TechNet Magazine > Home > Todas as edições > 2007 > June >  Segurança: As 4 tecnologias de seguran...
Segurança
As 4 tecnologias de segurança que todas as organizações de TI devem ter
Matt Clapham and Todd Thompson
 
Visão geral:
  • Painel de gerenciamento de riscos
  • Anti-malware
  • Detecção de anomalias de rede

Quando se trata de segurança de TI, a maioria das empresas precisa lidar com problemas semelhantes. A Microsoft não é exceção. Passamos dois anos na equipe de gerenciamento de riscos e compatibilidade do
MMS (Microsoft® Managed Solutions) (consulte "Microsoft Gives Energizer a Recharge for Its IT Division" (A Microsoft recarrega as pilhas da Energizer em sua divisão de TI) para obter mais informações sobre o MMS).
A função da equipe de gerenciamento de riscos e compatibilidade é definir, monitorar e corrigir as condições de risco de todos os ambientes de MMS (tanto para os serviços ao cliente como para a coordenação de infra-estrutura). Desde o início, o nosso gerente, Arjuna Shunn, reconheceu que precisávamos de uma solução de tecnologia que oferecesse os controles e o monitoramento desejado de uma forma centralizada e coesa. As tecnologias que discutiremos aqui são um resultado direto de nossas primeiras idéias, associadas a dois anos de experiência com vários produtos da Microsoft e de terceiros em nossas operações.
Primeiro, precisávamos de tecnologias de segurança que envolvessem os três principais tipos de controle — preventivo, investigador e corretivo — e que também oferecessem auditoria e relatórios. Vimos que esse conjunto de ferramentas está dividido em quatro categorias: painel de gerenciamento de riscos, anti-malware, detecção de anomalias de rede e gerenciamento da configuração desejada. Tentamos incluir pelo menos um representante de cada uma delas em nossas operações de gerenciamento de riscos. E descobrimos que, ao aproveitar as tecnologias de cada uma das quatro áreas, a equipe de segurança de TI pode obter um equilíbrio razoável entre custo e eficiência.
As nossas duas operações de gerenciamento de riscos principais — resposta a incidentes de segurança e gerenciamento de compatibilidade — foram bastante beneficiadas com essa abordagem, mas ainda temos um longo caminho até alcançarmos a coordenação desejada entre as ferramentas. Um conjunto de tecnologias coeso pode oferecer muito mais na forma de eficiência operacional, mas, infelizmente, o mercado ainda não possui esse sistema integrado.
Felizmente, nem tudo está perdido para as equipes de segurança de TI; é simplesmente uma questão de tempo antes que os quatro sistemas comecem a funcionar juntos e interoperem para a obtenção de um efeito maior. Quando esses sistemas estiverem trabalhando juntos, eles não só permitirão o monitoramento ativo das situações de segurança do sistema, como também serão muito convenientes durante auditorias ou em outras operações rotineiras de TI. Neste artigo, descreveremos a função ideal de cada sistema, mostrando alguns exemplos de nossa utilização em runtime.

Painel de gerenciamento de riscos
Em nossa opinião, a existência de um RMD (Painel de Gerenciamento de Riscos) é absolutamente essencial. Essa é a tecnologia mais importante para a operação de uma equipe de segurança de TI. Quase sempre os riscos de confidencialidade, de integridade, de disponibilidade e de responsabilidade (CIA2) em uma empresa são monitorados por sistemas e processos diferentes sem uma interface única para agregação dos dados, correlação e redução de riscos. Além disso, as exigências normativas especificam níveis de dificuldade cada vez maiores para a transparência dos dados empresariais e não há um sistema simplificado para rastrear prontamente diretivas desde a criação até a execução na empresa. Isso fica evidente pelas dificuldades encontradas por todas as empresas na aquisição, correlação, avaliação, correção e compatibilidade de dados (embora não seja uma solução de RMD completa como a que destacaremos aqui, o System Center Operations Manager 2007, mostrado na Figura 1, oferece uma interface única para o monitoramento de vários recursos e para a reunião de alertas relacionados).
