Gestão e monitoramento avançado de firewalls em data centers: mito ou realidade?

0

Durante a universidade, estudei as armadilhas da segurança da informação e desenvolvi um amor sem comparação pelo tema. Mas, até aquele momento, era só um amor desenfreado por um tema que acreditava fazer sentido. Concluí meu curso de engenharia e fui trabalhar em uma empresa que desenvolvia uma infraestrutura de firewalls ajustada para dois sites e algumas redes DMZ (localidade entre a rede interna e a internet para publicação de serviços). Um ambiente fantástico, mas relativamente pequeno, quando comparado com as empresas que vivencio hoje.

Neste cenário, bastava um painel para concentrar todo o gerenciamento, mas mesmo em uma estrutura aparentemente tão simples, olhar os logs de ataques e definir o que fazia sentido ou não era humanamente impossível. Quando analisamos ambientes contidos em Data Center, vemos que é improvável a aplicação das mesmas metodologias que eu utilizava na gestão e bloqueios de ataques. É necessário algo mais automatizado e inteligente.

Na maioria dos casos, nem as mesmas ferramentas de monitoramento Open Source comumente usadas podem ser selecionadas. Por quê? Bem, muitas empresas não observam com bons olhos o uso de ferramentas Open Source e preferem o uso de fabricantes já conhecidos. Tema polêmico, não?

Ainda existe outro ponto importante: não adianta investir na mais elevada tecnologia de firewall e impor a ela a responsabilidade de proteção. Segurança é muito mais do que isto, passando principalmente por pessoas, processos e normas. Além disso, deve envolver todas as pessoas de uma corporação.

Quando olho a movimentação para a mitigação de um ataque dentro de um Data Center, vejo uma equipe que movimenta profissionais de redes, MSS (Managed Security Service), sistemas operacionais e diversas outras áreas unidas em torno do mesmo objetivo: bloquear um ataque e proteger os ativos de uma corporação.

Isto pode ser facilmente comprovado no estudo do Instituto Ponemon, feito com 15 indústrias diferentes em cinco países, mostrando que:

* A prevenção de riscos é classificada como a característica mais importante para a proteção de dados;
* Firewall é classificado como o recurso menos importante para a proteção de dados.

Imaginemos um ambiente com mais de 1.500 firewalls, espalhado em dois Data Centers. Este cenário é facilmente encontrado no Brasil, se olharmos as empresas que fornecem serviços em ambiente de Data Center. A gestão, aliada ao monitoramento de forma eficiente, é realmente um mito ou uma realidade?

Acredito que a verdadeira pergunta deveria ser: Quais técnicas, ferramentas ou qualidades deve-se buscar nas soluções de monitoramento para identificar os ataques, gerar alertas com menor índice de falso positivos (ou até falso negativos) e movimentar as equipes de SOC (Security Operations Center) de forma realmente inteligente?

De maneira macro, é indispensável à análise de logs que representem os conceitos encontrados no SIEM (Security Information and Event Management) ou encontrados nas soluções de Big Data customizadas para tratar incidentes ligados à segurança de dados.

Quando acoplamos ao ambiente uma solução de SIEM, analisamos os ataques que estão ocorrendo naquele momento e interpretamos os impactos de elementos que venham a prejudicar o desempenho dos equipamentos que protegem (ou permitem) o acesso aos dados de uma empresa (servidor Web, servidor de aplicação, switch, firewall, servidor de VPN, etc).

Entretanto, esta solução não gera análises dos ataques que ocorreram sem serem identificados. Este modelo de análise só é possível com a inteligência de uma equipe que identifique a assinatura destes ataques e informe uma solução de Big Data para avaliar se algum elemento da rede foi afetado.

Desta forma, identificamos não apenas o ataque que está ocorrendo, mas também o ataque que afetou o ambiente quando ainda era um Zero Day (o primeiro dia de um ataque sem nenhuma empresa ter mapeado sua metodologia de funcionamento).

Links Indicados:
* Instituto Ponemon: http://www.ponemon.org/
* Zero Day: http://en.wikipedia.org/wiki/Zero-day_attack
* SIEM: http://en.wikipedia.org/wiki/Security_information_and_event_management

Denis Augusto Araújo de Souza, arquiteto de Soluções do UOL Diveo, autor do primeiro livro em português sobre FreeBSD, O Poder dos Servidores em Suas Mãos, pela editora Novatec . Segunda edição: ebook publicado pela Amazon.com

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.