This post is also available in: Português English Español
O gerenciamento da segurança da informação vai muito além de criar políticas e alinhar regras de controle e auditoria. Um aspecto fundamental da gestão deve ser a avaliação do comportamento da infraestrutura a fim de avaliar a evolução do modelo implantado na empresa.
Segurança da informação é um negócio dinâmico no sentido de novos serviços e acessos. As organizações são organismos vivos que também mudam ao longo do tempo, e dependendo do tipo, o alinhamento com a segurança é um pré-requisito para qualquer movimentação. Neste sentido, é importante relatar que esta não é a realidade da maior parte das empresas, contudo, ter visibilidade sobre itens associados a segurança traz apoio ao processo de tomada de decisão.
Existe um conjunto grande de relatórios e gráficos que acompanham soluções de firewall UTM, alguns são operacionais e direcionados aos times técnicos de segurança e redes, enquanto que outros são gerenciais e até mesmo de compliance. A exigência varia de acordo com o segmento de mercado e a maturidade da empresa no tema.
Independente do negócio, no entanto, alguns relatórios e gráficos, operacionais e gerenciais, são fundamentais em qualquer ambiente. O tempo de retenção dos mesmos deve ser considerado, tendo em vista que é comum que estes dispositivos tenham pouca capacidade de armazenamento local.
Destacaremos através deste post alguns grupos de informações, sejam relatórios ou gráficos (isso depende muito da forma como o fabricante posiciona o recurso), que são essenciais para um firewall UTM.
Dashboards
Dashboards são importantes por que, de maneira geral, resumem a operação da solução, permitindo que sejam identificadas anormalidades que possam evoluir para um nível de profundidade maior na estrutura da organização.
É comum que dashboards resumam o status de operação da solução, e informem operações de rede (consumo, tráfego online), principais sites acessados, consumo por colaborador ou equipamento, acessos remotos (VPN), ameaças (IPS/IDS), entre outros.
Essas informações podem gerar um ponto de atenção para que um determinado item seja analisado. Por exemplo, se há um consumo exagerado ou incomum de rede, vale a pena o administrador aprofundar e identificar se a causa é natural ou trata-se de um incidente que deva ser tratado.
Disponibilidade e consumo de links
Ter o histórico de disponibilidade dos enlaces de rede (internet, redes privadas, etc) é necessário não somente para registros de acordo de nível de serviço (SLA), mas para identificar comportamentos que podem ser evitados no ambiente.
Da mesma maneira, o registro histórico do consumo destes enlaces, geralmente representados através de gráficos, permite pesquisar, em tempo real, ou de maneira retroativa, determinadas situações de saturação do circuito que justifique algum report interno.
Geralmente estes gráficos ou relatórios são utilizados de maneira a oferecer subsídio para a apuração de causa-raiz de um determinado evento. Como por exemplo, um usuário informa que não foi possível enviar um determinado conteúdo às 13:00 horas por que o acesso a internet estava muito lento.
Com esse tipo de acesso é possível verificar se houve o consumo fora dos padrões no período informado, e a partir daí, investigar através de outros relatórios ou gráficos o que estava de fato consumindo o recurso de internet. Ou, em outra parte, de informar ao usuário que não teve consumo registrado, mostrando que provavelmente o problema estava no ponto remoto.
Essas simples informações online, e também registradas ao longo do tempo, podem auxiliar a elucidar diversas situações em um ambiente de rede.
Uso da internet
O uso da internet é algo essencial de se conhecer, não somente nas partes relacionadas ao setor de tecnologia ou segurança, mas especialmente descentralizar isso para os demais setores, em especial gestores, diretores e proprietários de empresas.
Com gráficos e relatórios é possível acompanhar a conformidade com a política da empresa, bem como avaliar a produtividade de setores e colaboradores em determinadas situações. Por exemplo, um determinado colaborador não entregou o relatório solicitado e percebeu-se que no dia, ele passou 6 horas navegando em diversos sites.
A quantidade de possibilidades a serem trabalhadas com acesso ao uso da internet é muito grande e varia de acordo com cada negócio. De maneira geral, é importante manter o registro de acesso aos sites, e outras aplicações, conhecendo o tráfego gerado e o tempo de permanência.
Com estas informações o céu é o limite, para algumas organizações esses dados podem ser irrelevantes, para outras, levados criteriosamente a sério. Muitas consultas, relatórios e gráficos podem ser feitos a partir daí, depende muito da solução utilizada.
Algumas soluções são mais técnicas e, portanto, oferecem informações mais específicas. Outras, abstraem a complexidade de informações e buscam trazer coisas mais legíveis, que facilitam o entendimento, especialmente de usuários não técnicos, o que aumenta o engajamento com gestores de outras áreas.