Figura 1 O System Center Operations Manager 2007 oferece uma interface única para a exibição de alertas e para o gerenciamento de recursos da rede (Clique na imagem para aumentar a exibição)
A aquisição de dados é violada pela incapacidade de juntar e normalizar dados de origens distintas. A agregação de dados é, por si só, desafiadora, uma vez que exige a divisão da abordagem já comumente separada de reunião e da informação de dados. Mesmo onde a agregação de dados é executada, a normalização continua a representar um desafio ainda maior, já que é extremamente difícil estabelecer o framework comum necessário ao suporte da normalização de dados. Sem ela, é impossível fazer uma comparação entre os eventos de segurança e relacionados à integridade vindos de sistemas diferentes de uma forma significativa.
Para executarmos a automação necessária, o painel de gerenciamento de riscos deve ter acesso a fontes de dados de origens diferentes das tecnologias de segurança descritas aqui. Muitos dados não relacionados a segurança podem ser usados na determinação da situação geral de risco. Os logs de roteador, inventário de bens, status de patches, usuários atualmente conectados, relatórios de desempenho e dados de gerenciamento de alterações podem fornecer informações relevantes a quem investiga os incidentes. Portanto, o sistema geral precisa ter acesso a todos esses dados. Sabemos que mesmo as infra-estruturas empresariais que mais utilizam produtos Microsoft ainda assim incluem tecnologias que não são da empresa e, portanto, o RMD precisa aceitar fontes de tecnologias que não sejam da Microsoft por meio de alguma interface comum.
Se os dados puderem ser adquiridos e normalizados, a próxima etapa será correlacioná-los. O objetivo é fazer a correlação de uma seqüência de eventos — como um evento de anomalia de rede, um evento de relatório de antivírus e um evento de variação da configuração desejada — em uma parte dos dados relacionados ao risco que permita uma ação. Isso requer um trabalho manual intensivo para a criação da lógica de correlação que resultará em um alerta baseado em risco significativo. Com as tecnologias disponíveis atualmente, essa lógica de correlação é, no máximo, difícil de obter.
A avaliação dos dados também exige um trabalho manual intensivo. Mesmo após a correlação, um analista ainda precisa verificar os dados correlacionados para determinar a sua eficácia. A eficácia dos dados correlacionados é tão forte quanto as regras em que se baseia. Isso nos leva a mais uma análise humana dos dados correlacionados para a avaliação dos riscos no ambiente de TI. Um framework de gerenciamento de riscos limpo e codificado poderia ajudar a reduzir a intervenção manual necessária até alcançarmos um nível de triagem. Sem esse framework, o desenvolvimento de um conjunto prático de regras de correlação em uma determinada implementação é muito difícil.
Supondo que um sistema tenha atingido o ponto de avaliação de riscos, a próxima etapa é a correção automatizada. Hoje, essa correção só está realmente disponível para empresas, e mesmo assim ela só é feita para um conjunto limitado de tecnologias, como o gerenciamento de patches ou o antivírus. A correção automatizada liderada pelo sistema RMD oferecerá ao administrador de TI uma tremenda capacidade de manter um nível aceitável de riscos de TI. Quando diversos riscos são identificados simultaneamente, a lógica de correlação deve ser capaz de auxiliar a priorização da resposta aos incidentes com base nos dados de classificação de bens.
Finalmente, oferecer provas de compatibilidade com várias exigências normativas é um desafio gigante para departamentos de TI e, como mencionamos, esse sistema deve oferecer suporte a essa funcionalidade. Um sistema de gerenciamento de riscos centralizado ligado a uma diretiva poderia ser de grande ajuda na produção de relatórios e de provas de compatibilidade. Mas a diretiva precisa ser mais do que simplesmente ondes e porquês. Para facilitar a correção automatizada, a diretiva precisa ser traduzida para um conjunto de padrões que possa ser monitorado, reforçado e comentado pelo painel.
Assim, poderíamos resumir o painel de gerenciamento de riscos ideal como uma forma de oferecer uma interface unificada para a avaliação da integridade, para compatibilidade com normas e diretivas e para processos de gerenciamento de riscos da empresa. Isso pode ser obtido pela combinação de informações vindas de produtos de segurança diferentes e relacionados à integridade e de fontes em uma exibição coesa relacionada a risco. Uma boa solução de RMD precisa fazer o seguinte:
  • Agregar, normalizar e fazer a correlação de dados a partir de fontes distintas
  • Oferecer a obtenção automatizada de informações e a avaliação de riscos
  • Mapear as exigências normativas para diretivas e oferecer suporte a auditoria e a geração de relatórios
  • Oferecer um framework unificado que possa ser modificado para atender às necessidades de uma empresa
O painel deve permitir que os dados sejam organizados e exibidos com significado, mostrando, por exemplo, os principais incidentes agrupados por tipo ou por sistema de origem, incidentes pendentes, incidentes resolvidos e assim por diante. Ele também deve permitir que você consiga detalhar cada item de linha de relatório. Quando examina um evento, o usuário deve ter um acesso fácil a todos os dados relacionados. Esse recurso o ajudará a tomar decisões melhores e mais rápidas.
