Home 01 - Conceitos 01 - Redes 12 - Seguranca de Redes 04 - Monitoramento e Gestão

No contexto da Segurança de Redes, o monitoramento e a gestão são apresentados pelas fontes como processos contínuos e interdependentes, essenciais para garantir a estabilidade e a proteção da informação. Eles vão além da simples instalação de softwares, envolvendo metodologias, conformidade legal e centros de operação especializados.

Abaixo, os principais aspectos detalhados nas fontes:

1. Modelos de Gerência (FCAPS e SGSI)

A gestão estruturada é fundamental para não depender apenas de “parametrizações de fábrica”.

  • Modelo FCAPS: Proposto pela ISO, divide a gerência em cinco áreas. A Gerência de Segurança (S) foca em critérios de restrição de acesso e bloqueio contra uso incorreto ou malicioso. Envolve o acompanhamento sistemático da infraestrutura, idealmente em regime 24/7.
  • SGSI (Sistema de Gestão da Segurança da Informação): Baseado na norma ISO/IEC 27001, utiliza o ciclo PDCA (Plan-Do-Check-Act). O monitoramento ocorre na fase “Check”, onde se analisa se o planejamento está sendo eficaz para corrigir falhas e realimentar o processo.

2. Análise de Tráfego de Rede (NTA)

O monitoramento evoluiu da análise tradicional de desempenho (vazão e latência) para o conceito de NTA (Network Traffic Analysis).

  • Objetivo: Interceptar e analisar padrões de comunicação para detectar ameaças em tempo real.
  • Funcionalidades: Identificar uso excessivo de largura de banda, decodificar tráfego criptografado, detectar comportamentos anômalos e realizar análises forenses após incidentes.
  • Ferramentas: Softwares como PRTG, Nagios e Zabbix são usados para monitoramento tradicional, enquanto ferramentas como Zeek (Bro) e SolarWinds NTA focam especificamente na segurança.

3. Gestão de Logs e SIEM

Ativos de rede (firewalls, roteadores, servidores) geram registros constantes chamados logs.

  • SIEM (Security Information and Event Management): Como o volume de logs pode ser esmagador, o SIEM é usado para correlacionar eventos. Ele consolida múltiplos alertas relacionados em um único incidente, facilitando a resposta.
  • Conformidade Legal: No Brasil, o Marco Civil da Internet impõe a gestão rigorosa desses dados, obrigando a guarda de registros de conexão por 1 ano e de acesso a aplicações por 6 meses.

4. Centros de Operação (SOC vs. NOC)

A gestão operacional é frequentemente dividida entre dois centros que, embora distintos, devem trabalhar em harmonia:

  • SOC (Security Operations Center): Centraliza os serviços de segurança. Suas atividades incluem prevenção, detecção de problemas nos processos, resposta a incidentes e avaliação de vulnerabilidades.
  • NOC (Network Operations Center): Foca no gerenciamento da rede para garantir a disponibilidade. Como incidentes de segurança frequentemente degradam o desempenho da rede, o trabalho do NOC é diretamente afetado por ameaças cibernéticas.

5. Gestão de Vulnerabilidades e Incidentes

A gestão moderna inclui práticas proativas para reduzir riscos:

  • Gestão de Vulnerabilidades: Envolve a busca regular por brechas via scans e pentests, seguida pela mitigação e aplicação de patches de segurança fornecidos pelos fabricantes.
  • Gestão de Incidentes: Visa restabelecer os processos o mais rápido possível após um evento adverso, utilizando frameworks como ITIL ou COBIT para garantir que as correções sigam as melhores práticas globais.