Network Security Monitoring
O Richard Bejtlich foi muito correto neste post de seu blog ao salientar as deficiências de se utilizar apenas logs para monitoração de segurança. A sugestão dele é fazer uma composição entre o uso de logs e o uso de sensores de rede, no que ele chama de Network Security Monitoring. Faz muito sentido, principalmente pelo risco de comprometimento dos componentes do sistema de log, seja na geração, na transmissão ou no armazenamento. Também é interessante notar que o uso de técnicas de detecção por anomalia podem se beneficiar bastante do conteúdo relacionado ao tráfego de rede.
(Há um ponto incorreto no post dele, que é assumir que a máquina monitorada está ok simplesmente porque não foi detectado tráfego malicioso após o levantamento da suspeita. Há um comentário no post que menciona isso e o próprio Richard concorda)
(Há um ponto incorreto no post dele, que é assumir que a máquina monitorada está ok simplesmente porque não foi detectado tráfego malicioso após o levantamento da suspeita. Há um comentário no post que menciona isso e o próprio Richard concorda)
0 Comments:
Postar um comentário
<< Home