Como a função das linhas de base de desempenho na segurança do data center podem ajudar a proteger de ransomware

Guilherme

, Opinião

Recentemente, o mundo encarou o monstro dos ransomwares, WannaCry, que afetou os sistemas e utilitários de muitas empresas, inclusive algumas no Brasil. De acordo com as últimas estatísticas do Avast Antivírus, o Brasil foi o quinto país mais afetado, também classificado em quinto lugar na lista de dispositivos vulneráveis.

Destiny Bertucci: Head Geek™ da SolarWinds

Um dos segredos para se defender de ameaças como o WannaCry e obter um datacenter seguro é entender o que pode ser considerado “normal” no seu ambiente. Isso permitirá reconhecer irregularidades que podem indicar uma violação de segurança. Esse processo de linha de base deve ser parte de uma política avançada de segurança, capaz de melhorar a capacidade da sua equipe de criar e executar um plano de resposta predeterminado quando alguma anomalia for encontrada.

Há diversas formas de desenvolver essas linhas de base, mas uma das ferramentas que costuma ser ignorada é o sistema de monitoramento do datacenter (que você já deve ter). Combinado com ferramentas específicas de segurança e uma abordagem disciplinada, o monitoramento deve ser essencial em uma abordagem de defesa profunda.

Lendo folhas de chá e histogramas

Sempre me surpreendo com a quantidade de departamentos de TI que não usam dados históricos e de linha de base como parte dos processos de segurança. Talvez parte do problema seja uma falta de entendimento sobre quais métricas de desempenho podem e devem ser consideradas do ponto de vista da segurança. Aqui estão algumas delas:

  • Utilização de largura de banda – Entender a quantidade de tráfego de rede que normalmente flui de e para o data center é um bom lugar para começar, já que um pico inesperado no tráfego de rede pode indicar furto de dados. Apesar de não ser muito comum, o uso de softwares de monitoramento para informar sobre o aumento ou a redução do tráfego de rede que entra e sai do seu data center é um método eficiente de ficar a par das mudanças antes que ocorra uma violação. E, é claro, a análise de tráfego do NetFlow, do sFlow® ou do J-Flow rastreia dados de um ponto de extremidade ao outro, permitindo que você avalie e localize possíveis ameaças.
  • Volume do armazenamento de dados – Usar suas linhas de base de armazenamento para determinar a normalidade do volume e posicionamento de dados também é um bom começo. Com esse conhecimento, será possível acompanhar imprevistos, como aumentos ou reduções de volume e transferências de arquivos, que podem indicar que há dados sendo excluídos, duplicados ou movidos durante uma violação.
  • CPU e memória – O uso de CPU ou memória também é outra métrica de desempenho importante que pode melhorar a conscientização de segurança. Saber o que é normal para a CPU e a memória pode permitir que você acompanhe aumentos contínuos que podem indicar uma infecção de malware que não foi detectada anteriormente.

Dados de segurança com propósito

Os dados de desempenho também oferecem outro benefício: informar sobre o desenvolvimento e a implementação de uma política e um processo de segurança abrangentes. Veja a seguir um resumo das etapas que costumo recomendar, com as etapas associadas ao monitoramento de desempenho e à linha de base em negrito.

  1. Em conjunto com todo o departamento de TI e os principais líderes da empresa, determine:
    1. Quais políticas do governo (se houver) se aplicam à sua empresa e aos dados que você coleta e armazena?
    2. Quais departamentos têm acesso a dados confidenciais?
    3. Qual nível de acesso é permitido (tablets, smartphones, laptops, aplicativos etc.)?
    4. Quais as principais linhas de base de desempenho do data center que devem ser incluídas?
  2. Digite todos os elementos acordados na política e distribua-os.
  3. Crie uma agenda de manutenção de segurança, que deve ser fluida e frequentemente alterada/atualizada.
  4. Implemente o software de monitoramento de TI no data center e na rede, configurando alertas que serão acionados quando houver algum desvio das linhas de base de desempenho já determinadas.
  5. Implemente procedimentos de segurança. Não se esqueça de fazer isso depois de estabelecer as linhas de base de desempenho, a fim de avaliar os efeitos de implementar procedimentos de segurança.
  6. Desenvolva planos de resposta predeterminados quando um ataque ou outro imprevisto for detectado. É importante que todos os líderes da equipe conheçam e entendam esses planos de resposta. Pode ser útil agendar sessões para treinar respostas.
  7. Como as mudanças esperadas de desempenho ocorrem com o tempo, reavalie as linhas de base de desempenho regularmente, com base em um volume dados de desempenho equivalente a pelo menos uma semana.
  8. Treine todos os funcionários (incluindo os medianos) em políticas e processos de segurança.

Conclusão

Os melhores projetos de TI são aqueles que permitem reajustar o que você já tem de novas maneiras. Neste caso, o sistema que você está usando para solução de problemas de disponibilidade e desempenho pode ter um papel essencial em políticas e processos de segurança mais abrangentes. As políticas e processos de segurança que incluem linhas de base para normalidade pelo uso de dados de monitoramento podem chamar a atenção para violações de dados ou outros ataques, ou, em alguns casos, quando eles conseguem se manter despercebidos por outras medidas de segurança.

Destiny Bertucci é Head Geek™ da SolarWinds.