Por Thais Baptista Galvão – Líder Técnica de Monitoramento de Disponibilidade/Performance

Podemos dizer que o monitoramento contínuo de rede é algo que permite aos gestores e analistas de segurança ver e compreender o contexto de cada pacote que entra e sai da rede corporativa, de forma que eles possam rapidamente reconhecer e diferenciar operações rotineiras de rede de comportamentos suspeitos e atividade não esperada.

Definindo o Monitoramento de Rede

O termo monitoramento de rede possui uma ampla interpretação, incluindo scan de vulnerabilidade, captura de pacotes e análise, debugging de rede, sistemas de automação de gerenciamento de rede, ferramentas de SNMP entre outros.

Neste artigo, monitoramento de rede significa os elementos que os gestores e analistas podem observar para melhorar sua condição de conhecimento da rede e da operação.

Em outras palavras, monitoramento contínuo de rede é sobre saber o que está ocorrendo em sua rede, onde e quando está ocorrendo, por quê está ocorrendo e se o que está sendo observado é motivo para preocupação ou não.

Em conjunto com outras soluções importantes, o monitoramento contínuo de rede é um elemento chave na detecção de incidentes de segurança.

Imagine o seguinte cenário:

É muito comum uma intrusão de rede que se inicia quando um usuário clica em um link suspeito, ou arquivo recebido por email, que leva ao comprometimento da conta. Então, depois de dias ou até semanas, milhares de dados sigilosos são extraviados da empresa. Somente depois de meses que o gestor identifica que uma intrusão aconteceu.

O Monitoramento Contínuo de Rede poderia ter evitado o incidente

Nesse caso, o monitoramento contínuo de rede poderia ter quebrado o ataque em diferentes momentos e provido uma detecção nos momentos iniciais ao identificar links maliciosos em um email por meio de um simples SMTP. Isso preveniria que o link aparecesse para o usuário em seu email.

Em adição, quando um link malicioso é clicado, um monitoramento de HTTP poderia bloquear a conexão para o servidor malicioso. Quando as informações sigilosas estão sendo extraviadas da rede, um monitoramento de rede na camada 3 poderia levantar um alerta e bloquear esse envio de dados.

Então, qual a importância do monitoramento?

Não adianta ter as melhores soluções e ativos de segurança em sua infraestrutura se você não tem visibilidade, não entende o que está ocorrendo. O monitoramento contínuo de rede é essencial para que você tenha visibilidade e conquiste essa compreensão.

Conhecendo bem sua rede, sabendo o que está ocorrendo, como e quando, será muito mais fácil tornar operacionais e eficientes os ativos e soluções de segurança em sua rede corporativa, mitigando de verdade os riscos.