COMO
REFORÇAR
A SEGURANÇA DE SUA REDE
A AMEAÇA ESTÁ EM CONSTANTE MUDANÇA, COMO DEVE SER COM A SEGURANÇA
PRÁTICAS RECOMENDADAS DE SEGURANÇA DE TI:
Uma rede confiável de alto desempenho é crítica à sua infraestrutura de TI e à sua organização. A segurança da rede é tão importante quanto o desempenho da rede. Além de todos os seus esforços de monitoramento e solução de problemas de rede, você também está incumbido da coleta e exame de dados de logs e da análise de causa raiz de problemas relacionados a segurança. Além disso, precisa certificar-se de que seus métodos de segurança de TI estejam em conformidade com regulamentos federais e sejam aprovados por auditorias de conformidade.
Há muito que supervisionar no desempenho e segurança da rede, e muitos elementos críticos podem passar desapercebidos. A melhor maneira de abordar suas tarefas de segurança de rede é criar um plano e uma lista para certificar-se de não esquecer de nenhuma tarefa ou informação importante. Este livro eletrônico fornece algumas dicas e diretrizes para estes processos de segurança:
• GERENCIAMENTO DE LOGS
• GERENCIAMENTO DE LOGS
• GERENCIAMENTO DE LOGS
• GERENCIAMENTO DE LOGS
• ANÁLISE DE CAUSA RAIZ
• ANÁLISE DE CAUSA RAIZ
• ANÁLISE DE CAUSA RAIZ
• ANÁLISE DE CAUSA RAIZ
• CONFORMIDADE
• CONFORMIDADE
• CONFORMIDADE
• CONFORMIDADE
ESTRATÉGIAS ESPECIALIZADAS PARA COLETA DE LOGS, ANÁLISE DE CAUSA RAIZ E CONFORMIDADE
ESTRATÉGIAS ESPECIALIZADAS PARA COLETA DE LOGS, ANÁLISE DE CAUSA RAIZ E CONFORMIDADE
ESTRATÉGIAS ESPECIALIZADAS PARA COLETA DE LOGS, ANÁLISE DE CAUSA RAIZ E CONFORMIDADE
ESTRATÉGIAS ESPECIALIZADAS PARA COLETA DE LOGS, ANÁLISE DE CAUSA RAIZ E CONFORMIDADE
PRÁTICAS RECOMENDADAS PRÁTICAS RECOMENDADAS PRÁTICAS RECOMENDADAS PRÁTICAS RECOMENDADAS
PARA GERENCIAMENTO PARA GERENCIAMENTO PARA GERENCIAMENTO PARA GERENCIAMENTO
DE LOGS DE LOGS DE LOGS DE LOGS
Todos sabem quão crítica é a coleta de logs para a
segurança da rede. Mas será que todos sabem como criar
um plano de coleta de logs e determinar o que é necessário
dos dados de log coletados?
Provavelmente não.
E independentemente de você ser um engenheiro de
segurança dedicado, um arquiteto de rede ou um
administrador de sistema, a coleta de logs é uma parte
crucial de qualquer estratégia de segurança bem-sucedida.
COMO A COLETA E O ARMAZENAMENTO DE LOGS AFETARÁ OS RECURSOS DE SEU SISTEMA?COMO A COLETA E O ARMAZENAMENTO DE LOGS
AFETARÁ OS RECURSOS DE SEU SISTEMA?
COMO A COLETA E O ARMAZENAMENTO DE LOGS AFETARÁ OS RECURSOS DE SEU SISTEMA?
VOCÊ TEM ALGUM REQUISITO DE REGISTRO EM LOG ESPECÍFICO?VOCÊ TEM ALGUM REQUISITO DE
REGISTRO EM LOG ESPECÍFICO?
VOCÊ TEM ALGUM REQUISITO DE REGISTRO EM LOG ESPECÍFICO?
VOCÊ ENTENDE QUAIS INFORMAÇÕES SEUS SISTEMAS REGISTRAM EM LOG E COMO?VOCÊ ENTENDE QUAIS INFORMAÇÕES SEUS
SISTEMAS REGISTRAM EM LOG E COMO?
VOCÊ ENTENDE QUAIS INFORMAÇÕES SEUS SISTEMAS REGISTRAM EM LOG E COMO?
