Serviços Gerenciados e Monitoramento
Em época de crise, gerentes e coordenadores de TI precisam fazer verdadeiros milagres com o orçamento pequeno e equipe reduzida. Entretanto, é possível manter a qualidade do atendimento dos depto. de TI e Segurança da Informação através de um contrato de serviços gerenciados.
Os ambientes de TI atuais são tais que sua complexidade é usualmente proporcional às funcionalidades que tal ambiente provê à organização, ocupando quase todo o esforço da administração de sistemas ao seu monitoramento e manutenção.
O aspecto da segurança neste ambiente típico acrescenta a este esforço da equipe as tarefas de agir proativamente prevenindo ataques, além de coletar, analisar e correlacionar eventos de segurança gerados (em maior ou menor grau) por sistemas operacionais, elementos ativos, serviços e aplicações.
Identificar de forma abrangente e contínua as vulnerabilidades do ambiente efetuando as correções necessárias, coletar, tratar, analisar, correlacionar e responder adequadamente a uma grande quantidade de eventos de segurança, incluindo logs e alertas, gerados por estes elementos muitas vezes de fabricantes diferentes (e usualmente com funcionalidades, interfaces, sintaxe e semântica distintas), requer uma equipe especializada e dedicada exclusivamente a esta tarefa. Este problema é geralmente potencializado pela diversidade e quantidade de elementos a serem administrados numa rede heterogênea de médio ou grande porte.
Quando se acrescenta a este cenário as ferramentas de segurança típicas como firewalls, detectores de intrusão, autenticadores, antivírus, proxies e entre outros, a quantidade e natureza dos dados gerados continuamente a ser tratada e analisada, além dos procedimentos e intervenções necessários e decorrentes, normalmente torna a tarefa impraticável para a equipe.
Diante de tal quadro os gestores de tais ambientes tentam controlar a situação pela instalação e configuração de ferramentas de produtividade, baseadas no ferramental existente, centralizando a análise e correlacionando dados, de forma a eliminar parte dos logs e alertas.
Tal abordagem é bastante comum e, quando bem administrada, implementa geralmente somente algumas políticas de contenção (defesa perimetral) e detecção de intrusão, normalmente não contemplando a identificação de vulnerabilidades e a posterior eliminação/limitação destas, ou seja: não há proatividade. Assim diagnósticos e análises de vulnerabilidades tornam-se necessárias, de forma a prover características proativas ao modelo.
Coletar e analisar conjuntos de dados distintos gerados por ferramentas de segurança distintas não dá automaticamente a visão do conjunto, integrada, que trate completamente o clico de vida de um evento de segurança (log, alerta, etc). Normalmente este ciclo se inicia com a coleta dos dados das várias ferramentas, seguido de análise e correlação, sem esquecer dos procedimentos e intervenções necessários e próprios para resolver o assunto (por exemplo, a eliminação ou limitação da vulnerabilidade).
Uma etapa leva necessariamente à outra e as ferramentas e análise (mesmo que conjunta /eou automatizada), se os procedimentos e intervenções posteriores, fazem o problema permanecer, permitindo novos alertas iguais quando de novas ocorrências de mesma natureza. O procedimento posterior é, portanto, fundamental.
Ferramentas, mesmo integradas, só conseguem algum nível de resposta automatizada ou procedimento posterior satisfatório para os casos mais simples. Resposta e procedimentos mais complexos, como por exemplo as vulnerabilidades das cada vez mais comuns aplicações desenvolvidas pelo próprio cliente, exigem expertise que não é próprio de qualquer ferramenta de mercado.
O foco do problema
Há uma crença disseminada que os riscos aos quais estão submetidos os processos e sistemas de TI devem ser a principal preocupação do escalão gerencial. Nenhum risco, no entanto, pode ser eliminado ou limitado sem que as vulnerabilidades que o viabilizam sejam contidas ou eliminadas, e portanto não há como se pensar em diminuir riscos sem prévia diminuição das vulnerabilidades associadas.
Assim, da mesma forma que uma análise de riscos não é suficiente, uma análise de vulnerabilidades minuciosa e abrangente, não limitada apenas ao escopo e uso de ferramentas automáticas se faz necessária para que, identificadas as vulnerabilidades (incluindo aquelas mais complexas e pouco evidentes, que as ferramentas automáticas não conseguem identificar), seja possível se efetuar procedimentos e implementações no ambiente, sistemas e processos para limitar/suprimir tais vulnerabilidades. De fato, a simples identificação de vulnerabilidades sem os procedimentos e implementações necessárias para limitá-las ou suprimi-las não contribuem efetivamente para diminuir os riscos correspondentes.
Ao se mensurar riscos (risco = probabilidade de ocorrência x dano) percebe-se que para diminui-lo ou eliminá-lo deve limitar ao máximo as probabilidades de sua ocorrência. Isto é obtido pela identificação e imediata limitação/eliminação das vulnerabilidades que tornam o rico factível. Em outras palavras, gerenciar riscos é gerenciar vulnerabilidades.
Quaisquer políticas ou procedimentos adotados em ambientes de TI que não contemplem a busca ampla e contínua por vulnerabilidades e sua imediata eliminação/contenção não diminuem os riscos aos quais os ambientes, sistemas ou processos de TI estão submetidos.
S.O.C
Apresentamos nosso Security Operation Center. Trata-se um serviço de outsourcing da manutenção de segurança e infraestrutura no ambiente do cliente, de forma pró-ativa, integrada, abrangente, contínua e automatizada , com o objetivo de garantir da disponibilidade, integridade, autenticidade e confidencialidade das informações.
Com isso, a empresa dispõe de acompanhamento contínuo, com análises de varreduras de segurança abrangentes, não se limitando ao escopo dos produtos de segurança já instalados no cliente, sendo realizadas por equipe altamente qualificada e especializada em segurança, que acompanhará o ciclo completo, desde a prevenção e detecção, até os procedimentos de resposta imediata para evitar problemas de mesma natureza no futuro, sem limitações de arquitetura, fabricante ou tecnologia.
Adotamos a abordagem integrada de encarar segurança necessariamente como um processo contínuo.
Siga-nos!