incidentes de segurança são inevitáveis – é o primeiro passo da reabilitação organizacional.

Acreditamos que a capacidade de detectar e reagir rapidamente envolve processos, procedimentos e tecnologias que permitam coletar e analisar rapidamente os dados digitais, nos seus diversos “estados” de existência:

Dado “em descanso”: quando armazenados em mídias digitais como HDs, SSDs, cartões de memória.
Dado “em movimento”: quando em transito, transmitidos por redes de computadores e enlaces de telecomunicações.
Dado “em uso”: quando em processamento, normalmente em memórias voláteis.

O ponto de partida para esta coleta e análise envolve, normalmente, a coleta e monitoração constante de arquivos de logs gerados pelos elementos que compõem esta infraestrutura digital. Este “inconsciente digital”, gerado constantemente quando servidores, softwares, e roteadores “falam” sobre si próprios, precisa ser coletado, armazenado de forma centralizada, monitorado, analisado e correlacionado de maneira integrada. Desenvolver esta capacidade significa percorrer uma escala de maturidades em Gerenciamento de Logs que culmina com o Gerenciamento Integrado de Eventos de Segurança.

 Figura 1 - Maturidade em Gerenciamento de Logs



No dia 3 de outubro, a TechBiz Forense Digital e a HP realizam uma manhã de treinamento prático da ferramenta ArcSight. O objetivo do nosso evento é, através de breves apresentações conceituais complementadas com cenários “hands on”, apresentar a plataforma HP de gerenciamento de Logs (HP Logger) e gerenciamento de eventos de segurança da informação (HP ArcSight), destacando como ela pode ser posicionada como o núcleo fundamental para o desenvolvimento da capacidade de sua organização detectar e reagir com rapidez.

Hands on HP ArcSight

Na sede da TechBiz, em Belo Horizonte
Inscrições: forensedigital@techbiz.com.br
Informações: (31) 3211-8100, com Antônio Eustáquio

Agenda: 

9:00 – 9:20: Café da manhã e abertura
9:20 – 9:50: APT – Ameaças Persistentes e Avançadas – Um estudo de Caso, com Renato Maia, diretor técnico da TechBiz
9:50 – 11:00: Cenários práticos, com uso das ferramentas de:

  • Gerenciamento centralizado de logs 
  • Casos de uso SIEM 
  • Correlações e integrações avançadas 
  • Conformidade com regulamentações


Perguntas relevantes: 

  • Sua organização possui uma política clara e definida de coleta, retenção e análise de logs? 
  • Os logs de seus servidores, sistemas, roteadores, ativos de segurança são coletados e armazenados em local centralizado e seguro? 
  • Sua equipe de TI/Segurança consegue, com facilidade e rapidez, pesquisar em quais servidores um determinado evento foi registrado em um determinado período no passado? 
  • Já se deparou com cenários que demandavam cruzar (ou correlacionar) logs de sistemas aparentemente independentes para se obter dado relevante? 
  • Possui diversas soluções preventivas mas não consegue ter uma visão integrada das informações fornecidas por cada uma?
* Renato Maia é diretor técnico do Grupo TechBiz

Comentários

Postar um comentário