COMO REFORÇAR A SEGURANÇA DE SUA REDE A AMEAÇA ESTÁ EM CONSTANTE MUDANÇA, COMO DEVE SER COM A SEGURANÇA

Transcrição

1 COMO REFORÇAR A SEGURANÇA DE SUA REDE A AMEAÇA ESTÁ EM CONSTANTE MUDANÇA, COMO DEVE SER COM A SEGURANÇA

2 PRÁTICAS RECOMENDADAS DE SEGURANÇA DE TI: ESTRATÉGIAS ESPECIALIZADAS PARA COLETA DE LOGS, ANÁLISE DE CAUSA RAIZ E CONFORMIDADE Uma rede confiável de alto desempenho é crítica à sua infraestrutura de TI e à sua organização. A segurança da rede é tão importante quanto o desempenho da rede. Além de todos os seus esforços de monitoramento e solução de problemas de rede, você também está incumbido da coleta e exame de dados de logs e da análise de causa raiz de problemas relacionados a segurança. Além disso, precisa certificar-se de que seus métodos de segurança de TI estejam em conformidade com regulamentos federais e sejam aprovados por auditorias de conformidade. Há muito que supervisionar no desempenho e segurança da rede, e muitos elementos críticos podem passar desapercebidos. A melhor maneira de abordar suas tarefas de segurança de rede é criar um plano e uma lista para certificar-se de não esquecer de nenhuma tarefa ou informação importante. Este livro eletrônico fornece algumas dicas e diretrizes para estes processos de segurança: GERENCIAMENTO DE LOGS ANÁLISE DE CAUSA RAIZ CONFORMIDADE

3 PRÁTICAS RECOMENDADAS PARA GERENCIAMENTO DE LOGS Todos sabem quão crítica é a coleta de logs para a segurança da rede. Mas será que todos sabem como criar um plano de coleta de logs e determinar o que é necessário dos dados de log coletados? Provavelmente não. E independentemente de você ser um engenheiro de segurança dedicado, um arquiteto de rede ou um administrador de sistema, a coleta de logs é uma parte crucial de qualquer estratégia de segurança bem-sucedida.

4 COMO A COLETA E O ARMAZENAMENTO DE LOGS AFETARÁ OS RECURSOS DE SEU SISTEMA? O GERENCIAMENTO A UMA PERGUNTA: DE LOGS SE RESUME QUAIS LOGS DEVEM SER COLETADOS? Para responder, apresentamos algumas perguntas a serem feitas além de outras indicações de práticas recomendadas Independentemente de você executar um servidor syslog gratuito em uma máquina virtual com Linux ou uma solução completa de gerenciamento de logs, precisará fornecer recursos de sistema (ou seja, memória, CPU e armazenamento). O armazenamento é quase sempre o recurso mais caro. Certifique-se de ter uma compreensão detalhada de como sua solução de registro em log interage com seus recursos de armazenamento e de se existe alguma compactação configurável ou automatizada. VOCÊ TEM ALGUM REQUISITO DE REGISTRO EM LOG ESPECÍFICO? Em geral, essa questão é determinada por regulamentos de conformidade, mas também pode haver requisitos internos específicos. Esses requisitos costumam atender a finalidades legais ou de segurança. Seja como for, uma compreensão detalhada de todos os requisitos ajuda a coletar as informações certas A memória e a CPU serão a próxima preocupação. A coleta em tempo real tende a usar mais memória e CPU sustentadas. As quantidades variam com base no volume, visto que a coleta e o armazenamento de logs ocorrem simultaneamente. Analise sua documentação para entender o impacto da ativação do registro em logs em seus dispositivos, servidores e aplicativos. dos dispositivos corretos. Por exemplo, o PCI fornece alguns detalhes do que deve ser coletado de seus logs de auditoria. Consulte a página 56 do documento Payment Card Industry Data Security Standard (PCI DSS) para obter uma lista completa dos detalhes. VOCÊ ENTENDE QUAIS INFORMAÇÕES SEUS SISTEMAS REGISTRAM EM LOG E COMO? Como mencionado na sugestão anterior, a quantidade de informações de log gerada pelos diferentes dispositivos, sistemas operacionais e aplicativos pode ser enorme. Assim, além de determinar os requisitos reais de quais logs precisam ser coletados, é importante compreender como cada sistema gera logs. Por exemplo, sistemas operacionais Windows oferecem uma configuração de auditoria detalhada que permite ser seletivo quanto a quais logs são gerados (ou seja, logons/logoffs, uso privilegiado, eventos de sistema, entre outros). Além disso, você pode optar por usar eventos bem ou malsucedidos, o que permite adotar uma abordagem mais granular à configuração de logs. MAIS