Conexões remotas
Visualizar as conexões remotas que são realizadas para a empresa é essencial, afinal, isso pode representar uma ameaça. Nos dias atuais, onde a mobilidade está tão presente para empresas e pessoas, é comum atividades de home office ou usuários em trânsito, onde o acesso à empresa é necessário.
Acompanhar o uso de VPNs ou até mesmo redirecionamento de portas/publicação de serviços é fundamental, não somente para colaboradores, mas também para fornecedores e parceiros de maneira geral.
O acesso a um relatório ou consumo online de recursos de VPN pode não parecer tão importante se analisado de forma isolada, mas da mesma forma como outros relatórios, pode elucidar uma investigação.
Por exemplo, um determinado dado foi removido de um servidor e está registrado o endereço que fez o último acesso para o mesmo, que levou para um endereço de VPN, que por sua vez, possibilitou a identificação do usuário que recebeu o endereço naquele período da conexão.
Visibilidade de ameaças
É comum que muitos ataques ocorram diariamente para as mais variadas empresas, não sendo necessariamente ataques direcionados. Conhecer o que está acontecendo, tando de dentro para fora, como o contrário, é importantíssimo para uma estratégia de segurança.
Os sensores de um sistema de detecção ou prevenção de intrusão podem registrar eventos de rede que tem assinaturas ou comportamento claros de um ataque, e com base nisso, tomar uma decisão, além de registrar o evento.
Quanto maior o uso de aplicações dentro de um ambiente, maior a exposição que a empresa tem. Mas, ao oferecer serviços públicos para a internet, o ambiente também está exposto a ataques externos.
Ter visibilidade do que ocorre é um passo fundamental para, inclusive, justificar investimentos em segurança. A maioria dos gestores se surpreende ao ter acesso à esse tipo de informação.
Conexões bloqueadas
As conexões bloqueadas auxiliam na avaliação da quantidade de tentativas de acesso não autorizado para os ambientes da empresa, especialmente através da internet. Além disso, trata-se de ferramenta que pode ser muito bem utilizada para verificar se uma conexão legítima não foi possível de ser realizada por alguma política do firewall UTM.
Desta maneira, fica fácil para o administrador, com base nessa informação, criar uma regra para que o acesso seja permitido e a aplicação liberada para uso futuro.
Além disso, as conexões bloqueadas permitem identificar a incidência de determinados ataques ou anomalias no ambiente de rede, de forma online, ou histórica.
Conexões em tempo real
Além do histórico através de gráficos e relatórios, poder acompanhar a tabela de conexões em tempo real é fantástico. Isso por que, diante de algum consumo exagerado, causado intencional ou acidentalmente por um dispositivo, é possível identificação e contorno rápido, evitando comprometimento do negócio.
Há outras informações que são importantes em tempo real, de maneira resumida, associada ao consumo, que o mercado geralmente denomina de top talkers. Esses gráficos geralmente trazem o maior consumo por porta, aplicação, origem e destino, uma visão bem resumida de recursos que mais consomem a rede.
A visibilidade dos detalhes da conexão depende muito da solução, podendo ser baseada em endereços e portas, ou mais aprofundadas em nível de sites acessados, bem como aplicações (Dropbox, WhatsApp, Facebook, etc).
Performance do hardware
Não menos importante, ter registros históricos do consumo do hardware (especialmente processador e memória) é fundamental para que os recursos de segurança sejam empregados de maneira adequada, sem degradar o ambiente.
É comum que quanto mais recursos de segurança forem adicionados à uma solução, mais consumo terá. Existe um limite saudável entre exigir o máximo de recursos sem comprometer o hardware, e por consequência, a experiência dos usuários. Portanto, esse tipo de informação, por vezes esquecida, também é muito importante.
Relatórios automáticos
A dinâmica dos dias de hoje exige adaptação das soluções de segurança, visando facilitar o dia a dia dos operadores e administradores. Relatórios e gráficos automáticos fazem parte desta adaptação, agregando valor e facilitando o processo de monitoramento dos recursos.
Por isso, quanto mais a solução permitir que os relatórios e gráficos, por ela gerados, possam ser enviados por e-mail ou outras plataformas, com granularidade de quem pode receber o que, maior será a utilidade do produto dentro da organização.
Não há uma lista de relatórios e gráficos recomendados, cada solução vai fornecer estas e outras informações de maneiras diferentes, mais acessíveis ou menos acessíveis, ou com a possibilidade de integração com plataformas externas, o que amplia o universo de análise dos dados.
O importante é que existam alternativas que facilitem a identificação e controle do ambiente, possibilitando respostas rápidas mediante ocorrência de sinistros na estrutura da empresa.