Para la mayoría de las organizaciones de TI, la herramienta de monitoreo de redes es una parte fundamental, e incluso esencial, del conjunto de herramientas de TI. Las herramientas de monitoreo de redes sirven en gran medida para permitir que los profesionales de TI sepan dónde existen problemas antes de que empiecen a aparecer tickets para el departamento de soporte técnico. Gracias a esto, el equipo de TI se puede enterar si hay problemas de servicio, redes, rendimiento de aplicaciones, entre otros.
Sin embargo, pese a que las herramientas de monitoreo de redes son como la "navaja suiza" de TI, existe un área en la cual pocas veces se utilizan a su pleno potencial: seguridad.
Y esto es una lástima, ya que si se piensa de forma creativa y dando un giro a las cosas, es posible colocar la información, las alertas y los informes que las herramientas de monitoreo de redes están diseñadas para entregar para que funcionen como medio para fortalecer su seguridad.
Píenselo de esta forma: si sus herramientas de monitoreo de redes supervisan el estado de la red y hay eventos de seguridad, como ataques o malware que afecten de forma adversa el estado de su red, entonces las herramientas de monitoreo de redes pueden, en cierto modo, monitorear eventos de seguridad.
Es más, debido a que estas herramientas ya están implementadas, pueden brindar valor de seguridad a un costo relativamente bajo.
Ahora, no estoy acá para contarles que el software de monitoreo de redes puede resolver todas sus necesidades, deseos y problemas de seguridad. No es para lo que está hecho, y eso no es lo que hace. Lo que quiero decir es que, cuando se configura adecuadamente, una buena solución de monitoreo de redes puede ser de gran ayuda para su método de seguridad regular. Además, para organizaciones sin los recursos para tener SIEM y SOC completos, los siguientes consejos pueden ser una buena solución temporal para alertar sobre algunos problemas críticos.
Detección e inventario de redes
La detección de redes es el primer paso que se realiza cuando se configura un sistema de monitoreo de redes, y también es una herramienta esencial para obtener valor de seguridad a partir del momento de la configuración.
Es por eso que tener un inventario de los dispositivos de su red, y los perfiles habituales de estos, resulta una parte esencial de cualquier programa de seguridad. La detección y el inventario de redes no solo le entregan la capacidad de recuperarse ante un desastre, sino que también lo ayudan a saber dónde se han visto comprometidos los datos y a tener una idea más clara en lo que respecta a áreas sensibles, como servidores donde se almacena o transmite información regulada.
Una herramienta apta para monitorear redes tendrá la capacidad para configurar regularmente detecciones programadas basadas en SNMP o para un sistema específico, lo que lo ayudará a estar pendiente sobre cualquier cambio en su entorno y encontrar nuevos dispositivos en su red. También puede llevar a cabo detecciones ad hoc cuando pareciera que las cosas no andan bien. Con WhatsUp Gold, puede incluso configurar notificaciones y alertas mediante correo electrónico o Slack cuando se detecten dispositivos inesperados.
Establecimiento de líneas base para seguridad
Al igual que ocurre con la mayoría de las cosas, es esencial tener una buena línea base. Para notar en qué momento algo anda mal en la red, primero debe saber cómo se ven las cosas cuando andan bien.
Una práctica recomendada es establecer líneas base para tantas métricas como sea posible. Con los monitores de rendimiento, puede hacer seguimiento a mediciones, como, por ejemplo, la utilización de CPU, memoria, disco o interfaz, establecer puntos de referencia y configurar alertas para cuando se sobrepasen los umbrales de dichas líneas base. Con esto, podrá recibir avisos sobre muchos problemas de seguridad.