O GERENCIAMENTO
DE LOGS SE RESUME
A UMA PERGUNTA:
QUAIS LOGS DEVEM SER COLETADOS?
O GERENCIAMENTO
DE LOGS SE RESUME
A UMA PERGUNTA:
QUAIS LOGS DEVEM SER COLETADOS?
O GERENCIAMENTO
DE LOGS SE RESUME
A UMA PERGUNTA:
QUAIS LOGS DEVEM SER COLETADOS?
Para responder, apresentamos algumas perguntas a serem feitas além de outras indicações de práticas recomendadas
Independentemente de você executar um servidor syslog gratuito em uma máquina virtual com Linux® ou uma solução completa de gerenciamento de logs, precisará fornecer recursos de sistema (ou seja, memória, CPU e armazenamento).
O armazenamento é quase sempre o recurso mais caro. Certifique-se de ter uma compreensão detalhada de como sua solução de registro em log interage com seus recursos de armazenamento e de se existe alguma compactação configurável ou automatizada.
A memória e a CPU
serão a próxima preocupação. A coleta em tempo real tende a usar mais memória e CPU sustentadas.
As quantidades variam com base no volume, visto que a coleta e o armazenamento de logs ocorrem simultaneamente.
Analise sua documentação para entender o impacto da ativação do registro em logs em seus dispositi- vos, servidores e aplicativos.
dos dispositivos corretos. Por exemplo, o PCI fornece alguns detalhes do que deve ser coletado de seus logs de auditoria. Consulte a página 56 do documento Payment Card Industry Data Security Standard (PCI DSS) para obter uma lista completa dos detalhes.
Em geral, essa questão é determinada por regulamentos de conformidade, mas também pode haver requisitos internos específicos. Esses requisitos costumam atender a finalidades legais ou de segurança.
Seja como for, uma compreensão detalhada de todos os requisitos ajuda a coletar as informações certas
Como mencionado na sugestão ante- rior, a quantidade de informações de log gerada pelos diferentes dispositi- vos, sistemas operacionais e aplicati- vos pode ser enorme. Assim, além de determinar os requisitos reais de quais logs precisam ser coletados, é importante compreender como cada sistema gera logs.
Por exemplo, sistemas operacionais Windows® oferecem uma configu- ração de auditoria detalhada que
permite ser seletivo quanto a quais logs são gerados
(ou seja, logons/logoffs, uso privile- giado, eventos de sistema, entre outros).
Além disso, você pode optar por usar eventos bem ou malsucedidos, o que permite adotar uma abordagem mais granular à configuração de logs.
MAIS
Logs contêm uma quanti- dade enorme de informações úteis. Quando coletados da maneira correta, podem ajudar a reforçar a segu- rança e solucionar pro- blemas de rede e sistemas com rapidez. Criar um plano de registro em log antes de configurar seu processo de coleta de logs pode repre- sentar a diferença entre longas horas de busca por dados inúteis e a rápida localização do que você pre- cisa.
Logs contêm uma quanti- dade enorme de informações úteis. Quando coletados da maneira correta, podem ajudar a reforçar a segu- rança e solucionar pro- blemas de rede e sistemas com rapidez. Criar um plano de registro em log antes de configurar seu processo de coleta de logs pode repre- sentar a diferença entre longas horas de busca por dados inúteis e a rápida localização do que você pre- cisa.
As taxas de compactação de dados aumentaram significativamente ao longo dos anos, possibilitando intervalos mais longos de disponibilidade dos dados. No entanto, o arquivamento de logs ainda é uma função crítica do gerenciamento de logs.
Antes de programar arquivamentos, certifique-se de compreender a taxa de compactação do arquivo. Isso será especialmente importante à medida que o armazenamento de logs cresce em comparação com a quantidade de espaço disponível para os arquivos.
Familiarize-se com o modo como seu sistema de gerenciamento de logs arquiva os dados (ou seja, por dispositivo? todo o banco de dados?
logs específicos?). Entender os métodos de arquivamento disponíveis economiza tempo e, mais importante, espaço de armazenamento. Proteja
PROGRAME E PROTEJA OS ARQUIVOS.
PROGRAME E PROTEJA OS ARQUIVOS.
continua na próxima seção...
continua na próxima seção...
seus arquivos, mesmo que isso não seja um requisito normativo. Você pode proteger dados ativos ou disponíveis solicitando alguma autenticação para acesso. Essa também é uma boa prática para evitar quaisquer alterações nos dados. No mínimo, você deve criptografar arquivos históricos.
