ColunistasComparativos

Observability em Segurança da Informação (Information Security Observability)

Por Andrey Guedes

Foto de Café com Bytes CCB Café com Bytes CCB Follow on X Mande um e-mail julho 15, 2025
0 60 5 minutos de leitura

A transformação digital e a interdependência da tecnologia da informação no funcionamento de empresas e governos criaram um cenário complexo e desafiador, tanto para o funcionamento dos processos interno, de vendas e produtivos; como a necessidade de inovação / automação no âmbito operacional.

As redes deixaram de possuir ambientes locais, com servidores de arquivos, impressão, correio eletrônico entre outros, para adoção de tecnologias em nuvem, migração para Datacenters, utilização de virtualização híbrida, com redes públicas, locais e privadas, sendo-as interconectadas por VPNs.

A virtualização foi outro fenômeno que aumento o ambiente computacional, outrora a barreira era a aquisição de hardwares específicos para projetos computacionais, no entanto com a virtualização, com apenas um servidor, pode-se ter diversos ambientes – servidores – para atendimento as demandas tecnológicas, malgrado essa difusão computacional devido a quantidade leva ao aumento do risco de vazamento de dados e ataques cibernéticos.

Este novo horizonte, alterado pelo advento das tecnologias em Nuvem, e por novos serviços (CIASULLO; LIM. 2022) gerou novas oportunidades de negócios, automação, desafios para controle de dados e novas oportunidades de redução de custos.

O monitoramento de T.I atualmente descrito como Observability (William; Lei; John; Tony; Andriy, 2023) procura simplificar e dar uma visão de negócios em ambientes sistêmicos localizados em Cloud (pública e/ou híbrida), on premises, fornecedores, integrações etc.

Não obstante, a verificação de SLA que vão desde componentes, aplicações, chamadas de serviços, API, infraestrutura são elementos do monitoramento de negócio, por conseguinte um monitor de funcionamento corporativo e de seus clientes. No entanto os itens de segurança da informação que fazem parte do ecossistema de Tecnologia e possuem métricas próprias acabaram se tornando um desafio ou mesmo um item pouco explorado pelas operações de tecnologia e negócio. Em suma como os temas de segurança da informação são distintos de T.I, estes são transformados na nova fronteira de Observability, isto, uma nova realizada que possibilita a verificação de ameaças e riscos que podem gerar prejuízos financeiros e de imagem, além de multas provenientes de vazamentos de dados (LGPD).

A seguir aborda-se os riscos como vazamento de dados e controle de segurança, com a descrição do modelo Information Security Observability e suas nuances.

Vazamentos de Dados e Controle de Segurança

 

A quantidade de ambientes locais, consumindo serviços em nuvem, interligações entre redes, sistemas operacionais, virtualização, contêineres etc., geram uma quantidade de registros significativos, assim como aumenta a quantidade de vazamento de dados, não obstante ao controle de segurança.

A figura 01 ilustra os ambientes de ação computacional que vão de ambientes locais (on premises) e seus servidores como ERP, AD, Arquivos e Impressão. As clouds privadas ou ambientes virtualizados em Datacenter, com conectividade direta por meio de links diretos ou VPNs Site2Site. Já os serviços em nuvem pública com sistemas por serviços SaaS (Software como um serviço), PaaS (Plataforma como um serviço) e IaaS (Infraestrutura como um serviço) são elementos que interagem com usuários e sistemas via API, por consumo ou integração para que as empresas possam automatizar e realização ações conforme o seu negócio. O interessante é que cada elemento possui registros (logs) que geram dados de segurança, podem ser utilizados como um controle de segurança e auditoria.

 

O vazamento de dados significa na prática que dados saíram da organização sem autorização, tendo-os divulgados na rede pública de computadores, em consequência, afetando a confidencialidade e acarretando infortúnios e prejuízos.

As informações podem ser classificadas ou etiquetadas de acordo com a sua importância, baseada no provável impacto cada organização adota um determinado critério para proteção desses dados (CALDER, MATKINS, 2015).

 

Os tipos de vazamentos podem ser caracterizados como:

 

  • Social Intencional: ação de pessoas interessadas no vazamento;
  • Social por acidente ou desleixo: envio de forma não dolosa ou por descuido;
  • Engenharia Social: indução de indivíduos internos que são levados ao erro por meio de manipulação;
  • Furto tecnológico de informações: extração direta ou indireta por meio tecnologia que utiliza software para extração e envio aos interessados;
  • Espionagem Industrial: tipo de furto de informação para fins específicos que possuem como alvo indivíduos, empresas e governos com o intuito de utilização de informações confidenciais para seus próprios interesses;
  • Sequestro de Dados: utilização da extração (furto) com a utilização de tecnologia que realiza a criptografia dos dados e promove a extorsão mediante pagamento para liberação do acesso aos mesmos.