Devemos destacar que o RMD também é útil para os administradores que não estão na equipe de segurança. Uma vez que o painel oferece uma visão holística do ambiente, o RMD pode agir como um ponto central para que toda a equipe veja o status atual. Ele pode, por exemplo, alertar a equipe de mensagens sobre um ataque de negação de serviço no gateway de SMTP. Enquanto que para a equipe de gerenciamento de riscos esse é um incidente de segurança, a equipe de mensagens o tratará como um incidente de disponibilidade. Embora a equipe de mensagens não seja a responsável por apresentar e resolver tal incidente, eles querem, pelo menos, ser informados sobre os incidentes que afetam os ativos que gerenciam.

Tecnologias anti-malware
Um sistema anti-malware abrangente é importante para a proteção da sua infra-estrutura contra ameaças inesperadas ocultas em código e em ações de usuário. No momento, há geralmente dois tipos separados de ferramentas para a proteção contra o malware: o antivírus e o anti-spyware (por exemplo, o Windows® Defender, mostrado na Figura 2, faz parte da segunda categoria). Ambos evitam, detectam e corrigem com eficiência diferentes tipos de infecções. No entanto, é somente uma questão de tempo antes que esses dois tipos de proteção sejam unificados em uma única solução, fazendo com que haja somente uma pilha anti-malware nos sistemas.
Figura 2 O Windows Defender ajuda a proteger o cliente contra o spyware (Clique na imagem para aumentar a exibição)
Uma solução anti-malware minuciosa precisa executar o monitoramento em tempo real e fazer verificações periódicas. Ele deve gerar, de forma centralizada, relatórios sobre as ameaças mais conhecidas (incluindo vírus, spyware e rootkits) e sobre as desconhecidas com base em comportamentos arriscados típicos. A tecnologia anti-malware robusta vigia todos os pontos de entrada clássicos (incluindo o sistema de arquivos, o registro, o shell, navegadores, email e aplicativos conectados) por meio de uma alta integração com o SO e com os aplicativos.
Além disso, uma solução anti-malware precisa abordar muito mais além da segurança do host. Ela precisa vigiar os serviços de mensagens e de colaboração comuns, por onde geralmente passam arquivos infectados, como o SharePoint® e as mensagens instantâneas. Precisa também oferecer uma prevenção automatizada ao interromper operações (as conhecidas e as suspeitas), além de verificar cuidadosamente os dados do usuário para remover vírus de macro ocultas em documentos de usuário e que ainda não infectaram o sistema.
Não é preciso dizer que o anti-malware é inútil se não houver atualizações. O sistema deve manter seus sistemas de assinatura e de remoção atualizados para estar um passo à frente das ameaças mais recentes. Se uma ameaça emergente aparecer, o fornecedor deve obter proteções adicionais antes do lançamento da nova ameaça. Uma solução anti-malware fácil de gerenciar também deve ser configurada e atualizada de forma centralizada.
É claro que essa proteção não pode afetar o desempenho. Se o desempenho piorar, a produtividade cairá. Nesse caso, os usuários podem até tentar desabilitar a solução anti-malware, resultando em nenhuma proteção.
Finalmente, não subestime a importância das tecnologias auxiliares para a assistência ao sistema anti-malware. Os firewalls, que limitam os privilégios do usuário, e outras estratégias também aumentam a proteção contra código malicioso e ações do usuário.

Detecção de anomalias de rede
Enquanto o anti-malware fica de olho nos sistemas, a NAD (detecção de anomalias de rede) monitora os caminhos comuns, verificando indicadores conhecidos de comportamento suspeito e repassando essas informações ao RMD para correção (um firewall, por exemplo, como o mostrado na Figura 3, estaria nessa categoria). Os comportamentos suspeitos poderiam um tráfego de ataque conhecido (como um worm ou uma negação de serviço) ou dados que atendam a um certo padrão (como números de CPF) enviados por email.