Quaisquer medidas de segurança adicionais, como login, representam um benefício agregado.
DE JANEIRO O
PRÁTICAS
RECOMENDADAS
PARA A ANÁLISE DE CAUSA RAIZ
PRÁTICAS
RECOMENDADAS
PARA A ANÁLISE DE
CAUSA RAIZ
ÀS VEZES, MENOS É MAIS.
ÀS VEZES, MENOS É MAIS.ÀS VEZES, MENOS É MAIS.
VISUALIZE SEUS DADOS.
VISUALIZE SEUS DADOS.VISUALIZE SEUS DADOS.
Visualize seus dados.Visualizar os dados é uma maneira de identificar tendências no fluxo de informações. Em geral, um grande pico de um único evento ou uma quantidade sustentada de eventos em um intervalo de tempo
indicam uma anomalia. A visualização também pode ajudar a identificar rapidamente um intervalo para o início da investigação. Por fim, se você estiver usando um produto de SIEM ou de gerenciamento de logs, provavelmente poderá criar painéis com base em diversos critérios, como tráfego de rede, autenticação, arquivo e eventos de alteração.
Quando se trata de sua tecnologia de gerenciamento de logs ou SIEM, às vezes é melhor começar com uma única palavra-chave, endereço IP ou nome de usuário em um determinado período do que fazer uma pesquisa detalhada específica. Esse tipo de pesquisa simples pode fornecer informações sobre a atividade de outros dispositivos, o que pode ajudar a retroceder e descobrir o ponto de
origem do evento. Preste
atenção em grandes quantidades
de determinados eventos, como erros, falhas de acesso, atividade de arquivos e eventos de alterações que contenham o mesmo nome de usuário, endereço IP ou ambos. Além disso, procure alterações feitas pelo mesmo usuário ou IP de origem em vários sistemas.
CORRELACIONE DADOS DE DIFERENTES DISPOSITIVOS PARA IDENTIFICAR EVENTOS DE SEGURANÇA.
CORRELACIONE DADOS DE DIFERENTES DISPOSITIVOS PARA IDENTIFICAR EVENTOS DE SEGURANÇA.CORRELACIONE DADOS DE DIFERENTES DISPOSITIVOS
PARA IDENTIFICAR EVENTOS DE SEGURANÇA.
A correlação de dados de log entre diferentes dispositivos, sistemas e aplicativos adiciona outra camada de monitoramento de segurança e pode revelar problemas de segurança não detectados. Por exemplo,
correlacionar um pico nos logs de e-mails enviados que não tenha origem em seu servidor de e-mail interno é uma boa indicação de malware. Ataques persistentes avançados
(APTs) podem ser difíceis de detectar.
No entanto, se você estiver investigando logs, poderá procurar instalações de software aleatórias correlacionadas com logs de tráfego FTP de saída de seu firewall no mesmo intervalo de tempo de um ataque.
É provável que a análise de causas raiz (RCA) seja a função mais crítica na área de segurança, além de manter uma rede segura e em confor- midade. Toda vez que um evento de segurança é detec- tado ou percebido, sua função é descobrir sua origem ou causa. Apresentamos algumas práticas recomendadas para ajudá-lo a obter o máximo da análise de causa raiz.
É provável que a análise de causas raiz (RCA) seja a função mais crítica na área de segurança, além de manter uma rede segura e em confor- midade. Toda vez que um evento de segurança é detec- tado ou percebido, sua função é descobrir sua origem ou causa. Apresentamos algumas práticas recomendadas para ajudá-lo a obter o máximo da análise de causa raiz.
MAIS
ESTABELEÇA MODELOS EM SUPORTE À RESPOST
A A INCIDENTES.
ESTABELEÇA MODELOS EM SUPORTE À RESPOST
A A INCIDENTES.
ESTABELEÇA MODELOS EM SUPORTE À RESPOSTA A INCIDENTES.
ESTABELEÇA MODELOS EM SUPORTE À RESPOSTA A INCIDENTES.
