Segurança da Informação

Prévia do material em texto

SNMP – Introdução 
 O protocolo SNMP (Simple Network Management Protocol) é um 
protocolo da camada de aplicação criado para transportar informações de 
gerência de rede entre os dispositivos gerenciados e os sistemas de gestão de 
redes, ele possibilita que administradores de rede gerenciem o desempenho da 
uma rede monitorando interfaces, processadores, memórias de equipamentos 
como roteadores, switches, dispositivos wireless e servidores. 
Os administradores de redes conseguem visualizar o status atual da rede, 
manter um histórico de atividades, bem como receber avisos de forma imediata 
para ajudar na resolução de problemas. 
A primeira versão do SNMP foi adotada como padrão em 1989 e quatro anos 
depois teve uma atualização para a versão 2. O SNMPv2 (versão 2) fornece 
gerenciamento de rede centralizado e distribuído incluindo aprimoramentos na 
sua estrutura e gerenciamento. Ambas as versões 1 e 2 do SNMP não são 
seguras. 
O SNMPv3 (versão 3), foi criado para solucionar as questões de segurança, 
fornecendo acesso seguro às informações de gerenciamento por meio de 
autenticação e criptografia de pacotes. 
Embora os recursos do SNMP sejam potentes para lidar com questões que 
envolvem o gerenciamento de redes heterogêneas o SNMP é um protocolo 
simples, com finalidade única: Transportar as informações de gerenciamento. 
A topologia de uma rede gerenciada por meio de SNMP inclui 03 (três) 
elementos: 
1. Dispositivos Gerenciados: São os dispositivos da rede que serão 
gerenciados e que possuem suporte ao protocolo SNMP, exemplo: roteadores, 
switches, dispositivos wireless, servidores entre outros. 
2. Agentes: Módulos de software que armazenam informações dos dispositivos 
gerenciados (roteadores, switches...) em uma base de informações altamente 
estruturada conhecida como MIBs. Em um roteador você pode ler a quantidade 
de pacotes que passam por uma interface, estes dados são armazenados 
pelos agentes em uma base local (MIBs) dentro do próprio roteador. Estes 
agentes também podem armazenar informações como quantidade de 
processamento, ocupação de memória, temperatura do dispositivo, 
quantidade mensagens de erro, número de bytes e de pacotes recebidos e 
enviados, quantidade de mensagens de broadcast enviadas e recebidas entre 
ouras varáveis de gerenciamento. 
3. Sistemas de Gestão de Redes (NMS - Network-Management 
Systems): Sistema responsável pelo monitoramente e controle dos 
dispositivos gerenciados. Permiti que os administradores de redes visualizem 
as informações de leitura SNMP, seja por meio de gráfico, tabelas, relatórios, 
alertas por email ou envio de sms. Como exemplos de NMS podemos 
citar: MRTG, Cacti, Nagios, PRTG, CiscoWorks entre outros. 
Arquitetura de uma rede gerenciada por meio de SNMP: 
 
O SNMP utiliza na camada de transporte o UDP (User Datagram Protocol) com 
as portas 161 e 162, para realizar a comunicação entre a NMS e os 
Dispositivos Gerenciados. 
Existem 03 (três) tipos de mensagens comuns durante o processo de 
gerenciamento: 
 Get (obter) – Permite que a estação de gerenciamento recupere o valor de 
objetos MIB do agente; 
 Set (definir) – Permite que a estação de gerenciamento defina o valor de 
objetos MIB do agente; 
 Trap (armadilha) – Permite que o agente notifique a estação de gerenciamento 
sobre eventos significativos. 
As NMS e os dispositivos gerenciados devem ser configurados com uma 
sequência de caracteres conhecida como “community string”, esta seqüência 
de caracteres (case sensitive) tem como função identificar o grupo de 
equipamentos. Se a “community string” da NMS for diferente da “community 
string” do dispositivo gerenciado a leitura SNMP não vai acontecer. 
Alguns fabricantes de equipamentos alteram os nomes da comunidade para 
reduzir o risco de atividade maliciosa e o uso não autorizado do serviço SNMP, 
na maioria das vezes os fabricantes utilizam a palavra “public” como padrão. 
Então se você quer realizar a leitura da largura de banda do seu roteador ASDL 
e ele não tem uma interface de configuração para você atribuir a “community 
string”, tente fazer a leitura utilizando a palavra “public”. 
Nos próximos artigos estaremos publicando com realizar a configuração de 
NMS e dispositivos gerenciados. 
 
