Telemetria para segurança cibernética

O que é telemetria?

As topografias de rede das empresas e dos data centers corporativos modernos são complexas. Elas incluem muitos dispositivos diferentes (roteadores, switches, servidores locais e em nuvem, hipervisores, firewalls e outros dispositivos de segurança, estações de trabalho etc.), usam vários meios de transmissão, como Ethernet, fibra óptica e Wi-Fi, e hospedam uma grande variedade de aplicativos essenciais para as operações comerciais. Esses ambientes digitais precisam de soluções complexas de geração de relatórios para oferecer aos administradores visibilidade ampla e granular das atividades da rede. 

Telemetria são dados coletados de um ambiente de rede que podem ser analisados para monitorar a integridade e o desempenho, a disponibilidade e a segurança da rede e de seus componentes, permitindo que os administradores de rede respondam rapidamente e resolvam problemas de rede em tempo real. Os dados de telemetria contribuem para manter uma rede altamente disponível, otimizada e resiliente. A análise avançada de telemetria também pode empregar inteligência artificial e aprendizado de máquina para fornecer dados acionáveis orientados por eventos sobre as operações de rede e detectar atividades anômalas na rede e indicadores de comportamento potencialmente mal-intencionado.

Componentes de telemetria

Para facilitar a coleta e a análise dos dados de telemetria, os dispositivos devem ser configurados com um software que encaminhará as métricas relevantes para um sistema centralizado, onde elas serão ingeridas em um mecanismo de análise, processadas e disponibilizadas para os membros da equipe de TI por meio de um painel de análise. A telemetria de rede se concentra no desempenho de uma rede e de todos os seus dispositivos essenciais, e a telemetria de endpoint se concentra em relatar a atividade que ocorre em endpoints individuais.

Para obter uma compreensão de alto nível da telemetria de rede, a funcionalidade de uma rede de computadores pode ser modelada como três "planos" teóricos. Esses três planos são:

Plano de dados: Encaminha pacotes/frames de uma interface para outra. Se o fluxo de dados for análogo ao tráfego rodoviário, compare o plano de dados com as estradas e as comunicações com os veículos.

Plano de controle: Operacionaliza as regras para determinar os caminhos que os dados tomam entre os dispositivos, como os protocolos de roteamento de um roteador ou switch. Na analogia com o tráfego, o plano de controle pode ser comparado a semáforos e sinais de trânsito.

Plano de gerenciamento: Controla e monitora os dispositivos. O plano de gerenciamento pode ser comparado a uma combinação de um aplicativo de navegação com dados de tráfego em tempo real e um planejador urbano que ajusta os semáforos e as placas para otimizar o fluxo de tráfego.

A telemetria do plano de dados e controle pode ser usada para fazer alterações informadas na arquitetura ou na configuração da rede para melhorar o desempenho e a segurança. Ferramentas avançadas de engenharia de rede e produtos de segurança, como o XDR (Extended Detection and Response), operam no plano de gerenciamento para ajustar automaticamente a topografia e a configuração da rede.

Por exemplo, quando os recursos de hardware de um dispositivo (CPU, RAM, disco rígido e interface de rede) estão quase se esgotando ou falhando, ou quando um dispositivo ou aplicativo está se comportando de forma inesperada, podem ser criados alertas para os membros da equipe de TI, e os balanceadores de carga ou failovers podem atribuir automaticamente novos recursos, como VPS, para manter o desempenho da rede.

Telemetria de endpoint

A telemetria de endpoint inclui informações de sistemas operacionais, serviços e aplicativos em cada endpoint. A telemetria de endpoint é usada para monitorar sistemas e aplicativos individuais para identificar falhas no sistema causadas por condições operacionais normais e atividades mal-intencionadas causadas por malware. Os componentes da telemetria de endpoint são altamente flexíveis e dependem do serviço fornecido pelo endpoint que está sendo monitorado. Um agente em cada endpoint retransmitirá os dados relevantes para o repositório centralizado para que possam ser analisados quanto a indicadores de comprometimento (IOCs) ou outras atividades.

