Saturday, August 22, 2009

Livro Recomendado: The TAO of Network Security Monitoring

Há livros que realmente fazem a diferença e nos permitem aumentar ou mesmo aperfeiçoar nosso conhecimento. Este certamente é o caso do livro "The TAO of Network Security Monitoring", do brilhante Richard Bejtlich.
Esta obra aborda questões importantes e práticas para detecção de intrusos, através do uso de ferramentas open source como tcpdump, snort, tcpreplay, tcpflow, argus, entre outros, e principalmente o sguil, desenvolvido em linguagem tcl que proporciona uma interface intuitiva para realização de queries e análise de tentativa de intrusão.

O bacana deste livro é que são apresentadas técnicas de análise de pacotes capturados via sniffers ou Network IDS (snort e bro), de forma bastante intuitiva e detalhada. São apresentados os comandos, parâmetros específicos e resultados esperados e há um ótimo encadeamento dos assuntos ao longo do livro.

É dividido em 5 partes:

Parte 1 - Introdução ao monitoramento de segurança de rede, composta por 3 capítulos que abordam as definições do que é um Monitoramento de Segurança de Rede (NSM) e questões de implementação deste tipo de solução (arquitetura, equipamentos, formas de obtenção dos dados, etc).

Parte 2 - Produtos a serem utilizados em um NSM, composta por 7 capítulos dedicados a mostrar as ferramentas e seu modo de utilização. São abordadas técnicas para obtenção de dados completos (Full Content Data), dados de sessão (Session Data), dados estatísticos (Statistical Data), além do uso de ferramentas para visualização dos eventos.

Parte 3 - Processos de monitoramento de segurança de rede, composta por 2 capítulos relacionados a melhores práticas para a análise de dados de intrusão e alguns estudos de caso.

Parte 4 - Dedicada ao aperfeiçoamento de pessoas (isto mesmo, não existe solução perfeita de detecção/prevenção de intrusos, ao contrário do que muita gente pensa quando adquire este tipo de solução). É composta por 4 capítulos.

Parte 5 - Demonstra técnicas utilizadas por invasores para evitar/iludir os sistemas de detecção de intrusos. É composta por 2 capítulos.

Resumindo, este livro é altamente recomendado tanto para aqueles profissionais que estejam iniciando na área de análise de eventos de segurança quanto para profissionais experientes que precisem aperfeiçoar alguns conhecimentos específicos de análise de dados.

Já pode ser considerado um livro relativamente antigo (foi lançado em 2004 e não teve novas edições), mas ainda assim é uma fonte valiosa de conhecimento e seus conceitos e técnicas ainda hoje podem ser utilizadas sem medo. Até onde eu sei, não existe uma versão traduzida para nossa língua, mas isso não chega a ser um problema para quem trabalha na área, certo??

Para maiores detalhes e informações sobre este e outros livros do autor, visite este link: http://www.taosecurity.com/books.html.

No comments:

Post a Comment