 
 
 
 
 
 
 
O que é virtualização e para que serve? 
A virtualização está presente tanto no desktop de um entusiasta pelo assunto 
quanto no ambiente de TI de uma infinidade de empresas das mais variadas 
áreas. Não se trata de "moda" ou mero capricho: graças a este conceito, é 
possível, entre outros benefícios, economizar com equipamentos e obter 
resultados de determinadas tarefas computacionais em menor tempo. Neste 
texto de introdução ao assunto, você saberá o que é máquina virtual, 
conhecerá as principais técnicas de virtualização existentes e descobrirá as 
suas principais vantagens. 
Links diretos: 
- O conceito de virtualização; 
- Benefícios da virtualização; 
- Como a virtualização funciona?; 
- Virtualização total e paravirtualização; 
- Process Virtual Machine; 
- Operating System Virtual Machine; 
- Hardware na virtualização; 
- VMware; 
- Microsoft; 
- Xen; 
- VirtualBox; 
- Desvantagens da virtualização. 
 
 
HASH 
 Um hash (ou escrutínio) é uma sequência de bits geradas por 
um algoritmo de dispersão, em geral representada em base hexadecimal, que 
permite a visualização em letras e números (0 a 9 e A a F), representando 
um nibble cada. O conceito teórico diz que "hash é a transformação de uma 
grande quantidade de dados em uma pequena quantidade de informações". 
Essa sequência busca identificar um arquivo ou informação unicamente. Por 
exemplo, uma mensagem de correio eletrônico, uma senha, umachave 
criptográfica ou mesmo um arquivo. É um método para transformar dados de 
tal forma que o resultado seja (quase) exclusivo. Além disso, funções usadas 
em criptografia garantem que não é possível a partir de um valor de hash 
retornar à informação original.
Como a sequência do hash é limitada, muitas vezes nã
existem colisões (sequências iguais para
dificuldade de se criar colisões inte
Uma função de hash recebe um valor de um determinado 
código para ele. Enquanto o ideal seria gerar identificadores únicos para os 
valores de entrada, isso normalmente não é possível: na maioria dos casos, 
o contra-domínio de nossa função é muito menor do que o seu
seja, (o tipo de entrada) pode assumir uma gama muito maior de valores do 
que (o resultado da função de hash).
Os algoritmos de hash mais usados são os de 16
1, de 20 bytes.[carece de fontes
1. MD4: Desenvolvido em 1990/91 por
detectados, o que fez com que o algoritmo foss
frágil. [carece de fontes
2. MD5: O MD5 (Message
128 bits unidirecional desenvolvido pela RSA Data Security, Inc., 
descrito na RFC 1321
par-a-par (P2P, ou Peer
e logins. Existem alguns métodos de ataque divulgados para o MD5
3. SHA-1 (Secure Hash Algorithm): Desenvolvido pelo
foram exploradas falhas no SHA.
4. WHIRLPOOL: função criptográfica de hash desenvolvida por
M. Barreto e por Vincent Rijmen
recomendada pelo projeto
pelo ISO e IEC como parte do padrão internacional
O processo é unidirecional e impossibilita descobrir o conteúdo original a partir 
do hash. O valor de conferência ("
for alterado, acrescentado ou retirado da mensagem.
 
