Livro "Extrusion Detection"

Comecei a ler o livro Extrusion Detection: Security Monitoring for Internal Intrusions livro de Richard Bejtlich. Aborda o monitoramento de segurança para ataques internos. Richard é adepto do NSM (Network Security Monitoring), uma definição retirada do livro para este termo segue abaixo:

"NSM is the collection, analysis, and escalation of indications and warnings to detect and respond to intrusions"

Livros de segurança, normalmente concentram-se em ataques "inbound" (INTERNET->RedeInternaDMZ), este livro, no entanto, trata do monitoramento para ataques em tráfego "outbound" (RedeInternaDMZ ->INTERNET), vê-se muito em redes afora a conduta de filtrar tráfego de entrada e permitir qualquer coisa sair da rede, as regras de saída são mais "relaxadas". Realmente, diversos ataques podem se utilizar desta "distração" para executar um ataque (Por exemplo, ao invés de conectar diretamente em um servidor Web, por que não fazê-lo conectar em uma máquina na Internet, pensem nisso).

Um outro conceito interessante é o de "defensible network" - Retirado do livro - "A defensible network is an information architecture that is monitored, controlled, minimized, and current." O objetivo é dar ao analista o máximo de informação para tomar suas decisões sobre intrusões ocorrendo na rede.

Existem 4 formas de dados que o autor alega serem importantes registrar, são elas:

Full content data
Session data
Statistical data
Alert data

Bom, em outras oportunidades poderei falar sobre elas, estou começando a ler o livro. Mas uma frase de efeito que serve de atenção seria "Alertas de intrusão são início de uma invetigação não o fim". putz :)

Outra mais dramática: :)

"Conheça muito bem sobre o que está acontecendo em sua rede, pois caso contrário, um intruso o fará"

Fábio Henrique.
----------------------------------------
Security Engineer / Intrusion Analyst