As organizações necessitam, actualmente, de funcionar no regime 24/7, por esse motivo, foram desenvolvidas ferramentas de monitorização de modo a garantir a vigilância, dando alertas e reacções em caso de eventos anómalos.
Essa é uma excelente maneira de ficar à frente de qualquer problema na sua infraestrutura e, pode significar a diferença entre estar aberto para o negócio ou perder dinheiro devido a uma interrupção do sistema.
Exemplo: https://www.redscan.com/services/managed-detection-and-response/cyber-security-monitoring/
A monitorização deve ser composta por um conjunto de funcionalidades, entre elas:
- Estado actual dos equipamentos da infraestrutura
- Histórico de comportamento e eventos
- Estado de comportamento de programas e serviços
- Analise de registos, sejam “logs” ou “flags”
- Analise de tráfego de dados
- Ferramentas adicionais de tarefas periódicas devido ao impacto no sistema.
Assim sendo, não existe um produto perfeito e completo; mas sim, um conjunto de produtos que podem e devem ser integrados de modo a garantirem as necessidades da organização.
Obviamente que não existe uma única ferramenta que faça tudo, porém, é possível integrações de modo a convergir todas as funcionalidades. Veja-se o exemplo de: https://defenselifecycle.com/projects/
Os principais módulos a considerar em monitorização são de:
Monitorização de Sistemas ou infraestrutura.
É um sistema que analisa o estado da infraestrutura, software e serviços. Deve ter a capacidade de gerar alertas em caso de erro, ter reacções automáticas, fazer uma rápida sequência de verificações (1 vez por minuto) e guardar histórico para analise (exemplo, pode ser feita analise de capacidade ou continuidade).
Deve ainda recolher informação adicional de programas e serviços da infraestrutura, (exemplo: de antivírus, proxys, firewalls, IDS’s), possibilitando o alerta imediato ou de modo automático activar medidas de correcção e contingência.
Monitorização de Vulnerabilidades.
É a capacidade automática de fazer varrimento aos equipamentos e detectar vulnerabilidades que possam ser exploradas, quer em hardware ou software, e alertar o estado das mesmas de modo a serem mitigadas antecipadamente a uma exploração.
Monitorização de Arquivos ou “logs”
Todos os equipamentos e aplicações registam ficheiros de auditoria. Sendo a sua importância elevada e o volume imenso, é critico que a monitorização detecte eventos anómalos ou indesejáveis mal eles ocorram.
Monitorização de Tráfego de rede
A rede é o local por onde passa a informação, por isso é critico que a mesma seja investigada. “Assinaturas” e conecções indesejáveis, tráfego anómalo, etc; deve de modo imediato alertar ou se necessário reagir.
E ainda….
Podem ainda ser adicionadas mais funcionalidades a este “serviço”, tais como, integração com ferramentas de gestão:
- Incidentes, de mudanças, etc.
- Capacidade e de continuidade.
- Informação entrada e saída.
- Infraestrutura e aplicações.
Observações finais
Por outras palavras, a monitorização vai dar aos administradores de sistemas, de aplicações e de segurança a informação do estado e ter reacções de compensação a eventos de forma automática. Evitando assim, lapsos de tempo na procura de informação necessária para resolver problemas detectados ou que possam vir a ocorrer.
É de modo directo um benefício ao negócio e ao investimento na infraestrutura, pois, possibilita analisar permanentemente o comportamento e pode planear o investimento de forma racional sem entrar no exagero do gasto ou na insuficiência da compra.
NOTA: Agradeço comentários e sugestões de modo a poder escrever temas e assuntos mais próximo das necessidades de cada um.