NTFS 
 O NTFS (New Technology File System
surgiu com o lançamento do Windows NT. Sua confiabilidade e desempenho 
fizeram com que fosse adotado nos sistemas operacionais posteriores da 
Microsoft, como Windows XP, Windows Vista, Windows 7 e Windows Server 
2008. Mas, quais são as princip
sistema de arquivos se diferencia? De fato, o que é NTFS? As respostas para 
estas e outras questões você confere a seguir.
tal forma que o resultado seja (quase) exclusivo. Alémdisso, funções usadas 
em criptografia garantem que não é possível a partir de um valor de hash 
retornar à informação original. 
Como a sequência do hash é limitada, muitas vezes não passando de 512
existem colisões (sequências iguais para dados diferentes). Quanto maior for a 
dificuldade de se criar colisões intencionais, melhor é o algoritmo. 
de hash recebe um valor de um determinado tipo e retorna um 
código para ele. Enquanto o ideal seria gerar identificadores únicos para os 
valores de entrada, isso normalmente não é possível: na maioria dos casos, 
de nossa função é muito menor do que o seu domínio
(o tipo de entrada) pode assumir uma gama muito maior de valores do 
da função de hash). 
Os algoritmos de hash mais usados são os de 16 bytes MD4 e MD5 ou
de fontes] Características de alguns algoritmos:
: Desenvolvido em 1990/91 por Ron Rivest, vários ataques foram 
detectados, o que fez com que o algoritmo fosse considerado 
de fontes] 
Message-Digest algorithm 5) é um algoritmo de hash de 
128 bits unidirecional desenvolvido pela RSA Data Security, Inc., 
RFC 1321, e muito utilizado por softwares com protocolo 
, ou Peer-to-Peer, em inglês), verificação de integridade 
e logins. Existem alguns métodos de ataque divulgados para o MD5
(Secure Hash Algorithm): Desenvolvido pelo NIST e
foram exploradas falhas no SHA.3 
: função criptográfica de hash desenvolvida por Paulo S. L. 
Vincent Rijmen (co-autor do AES). A função foi 
recomendada pelo projeto NESSIE (Europeu). Foi também adotado 
como parte do padrão internacional ISO 10118-
O processo é unidirecional e impossibilita descobrir o conteúdo original a partir 
do hash. O valor de conferência ("Soma de verificação") muda se um único bit 
for alterado, acrescentado ou retirado da mensagem. 
New Technology File System) é um sistema de arquivos que 
surgiu com o lançamento do Windows NT. Sua confiabilidade e desempenho 
fizeram com que fosse adotado nos sistemas operacionais posteriores da 
Microsoft, como Windows XP, Windows Vista, Windows 7 e Windows Server 
2008. Mas, quais são as principais características do NTFS? No que esse 
sistema de arquivos se diferencia? De fato, o que é NTFS? As respostas para 
estas e outras questões você confere a seguir. 
tal forma que o resultado seja (quase) exclusivo. Além disso, funções usadas 
em criptografia garantem que não é possível a partir de um valor de hash 
o passando de 512 bits, 
diferentes). Quanto maior for a 
tipo e retorna um 
código para ele. Enquanto o ideal seria gerar identificadores únicos para os 
valores de entrada, isso normalmente não é possível: na maioria dos casos, 
domínio, ou 
(o tipo de entrada) pode assumir uma gama muito maior de valores do 
ou o SHA-
lguns algoritmos: 
, vários ataques foram 
e considerado 
Digest algorithm 5) é um algoritmo de hash de 
128 bits unidirecional desenvolvido pela RSA Data Security, Inc., 
, e muito utilizado por softwares com protocolo 
Peer, em inglês), verificação de integridade 
e logins. Existem alguns métodos de ataque divulgados para o MD51 2 . 
e NSA. Já 
Paulo S. L. 
). A função foi 
(Europeu). Foi também adotado 
-3. 
O processo é unidirecional e impossibilita descobrir o conteúdo original a partir 
") muda se um único bit 
arquivos que 
surgiu com o lançamento do Windows NT. Sua confiabilidade e desempenho 
fizeram com que fosse adotado nos sistemas operacionais posteriores da 
Microsoft, como Windows XP, Windows Vista, Windows 7 e Windows Server 
ais características do NTFS? No que esse 
sistema de arquivos se diferencia? De fato, o que é NTFS? As respostas para 
Antes, o que é um sistema de arquivos? 
 Não é possível gravar dados em um HD ou em qualquer outro 
dispositivo de armazenamento de forma a manter as informações acessíveis e 
organizadas sem um sistema de arquivos (file system) - essencialmente, um 
tipo de estrutura que indica como os arquivos devem ser gravados e lidos pelo 
sistema operacional do computador. 
 É o sistema de arquivos que determina como as informações podem ser 
guardadas, acessadas, copiadas, alteradas, nomeadas e até apagadas. Ou 
seja, resumindo, toda e qualquer manipulação de dados em um dispositivo de 
armazenamento necessita de um sistema de arquivos para que estas ações 
sejam possíveis. Sem um sistema de arquivos, os dados armazenados seriam 
apenas um conjunto de bits sem utilidade. 
Há vários sistemas de arquivos disponíveis, para os mais diversos sistemas 
operacionais e para as mais variadas finalidades. 
 