5 O As taxas de compactação de dados aumentaram significativamente ao longo dos anos, possibilitando intervalos mais longos de disponibilidade dos dados. No entanto, o arquivamento de logs ainda é uma função crítica do gerenciamento de logs. DE JANEIRO PROGRAME E PROTEJA OS ARQUIVOS. Antes de programar arquivamentos, certifique-se de compreender a taxa de compactação do arquivo. Isso será especialmente importante à medida que o armazenamento de logs cresce em comparação com a quantidade de espaço disponível para os arquivos. seus arquivos, mesmo que isso não seja um requisito normativo. Você pode proteger dados ativos ou disponíveis solicitando alguma autenticação para acesso. Essa também é uma boa prática para evitar quaisquer alterações nos dados. No mínimo, você deve criptografar arquivos históricos. Quaisquer medidas de segurança adicionais, como login, representam um benefício agregado. Logs contêm uma quantidade enorme de informações úteis. Quando coletados da maneira correta, podem ajudar a reforçar a segurança e solucionar problemas de rede e sistemas com rapidez. Criar um plano de registro em log antes de configurar seu processo de coleta de logs pode representar a diferença entre longas horas de busca por dados inúteis e a rápida localização do que você precisa. Familiarize-se com o modo como seu sistema de gerenciamento de logs arquiva os dados (ou seja, por dispositivo? todo o banco de dados? logs específicos?). Entender os métodos de arquivamento disponíveis economiza tempo e, mais importante, espaço de armazenamento. Proteja continua na próxima seção...

6 RÁTICAS ECOMENDADAS ARA A ANÁLISE DE AUSA RAIZ

7 É provável que a análise de causas raiz (RCA) seja a função mais crítica na área de segurança, além de manter uma rede segura e em conformidade. Toda vez que um evento de segurança é detectado ou percebido, sua função é descobrir sua origem ou causa. Apresentamos algumas práticas recomendadas para ajudá-lo a obter o máximo da análise de causa raiz. ÀS VEZES, MENOS É MAIS. Quando se trata de sua tecnologia de gerenciamento de logs ou SIEM, às vezes é melhor começar com uma única palavra-chave, endereço IP ou nome de usuário em um determinado período do que fazer uma pesquisa detalhada específica. Esse tipo de pesquisa simples pode fornecer informações sobre a atividade de outros dispositivos, o que pode ajudar a retroceder e descobrir o ponto de VISUALIZE SEUS DADOS. Visualize seus dados.visualizar os dados é uma maneira de identificar tendências no fluxo de informações. Em geral, um grande pico de um único evento ou uma quantidade sustentada de eventos em um intervalo de tempo origem do evento. Preste atenção em grandes quantidades de determinados eventos, como erros, falhas de acesso, atividade de arquivos e eventos de alterações que contenham o mesmo nome de usuário, endereço IP ou ambos. Além disso, procure alterações feitas pelo mesmo usuário ou IP de origem em vários sistemas. indicam uma anomalia. A visualização também pode ajudar a identificar rapidamente um intervalo para o início da investigação. Por fim, se você estiver usando um produto de SIEM ou de gerenciamento de logs, provavelmente poderá criar painéis com base em diversos critérios, como tráfego de rede, autenticação, arquivo e eventos de alteração. CORRELACIONE DADOS DE DIFERENTES DISPOSITIVOS PARA IDENTIFICAR EVENTOS DE SEGURANÇA. A correlação de dados de log entre diferentes dispositivos, sistemas e aplicativos adiciona outra camada de monitoramento de segurança e pode revelar problemas de segurança não detectados. Por exemplo, correlacionar um pico nos logs de s enviados que não tenha origem em seu servidor de interno é uma boa indicação de malware. Ataques persistentes avançados (APTs) podem ser difíceis de detectar. No entanto, se você estiver investigando logs, poderá procurar instalações de software aleatórias correlacionadas com logs de tráfego FTP de saída de seu firewall no mesmo intervalo de tempo de um ataque. MAIS

8 ESTABELEÇA MODELOS EM SUPORTE À RESPOSTA A INCIDENTES. ESTABELEÇA MODELOS EM SUPORTE À RESPOSTA A INCIDENTES. RCA e resposta a incidentes são funções distintas, mas dependem uma do outra. Determine o que uma equipe de resposta, a área jurídica ou sua liderança requerem dos dados (ou seja, endereço IP, porta, nome de usuário etc.) e então crie Procedimentos operacionais padrão (SOPs) e modelos para situações gerais e específicas. Independentemente de quem está presente quando um evento ocorre, todos precisam ser claros com relação a quais informações são críticas e quem deve ser contatado. Esperamos Esperamos que que estas estas sugestões sugestões lhe lhe sejam sejam úteis. úteis. Às Às vezes, vezes, no no calor calor do do momento, momento, é é melhor melhor parar parar e e retomar retomar os os princípios princípios básicos. básicos.

