Achando um Incidente no Palheiro de Eventos de Segurança
|
 |
 |
|
Gerenciar a segurança é uma responsabilidade maior do que se pensa. Uma empresa típica tem adotado uma variedade de dispositivos de segurança na esperança de aumentar a proteção, mas gerenciar o impressionante fluxo de dados que cada um cria é outro desafio. Ataques têm sido mais freqüentes e mais complexos, muitas vezes não são detectados e as perdas comerciais por incidentes na segurança estão em alta. Sua empresa pode ter feito um investimento considerável em aplicativos de detecção e prevenção, mas será que você ainda está se esforçando para manter um ambiente seguro? Se estiver, saiba que você não é o único.
Tantos produtos de segurança, tantos dados
Incidentes e eventos são termos bem distintos que freqüentemente são erroneamente trocados. A cada mês, perto de 10 milhões de eventos podem ocorrer em organizações até mesmo de porte médio. Classificar esse imenso número de eventos no dia-a-dia representa um grande desafio para muitas empresas. No palheiro de eventos, as organizações precisam achar as "agulhas", que são os incidentes de segurança.
Eventos
Produtos de segurança verificam os sistemas e o tráfego de rede por toda a empresa e relatam atividades potencialmente suspeitas. Cada relatório é um evento de segurança e, na maioria das empresas, muitos milhares de eventos podem ocorrer a cada dia.
Um evento é qualquer ocorrência observável em um sistema e/ou rede.
Eis dois exemplos de eventos comuns:
- Um pacote de rede malformado ou mais comprido
- Uma falha de Login em um computador
Os dois eventos listados acima podem ocorrer todos os dias ou muitas vezes num mesmo dia. O truque é selecioná-los para determinar se eles indicam um possível problema. Normalmente, pacotes malformados são inofensivos, mas em alguns casos eles podem ser maliciosos - potencialmente indicam um ataque por estouro de pilha (buffer overflow). Falhas em Logins podem ser um sinal de uma tentativa para entrar em um sistema ou ser o resultado de um simples erro de datilografia. É necessário um contexto adicional para determinar se existe um problema e, se existe, que ação será requerida. Sem esse contexto adicional, as companhias que enfocam apenas o gerenciamento de eventos sofrem com coordenações pobres, gastam tempo com eventos que são "falsos-positivos" e operam geralmente de um modo reativo e caótico.
Incidentes
Os eventos ocorrem com freqüência e, quando considerados individualmente, podem parecer isolados e desconectados. Os incidentes acrescentam contexto a um conjunto de eventos que permite aos administradores de segurança entendê-los e tomar atitudes, se necessário.
Um incidente é um conjunto de um ou mais eventos ou condições de segurança que requer uma decisão ou ação para se manter um perfil de risco aceitável.
Considerando a definição acima, incidentes geralmente se encaixam em um desse dois cenários:
- Ameaças significativas que colocam em risco o negócio e requerem intervenções
- Situações que ocorrem no dia-a-dia e somente ameaçariam o negócio se nenhuma ação fosse tomada
Eis alguns exemplos de incidentes, todos abrangendo um ou mais eventos:
- Infecção por um vírus ou worm em larga escala
- Interrupção de serviço
- Mau uso do sistema por um funcionário
- Tentativas de intrusão em um computador (falhas ou não) para ganhar acesso não autorizado a um sistema ou a seus dados
- Ataque por Negação de Serviço
- Abuso em FTP anônimo
- Alterações no sistema, no hardware ou no software, sem o conhecimento, instrução ou consentimento do dono ou responsável
- Sistemas executando aplicativos que são vulneráveis a ataques
Gerenciamento efetivo de incidentes
Algumas vezes, vários eventos relatados (como ataques, vulnerabilidades, violações de políticas) devem ser analisados em conjunto para se descobrir um incidente. Uma visão centrada em incidentes permitirá aos técnicos entender:
- ESCOPO - O número de sistemas afetados
- IMPACTO - O grau em que cada sistema foi afetado em termos de confidencialidade, integridade e disponibilidade.
- IMPORTÂNCIA COMERCIAL - A importância do incidente baseada no valor para os negócios dos sistemas afetados em relação aos outros sistemas.
- PRIORIDADE - A urgência da resposta requerida ao incidente em ralação a outros incidentes.
A questão não é se você irá ter um incidente de segurança, mas, sim, quando ele ocorrerá. Uma visão centrada em incidentes irá simplificar o que de outra forma seria uma complexa e incômoda tarefa no gerenciamento da segurança.
Symantec Incident Manager
Empresas com grandes redes produzem diariamente uma massiva quantidade de eventos. A melhor maneira de gerenciar todos os dados gerados é ter, em tempo real, uma visão agregada e correlata dos elementos de segurança através das filas de rede e das tecnologias de segurança. É assim que o Symantec Incident Manager pode ajudar. O Symantec Incident Manager consolida os eventos de segurança a partir de múltiplos produtos e fornecedores de segurança. Ele identifica, prioriza e rastreia incidentes para análises e, assim, permite que as empresas que o usam tomem decisões efetivas para reduzir o seu perfil de risco.
Obtenha mais informações sobre o Symantec Incident Manager.
Links Relacionados
Download do artigo Managing Security Incidents in the Enterprise (Gerenciando Incidentes de Segurança em Empresas).
|
ID do Artigo: 1844