Como o NTFS surgiu? 
 O NTFS é um sistema de arquivos amplamente utilizado nos sistemas 
operacionais da Microsoft. Sua primeira aparição foi no Windows NT, sistema 
operacional para uso em servidores cuja primeira versão foi lançada em 1993. 
No entanto, a história do NTFS começa muito antes disso. 
 Até aquela época, a Microsoft não possuía nenhum sistema operacional 
capaz de fazer frente ao Unix e suas variações em aplicações de servidores. 
Seus principais produtos eram o MS-DOS e a linha Windows 3.x, 
essencialmente, sistemas operacionais para uso doméstico ou em escritório. 
Era preciso criar algo novo, capaz de disputar mercado com as soluções 
baseadas em Unix. Foi aí que surgiu o Windows NT. 
 De nada adianta um sistema operacional novo se o seu sistema de 
arquivos for limitado. Na época, a Microsoft tinha em mãos o sistema de 
arquivos FAT. Este funcionava razoavelmente bem em aplicações domésticas, 
mas não serviria aos propósitos do novo projeto por uma série de restrições, 
entre elas, baixa tolerância a falhas, inviabilidade de uso de permissões de 
arquivos e limitações para o trabalho com grande volume de dados. 
 Para superar esses e outros problemas, a Microsoft decidiu utilizar o 
NTFS. Porém, ao contrário do que muita gente pensa, a empresa não 
desenvolveu esse sistema de arquivos sozinha. Ela utilizou como base o HPFS 
(High Performance File System), sistema de arquivos que tinha a IBM por trás. 
 No início da década de 1980, ambas as companhias fecharam um 
acordo para o desenvolvimento do OS/2, um sistema operacional até então 
moderno, que se destacaria por sua capacidade gráfica (naquela época, era 
muito comum o uso de sistemas operacionais baseados em linha de comando). 
 O problema é que, logo, Microsoft e IBM passaram a divergir em relação 
a diversos pontos. Como consequência, desfizeram a parceria. A IBM 
continuou tocando o projeto do OS/2, enquanto que a Microsoft foi cuidar de 
seus interesses, mais precisamente, do projeto que resultou no Windows NT. 
No entanto, a companhia não abandonou a parceria de mãos vazias: levou 
vários conceitos do HPFS - o sistema de arquivos do OS/2 - relacionados à 
segurança, confiabilidade e desempenho para posteriormente implementá-los 
no NTFS. 
 Sabe-se também que o NTFS tem alguma relação com o Files-11, 
sistema de arquivos do sistema operacional VMS, que passou às mãos da 
Compaq em 1998, empresa que posteriormente foi adquirida pela HP. Quando 
os trabalhos no VMS estavam em andamento, parte de sua equipe se 
transferiu para Microsoft, com destaque para o engenheiro de software Dave 
Cutler, um dos nomes por trás do NTFS e do próprio Windows NT. 
 
 
Principais características do NTFS 
 Os conceitos aplicados ao NTFS fizeram com que o Windows NT e 
versões posteriores do sistema fossem bem recebidos pelo mercado. Uma 
dessas características diz respeito ao quesito "recuperação": em caso de 
falhas, como o desligamento repentino do computador, o NTFS é capaz de 
reverter os dados à condição anterior ao incidente. Isso é possível, em parte, 
porque, durante o processo de boot, o sistema operacional consulta um arquivo 
de log que registra todas as operações efetuadase entra em ação ao identificar 
nele os pontos problemáticos. Ainda neste aspecto, o NTFS também suporta 
redundância de dados, isto é, replicação, como o que é feito por 
sistemas RAID, por exemplo. 
 Outra característica marcante do NTFS é o seu esquema de permissões 
de acesso. O Unix sempre foi considerado um sistema operacional seguro por 
trabalhar com o princípio de que todos os arquivos precisam ter variados níveis 
de permissões de uso para os usuários. O NTFS também é capaz de permitir 
que o usuário defina quem pode e como acessar pastas ou arquivos. 
 O NTFS também é bastante eficiente no trabalho com arquivos grandes 
e unidades de discos volumosos, especialmente quando comparado ao 
sistema de arquivos FAT. Você vai entender o porquê no tópico a seguir. 
 
