quinta-feira, 7 de abril de 2016

Monitoramento: o que podemos aprender com a NASA

*Por Wellington Morais



Como construir um monitoramento de segurança que agregue valor estratégico, detectando e respondendo aos ataques cibernéticos que podem comprometer a imagem da sua companhia? A monitoração é o coração da resposta a incidente e a NASA pode nos ajudar a entender esta questão. Através de um processo contínuo e automatizado baseado na detecção pela observação, a NASA disponibiliza um site com informações sucintas sobre os objetos que podem causar um potencial impacto em nosso planeta no futuro.

Sentry é o nome do sistema de monitoramento de colisão que realiza um estudo contínuo. Este estudo ocorre em um período de 100 anos partindo do ano vigente. Com o passar do tempo alguns objetos saem do escopo da monitoração, pois estudos atuais mostram que determinados asteroides já não representam tanto risco, isso denota que a classificação do risco não é estática e pode sofrer alterações ao longo do tempo, isso precisa estar claro para que o monitoramento reflita a gravidade do cenário e não se submeta a obsolescência. Dentre outras informações, a planilha contém o nome do objeto, um intervalo de anos do possível impacto e a velocidade em Km/s do objeto (Fonte: http://neo.jpl.nasa.gov/risk/ - 29-03-2016).

Certamente a NASA estuda o Universo pelos mais variados motivos, mas o texto acima permite-nos raciocinar na direção de que parte dos esforços consiste na manutenção da espécie humana no planeta. Mas como? Primeiro destaco a missão, pois há um grande interesse em estudar o Universo, bem como descobrir os perigos que podem acarretar a extinção da raça humana. Uma equipe orientada por uma ferramenta não será tão eficaz como uma equipe orientada por uma missão. Em segundo lugar, observo a relevância dos eventos produzidos: os registros de eventos estabelecem o fundamento para os sistemas de monitoramento automatizados, os quais são capazes de gerar relatórios consolidados e alertas na segurança do sistema. Por ultimo, mas não menos importante, pontuo a escolha da ferramenta adequada, ao passo que ela precisa ser capaz de receber, interpretar e correlacionar dados oriundos dos diversos objetos. É o que faz o Sentry, ajuda a gerir a segurança do planeta em face aos perigos contidos no espaço.

Para a NASA, o esforço da monitoração é consequência do risco atribuído ao impacto da colisão. Via de regra, todo árduo trabalho ligado à segurança gira em torno da gestão de risco, que é o objetivo maior da disciplina de segurança. Voltamos à pergunta inicial. Como construir um monitoramento de segurança que agregue valor estratégico, detectando e respondendo aos ataques cibernéticos que podem comprometer a imagem da sua companhia? A quantidade de objetos flutuando no espaço é incontável, todavia, atualmente a NASA monitora cerca de 27 asteroides. Contudo, o que isso significa no contexto do monitoramento de segurança que estamos discutindo?

"Um programa de monitoramento contínuo de segurança da informação é de difícil implementação, mas quando bem estruturado tira a sua empresa da obscuridade, trazendo às claras as ameaças e vulnerabilidades que até então estavam encobertas"


Nossa primeira lição está em entender que o monitoramento de segurança é um processo em que o seus resultado não pode ser fruto do acaso, ele deveria entrar em cena para entregar informações que reflitam o cenário da ameaça, provendo os insumos necessários para a tomada de decisão da alta gestão (27 asteroides que oferecem risco ao planeta). Caso contrário, o que deveria ser um progresso tem tudo para virar uma armadilha, criando uma percepção de que o monitoramento não agrega valor, que não é estratégico.

A segunda lição é entender que não se pode monitorar tudo, o foco deve restringir-se ao que realmente interessa (o que oferece risco ao planeta) tirando o foco do que é importante (quantidade de objetos que flutuam no espaço) e colocando a atenção naquilo que é essencial (27 asteroides que oferecem riscos ao planeta). Muito ataques são automatizados e precisam ser contidos por controles também automatizados. Em grandes companhias, principalmente em ambientes heterogêneos e distribuídos, a variedade de sistemas torna-se um agravante para a disciplina da segurança, frente à quantidade de diferentes controles e aplicações instaladas nestes ambientes para conter ataques. 

