Vocês já pensaram na quantidade de logs que temos para analisar nos ambientes e não analisamos? Firewall, ERP, Banco de dados, Sistemas Operacionais, entre outros, conheço profissionais extremamente competentes que sabem o que fazer com todos esses logs, agora também sou obrigado a dizer que a maioria não têm a menor idéia do que fazer com eles.
Troubleshooting? Acompanhar anormalidades e identificar possíveis ameaças? Pois é muita gente não consegue responder essas perguntas, ou simplesmente respondem com um: eu não faço nada, deixo lá pra quando precisar; eu desabilito tudo (sábia resposta quando não se têm skill para analisar os mesmos).
Se ainda não amadurecemos essa questão com os logs que temos hoje, porque procuramos incessantemente novas ferramentas para gerar mais log, IDS, IPS, Honeypot, XPTO, XPTE, x sei lá o que.
Novamente, muitos profissionais conseguem atingir bons resultados com IDS, IPS, Honeypot (pesquisa), mais esses profissionais são exatamente os mesmos que citei no inicio do texto, sabem o que fazer com os logs do firewall, das aplicações, sistemas operacionais, têm procedimentos claros para o tratamento dos mesmos.
Esses profissionais já estão procurando ferramentas para correlacionarem os dados, diminuindo esforço, quantidade de trabalho manual aumentando a eficiência na analise e não eliminando a necessidade do bom profissional.
Então eu acho que os profissionais precisam investir no aprendizado de boas praticas para gestão do mesmo, antes de sair atrás de IDS, ou outras ferramentas para gerar mais logs, o mais interessante é que a maioria dessas ferramentas têm como principal objetivo gerar logs, informações para que você analise e ai sim faça planos de ação para corrigir, ajustar.
Adotem o protocolo NSD (Não Sabe Deixa) enquanto não possuírem tal habilidade, preocupe-se em fazer um hardening em seus sistemas operacionais, configurar seus firewalls (duvido que consigam sem uma boa analise nos logs gerados).
Nenhum comentário:
Postar um comentário