 
Lidando com arquivos 
 Em um disco rígido, a área de armazenamento é dividida em trilhas. 
Cada trilha é subdividida em setores (saiba mais neste artigo sobre HDs), cada 
um com 512 bytes, geralmente. FAT e NTFS trabalham com conjuntos de 
setores, onde cada um é conhecido com cluster (ou unidade de alocação). O 
FAT16, por exemplo, pode ter, comumente, clusters de 2 KB, 4 KB, 8 KB, 16 
KB e 32 KB. 
 Aqui há um possível problema: cada arquivo gravado utiliza tantos 
clusters quanto forem necessários para cobrir o seu tamanho. Se, por exemplo, 
tivermos um arquivo com 50 KB, é possível guardá-lo em dois clusters de 32 
KB cada. Você deve ter percebido então que, neste caso, um cluster ficou com 
espaço sobrando. Esta área pode ser destinada a outro arquivo, correto? 
Errado! Acontece que cada cluster só pode ser utilizado por um único arquivo. 
Se sobrar espaço, este permanecerá vazio. Esse é um dos problemas do 
sistema FAT. 
 Há ainda outra limitação: o FAT16 trabalha com discos ou partições com 
até 2 GB. Essa situação só melhora com o FAT32, que pode trabalhar com até 
2 TB (terabytes). 
 O NTFS, por sua vez, não pode contar com esse tipo de limitação. Por 
isso, utiliza 64 bits para endereços de dados, contra 16 do FAT16 e 32 do 
FAT32. Essa característica, aliada ao tamanho dos clusters, determina o 
volume máximo de dados com que cada partição NTFS pode trabalhar. Com o 
uso de clusters de 64 KB, esse limite pode chegar a 256 TB. Por padrão, o 
tamanho dos clusters é definido automaticamente com base na capacidade de 
armazenamento do dispositivo durante o processo de instalação do sistema 
operacional ou de formatação de uma partição - indo de 512 bytes a 64 KB -, 
podendo também ser definido pelo usuário com procedimentos específicos. 
Tolerância a falhas 
 Para a preservação dos dados, o NTFS utiliza um esquema 
de journaling, isto é, o arquivo de log mencionado anteriormente. De maneira 
resumida, seu funcionamento ocorre da seguinte forma: o log registra toda as 
ações que acontecem no sistema operacional em relação aos arquivos. 
Quando um documento é criado, um espaço em disco é alocado para ele, suas 
permissões são definidas e assim por diante. A questão é que se, por exemplo, 
o computador ficar repentinamente sem energia, o espaço definido para o 
arquivo pode ser alocado, mas não utilizado. Quando o sistema operacional é 
reativado, consulta o arquivo de log para saber quais procedimentos não foram 
executados por completo e executa a ação correspondente para corrigir o 
problema. 
 Para manter a integridade do sistema, basicamente, três passos são 
executados: verificação do log para checar quais clusters devem ser corrigidos; 
nova execução das transações marcadas como completas no final do log; 
reversão de procedimentos que não puderam ser concluídos. 
 Perceba que, com isso, o NTFS pode não conseguir recuperar os 
últimos dados gravados antes da interrupção, mas garante o pleno 
funcionamento do sistema operacional eliminando erros que podem 
comprometer o desempenho ou causar problemas ainda maiores. 
Permissões 
 O NTFS possibilita o uso de permissões no sistema operacional, ou seja, 
é possível definir como usuários - ou grupos de usuários - podem acessar 
determinados arquivos ou determinadas pastas. Por exemplo, você pode 
permitir ao usuário Arthur Dent ter controle total da pastaInfoWester, mas só 
permitir ao usuário Marvin ler e executar o referido conteúdo, sem poder alterá-
lo. 
 