Então, nossa terceira lição, é análoga à experiência da NASA, pois concentra-se em identificar uma solução que traga informações dos ativos distribuídos para uma ferramenta centralizada (Sentry monitora a colisão). Mas essa aplicação deve ser capaz de receber, interpretar, correlacionar e escalonar os eventos de segurança dos diversos dispositivos para uma avaliação mais especializada. Embora seja um conceito e não uma ferramenta, estou me referindo ao SIEM.

Nossa quarta lição é a escolha da ferramenta adequada. Minha experiência em muitos projetos me permite descrever o HP ArcSight como um poderoso instrumento capaz de fazer a gestão dos eventos de segurança, observando comportamentos suspeitos que visam comprometer sistemas. O ArcSight detém recursos que vão muito além dos SIEM's convencionais e nos permite gerir a segurança em todas as camadas organizacionais. Possui recursos que avaliam a eficácia dos controles, geram indicadores dos status dos controles, acompanham e alertam as alterações realizadas em ambientes críticos, fornecem uma visibilidade situacional, ou seja, traz a consciência das ameaças e das vulnerabilidades que circundam os ambientes ao tempo presente.

O ArcSight consegue identificar tendências que nos tornam aptos a antever, em tempo hábil, cenários de ameaças que nos moldes tradicionais levariam meses para a construção de um diagnóstico. A aplicação detecta ataques em curso, fornecendo medidas de contenção automatizada quando estruturado para tal. Possui conectores que interpretam eventos de muitos ativos de mercado e outros conectores que podem ser desenvolvidos para atender sua necessidade, em particular no que se refere à monitoração de eventos de segurança. O Arcsight é uma poderosa ferramenta.

Conclusão 


Em qualquer projeto, é fundamental compreender as razões para o sucesso, assim como os fatores que possam eventualmente provocar o fracasso. O objetivo desse artigo não é descrever um método, mas fornecer alguns critérios que o ajudem a entender a importância que a monitoração tem na estratégia da sua organização. Um programa de monitoramento contínuo de segurança da informação é de difícil implementação, mas quando bem estruturado tira a sua empresa da obscuridade, trazendo às claras as ameaças e vulnerabilidades que até então estavam encobertas.

O ArcSight tem recursos suficientes que lhe permite observar, supervisionar, detectar incidentes de segurança de diversas naturezas em todas as camadas organizacionais, desde que o ambiente proposto esteja em condições de receber o monitoramento. Monitoramento é a ultima etapa de um ciclo, que entra em cena quando todas as questões já foram claramente entendidas, para que a atividade não se submeta à obsolescência e o foco esteja sempre pautado no risco ao negócio.

Maior do que a intensidade do estímulo é a magnitude da resposta, por isso reitero que o monitoramento de segurança é o coração da resposta a incidente, afinal, não se responde ao estímulo que não foi detectado.


Referências:

  • ISO 27002 - Códigos de práticas para gestão da segurança da informação;
  • NIST SP 800-137 - Information Security Continuous Monitoring;
  • NASA - National Aeronautics and Space Administration - http://neo.jpl.nasa.gov/risk/



*Wellington Morais é analista forense da TechBiz Forense Digital. 

2 comentários:

  1. As observações são absolutamente pertinentes. O ferramental e a técnica precisam ser suportados por propósitos claros e encorajados por uma missão. Esta por sua vez, precisa estar solidamente alicerçada no fator cultural (cultura de contole) da organizações.

    ResponderExcluir
  2. As observações são absolutamente pertinentes. O ferramental e a técnica precisam ser suportados por propósitos claros e encorajados por uma missão. Esta por sua vez, precisa estar solidamente alicerçada no fator cultural (cultura de contole) da organizações.

    ResponderExcluir