Por ejemplo, el minado de criptomonedas consume muchos recursos, lo que debería levantar las alarmas para las máquinas que lo realizan. Esto ocurre especialmente en horario no laboral, como noches y fines de semana, cuando la mayoría de los dispositivos tendrá menor actividad, pero aquellos que tienen equipos para minado de criptomonedas seguirán usando recursos a una tasa mayor. Igualmente, si un equipo en el departamento de Marketing que generalmente usa el 30 % de su CPU repentinamente está usando el 100 % todo el día, sabrá que hay un problema
Con una herramienta moderna para monitoreo de redes, puede supervisar picos de CPU y configurar alertas para cuando el uso de la CPU supere el 90 % (o cualquier otro umbral que desee). Esta es una forma fácil de hacer seguimiento a sus equipos y descubrir si algo extraño está sucediendo.
En WhatsUp Gold, el monitoreo de picos de CPU es una configuración prestablecida, y es posible usar políticas de apagones para limitar el monitoreo a horas no laborales, en caso de así desearlo.
Búsqueda de ataques de exfiltración de datos y de DDoS y uso de Internet oscura con Análisis de tráfico de redes (Network Traffic Analysis)
La capacidad de seguridad transversal más visible de cualquier herramienta de monitoreo de redes es Análisis de tráfico de redes, que analiza registros NetFlow, NSEL, sFlow, J-Flow y IPFIX para entregarle máximos detalles sobre quién, o qué, está consumiendo su ancho de banda. Esto puede proporcionarle alertas sobre comportamiento inusual, desde maratones de Netflix en la hora de descanso pasando por equipos comprometidos por botnets hasta hackers que exfiltran datos.
Mediante el monitoreo de uso de ancho de banda en tiempo real, en comparación con tendencias históricas de ancho de banda, el Análisis de tráfico de redes incluso puede identificar problemas de seguridad, como ataques de DDoS. Cuando se trata de investigación forense sobre seguridad, el Análisis de tráfico de redes puede ser su mejor aliado, ya que identifica de forma automática altos flujos de tráfico hacia puertos sin monitoreo, revela aplicaciones no autorizadas y monitorea volúmenes de tráfico entre pares de origen y destino.
WhatsUp Gold 2018 incluso puede alertar a los administradores cuando hay usuarios que acceden a la Internet oscura (Tor) con una función que monitorea todos los orígenes de Análisis de tráfico de redes y puede alertar a los administradores cuando algún host supere una cantidad configurada de conexiones hacia puertos durante un período determinado. Esto hace posible que los administradores controlen el acceso que hacen los usuarios a la Internet oscura.
Detección de cambios de configuración
Para intentar obtener acceso a las redes, a menudo, los atacantes emplean técnicas que reconfiguran servicios o hosts, o incluso que los dejan temporalmente no disponibles. Por suerte, estas son exactamente las condiciones que las cuales las herramientas de monitoreo de redes buscan y sobre las cuales alertan.
Con una moderna herramienta de monitoreo de redes, puede configurar notificaciones y alertas por correo electrónico para cuando se hagan cambios a la configuración de los dispositivos de la red, y auditar la configuración con respecto a directivas definidas. WhatsUp Gold también permite que los usuarios vean y comparen configuraciones de dispositivos en la página de propiedades del dispositivo y, si se pierden configuraciones, puede automatizar la realización de respaldos de configuración de dispositivos de la red para cualquier equipo que admita Telnet o SSH.
Alertas: el último paso crucial
Naturalmente, nada de esto tiene sentido sin un sólido sistema de alertas que permita que usted y sus colegas sepan de inmediato apenas las cosas empiecen a ir mal. Como se analizó anteriormente, la mayoría de las herramientas de monitoreo de redes permite configurar alertas cuando se sobrepasa un umbral establecido para comportamiento inusual, uso de recursos o de ancho de banda, pero nada de esto tiene valor si esas alertas no llegan a la persona correcta.
Mil alertas de aplicaciones no servirán de ninguna ayuda si la persona que debe verlas está lejos de su escritorio. Es por eso que resulta fundamental tener varias opciones para enviar alertas, como mensajes de correo electrónico o Slack, de manera que las alertas puedan funcionar según lo previsto, donde sea que esté el equipo.