Security Observability

 

O sistema denominado “Security Observability” é um conceito aplicado ao monitoramento de ameaças atrelados aos ambientes de TI, interconectados aos sistemas distribuídos, micro serviços e nuvem. A reunião de logs de segurança, atrelados a inteligência de vulnerabilidade realiza a avaliação preventiva e preditiva de ameaças digitais. A seguir são listadas algumas ferramentas que são utilizadas por processos de Gerenciamento de Eventos, Incidentes, Auditorias, Antifraude, Negócios etc. (KIZZA, 2017).

Os elementos para realização do Security Observability em Segurança da Informação se dão por meio de processos, serviços e ferramentas. O principal processo é o de Gerenciamento de Eventos, Incidentes, Problemas e Mudanças (ITIL, 2009) por meio de serviços como SOC – Security Operation Center. As ferramentas para monitoramento são diversas, sendo-as as principais o SIEM (Security Information Event Management ou Gerenciamento de Eventos de Segurança) e o DLP (Data Loss Prevention – prevenção a perda de dados). Há outras ferramentas que são utilizadas em ambientes

SIEM – Security Information Event Management

As soluções de SIEM possuem como característica principal a centralização de registros (Logs), isto significa que os sistemas de tecnologia enviam os seus logs para a solução e a tecnologia consolida-os via correlação, dando-os uma visão de segurança por níveis de criticidade e risco. Cabe salientar que a correlação é o elo entre eventos distintos em elementos tecnológicos diferentes, mas que apresentam uma combinação ou comportamento se possam identificar ameaças digitais.

A figura 02 destaca o fluxo de funcionamento com a coleta de dados por origem (data sources), a consolidação destes eventos correlacionados por métodos como MITRE ATT&CK[1] para uma marcação analítica que possa gerar informações de ataques para que o SOC possa agir.

As origens dos dados são diversas como Firewalls, Antivírus, Gerenciamento de Vulnerabilidades, Servidores, SYSLOG, estações de trabalho e demais ferramentas de segurança.

[1] MITRE ATT&CK  é o acrônimo de Adversarial Tactics, Techniques, and Common Knowledge que é uma base global de comportamentos, diretrizes e classificação de ataques cibernéticos.

DLP – Data Loss Prevention

O DLP tem o propósito de monitorar, gerenciar, identificar e bloquear comportamento da utilização de dados em sistemas locais, remotos e em cloud Computing.

O processo da utilização de uma solução de DLP parte da classificação dos dados com a aplicação de políticas, consequentemente tais passos realizam as verificações ativas ou bloqueios, não obstante aos avisos sobre violações que não atendam as regras destacadas na sua implementação. Os resultados esperados da solução são: a prevenção a fraudes, vazamentos de dados, atendimento a leis e regulamentos, sabotagem,  diminuição de exposição a engenharia social, contra inteligência e eliminação de espionagem industrial.

 

Conclusão

 

O processo de proteção e segurança da informação e privacidade de dados pessoais gera a necessidade da adoção de ferramentas e processos para monitoramento de ameaças digitais

Em todos as camadas desde o dado primário, em nível de arquivos, nos sistemas operacionais e nas redes distribuídas por serviços em nuvem, faz-se necessário o monitoramento constante e identificação de potenciais riscos, logo no processo de amadurecimento de segurança um dos principais temas para investimento se dá pelo modelo do Security Observability na jornada da aplicação do conceito do Zero Trust, figura 04.

Os próximos artigos destacarão as funcionalidades de tecnologias como SIEM, DLP entre outros, afim que se possa entender os benefícios da adoção desta filosofia de segurança.

 

Foto de Café com Bytes CCB Café com Bytes CCB Follow on X Mande um e-mail julho 15, 2025
0 60 5 minutos de leitura
Foto de Café com Bytes CCB

Café com Bytes CCB

Sua dose diária de tecnologia_

Artigos relacionados

Inovação ganha Prêmio Nobel em 2025: A Destruição Criativa que Explica o Crescimento Econômico

3 dias atrás

YouTube Shopping: a fusão entre Conteúdo, Influência e Varejo

3 dias atrás

Artigo: Firewall Mindset via Conscientização e Treinamento

5 dias atrás

Firewall de Aplicações (WAF), relações com DAST e DevSecOps

1 semana atrás

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo