quarta-feira, 8 de fevereiro de 2012

Cinco princípios para melhorar seu monitoramento de segurança

Após um ano cheio de falhas, as empresas precisam se concentrar mais em seus sistemas de monitoramento em busca de algum sinal de invasão, avaliam especialistas em segurança.
Para uma melhor defesa e detecção de ataques, as empresas precisam fazer um balanço de suas redes, descobrir onde reside a informação crítica e usar esse conhecimento para garantir e monitorar seus ativos críticos, diz Mike Lloyd, diretor de tecnologia da RedSeal Networks. Um recente estudo patrocinado pela empresa de monitoramento de rede descobriu que sete em cada 10 profissionais de segurança acreditavam que suas redes estavam em risco por causa de dispositivos configurados incorretamente, e mais da metade dos entrevistados não tinha o conhecimento para criar métricas para medir a segurança.
“Muitas vezes eu acabo usando a fala de Sun Tsu: não se preocupe com o inimigo… se preocupe com o terreno e conheça a si mesmo”, diz Lloyd. “Estes dois princípios cabem a TI: conheça a rede e conheça os pontos finais da rede.”
Em 2012, as empresas devem colocar um pouco mais da filosofia oriental em suas práticas de segurança.
1. Conheça a si mesmo.
As empresas precisam fazer um balanço dos seus sistemas e redes por duas razões. A primeira é encontrar fontes de informação que possam ser monitoradas. As empresas devem ir além do monitoramento de logs do firewall, rede de dados e padrões de uso dos funcionários. É preciso se mover para analisar logs de acesso, os pedidos de nome de domínio e todos os dados de geolocalização.
Obter essa informação nem sempre é fácil porque a equipe de segurança não pode gerenciar o ativo em questão, diz Eddie Schwartz, diretor de segurança da RSA.
“Você olha para algumas organizações e elas têm bloqueios no lugar”, diz ele. “Elas não podem obter as informações da equipe do Windows ou da equipe de firewall, quando todos os dados que são relevantes para a solução do problema de segurança devem ser parte de seus ativos.”
Encontre as fontes de dados e faça o gerenciamento on-board para ter os dados necessários para monitorar a segurança da rede, diz Schwartz.
2. Conheça o terreno.
Após usar vários logs e dados de tráfego, o próximo passo é encontrar todas as maneiras dentro e fora da rede, bem como todos os parâmetros.
Parece fácil? Não é, diz Lloyd. Metade de todos os profissionais de segurança não sabe, ou não tem nenhuma maneira de saber, como os recursos podem ser acessados de fora da rede, de acordo com um recente estudo da RedSeal.
“Muitas empresas vão dizer: ‘nós não sabíamos o quanto nós não sabíamos até analisarmos a nossa rede”, diz ele. “Recolher dados sobre a rede não é uma tarefa simples e a maioria das organizações não sabe sobre todos os dispositivos em sua rede.”
Ter um estoque efetivo dos dispositivos, bem como os padrões de conexão entre os ativos, permite às empresas saber de onde pode vir um ataque e como detectar padrões estranhos de uso.
3. Saiba como se defender.
Depois de encontrar fontes de informação para monitorar a rede, as empresas precisam informar o seu acompanhamento e defesas através do conhecimento da função do negócio dos ativos, diz Lloyd.
Quando respondentes por incidente veem um ataque, eles precisam saber onde o atacante poderia ir e quais dados poderiam estar em perigo.
“Um scanner de vulnerabilidade poderia ter muito valor à rede, por exemplo”, diz ele, “porque um invasor no controle desse ativo vai saber os pontos fracos da rede.”
4. Conheça o inimigo.
Especialistas da indústria discordam sobre a importância da ameaça da inteligência global para os planos de monitoramento da empresa.
RedSeal, que se concentra mais em ajudar as empresas a entender e proteger a rede, coloca menos ênfase em manter abas em atacantes. RSA, que tem cerca de duas dezenas de feeds de ameaça, é dedicada à segurança baseada em inteligência como uma evolução significativa para as grandes empresas.
“Segurança tem que ser mais ágil, mas tem que ser mais baseada em inteligência”, diz Art Coviello, presidente executivo da RSA. “Não é se, ou se, você vai ser atacado ou violado. É como você vai ser capaz de responder.”
Para as empresas que acreditam que os atacantes irão objetivar seus sistemas, manter o controle das ameaças pode ser a chave.
5. Medida de segurança, e não de trabalho.
Algumas empresas mensuram as coisas erradas e isso que pode configurá-las para o fracasso, diz Lloyd.
Usando o número de atualizações aplicadas, definições de antivírus atualizadas ou outras medidas de trabalho não torna uma empresa mais segura. Em vez disso, ela coloca a equipe de segurança em uma esteira, onde é preciso correr mais rápido a cada trimestre para atender às expectativas, diz ele.
“Segurança é a ausência de algo, é difícil de medir”, Lloyd adverte. “Então o que você tem que medir é a postura – o quão longe você está à frente da próxima ameaça.”
Em vez disso, as empresas devem medir métricas que melhorem a segurança, tais como o número de vulnerabilidades corrigidas. “O truque é, então, torná-lo quantificável e repetitivo”, diz ele.

DATA:08-02-2012

Nenhum comentário:

Postar um comentário