Figura 3 O firewall é uma parte importante de uma solução de detecção de anomalias de rede. (Clique na imagem para aumentar a exibição)
Apesar dos melhores esforços feitos em gerenciamento de TI, qualquer rede de uma empresa grande terá, inevitavelmente, um incidente ocasional com malware. A NAD oferece um sistema de avisos antecipados que pode ajudar a acelerar a correção. Além disso, seus recursos de monitoramento de dados e a capacidade de identificar e de interromper o vazamento de informações confidenciais são ferramentas convenientes para a proteção das informações em um ambiente preocupado com vazamentos de dados e com a conformidade normativa.
Assim como as tecnologias anti-malware, a NAD deve se adaptar constantemente ao conjunto mais recente de ameaças e aos tipos de dados confidenciais, ou o seu valor será muito reduzido. Um bom sistema NAD também deve compreender o suficiente sobre as anomalias reais para minimizar o número de falsos positivos informados. Caso contrário, os administradores podem começar a ignorar seus relatórios, presumindo que sejam somente mais um alarme falso.
Depois de um pouco de ajuste e de treinamento, o sistema NAD deve ser capaz de reconhecer e de monitorar os padrões de uso de tráfego típicos. Isso é importante, já que novos tipos de malware e de outros ataques podem se revelar por meio de uma alteração nos padrões de uso. O equipamento de rede tem uma função significativa no sistema NAD geral, uma vez que a solução deve processar dados de roteadores, de switches e de firewalls. Os alertas da NAD podem, então, ser processados pelo mecanismo de correlação do RMD.
Uma possibilidade interessante aqui é criar os detectores de anomalias de rede no software anti-malware do host ou no firewall, lançando uma rede de proteção onde todos os computadores ajudariam a verificar e potencialmente interromper ataques antes de sua disseminação.

O gerenciamento de configuração desejado
Um dos maiores desafios enfrentados pelos departamentos de TI das grandes empresas é a manutenção da configuração apropriada dos sistemas. Existem diversas motivações para querermos manter as configurações dos sistemas — facilidade de gerenciamento, simplificação da escalabilidade, garantia de compatibilidade, bloqueio contra várias formas de invasão e promoção da produtividade, para citarmos alguns. Muitas dessas razões incluem a segurança.
O gerenciamento da configuração desejada é uma área amplamente ignorada na maioria das empresas devido à sua complexidade e aos custos iniciais. Mas estudos mostram que, a longo prazo, a manutenção dos sistemas leva à economia de custos e a uma confiabilidade maior. Uma solução DCM (Monitoramento da Configuração Desejada) pode ajudar.
Um bom sistema DCM deve examinar a rede automaticamente para garantir a implementação de sistemas novos como desejado e também deve verificar se os sistemas já estabelecidos ainda são compatíveis. Seja garantindo que o último patch foi implementado ou minimizando o número de usuários com privilégios de domínio, uma solução DCM completa deve configurar sistemas, analisá-los e informar o quanto cada configuração está próxima do ideal. As correções podem ser simples (como a aplicação de patches em sistemas novos na rede em que são implementados) ou forçadas (como impor configurações de clientes de email para usuários). O segredo é associá-los novamente às diretivas e às regras da organização (o DCM também pode auxiliar na identificação de infecções causadas por malware e na sua remoção, já que os tipos simples serão localizados na verificação do sistema).
O DCM é um dos recursos que gera relatórios sobre os dados principais para o mecanismo de correlação do RDM, além de oferecer detalhes importantes sobre a variação do host em questão em relação ao normal. O grau de atualização de seus dados pode fazer a diferença entre um incidente de segurança de um ou de cinco alarmes para que um ativo seja examinado em uma freqüência proporcional ao seu valor; por exemplo, um ativo de baixa confidencialidade pode ser verificado somente uma vez por mês, enquanto que um ativo de confidencialidade moderada é verificado semanalmente e um ativo de grande confidencialidade é verificado pelo menos uma vez diariamente.
