Centro de monitoramento de segurança: como detectar invasões rapidamente
Por André Carraretto | 03 de Setembro de 2015 às 12h07
A infraestrutura de tecnologia da informação é um ambiente bem "barulhento", composto por "ruídos" que vêm de todas as direções, máquinas e aplicações. Não é à toa que detectar ataques - geralmente sorrateiros, que “andam nas pontas dos pés" para não chamar atenção - é tarefa tão complexa, que leva em média 200 dias, conforme dados de mercado.
Com o fortalecimento das ameaças - a cada novo dia de 2014, um milhão de malwares eram criados em todo o mundo, segundo relatório da Symantec -, reduzir esse tempo entre infecção e detecção se torna cada vez mais importante. E é aí que entram os centros de monitoramento de segurança, ambientes ainda pouco adotados na TI, mas que são capazes de reduzir esse tempo de 200 dias para algumas horas.
Parece complicado, mas não é.
Em geral, a TI das empresas é responsável por implementar o que chamamos de controles de segurança, que é a composição de firewalls, antivírus, solução de filtro de internet, entre outras defesas. Essas tecnologias geram alertas, que na maior parte das vezes não são avaliados ou correlacionados, por falta de pessoal experiente e com dedicação total à atividade.
Imagine que um proxy dá um sinal de um lado e, do outro, o firewall bloqueia conexões de uma máquina sequencialmente. Quais as chances de uma sobrecarregada equipe identificar que uma ocorrência está totalmente conectada à outra e entender não só de onde veio a ameaça, mas para onde ela vai e o que planeja levar consigo? Agora, pense em diversas dessas ocorrências simultâneas, em um parque médio de máquinas. Como seria possível conectar cada uma delas?
A composição tecnológica de um centro de monitoramento de segurança não difere do convencional. A cereja do bolo está na equipe, formada por profissionais com conhecimentos avançados em técnicas de ataque e análise de comportamentos, que vai investigar todas as ocorrências para entender o que, de fato, traz riscos. Para dar conta dos incidentes em uma empresa média, o time necessita ser composto de aproximadamente 20 pessoas, que se dividem entre analistas, operadoras de segurança, coordenadores e gerentes, em uma rotina de trabalho 24/7.
Apesar de essencial para as empresas, um centro de monitoramento de segurança é custoso, dado o alto número de profissionais, e demora para dar retorno: até ficar "redondo", é preciso que o time tenha uma maturidade mínima de dois anos. Uma alternativa é contratar uma empresa especializada, que forneça os serviços de forma madura e estruturada.
No próximo artigo, falarei sobre os procedimentos que devem ser adotados quando uma invasão é detectada.