Guia de Planejamento de Monitoramento de Segurança e Detecção de Ataques
Capítulo 2 - Abordagens para o monitoramento de segurança
Nesta página
IntroduçãoNenhuma empresa contemplaria conduzir negócios a partir de instalações sem segurança física adequada, como trancas, sistemas de alarme, câmeras, grades ou mesmo guardas de segurança. No entanto, muitas empresas estão apenas começando a se conscientizar da necessidade de medidas de segurança equivalentes para proteger os ativos de rede contra ataques externos e invasão interna. Os sistemas de segurança, como câmeras e detectores de movimento, são meios úteis de detectar tentativas de invasão de um prédio ou área restrita. Entretanto, as organizações também precisam implementar sistemas que monitorem os ativos de rede e detectem os invasores. Portanto, o monitoramento de segurança é um componente importante para o êxito de uma estratégia de segurança de rede. Em agosto de 2004, o Serviço Secreto dos Estados Unidos, em conjunto com o Centro de Coordenação CERT do Instituto de Engenharia de Software da Universidade Carnegie Mellon, lançou um documento que registra instâncias nas quais instituições estiveram vulneráveis a fraudes maciças cometidas por seus próprios usuários internos. Para obter mais informações, consulte o documento "Estudo sobre Ameaças Internas: Atividades Cibernéticas Ilícitas nos Setores Financeiro e Bancário" em http://www.secretservice.gov/ntac/its_report_040820.pdf. Esse relatório está em inglês. A pesquisa sobre crimes eletrônicos documenta mais provas dessa ameaça. Entre os entrevistados da pesquisa constavam órgãos públicos e organizações nos setores de informações, telecomunicações, bancário e financeiro. A pesquisa revelou que 43% dos entrevistados detectaram um aumento nos crimes eletrônicos e nas invasões de dados e 70% relataram pelo menos um crime eletrônico no ano anterior. O custo total dos crimes eletrônicos para todos os entrevistados ultrapassou US$ 600 milhões. Para obter mais informações sobre a pesquisa de 2004 sobre crimes eletrônicos, consulte as informações à imprensa Pesquisa de 2004 sobre Crimes Eletrônicos Demonstra Aumento Significativo Desse Tipo de Crime (em inglês) em http://www.csoonline.com/releases/ecrimewatch04.pdf. O crescimento contínuo das normas de negócios e uma maior consciência das ameaças que os invasores internos e externos representam resultou no aumento da demanda por implementação de monitoramento de segurança eficiente. Para planejar o monitoramento de segurança eficiente, você precisa conhecer quais tecnologias estão disponíveis para implementar sua solução. Este capítulo descreve as tecnologias da Microsoft que permitem o monitoramento de segurança e correlacionam logs de segurança para análise e arquivamento. Observação: Este documento diferencia os ataques internos dos externos. Um ataque interno é aquele executado por um funcionário, geralmente um administrador. Um ataque externo parte de fora da organização. Embora a predominância crescente de tecnologias como redes sem fio possibilitem que invasores externos montem ataques originados dentro do perímetro da rede, estes ainda são considerados ataques externos. Implementar o monitoramento de segurançaVocê pode registrar eventos de segurança usando o arquivo de log de eventos de segurança interno incluído em todas as versões do Microsoft® Windows® a partir do Microsoft Windows NT® versão 3.1 e posteriores. Esse arquivo de log fornece a base para o monitoramento de segurança de redes baseadas no Windows. Utilitários e programas adicionais podem correlacionar esses eventos registrados em um repositório central. O arquivo de log de eventos de segurança usa um formato de banco de dados personalizado para registrar dados de monitoramento de segurança. É possível ler partes desse arquivo, como os nomes de computador e os endereços IP, em um editor de texto. Entretanto, para ler todas as informações nos logs de segurança é necessário um programa adequado, como o console Visualizar Eventos. O arquivo de log de segurança (SecEvent.evt) reside no diretório %systemroot%\System32\config. Diferentemente de logs de aplicativos e de sistema, as permissões padrão do sistema de arquivos NTFS permite somente que membros do grupo Administradores e a conta do sistema acessem esse arquivo. O log de eventos de segurança registra dois tipos de evento: auditorias com êxito e auditorias sem êxito. Um evento de auditoria com êxito indica que uma operação executada por um usuário, serviço ou programa foi concluída com êxito. Uma auditoria sem êxito indica que uma operação semelhante não foi concluída com êxito. Por exemplo, se você habilitar auditorias de logon para eventos de falha, o log de eventos de segurança registrará as tentativas de logon malsucedidas. Observação: O Microsoft Windows Server™ 2003 com Service Pack 1 oferece a capacidade de configurar diferentes níveis de auditoria de segurança para diferentes usuários. Para obter mais informações sobre esse recurso, consulte o Capítulo 4, "Projeto da solução". A tabela a seguir lista as categorias de eventos de segurança e os eventos que cada categoria registra. Tabela 2.1: Categorias de auditoria de eventos de segurança
