Usando o Zabbix para gerenciamento de riscos
junho 16, 2023Qualquer empresa, grande ou pequena, pode se tornar alvo de ataques DoS ou tentativas de invasão em algum momento, o que é um sério risco a ser considerado. Para resolver esse problema, a ISO (Organização Internacional de Normalização) criou um conjunto de regras a serem seguidas pelas empresas, melhorando assim a segurança e a qualidade das operações.
Dentre elas, a ISO/IEC 27005 foi elaborada como uma facilidade para uma implementação satisfatória de Segurança da Informação a partir de uma abordagem de Gestão de Riscos. De acordo com a norma, Risco é definido como:
O risco é o efeito da incerteza nos objetivos. Está associado ao potencial em que ameaças podem explorar vulnerabilidades de um ativo e consequentemente prejudicar uma organização.
Vulnerabilidades encontradas em servidores, por exemplo, podem ser rapidamente identificadas e tratadas graças a ferramentas de monitoramento. A ISO/IEC 27005 desenvolveu controles e diretrizes para monitoramento de onde podemos destacar:
“… é necessário um monitoramento constante para que as mudanças possam ser detectadas.”
Onde o Zabbix pode ajudar na Gestão de Riscos?
Com o monitoramento proativo utilizando ZABBIX alguns riscos podem ser evitados, abaixo listamos dois exemplos:
Ataque de ransomware em servidores
Uma ameaça conhecida entre as equipes de segurança é o ransomware. Ransomware é conhecido como um código malicioso que, quando executado, criptografa dados em um host, seguido por uma taxa de descriptografia (geralmente em bitcoin).
As formas mais comuns de propagação do ransomware são:
- Exploração de uma vulnerabilidade em um sistema não corrigido.
- Através de portas de firewall não filtradas.
Com o Zabbix, a equipe de Segurança da Informação pode ser proativa na detecção de ransomware, por exemplo, monitorando se o servidor WSUS possui as atualizações mais recentes, configurando avisos para portas abertas de forma incomum, alertando sobre a execução de processos conhecidos de ransomware, etc. No exemplo a seguir, configuramos o Zabbix para enviar alertas quando as portas usadas pelo ransomware wannacray (9003, 9101 e 9001) são abertas no firewall:
Configurar tal alerta no Zabbix é muito fácil simplesmente usando a chave net.tcp.port. Para isso, você precisa ir em Configuração > Host > Item e clicar em Criar Item.
Defina o Nome, Tipo e Chave como no exemplo:
Clique em Adicionar.
Agora precisamos criar um Trigger. Em Host, navegue até Gatilho > Criar item. Defina o Nome, Gravidade e Expressão:
A expressão exata que usamos é:
{srv_win:net.tcp.port[{HOST.IP},9003].last()}=1
Clique em adicionar e em Concluir.
Mudanças nos arquivos
Em alguns casos, os invasores modificam os arquivos confidenciais do sistema operacional, como logs, usuários, senhas ou configurações de serviço.
Monitorar a integridade dos arquivos é de extrema importância e o Zabbix pode resolver isso verificando as somas de verificação:
Configurar isso no Zabbix é bastante trivial através do uso da chave vfs.file.cksum. Para isso, basta ir em Configuração > Host > Item e clicar em Criar Item.
Defina o Nome, Tipo e Chave conforme o exemplo a seguir:
Clique em adicionar
É claro que também precisaremos criar um Acionador, então vá para Gatilho > Criar Item. Defina o Nome, Gravidade e Expressão como no exemplo:
Aqui está a expressão que usamos:
{srv_linux:vfs.file.cksum[/etc/passwd].diff(0)}>0
Clique em adicionar e em Concluir.
Você pode começar escrevendo verificações simples, como nos exemplos acima, e depois evoluir a abordagem conforme necessário. Como costuma acontecer, no entanto, a comunidade Zabbix está aqui para compartilhar suas soluções de controle de ameaças completas como esta .
Não importa o que você prefira, personalização profunda ou soluções prontas para uso, o Zabbix pode oferecer ambos graças à sua flexibilidade e comunidade ativa.
Conclusão
Para estar em conformidade com a ISO 27005, algumas organizações usam o Zabbix como uma solução de monitoramento de escolha para seus servidores, firewalls, nuvem e infraestrutura geral. Com tudo isso, o Zabbix apóia a equipe de segurança da informação na tomada de decisões e na identificação proativa de anomalias que possam ocorrer na infraestrutura.
Fonte: https://blog.zabbix.com/using-zabbix-for-risk-management/6570/
