Onde implantar novas ferramentas de segurança
News Article -- Outubro 29, 2020
Você está de olho em uma nova tecnologia ou serviço de segurança e quer avaliá-la antes de decidir se vai se comprometer com o esforço de uma implantação completa. Ou você pode já estar comprometido com a implantação em escala total, mas está se perguntando por onde começar. Então, onde você deve implementá-la primeiro para testá-la da forma mais efetiva e ter o maior impacto?
A natureza humana, a precaução e o senso comum ditam que você deve colocá-la em um ambiente de laboratório ou em uma seção menos importante da sua rede. Isso é sensível, não é? A reunião de conselho vai te dar menos dor de cabeça e, se houver um problema, você vai levar menos sermão, não vai?
No entanto, essa abordagem vai te dar mais informação e experiência prática sobre as dificuldades de implantação, as efetividades no seu ambiente do novo sistema e o que ele vai detectar? Ele vai te dar o máximo de proteção o mais rápido possível?
Qualquer ferramenta que te dê novos insights sobre o comportamento de seus sistemas tende a encontrar algo interessante. Aqueles de nós que implementamos coisas assim temos as histórias que vêm com elas - desde descobertas comuns, como perceber que todos os servidores em uma rede tinham as configurações erradas de DNS, até detecções críticas de invasores persistentes que não tinham sido observados antes.
Contudo, há uma razão para implantar essa nova ferramenta nos seus sistemas de produção: proteger os seus bens mais preciosos. Esse modo de operar tem um risco mais alto, mas também tem uma recompensa maior. Uma implementação em uma parte obscura da rede, com uma taxa de transferência baixa, vai te dizer muito? Por outro lado, uma única detecção real nos seus sistemas primários durante o período de avaliação não poderia convencer você e sua administração do valor do sistema?
É claro, essa pode não ser uma sugestão sensível para sistemas inline [NJ1] [VG2] [VG3] que processam todo o tráfego, mas com a tecnologia certa isso pode funcionar. Muitas tecnologias de segurança monitoram o tráfego e fornecem alertas em vez de reforçar ações — ou pelo menos têm um modo em que podem agir deste jeito. Uma nova solução de segurança implementada em uma porta span ou em um tap de rede pode até mesmo trazer mais risco para o tráfego de produção em termos de confidencialidade do que em disrupção ou performance. Também é fácil desligar ou destacar estas soluções ao remover a conexão span. Outras ferramentas de segurança contam com a coleta de logs de seus dispositivos existentes. Construir uma arquitetura que permita bifurcar ou desviar os fluxos de eventos de log pode dar suporte à introdução fácil desses tipos de ferramental de segurança.
Como exemplo, considere a avaliação de uma nova ferramenta de monitoramento de segurança, talvez uma com analytics de comportamento de entidade e de usuário (UEBA na sigla em inglês; user and entity behaviour analytics). Você pode conseguir muita informação ao implantá-la em um ambiente de teste/simulação que terá tipicamente um número menor de usuários e tráfego ocasional? Ou você teria um senso melhor do seu valor conectando-a ao seu diretório ativo de produção, aplicativos primários e sistema de acesso remoto? Isso não te daria uma ideia melhor do quão facilmente ela pode ser conectada, do quão bem ela lida com cargas reais de produção e se ela pode realmente diferenciar comportamentos normais e suspeitos?
Projetar taps como esses mencionados acima em sua rede e suas arquiteturas de log prepara seu ambiente para o futuro, fazendo com que seja mais fácil avaliar outros produtos ao longo do caminho e implementá-los na produção final. Isso também pode ajudar em emergências, como equipes de respostas a incidentes que querem implantar sua ferramenta procurando por instalações muito parecidas, supervisionando seus sistemas mais críticos.
Então, da próxima vez que tiver um novo sistema de segurança para testar, pense em ignorar o senso comum e em jogar fora alguma precaução. Às vezes, o passo radical é o mais certo. Implementar ferramentas de segurança em seus bens mais valiosos pode ser a melhor abordagem.
Sobre o autor
O Dr. Rhodri Davies trabalha no setor de Managed Security Services da DXC Technology, onde ele se concentra nas tecnologias que são requisitos para dar segurança aos clientes da DXC e na forma como essas tecnologias são operadas no dia a dia para fornecer um serviço efetivo. Siga o Rhod no LinkedIn.