mandou pesquisar e estudar 
SIEM - Sistema de Gerenciamento de Eventos 
http://www.mcafee.com/br/products/siem/index.aspx: 
 Nosso gerenciamento de eventos e informações de segurança (SIEM) 
potente e de alto desempenho reúne dados de eventos, ameaças e riscos para 
oferecer informações sólidas sobre segurança, resposta rápida a incidentes, 
gerenciamento bem integrado de registros e uma expansível geração de 
relatórios de conformidade. Na base de nossa oferta de SIEM, o Enterprise 
Security Manager consolida, correlaciona, avalia e prioriza eventos de 
segurança para soluções de terceiros e da McAfee. Como parte do 
framework Security Connected, o McAfee Enterprise Security Manager se 
integra fortemente ao software McAfee ePolicy Orchestrator (McAfee ePO), ao 
McAfee Risk Advisor e ao Global Threat Intelligence, fornecendo o contexto 
necessário para um gerenciamento autônomo e adaptável do risco de 
segurança. 
A estratégia de defesa em camadas de hoje deve estar preparada para a 
sofisticação das ameaças modernas. Nenhum produto para proteção contra 
ameaças pode bloquear sozinho todas as infiltrações de ameaças e as 
atividades decorrentes delas. Você precisa de uma equipe com o aparato mais 
recente. 
Camadas gerenciáveis: a proteção abrangente contra ameaças exige as 
camadas defensivas certas em cada ativo e em toda a sua infraestrutura. Com 
elas, as defesas em tempo real podem bloquear ataques, mantendo seus 
sistemas e suas redes disponíveis e em segurança. Em prol da resiliência e da 
conscientização sobre a situação, essas camadas devem ser agrupadas em 
um sistema de sistemas. O antimalware é essencial para a equação, sendo 
reforçado por outras defesas e sistemas de gerenciamento de eventos. 
 