R C A e r e s p o s t a a i n c i d e ntes são funções distintas, mas dependem uma do outra. Determine o que uma equipe de r e s p o s t a , a á r e a j u r í d i c a ou sua liderança requerem dos dados (ou seja, endereço IP, porta, nome de usuário etc.) e e n t ã o c r i e P r o c e d i m e n tos operacionais padrão (SOPs) e modelos para situações gerais e específicas.
I n d e p e n d e n t e m e n t e d e q uem está presente quando um evento ocorre, todos precisam ser claros com relação a quais i n f o r m a ç õ e s s ã o c r í t i c a s e quem deve ser contatado.
Esperamos que estas sugestões lhe sejam úteis.
Às vezes, no calor do momento, é melhor parar e retomar os princípios básicos.Esperamos que estas sugestões lhe sejam úteis.
Às vezes, no calor do momento, é melhor parar e retomar os princípios básicos.
Esperamos que estas sugestões lhe sejam úteis.
Às vezes, no calor do momento, é melhor parar e retomar os princípios básicos.
PRÁTICAS
RECOMENDADAS DE CONFORMIDADE
PRÁTICAS
RECOMENDADAS DE CONFORMIDADE
PRÁTICAS
RECOMENDADAS DE CONFORMIDADE
PRÁTICAS
RECOMENDADAS DE CONFORMIDADE
PRÁTICAS
RECOMENDADAS DE CONFORMIDADE
Você já teve o prazer de lidar com auditorias de conformidade?
Se não, não pense que nunca você terá que fazer isso.
ID
A g o r a q u e v o c ê t e m t u d o d o c u m e n t a d o e u m a c o m p r e e n s ã o c l a r a d e s e u s
r e q u i s i t o s , i d e n t i f i q u e q u a i s d i s p o s i t i v o s d e
r e d e , s i s t e m a s e a p l i c a t i v o s d e v e m s e r m o n i t o r a d o s c o m r e l a ç ã o à c o n f o r m i d a d e . Q u a n t o m a i s c e d o
i s s o f o r f e i t o , m e l h o r. I s s o é e s p e c i a l m e n t e i m p o r t a n t e s e v o c ê e s t i v e r i m p l a n t a n d o u m a s o l u ç ã o
d e S I E M o u d e G e r e n c i a m e n t o d e l o g s . A p l i c a t i v o s a d i c i o n a i s p o d e m s e r n e c e s s á r i o s p a r a c o l e t a d e l o g s . A o s e c o m u n i c a r c o m o s l í d e r e s d o s d i f e r e n t e s d e p a r t a m e n t o s p a r a i d e n t i f i c a r d i s p o s i t i v o s , a r e c o m e n d a ç ã o é q u e s e a t r i b u a u m v a l o r m o n e t á r i o a o s r i s c o s d a f a l t a d e c o n f o r m i d a d e . I s s o o a j u d a r á a i d e n t i f i c a r e d o c u m e n t a r c o r r e t a m e n t e t o d o s o s d i s p o s i t i v o s n e c e s s á r i o s .
A documentação é, indubitavel- mente, a parte mais entediante da preparação para uma auditoria. E também a mais negligenciada. Uma documentação minuciosa será de grande utilidade, mesmo muito depois da aprovação por uma audi- toria. Se você receber a incumbência de proteger a rede e de fazer a preparação para auditorias, será crítico organizar e documentar TODAS as suas políticas e procedi-
mentos. Aborde sempre a docu- mentação com uma mentalidade de “Se
eu não estiver aqui, qualquer um poderá seguir estes procedimentos?"
Por fim, lembre-se sempre de que uma auditoria é um processo contínuo.
Mantenha suas informações sempre atualizadas, programando um tempo para analisar e revisar sua documen- tação no transcorrer de todo o ano.
Cada setor regulamentado é diferente. Entender o que é exigido de seu setor em particular pode ser um desafio. Alguns requisitos de conformidade são claramente definidos, enquanto outros fornecem
apenas detalhes vagos.
Certifique-se de conhecer os pormenores exigidos por seu setor.
DOCUMENTE, DOCUMENTE, DOCUMENTE!
DOCUMENTE, DOCUMENTE, DOCUMENTE!DOCUMENTE, DOCUMENTE,
DOCUMENTE!
ENTENDA CLARAMENTE SEUS REQUISITOS DE CONFORMIDADE E NÃO IGNORE NADA.
