Sistemas prometem uma defesa mais eficiente; InformationWeek EUA testou as ofertas de seis fornecedores
Ao mapear um plano de ação defensiva, é importante saber o que ?o outro lado? tem condições de fazer. Mas a desagradável realidade para os profissionais na área de segurança de TI é que o próximo atacante poderá ser qualquer pessoa, desde um garoto que criou um script, até um sindicato do crime ou um hacker mal-intencionado, e os possíveis vetores são ainda mais diversificados. No entanto, os sistemas de detecção de intrusão e prevenção de intrusão que muitas companhias instalam em resposta a toda essa incerteza sofrem das mesmas fraquezas que vêm assolando os produtos antivírus durante anos ? a confiança em assinaturas.
Os fabricantes de produtos antivírus perceberam desde o início que, para permanecerem competitivos, precisavam desenvolver técnicas para habilitar seus produtos a identificar tráfego suspeito, mesmo se não houvessem percebido essa atividade específica, anteriormente. A resposta encontrada foram os métodos de análise heurística e comportamental que detectam arquivos e processos que se comportam de um modo considerado ameaçador. No setor de segurança de redes, os pesquisadores e fabricantes, tais como Lancope e Mazu Networks, desenvolveram sistemas que utilizam análises comportamentais, ao invés de assinaturas.
Nos últimos anos, esta categoria tem se aperfeiçoado a partir de um mercado dedicado a um nicho que era identificado com diversas siglas inadequadas, incluindo a detecção e análise de comportamento de rede (NBAD, na sigla para network behavior analysis and detection) e sistemas de detecção de anomalias em redes (NADS ou network anomaly detection systems). Isto antes de definir o uso da sigla NBA para análise de comportamento de rede.
Essencialmente, esses fabricantes fornecem a peça que falta ? a detecção de comportamento ? para a indústria de IDS, que os fabricantes de antivírus descobriram como uma necessidade há mais de uma década. A maioria das companhias pode se beneficiar com a NBA, uma vez que a maioria está perdendo importantes eventos relacionados à segurança, por causa da imensa largura de banda ou da falta de visibilidade pervasiva. Mas assim como acontece com qualquer produto que interage intensivamente com sua rede e afeta sua segurança ? e especialmente um produto que custa tanto quanto a maioria dos sistemas de NBA ? é fundamental realizar uma adequação apropriada.
Para ajudar a garantir que o produto de NBA que você está pensando em comprar poderá ser integrado com seus atuais IDS, scanners de vulnerabilidade e gerenciadores de eventos e incidentes de segurança (SIEMs), InformationWeek EUA estudou a fundo as opções do mercado. Seis fabricantes enviaram seus produtos aos laboratórios da publicação na Universidade da Flórida, nos Estados Unidos. Leia sobre os critérios aqui.
ABRINDO ESPAÇO NO SETOR
Os fabricantes especializados em produtos de NBA, inicialmente, se dedicaram à segurança de redes, porque, para simplificar, eles eram bons nessa área. Uma vez que os sistemas que eles desenvolveram criaram uma base de comparação do que pode ser considerado um comportamento de rede normal, eles podem detectar atividades anômalas. Por exemplo, digamos que um computador desktop cujas atividades diárias envolvam navegação na web, acesso a compartilhamentos de redes e tráfego de e-mail, repentinamente, comece a aceitar conexões em portas TCP 65500 ou passe a se comunicar na porta UDP 17028 com centenas de outros computadores host no mundo todo. Um sistema de NBA enviaria um e-mail para a equipe de segurança relatando a repentina mudança de comportamento e, talvez, até mesmo implementasse um firewall ACL ou desabilitasse a porta do comutador.
Uma vez que a NBA requer um profundo entendimento dos padrões de tráfego exclusivos de uma companhia, é uma adequação natural a atitude de os fabricantes acrescentarem recursos de monitoramento de desempenho de rede que abrangem desde simples funções, como identificar os principais usuários que se comunicam, até a elaboração de relatórios mais avançados para auxiliar na otimização e no planejamento de redes. Essencialmente, este conjunto de recursos é o motivo pelo qual os fabricantes de produtos de NBA prometem às equipes de gerenciamento de redes e de segurança dar a visibilidade que elas anteriormente não tinham, incluindo alertas quando novos hosts surgem na rede, assim como a capacidade de descobrir onde existem gargalos e de vincular os usuários diretamente ao fluxo de tráfego de suas redes.
Detectando uma oportunidade de expansão em um setor que está prosperando, os fabricantes destinados ao desempenho de redes, incluindo a NetQoS, estão ocupados acrescentando recursos de NBA a suas linhas de produtos. Embora os indivíduos e os fabricantes voltados à segurança afirmem que a NBA é parte de uma abrangente estratégia de segurança, fabricantes dedicados ao desempenho defendem a tecnologia como uma extensão natural dos sistemas de gerenciamento de rede utilizados anteriormente. ?NBA é crucial para otimizar redes para o desempenho de aplicativos?, declara Steve Harriman, vice-presidente de marketing da NetQoS.
No cenário de uma maior concorrência no mercado de NBA a partir de fabricantes com diferentes perspectivas, os grupos de TI corporativa são os vencedores definitivos: eles ganham uma abundância de novos recursos e preços menores.
Página | 1 | 2 |
