Aquele ditado popular "o que os olhos não veem, o coração não sente" não se aplica quando o assunto é segurança de rede. O que você não sabe é exatamente o que vai te machucar. Ter uma visibilidade total da rede é essencial para proteger os ativos de sua empresa, evitar multas LGPD e investigações corporativas.
Desde o início da pandemia do COVID-19 no ano passado houve um aumento de 300% nos crimes cibernéticos relatados ao FBI. Muitos desses ataques são diretamente direcionados à rede, a Cisco prevê que até 2023, haverão 15,4 milhões de ataques DDoS.
Por isso, é muito importante que você conheça muito bem a sua rede - incluindo conexões, segmentos, dispositivos, aplicativos e máquinas virtuais. Todos esses elementos são alvos de cibercriminosos cada vez mais sofisticados.
Jade Kahn, em artigo para Security Boulevard, afirma:
Ter visibilidade abrangente em seus ambientes de rede, seja local ou na nuvem, é fundamental para estabelecer e manter uma postura robusta de segurança e conformidade. A visibilidade detalhada mostra quais aplicativos de negócios e fluxos de conectividade serão afetados por mudanças nas regras de segurança ou downtimes planejados de servidores e dispositivos. Isso é fundamental para compreender o impacto sobre os principais aplicativos ao migrar e desativar servidores ou solucionar problemas para evitar interrupções dispendiosas.
O monitoramento de rede faz parte de uma abordagem específica na segurança de TI, e é um elemento essencial em uma estratégia de defesa em profundidade. Assim como o seu antivírus e o seu firewall devem cobrir todos os seus ativos, o monitoramento de rede também deve rastrear todos os recursos da sua rede.
Ilumine sua rede com o monitoramento adequado
O monitoramento de rede adiciona uma camada crítica de proteção à sua infraestrutura de TI. Uma boa solução de monitoramento de rede identifica mudanças nas configurações que podem indicar uma invasão, enquanto os logs de rede mostram exatamente o que aconteceu e o que precisa ser consertado. Assim, as invasões são detectadas mais rapidamente ou bloqueadas, a exposição à conformidade é reduzida e as perdas econômicas diminuídas ou eliminadas.
Essas violações são mais do que um incômodo. Segundo a Verizon, 36 bilhões de registros foram vazados no primeiro semestre de 2020, sendo que 58% correspondem a dados pessoais.
A segurança da rede começa com a descoberta
Como o título desse post indica, você não pode proteger uma rede que não consegue ver - ou entender. É por isso que a primeira coisa que uma boa solução de monitoramento de rede faz é a descoberta de rede. É importante encontrar tudo o que está em sua rede, definir perfis e criar um inventário. Além disso, você deve automatizar a descoberta para que, em um momento pré-agendado, a solução encontre novos elementos e dispositivos em sua rede e mantenha seu inventário atualizado. Assim, novos dispositivos, conexões e segmentos de rede não serão uma vulnerabilidade em seu ambiente.
SAIBA MAIS: Release Notes - WhatsUp Gold 2021
Defina a baseline da rede para saber quando as coisas estão erradas
A visibilidade da sua rede depende da definição de como a rede deve ser configurada para operar corretamente. Esta definição é chamada de baseline da rede.
Sua baseline deve ser abrangente e englobar métricas de desempenho e segurança, como estatísticas de utilização de memória, CPU, interfaces e disco. Depois de estabelecidos os parâmetros, defina limites e alertas para evitar problemas de segurança. Por exemplo, dispositivos sobrecarregados podem indicar um ataque DDoS, o que exige atenção imediata.
Outro exemplo é a mineração de criptomoedas, que embora não seja necessariamente um evento de segurança, pode obstruir sua rede a ponto desta ficar indisponível. A mineração geralmente ocorre fora do horário comercial, quando funcionários mal intencionados e invasores utilizam sua rede para o processamento de criptografia. O monitoramento da CPU e da memória podem detectar essas atividades, mesmo quando sua empresa estiver fechada.
Alguns servidores operam com 90% da capacidade de processamento porque são usados para maximizar a eficiência. Nesses casos, é necessário definir limites mais altos. Se o uso da CPU estiver em torno de 50-60%, configure um alerta para ser disparado quando o uso atingir 90%. Você pode monitorar todos os seus servidores dessa forma para detectar comportamentos suspeitos e saber se seus dispositivos estão adequados para suas necessidades.