9 PRÁTICAS RECOMENDADAS DE CONFORMIDADE Você já teve o prazer de lidar com auditorias de conformidade? Se não, não pense que nunca você terá que fazer isso.

10 DOCUMENTE, DOCUMENTE, DOCUMENTE! A documentação é, indubitavelmente, a parte mais entediante da preparação para uma auditoria. E também a mais negligenciada. Uma documentação minuciosa será de grande utilidade, mesmo muito depois da aprovação por uma auditoria. Se você receber a incumbência de proteger a rede e de fazer a preparação para auditorias, será crítico organizar e documentar TODAS as suas políticas e procedimentos. Aborde sempre a documentação com uma mentalidade de Se eu não estiver aqui, qualquer um poderá seguir estes procedimentos?" Por fim, lembre-se sempre de que uma auditoria é um processo contínuo. Mantenha suas informações sempre atualizadas, programando um tempo para analisar e revisar sua documentação no transcorrer de todo o ano. ENTENDA CLARAMENTE SEUS REQUISITOS DE CONFORMIDADE E NÃO IGNORE NADA. A conformidade nem sempre é responsabilidade dos profissionais de segurança. Muitos administradores de rede e de sistema precisam saber como lidar com a conformidade também. E a conformidade é um processo contínuo que não termina após a aprovação por uma auditoria. Para ajudá-lo, apresentamos algumas práticas recomendadas de conformidade. Cada setor regulamentado é diferente. Entender o que é exigido de seu setor em particular pode ser um desafio. Alguns requisitos de conformidade são claramente definidos, enquanto outros fornecem apenas detalhes vagos. Certifique-se de conhecer os pormenores exigidos por seu setor. IDENTIFIQUE OS DISPOSITIVOS. Agora que você tem tudo documentado e uma compreensão clara de seus requisitos, identifique quais dispositivos de rede, sistemas e aplicativos devem ser monitorados com relação à conformidade. Quanto mais cedo isso for feito, melhor. Isso é especialmente importante se você estiver implantando uma solução ID de SIEM ou de Gerenciamento de logs. Aplicativos adicionais podem ser necessários para coleta de logs. Ao se comunicar com os líderes dos diferentes departamentos para identificar dispositivos, a recomendação é que se atribua um valor monetário aos riscos da falta de conformidade. Isso o ajudará a identificar e documentar corretamente todos os dispositivos necessários. MAIS

11 AUTOMATIZE SEMPRE QUE POSSÍVEL. Ao coletar trilhas de auditoria, você logo se dará conta de que o volume de dados é imenso e aparentemente impossível de analisar. A automação pode ajudar a simplificar as coisas. Desenvolva ou configure a geração automatizada de relatórios e relatórios programados específicos de seus requisitos de conformidade. Além disso, aproveite qualquer funcionalidade de alerta e notificação em tempo real/praticamente em tempo real. A maioria das soluções de Gerenciamento de logs de hoje fornece alguma forma de alertas ou notificações, o que representa uma boa prática recomendada de auditoria de conformidade porque prova que você está "analisando ativamente" seus logs. ANALISE POLÍTICAS E PROCEDIMENTOS. Se você analisa seus procedimentos de forma consistente e os compara com os requisitos mais recentes, deve estar sempre preparado para uma auditoria. No mínimo, recomendamos avaliações trimestrais, sendo que mensais seriam ideais. Cumprir os regulamentos de conformidade pode ser um desafio quando a questão é coletar as trilhas de auditoria necessárias. Esperamos que estas sugestões lhe deem algumas ideias ou reavivem sua memória e o motivem a começar a análise de conformidade. Lidar com incidentes de segurança, analisar causas raiz e participar de auditorias de conformidade são tarefas comuns a qualquer tipo de profissional de TI. Investir algum tempo no planejamento e na compreensão de sua infraestrutura e dispositivos pode economizar longas horas de análise de dados de logs quando um evento de segurança for detectado. Além disso, auditorias de conformidade são muito mais fáceis quando você está preparado com a documentação e os relatórios necessários. As dicas neste livro eletrônico podem reduzir ou eliminar a frustração e a especulação que com frequência acompanham seus esforços de segurança de rede.

12 PRECISA PRECISA PRECISA PRECISA NÃO JORNADA ESTA ESTA ESTA ESTA Para obter mais informações, envie um para CO M ÇA CO M ÇA CO M ÇA CO M E ÇA R C O M U M Ú NIC NIC O PA SSO 2015 SolarWinds Worlwide, LLC. Todos os direitos reservados.