*Por Paulo Gracia
A visibilidade da rede é fundamental para a segurança cibernética e a conformidade, mas isso significa ir muito além do rastreamento de endereços IP, considerando quantas camadas de rede estão em questão.
Por mais que o uso da nuvem esteja crescendo e isso apresente uma ampla gama de novos problemas, a realidade é que a maioria das redes corporativas – em graus variados – foi para a nuvem há muito tempo.
Isso inclui descobrir redes definidas por software (SDN), como Cisco ACI ou SD-WANs, incluindo Cisco Miraki ou Cisco Viptela. Sites remotos em particular significam que as empresas devem aprimorar e unificar a visibilidade do IPAM híbrido.
Em resumo, isso permite que a equipe de rede pesquise rapidamente endereços IP, encontre nomes de dispositivos, quais tipos, fornecedores, modelos ou versões ou até mesmo números de série de chassis que possuem. Tudo isso possibilita insights e contexto forenses muito maiores.
Essas pesquisas facilitam o objetivo crítico de detectar e remediar ativos não autorizados e/ou comprometidos, ao mesmo tempo em que reconciliam as redes com quaisquer conflitos de IPAM e coletam informações de firmware para ajudar com atualizações e patches.
Fácil acesso
Com defesas de segurança cibernética e regras de conformidade, é essencial ter acesso fácil a relatórios ad hoc e padronizados para ter visibilidade de qualquer acesso e ver se algo significativo mudou. Por exemplo, quando um funcionário instala por conta própria um roteador que comprou em uma loja de produtos de Informática na Santa Ifigênia ou no supermercado, isso força a pergunta: está em conformidade? Praticamente é certo que não.
Outro elemento problemático de rede é o switche. Ter visibilidade profunda e atual da descoberta de uma porta de switch é uma necessidade urgente, especialmente com o rastreamento de portas livres, disponíveis e não utilizadas ou aquelas que estão conectadas a hosts finais com ou sem fio.
Explorar os switches pode fornecer um mundo de dados úteis, incluindo endereços IP e Mac, o status do administrador e das operações, a descrição da porta do switch, as configurações de VLAN, seus IDs, seus nomes, as VLANs de dados, as VLANs de voz, o início e o fim desses intervalos, jalém de metadados e metatags associados a switches e portas.
As redes corporativas de hoje são inerentemente mais complexas, apresentando um grande número de fornecedores que trabalham com vários sistemas operacionais.
A TI necessita visibilizar tudo isso, junto à capacidade de converter redes IP e endereços em objetos gerenciados. A descoberta precisa ser muito mais do que uma simples varredura de ping. A TI exige informações robustas sobre DNS, DHCP, objetos de host, dispositivos (físicos e virtuais), modelos, SO, versões, interfaces, além de dados atuais em roteadores, sub-redes e VLANs.
Vantagens da VLAN
Esse problema de VLAN é crítico, dado o número cada vez maior de ativos e dados que se deslocam para nuvens controladas por terceiros, e a TI pode não saber realmente onde os dados e ativos estão localizados fisicamente. Mas com os sistemas corretos, todas essas informações ainda podem ser descobertas, especialmente em relação às instâncias de VM. Não é apenas ser capaz de determinar os dispositivos físicos e lógicos da Camada 2, mas também entender como esses componentes complexos realmente estão conectados à rede.
Se a TI entende como esses elementos estão realmente conectados, ela ajuda a gerenciar as mudanças e as configurações tanto das redes tradicionais quanto das redes virtualizadas, usando tecnologias como VRF (virtual routing and forwarding), que permite várias tabelas de roteamento e diversas instâncias de encaminhamento no mesmo roteador. Tudo isso também dá visibilidade aos hosts finais conectados a switches físicos e que podem fornecer uma visão atual e histórica, esta última essencial para investigações forenses eficazes.
Muitos produtos de segurança apenas compartilham as informações sobre esse endpoint e esse a um servidor. Mas eles normalmente não respondem à uma pergunta importante: como o problema se moveu entre eles? É importante saber como eles estão conectados, porque é aí que se torna perceptível que para ir do ponto A ao ponto B, há comprometimento de outra coisa. Essas ameaças afetam os dispositivos, fazem o que eles precisam fazer e depois se limparão e seguirão em frente. Até vimos alguns que conseguiram tirar proveito de um dispositivo porque o firmware não foi atualizado corretamente. Antes de seguirem em frente, eles atualizaram o firmware. Se você não estivesse rastreando suas revisões de firmware, não saberia disso.
Como você entende como as construções de rede se encaixam para que possa ver uma visualização de topologia, observar como esses dispositivos estão conectados e, em seguida, detalhar para ver como dispositivos específicos estão operando em sua rede. Trata-se de ter todas essas informações em um só lugar, em um banco de dados do IPAM.
Outra consideração é o compartilhamento de dados. É por isso que as OpenAPIs são tão úteis, pois podem fornecer acesso fácil a uma ferramenta de caça a ameaças, um SIEM ou mesmo SOAR para automação. Quanto mais contexto seus sistemas tiverem, melhor será para a segurança cibernética e conformidade.
As redes também precisam rastrear o fim da vida útil e do serviço de diferentes tipos de dispositivos. Como você pode eliminar vulnerabilidades de dispositivos com segurança automatizada e gerenciamento de ciclo de vida? Integre com DNS, DHCP e IPAM.
Legenda: Paulo Gracia é engenheiro de computação e arquiteto de soluções da Infoblox Brasi
Sobre a Infoblox
A Infoblox é líder em gerenciamento e segurança de DNS de próxima geração. Mais de 12.000 clientes, incluindo mais de 70% da Fortune 500, confiam na empresa para dimensionar, simplificar e proteger suas redes híbridas, a fim de enfrentar os desafios modernos de um mundo que prioriza a computação em nuvem.