ENTENDA CLARAMENTE SEUS REQUISITOS DE CONFORMIDADE E NÃO IGNORE NADA.ENTENDA CLARAMENTE SEUS REQUISITOS DE
CONFORMIDADE E NÃO IGNORE NADA.
IDENTIFIQUE OS DISPOSITIVOS.
IDENTIFIQUE OS DISPOSITIVOS.IDENTIFIQUE OS DISPOSITIVOS.
A conformidade nem sempre é responsabilidade dos profissionais de segurança.
Muitos administradores de rede e de sistema precisam saber como lidar com a conformidade também. E a conformidade é um
“processo” contínuo que não termina após a aprovação por uma auditoria. Para ajudá-lo, apresentamos algumas práticas recomendadas de
conformidade.
A conformidade nem sempre é responsabilidade dos profissionais de segurança.
Muitos administradores de rede e de sistema precisam saber como lidar com a conformidade também. E a conformidade é um
“processo” contínuo que não termina após a aprovação por uma auditoria. Para ajudá-lo, apresentamos algumas práticas recomendadas de
conformidade. MAIS
AUTOMATIZE SEMPRE QUE POSSÍVEL.
AUTOMATIZE SEMPRE QUE POSSÍVEL.AUTOMATIZE SEMPRE QUE POSSÍVEL.
AUTOMATIZE SEMPRE QUE POSSÍVEL.AUTOMATIZE SEMPRE QUE POSSÍVEL.
Ao coletar trilhas de auditoria, você logo se dará conta de que o volume de dados é imenso e aparentemente impossível de analisar. A automação pode ajudar a simplificar as coisas.
Desenvolva ou configure a geração automatizada de relatórios e relatórios programados específicos de seus requisitos de conformidade. Além disso, aproveite qualquer funcionalidade de alerta e notificação em tempo real/praticamente em tempo real. A maioria das soluções de Gerenciamento de logs de hoje fornece alguma forma de alertas ou notificações, o que representa uma boa prática recomendada de auditoria de conformidade porque prova que você está
"analisando ativamente" seus logs.
Se você analisa seus procedimentos de forma consistente e os compara com os requisitos mais recentes, deve estar sempre preparado para uma auditoria. No mínimo, recomendamos avaliações trimestrais, sendo que mensais seriam ideais.
Cumprir os regulamentos de conformidade pode ser um desafio quando a questão é coletar as trilhas de auditoria necessárias.
Esperamos que estas sugestões lhe deem algumas ideias ou reavivem sua memória e o motivem a começar a análise de conformidade.
ANALISE POLÍTICAS E PROCEDIMENTOS.
ANALISE POLÍTICAS E PROCEDIMENTOS.ANALISE POLÍTICAS E PROCEDIMENTOS.
ANALISE POLÍTICAS E PROCEDIMENTOS.ANALISE POLÍTICAS E PROCEDIMENTOS.
Lidar com incidentes de segurança, analisar causas raiz e participar de auditorias de conformidade são tarefas comuns a qualquer tipo de profissional de TI. Investir algum tempo no planejamento e na compreensão de sua infraestrutura e dispositivos pode economizar longas horas de análise de dados de logs quando um evento de segurança for detectado. Além disso, auditorias de conformidade são muito mais fáceis quando você está preparado com a documentação e os relatórios necessários. As dicas neste livro eletrônico podem reduzir ou eliminar a frustração e a especulação que com frequência acompanham seus esforços de segurança de rede.
Lidar com incidentes de segurança, analisar causas raiz e participar de auditorias de conformidade são tarefas comuns a qualquer tipo de profissional de TI. Investir algum tempo no planejamento e na compreensão de sua infraestrutura e dispositivos pode economizar longas horas de análise de dados de logs quando um evento de segurança for detectado. Além disso, auditorias de conformidade são muito mais fáceis quando você está preparado com a documentação e os relatórios necessários. As dicas neste livro eletrônico podem reduzir ou eliminar a frustração e a especulação que com frequência acompanham seus esforços de segurança de rede.
Para obter mais informações, envie um e-mail para
reseller@solarwinds.com.
©2015 SolarWinds Worlwide, LLC. Todos os direitos reservados.
ESTA JORNADA NÃO PRE
CISA ESTA JORNADA NÃO PRE
CISA ESTA JORNADA NÃO PRE
CISA ESTA JORNADA NÃO PRE
CISA ESTA JORNADA NÃO PRE
CISA