Alertas
A descoberta e a definição de baseline da sua rede por si só não resolvem todos os problemas. Os alertas são fundamentais para evitar baixa performance, largura de banda sobrecarregada e comportamentos incomuns.
No entanto, a configuração correta desses alertas deve ser feita com muita atenção. Você não quer alertas para tudo que estiver um pouco fora do comum. Utilize os relatórios para rastrear todos os comportamentos fora do padrão e só quando atingirem um nível crítico dispare um alerta. Evite que sua TI se distraia com eventos triviais e deixe passar eventos realmente importantes.
Os alertas não devem ser enviados em massa para todos que usam a solução de monitoramento de rede. Eles devem ser direcionados com base na responsabilidade de cada profissional. Por exemplo, alertas de servidor devem ir para a equipe que cuida do servidor e alertas de largura de banda devem ser enviados para aqueles que gerenciam as conexões. Os alertas também podem ter diferentes níveis de gravidade. As não emergências, podem ir para soluções de e-mail ou colaboração, como o Slack, enquanto itens críticos podem ser enviados por mensagem de texto para atuação imediata.
Configuração de descoberta e controle
Segundo a Gartner, 80% das invasões cibernéticas ocorrem devido a configuração incorreta ou algum outro tipo de erro de administrador.
Para obter acesso às redes, os invasores geralmente reconfiguram serviços ou hosts para torná-los temporariamente indisponíveis. Com o monitoramento de rede você detecta a perda do serviço e encontra a reconfiguração maliciosa.
Uma boa solução de monitoramento descobre e documenta suas configurações, e dependendo da gravidade das alterações envia alertas. Você também pode definir configurações automáticas baseadas em políticas pré-definidas. Os backups automatizados garantem que suas configurações possam ser facilmente restauradas.
Você também pode definir políticas de segurança, como habilitar a criptografia de senha e garantir a conformidade com as políticas.
A análise de tráfego de rede ajuda a detectar ataques DDoS, vazamento de dados e uso da dark da web
Muitos problemas de segurança (e desempenho) estão relacionados à largura de banda, por isso a análise de tráfego de rede é muito importante. Você pode analisar NetFlow, NSEL, S-Flow, J-Flow e IPFIX e obter informações abrangentes e granulares sobre quais recursos, departamentos, grupos ou mesmo indivíduos estão usando a largura de banda. Essa análise pode detectar ataques de botnet e controle de rede, vazamento de dados por cibercriminosos, ataques DDoS, mineração de criptomoedas e até mesmo funcionários assistindo a Netflix ou Amazon Prime.
Se você tiver uma boa baseline, o monitoramento do uso da largura de banda em tempo real mostra claramente quando algo está fora do normal. Além disso, você pode acompanhar as tendências históricas de largura de banda para decidir quando precisará atualizar a rede.
A análise de tráfego também é fundamental para a análise forense de segurança, descobrindo aplicativos não autorizados, rastreando os volumes de tráfego entre pares específicos de origem e destinos e encontrando altos fluxos de tráfego para portas não monitoradas.
Com o WhatsUp Gold, você pode alertar os administradores quando os usuários acessarem a Dark Web via Tor. A TI pode monitorar todas as fontes de rede em busca de portas Tor conhecidas e detectar ou bloquear o acesso à Dark Web.
Outros recursos importantes de monitoramento de rede do WhatsUp Gold
Todos os recursos de monitoramento de rede discutidos neste post estão disponíveis no WhatsUp Gold da Progress. Vale destacar mais três que podem ser muito úteis para sua empresa:
NetFlow - A TI pode analisar dados de dispositivos Cisco de forma fácil e automática para analisar o comportamento da rede, detectar problemas de segurança e configurar alertas em tempo real.
Gerenciamento de registros - Importante para o cumprimento dos regulamentos de conformidade e essencial para mostrar exatamente o que aconteceu e quais procedimentos foram realizados após um evento de segurança.
Auditorias de conformidade agendadas - Execute auditorias regulares para que sua empresa fique em conformidade com a LGPD, SOX, HIPAA, PCI, GDPR e FISMA.
Fonte: The Network Monitor
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.