http://segdigital.blogspot.com.br/2012/06/siem.html: 
 Segurança de TI é como uma torre de babel. Ao longo dos anos as 
empresas vão acumulando produtos e tecnologias diversas para cada tipo de 
ameaça ou função de segurança. Uma empresa de grande porte terá pelo 
menos dez tecnologias implementadas, não só em dispositivos diferentes como 
de fabricantes distintos. Para piorar é normal que produtos diferentes sejam 
usados para atender a mesma necessidade, como firewalls de vários 
fabricantes. Por sua vez cada fabricante consolida os eventos de seus 
produtos em consoles próprias, com óbvias limitações para importação de 
dados de outros, quando essa possibilidade existe. Além disso há dados 
relevantes nos logs de servidores que necessitam ser consolidados e 
processadas. O resultado são dados dispersos em diferentes sistemas e uma 
imensa dificuldade para gerar informação. 
 A integração de eventos e dados de segurança não é nenhuma 
panaceia, porém é necessária para algumas funções como compliance, 
investigação de incidentes e gerenciamento de ameaças. Em empresas com 
quantidade menor de eventos de segurança essa tarefa pode ser realizada 
manualmente, mas quando há milhares ou milhões de eventos isso se torna 
impossível. Assim o processo natural é o de adquirir um sistema SIEM 
(security information and event management), de gerenciamento de eventos e 
informações de segurança, na esperança de por ordem na 
bagunça. Infelizmente a implementação falha ou fica aquém das expectativas 
em muitas empresas. É importante entender os motivos ou ao menos discutir 
algumas possibilidades. 
 Um sistema SIEM é por principio complexo, concebido para importar 
dados das fontes mais variadaspossíveis, consolidar, processar, correlacionar, 
comparar e por fim gerar alguma informação relevante para o seu usuário. É 
também por principio um sistema de várias faces, ou possibilidades de 
uso. Parte desse último aspecto vem do fato que os sistemas atuais evoluíram 
de dois outros tipos de aplicação: os chamados SIM (security information 
management) e SEM (security event management), parecidos no nome mas 
diferentes na função. O primeiro foi uma evolução do sistemas de 
gerenciamento de logs especializado em segurança. Suas fontes principais são 
dispositivos diversos de rede, servidores e aplicações. Já o SIEM foi criado 
para consolidar e correlacionar eventos gerados por produtos de 
segurança. Como ambas funções são próximas nada mais natural que 
houvesse uma convergência. 
 Mas as possibilidades são muitas, indo além da pura consolidação de 
logs e eventos. O sistema pode ajudar na administração de compliance - a 
adequação da empresa às normas regulatórias, gerenciamento e investigação 
de incidentes, gerenciamento de ameaças em tempo real e gerenciamento de 
riscos em geral. Aqui vemos o primeiro problema, a aquisição e instalação de 
um SIEM sem embasamento de um projeto. Em outras palavras, o software 
precisa ser a ferramenta de um projeto, e não o projeto em si. Adquirir um 
sistema como ponto de partida é o primeiro equivoco e um atalho para 
problemas. A empresa portanto necessita de um projeto claro e de metas, até 
porque elas irão ajudar a definir qual é o melhor produto, o que não é tarefa 
fácil pois há no mercado mais de 50 produtos classificados como SIEM. O 
Gartner Group em seu famoso Quadrante Mágico pontua 24 produtos 
diferentes no relatório de 2011, sete deles no quadrante de líderes. O relatório 
inclui também uma solução baseada em código aberto. É natural portanto que 
existam produtos melhores em uma determinada função que outros. 
 Há outros dois pontos cruciais em qualquer projeto. O primeiro deles é 
levar em conta as fontes de dados as quais se deseja consolidar e a maneira 
como isso ocorrerá. Plataformas conhecidas irão contar com agentes nativos, 
outras irão exigir algum desenvolvimento ou configuração por syslog ou 
outros. O cliente deverá levar isso em conta antes e não depois da aquisição. 
A quantidade de fontes de dados influi também na capacidade de 
armazenamento, que deverá ser parte do projeto. O objetivo do projeto também 
influi nesse quesito. Se a empresa tem investigação de incidentes passados 
como meta, ela deverá definir o período de guarda dos dados e incluir na 
estimativa de capacidade. Se a meta é estar em conformidade com normas ou 
leis, o prazo pode alcançar a anos, com muitos terabytes de dados. Mas não é 
só capacidade. O desempenho da arquitetura de armazenagem pode influir 
muito no tempo de resposta da solução, sobretudo se utilizada para o 
gerenciamento e correlação de eventos em tempo real. 
 O segundo ponto é a equipe que irá operar o sistema. Funções tão 
variadas exigem perfis profissionais também variados. Como será a 
manutenção do sistema? Não digo do software mas das regras nele 
configuradas. A correlação de eventos, por exemplo, baseia-se em regras. Boa 
parte já vem inclusa no pacote inicial mas muitas outras deverão ser criadas 
para o que o sistema adapte-se à empresa e possa fornecer a informação que 
se espera dele. Já compliance e investigação exigem outros perfis de regras e 
análise. Uma implementação mal planejada irá inundar a equipe com eventos 
que para eles não farão sentido, e que portanto serão ignorados. Os usuários 
irão também variar de acordo com a função, pois os administradores de 
compliance, risco e segurança de rede são normalmente pessoas diferentes. 
 A conclusão vale para qualquer produto mas é mais importante para 
sistemas caros e complexos. Primeiro o cliente precisa comprar bem, o que 
significa saber o que quer a curto, médio e longo prazos, sem menosprezar o 
tempo e recursos necessários para a implementação, nunca esquecendo-se 
que não há software que faça milagres 
 
- ALIENVAULT: Pesquisar 
 
 
 
 
 Ao combinar a funcionalidade de detecção de ameaças com a 
descoberta do recurso automatizado e dados de vulnerabilidade, Unified 
Security Platform Management ™ da AlienVault (USM) oferece uma visão 
completa sobre a segurança do seu ambiente. Além disso, de AlienVault Abrir 
Threat Exchange ™ (OTX ™) é construído no Plataforma USM, que permite o 
compartilhamento de inteligência de ameaças anônimas. 
 