Benefícios da telemetria de endpoint

Proteção contra perda de dados

Monitoramento de serviços, como os de e-mail, compartilhamento de arquivos e APIs de nuvem ou estações de trabalho de funcionários, para detectar comportamentos anômalos relacionados à transferência de dados que possam indicar uma tentativa de exfiltração de dados por parte de um invasor.

Autenticação e autorização

Serviços de monitoramento de tentativas de autenticação e acesso a recursos hospedados para detectar atividades suspeitas.

Processos do sistema

Monitoramento de um sistema operacional em busca de processos não autorizados e processos que podem ser gerados pelo comprometimento de um aplicativo em um ataque cibernético.

Alterações no arquivo do sistema

Monitoramento de um sistema operacional ou aplicativo quanto a alterações em arquivos críticos do sistema ou definições de configuração.

Comportamento do usuário

Monitoramento de um endpoint quanto a atividades como toques no teclado e movimentos do mouse, abertura de documentos ou uso da Internet.

Telemetria para segurança cibernética

Os dados de telemetria são aplicados à segurança cibernética de várias maneiras. Os engenheiros de rede podem usar a telemetria para observar o tráfego da rede em tempo real para garantir a disponibilidade e o alto desempenho de todos os sistemas. Em cenários mais avançados de segurança cibernética, os dados de telemetria podem ser usados para responder a um IOC e responder.

Por exemplo, as soluções XDR assimilam a telemetria dos endpoints da rede e reagem automaticamente a um IOC relatado colocando em quarentena um endpoint e protegendo ainda mais o restante da rede usando a telemetria do IOC para ajustar as defesas em todo o ambiente da rede. Isso permite uma estratégia defensiva de segurança cibernética que vai além da tradicional verificação de vírus dos arquivos recebidos em busca de assinaturas conhecidas e permite o monitoramento em tempo real de todos os sistemas em busca de comportamentos anômalos. O resultado é um tempo de permanência menor.

A telemetria de endpoint ajuda as equipes de segurança a melhorar a cobertura de detecção de ameaças e a identificar atividades mal-intencionadas mais cedo.

CylanceGUARD para segurança de endpoints

Como um serviço de Detecção e Resposta Gerenciada 24x7x365 centrado no ser humano e baseado em assinatura, CylanceGUARD® oferece a experiência e o suporte de que os CISOs precisam. CylanceGUARD combina a profunda experiência incorporada pelo BlackBerry Cybersecurity Services com a proteção de endpoints baseada em IA por meio de CylanceENDPOINT. Em resumo, o CylanceGUARD fornece às empresas as pessoas e a tecnologia necessárias para proteger a empresa do cenário moderno de ameaças.
SAIBA MAIS

Recursos relacionados:

Ícone de recurso Prevenção contra perda de dados (DLP) Ícone de recurso Segurança de endpoint Ícone de recurso Plataformas de proteção de endpoints (EPP) Ícone de recurso Detecção e resposta de endpoint (EDR) Ícone de recurso Detecção e resposta estendidas (XDR) Ícone de recurso Gerenciamento de identidade e acesso (IAM) Ícone de recurso Detecção e resposta gerenciadas Ícone de recurso XDR gerenciado Ícone de recurso Estrutura MITRE ATT&CK Ícone de recurso Defesa contra ameaças móveis (MTD) Ícone de recurso Análise de comportamento de usuários e entidades (UEBA) Ícone de recurso Arquitetura Zero Trust Ícone de recurso Acesso à rede de confiança zero (ZTNA) Ícone de recurso Segurança Zero Trust Ícone de recurso Gerenciamento de eventos e informações de segurança (SIEM) Ícone de recurso Serviço de acesso seguro na borda (SASE)
Mais recursos