A configuração de Diretiva de Auditoria na Diretiva de Grupo controla quais eventos criam entradas nos logs de segurança. O caminho para essas configurações é Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas Locais. Você pode configurar a Diretiva de Auditoria através do console Configurações Locais de Segurança ou no nível de site, domínio ou unidade organizacional através da Diretiva de Grupo em conjunto com o Active Directory. Os logs de segurança oferecem uma boa base para o monitoramento de segurança abrangente. As configurações de Diretiva de Grupo oferecem configuração centralizada de níveis de auditoria de log de segurança e as configurações de segurança padrão somente permitem que os administradores acessem os logs de segurança. Entretanto, o monitoramento de ataques distribuídos e a implementação de perícia requerem um sistema de monitoramento que possa correlacionar eventos de auditoria centralmente. Correlacionar eventos de auditoria de segurançaA correlação de eventos de auditoria de segurança envolve a coleta de eventos de segurança de vários computadores e a colocação dessas informações em um local centralizado. A equipe de segurança poderá então analisar esse repositório central para identificar as violações de diretivas ou os ataques externos. O repositório também pode proporcionar a base para perícia. Esta seção apresenta os produtos e os utilitários da Microsoft que podem correlacionar vários logs de eventos de segurança. Diversos produtos de terceiros também podem executar essas funções. Event Comb MTO Event Comb MT (vários segmentos) é um componente do Guia de Segurança do Windows Server 2003 que permite analisar e coletar eventos de vários logs de eventos em computadores diferentes. Ele é executado como um aplicativo de vários segmentos que permite a especificação de diversos parâmetros durante a verificação de logs de eventos, como:
Algumas categorias de pesquisa específicas, como Bloqueios de Conta, estão incorporadas no Event Comb. Elas pesquisam os seguintes eventos:
Se desejar pesquisar ataques contra a conta de Administrador padrão, adicione o evento 12294 (limite de bloqueio de conta excedido) do log do sistema. Esse evento é especialmente importante, porque o limite de bloqueio de conta não se aplica à conta de Administrador padrão. Portanto, um invasor pode fazer várias tentativas de comprometer a conta de Administrador padrão sem que o mecanismo de bloqueio de conta seja acionado. Observação: O evento 12294 aparece como um evento de Gerenciador de Contas de Segurança (SAM) no log do sistema, não no log de segurança. O Event Comb MT pode salvar eventos em uma tabela em um banco de dados do Microsoft SQL Server™, o que o torna útil para armazenamento e análise de longo prazo. Você pode usar diversos programas clientes para acessar as informações nas tabelas do SQL Server, como o SQL Query Analyzer, o Microsoft Visual Studio® .NET ou inúmeros utilitários de terceiros. O Event Comb MT v10.0 também inclui opções de linha de comando que você pode usar para criar scripts a fim de automatizar a coleta de eventos dos logs de segurança em intervalos regulares. Como o Event Comb MT não oferece nenhuma forma de agente de coleta de cliente nem encaminha eventos automaticamente para um repositório central, talvez ele não seja adequado para todos os cenários de ameaças. O Event Comb MT está disponível como download gratuito no site Ferramentas de Gerenciamento e Bloqueio de Contas (em inglês) em http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=7af2e69c-91f3-4e63-8629-b999adde0b9e. O Guia de Segurança do Windows Server 2003 (em inglês) está disponível em http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-521EA6C7B4DB Microsoft Operations Manager 2005O MOM (Microsoft Operations Manager) monitora vários servidores em um ambiente corporativo. O agente do MOM coleta eventos dos logs de eventos e os encaminha para o servidor de gerenciamento do MOM. Em seguida, o servidor de gerenciamento do MOM coloca esses eventos no banco de dados do MOM. O MOM 2005 e posterior pode coletar eventos de computadores que não executam agentes do MOM. O MOM usa suas regras do pacote de gerenciamento para identificar problemas que afetam a eficiência operacional de servidores. Você pode definir regas adicionais para procurar determinados eventos e, quando esses eventos ocorrerem, enviar notificações instantâneas por e-mail, mensagens pop-ups ou para pagers. Embora o MOM forneça muitas funções úteis para o monitoramento de segurança e detecção de ataques, ele não foi projetado para essa finalidade. As versões futuras do MOM provavelmente fornecerão mais recursos para o agrupamento de logs de segurança. Soluções de distribuidores de software independentesOs produtos da Microsoft não fornecem uma solução completa para todos os aspectos do monitoramento de segurança. As lacunas mais importantes nas ofertas atuais de produtos Microsoft incluem:
Os parceiros da Microsoft oferecem estes produtos (listados em ordem alfabética) que preenchem essas lacunas:
|
Neste artigo
|