 Gestão de Segurança Unificada: Completo, simples e acessível. 
Produtos Unified Security Management ™ (USM) da AlienVault fornecer uma 
maneira para organizações com equipe de segurança limitada e orçamento 
para atender às necessidades de conformidade e gerenciamento de ameaças. 
Com todos os controles de segurança essenciais internos e atualizações de 
inteligência de ameaças contínuas de AlienVault Labs, USM oferece uma 
visibilidade incomparável de segurança. 
 
 A inteligência mais recente ameaça . Olhe para ele - ele está lá . 
No AlienVault , acreditamos que a simplicidade e eficácia andam de mãos 
dadas - especialmente quando se trata de suas defesas. Ameaças modernas 
exigem defesa rápida e unificada , por isso felizmente AlienVault Labs tem a 
sua volta . 
 
 Armado com AlienVault Labs inteligência de ameaças , você não está 
mais sozinho está na luta para proteger os ativos e informações críticas de sua 
organização. AlienVault Labs realiza pesquisas de segurança sobre as 
ameaças globais e vulnerabilidades. Esta equipe de especialistas em 
segurança monitora constantemente , análises, engenheiros reversa e 
relatórios sobre ameaças sofisticadas de dia zero , incluindo malware, botnets , 
campanhas de phishing e muito mais. 
 
 Usando uma variedade cada vez maior de técnicas manuais e 
automatizadas , Labs pesquisadores garantir que a solução de Gestão de 
Segurança Unificada da AlienVault é sempre up- to-date com a inteligência de 
ameaças mais recentes . 
 
 Especificamente, a inteligência de ameaças fornecido pelo AlienVault 
Labs fornece as últimas informações sobre o seguinte: 
 
Vulnerabilidade conhecida (CVE) Exploits 
Ataques bruteforce 
Ataques de negação de serviço 
Detecção de Malware 
Ataques em nível de rede 
Ataques SCADA 
Sistema de Sondagem e Digitalização 
atividade maliciosa 
 
Inteligência de Segurança . Agora . 
 A maioria das organizações que buscam alcançar a inteligência de 
segurança fazê-lo com um sentido de urgência . Eles precisam de respostas e 
eles precisam agora ... " O que está acontecendo em nossa rede ? " "Quem 
está nos atacando ? " " Que ameaças exigem a nossa atenção agora? " " O 
que vai ser um problema para a nossa auditoria na próxima semana ? " 
 
 Ao consolidar as capacidades essenciais de segurança em uma única 
plataforma de gestão, AlienVault USM oferece inteligência de segurança rápida 
. E porque estes são built-in capacidades , milhares de regras de 
correlação de eventos SIEM são incluídos que são altamente otimizadas para 
essas fontes de dados importantes. Você também pode criar regras de 
correlação de eventos personalizados , a fim de detectar violações de políticas 
, e outras atividades de segurança e conformidade relacionada importante. 
 
 Poucas horas depois de instalar a plataforma USM , inteligência de 
segurança unificada de AlienVault pode fornecer respostas para questões-
chave , tais como: 
 
 O que está acontecendo agora que poderia sinalizar uma violação de 
política , um ativo explorar , uma violação de dados ou uma falha operacional ? 
 O que eu preciso fazer agora , a fim de evitar interrupções no serviço ou 
surtos de malware ? 
 Os controles de segurança no local fazendo seu trabalho ? Ou eu 
preciso reconfigurar as nossas defesas ? 
 Onde é que temos de nos concentrar , a fim de estar pronto para a 
nossa auditoriana próxima semana ?" 
 
 
- Próxima aula pesquisar: Criminal Compliance. pesquisar 
Filme: http://www.youtube.com/watch?v=dyo_Cf-Fz2w 
Criminal Compliance: 
 Enquanto as ciências da computação buscam abranger cada vez mais 
todas as áreas e atividades do nosso cotidiano, governos, empresas e o 
público em geral tornam-se vítimas do terrorismo cibernético, da espionagem 
industrial e múltiplas formas de fraude. Este documentário investiga o mundo 
do crime cibernético: as vítimas, os invasores, seus métodos e suas 
motivações. Vamos nos aprofundar neste mundo sombrio, enquanto os 
organismos da lei contam com a ajuda de ex-hackers para tentar proteger 
cidadãos e instituições do que pode-se prever como um verdadeiro caos 
eletrônico.