A configuração de um DCM também é uma parte fundamental de um bom mecanismo NAP (Proteção de Acesso à Rede). Assim, o sistema pode verificar se todos os sistemas conectados estão configurados de forma apropriada ou pode bloquear sistemas novos ou desconhecidos até que sejam validados. Além disso, o DCM deve procurar por vulnerabilidades de configuração (como listas de controle de acesso fracas em um compartilhamento) para que os administradores possam tomar a ação apropriada.
Não pense que o DCM só se aplica a hosts como clientes ou servidores. Os dispositivos de rede e o próprio diretório principal são candidatos para a inclusão do DCM. Se houver um design de rede razoavelmente bem compreendido, a imposição de padrões para os dispositivos associados será trivial para o sistema DCM ideal. Imagine as possibilidades! Em vez de ajustar as configurações do roteador manualmente, o DCM poderá manipular a implementação. Ou digamos que um conjunto de configurações de uma Diretiva de Grupo padrão esteja associado a um determinado conjunto de servidores ou de clientes. O DCM poderá monitorá-los e enviar um alerta caso as configurações do domínio mudem.
Os dados coletados pelo DCM devem ser robustos o suficiente para serem usados em uma auditoria de TI. Um bom DCM deve estar ligado aos controles de gerenciamento de alterações e da conformidade normativa para que as preocupações da auditoria sejam tratadas de forma imediata e quase contínua. Por exemplo, uma de nossas verificações de controle de rotina é comprovar se a associação do administrador local aos servidores MMS não foi alterada. O DCM foi feito para impor esse tipo de regra!
Mesmo que o seu departamento de TI não esteja pronto para um sistema DCM auto-corretivo, uma variação conhecida como monitoramento da configuração desejada ainda pode ser implementada e também oferece grandes resultados. Ela também oferece relatórios e alertas sobre problemas de configuração, mas a mesma economia de escala não será necessariamente obtida, uma vez que as correções são quase sempre manuais. No entanto, o importante é que as notificações e os dados necessários ao RMD estarão disponíveis para a correlação.
Porém, é preciso ter cuidado. O DCM, em ambas as formas que acabei de descrever, precisa ter seu escopo definido somente com o mínimo de itens de configuração importantes, combinados aos dados de coleção do ativo padrão. Caso contrário, ele afetará a flexibilidade de que a equipe de TI pode precisar. Se os guias de configuração do DCM ficarem desatualizados, ele será rapidamente considerado como uma taxa operacional, em vez de uma ferramenta útil. Assim, é importante manter-se atualizado sobre a forma de configuração ideal dos ativos. Além disso, sugerimos que o sistema DCM inclua atualizações regulares em seus manuais de configuração de acordo com as práticas recomendadas para o ativo ou para o aplicativo em questão.

Conclusão
Seja criado internamente ou comprado de um fornecedor bem conceituado, o painel é essencial, pois agirá como a principal ferramenta da sua equipe para respostas a incidentes. O anti-malware também é essencial, já que o protegerá de ameaças que se multiplicam diariamente. A detecção de anomalias de rede está para mudar de simples detecção de assinaturas de malware e de invasão de hosts para incluir a descoberta de vazamento de dados — e essa última função pode ajudar a evitar a próxima falha de rede a ser descoberta. O gerenciamento da configuração desejada, embora ainda seja bem recente, logo será um suporte para o monitoramento e para a manutenção de configurações. A despeito de quem ofereça essas ferramentas, você precisa ter pelo menos uma para cada categoria!
Do que vimos até aqui, nenhum fornecedor (incluindo a Microsoft) oferece uma única solução holística que envolva cada um desses quatro espaços. Cabe a você encontrar uma seleção de produtos que atenda às suas necessidades específicas. Nós só queríamos que este artigo oferecesse uma visão do que você precisa considerar, o que deve procurar alcançar e o que a solução ideal faria.

Matt Clapham é engenheiro de segurança do grupo de infra-estrutura e segurança da divisão de TI da Microsoft. Antes disso, trabalhou por dois anos na equipe de gerenciamento de riscos e compatibilidade do grupo Microsoft Managed Solutions.
Todd Thompson é engenheiro de segurança do grupo de infra-estrutura e segurança da divisão de TI da Microsoft. Antes disso, trabalhou por dois anos na equipe de gerenciamento de riscos e compatibilidade do grupo Microsoft Managed Solutions.
© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..
Page view tracker