Um novo cenário para Segurança em Data Center

Neste ano o mundo experimentou um aumento anormal de ataques aos sistemas de informação corporativa. Hoje, a questão não é mais “se” um ataque irá ocorrer, mas “quando” será.

E além do número de ataques ter aumentado, também houve uma explosão do número de possíveis vetores desses ataques. Tecnologias como IoT, nuvem pública, data center virtualizado, incontáveis softwares open source e outras muitas inovações tecnológicas  que podem ser comprometidas ameaçando a segurança da empresa. Isso exige que a segurança da informação vá além da proteção do perímetro, e atue em cada dispositivo com acesso a rede da empresa, principalmente quando estes dispositivos levarem consigo informações valiosas para fora do perímetro de proteção da rede.

O novo perímetro

A defesa perimetral tem tratado do controle do tráfego que flui de dentro para fora de uma rede. As melhores práticas incluem a implementação de um conjunto, em camadas, de defesas complementares, em camadas. Além de um roteador, que conecta as redes internas e externas, a tecnologia primária que sustenta a proteção perimetral é o firewall, que filtra o tráfego potencialmente perigoso ou desconhecido que pode constituir uma ameaça com base em um conjunto de regras sobre os tipos de tráfego e fonte permitida. A maioria das organizações também adota sistemas de detecção ou prevenção de intrusão (IDS / IPS), que buscam interceptar um tráfego suspeito que tenha passado pelo firewall.

As estratégias mais eficazes implementam várias camadas de controles complementares, aumentando, assim, as barreiras que um potencial intruso deve contornar para obter acesso. No entanto, a defesa perimetral, por si só, não é suficiente para proteger contra ameaças sofisticadas. As organizações também precisam desenvolver monitoramento de rede orientado pela inteligência, detecção de ameaças e recursos de resposta a incidentes.

Apesar dos requintes e inovações encontrados pelos invasores, os firewalls, aparelhos de perímetro de rede e sistemas avançados de proteção de endpoints, sucessores do antivírus, ainda têm um papel a desempenhar na prevenção de uma tentativa direta de “forçar as muralhas”.

As equipes também devem funcionar como firewalls

Os firewalls são fundamentais, mas o “firewall humano” também deve receber atenção. O perímetro deve ser estendido para todos os dispositivos e todos os funcionários.

Pense quão fácil ainda é explorar os e-mails de phishing. A segurança cibernética é tanto sobre as pessoas como sobre a tecnologia, então, o treinamento é uma grande parte da prevenção.

Um recente ataque de phishing em uma empresa americana, por exemplo, levou a equipe a trabalhar durante dias para conseguir eliminar a ameaça. Tudo começou quando alguém abriu um link, habilmente, enviado por um endereço de e-mail interno. Pouco tempo depois, os funcionários estavam recebendo e-mails de fontes internas confiáveis ​​pedindo-lhes para abrir um fax em anexo. Muitos fizeram. A infecção se espalhou rapidamente e derrubou vários sistemas.

Tais incidentes deixam claro que o treinamento do pessoal é um elemento vital do arsenal de segurança. De acordo com o Cybercrime Survey, as empresas que treinam funcionários gastam 76% menos com incidentes de segurança em comparação com aqueles que não o fazem. As economias totalizaram quinhentos mil dólares por ano em comparação com aqueles que não o fizeram.

Inteligência de ameaça no data center

“Pare de tentar proteger tudo. Proteja o que é vital e aceite que o resto pode ser comprometido”.

AssimSegurança e Data Center como é possível conter os custos, concentrando-se nas “jóias da coroa”, os data centers também podem tornar o trabalho mais fácil, incorporando técnicas de análise e inteligência. Ferramentas de ponta, como rede forense e analítica, podem ajudar as equipes de gerenciamento e resposta de incidentes a obter as informações de que precisam.

Com isso, estamos evoluindo para uma abordagem de análise de grandes quantidades de dados. A idéia é usar sistemas de Big Data para fazer uma análise avançada em tempo real e de alta velocidade.

Gestão e Resposta

Muitos centros de dados estão fortemente focados em responder rapidamente às ameaças imediatas. Embora isso seja certamente importante, não é tão eficiente em longo prazo. Alguns gerentes de data centers precisam entender a diferença entre gerenciamento de incidentes de segurança e resposta a incidentes. Embora estejam intimamente relacionados, o gerenciamento de incidentes é mais uma função comercial, enquanto que a resposta a incidentes requer uma abordagem mais técnica.

Aqueles que tentam responder a incidentes sem bons processos de gerenciamento tendem a ficar sobrecarregados com pedidos constantes de atualizações de status. Nenhum desses papéis funciona bem sem o outro.

As melhores práticas em resposta a incidentes requerem um processo documentado que seja sempre seguido. Há necessidade de testes. Pode ser fácil lembrar de todas as etapas necessárias para conter um incidente hoje, mas os níveis de estresse aumentam substancialmente durante uma violação real. Uma resposta é a criação de listas de verificação para garantir que todas as tarefas sejam realizadas na ordem pretendida. A documentação durante o incidente é essencial e as listas de verificação podem ajudar.

Outro aspecto crucial para se tornar mais organizado é instalar um programa SIEM (Information and Event Management) para coletar, correlacionar, automatizar e analisar logs.

A melhor maneira de proteger a infraestrutura do data center é assumir que o perímetro não existe e que é preciso proteger cada componente dentro do data center.

Sem pedra a ser virada

Um último conselho: se ocorrer uma violação grave, não deixe nenhuma pedra a ser virada na investigação. Uma tática usada recentemente pelos atacantes, é alojar o malware inerte no Data Center e mantê-lo inativo por um tempo. Dessa forma, mesmo que a incursão seja descoberta e os esforços de limpeza sejam realizados, o malware pode permanecer. Vários bancos, por exemplo, foram alvos dessa abordagem. Os atacantes silenciosamente retiraram fundos pouco a pouco ao longo de muitos meses de várias contas. Isso não é suficiente para chamar muita atenção, mas chegaram aos vários milhões ao longo do tempo.

Siga todas as provas que você tiver até que você tenha certeza de que descobriu todos os ofensores, identificou claramente os elementos da rede que foram comprometidos e entendeu as táticas e ferramentas usadas. Esta análise pode levar muito tempo, mas é a melhor maneira de aprender com um incidente e garantir que você esteja devidamente preparado para lidar com o próximo.

Com todo esse conjunto de complexidades e desafios em segurança de data centers, surge a necessidade de uma nova compreensão. Se você não tem certeza de que o seu provedor esteja pronto para lhe garantir uma segurança eficaz, é hora de encontrar um que seja.

Conte com a Ten Sistemas e Redes para ajudar a montar o seu projeto e baixe o guia: 5 dicas para implementar soluções tecnológicas para tomar decisões mais precisas e melhor informado.

Deixe um comentário

O seu endereço de e-mail não será publicado.

Enviar mensagem
Fale com o nosso especialista
Olá, como podemos ajudar?