Los 5 mejores tickets de soporte de red para automatizar
¿Qué es lo que más te frustra del soporte de red? Nada se siente mejor que jugar al detective en un problema de red oscuro y ser el héroe de TI que lo resuelve. Pero demasiado...
Mi amigo, Dave, es oficial de policía del estado de Nueva York, y cuando voy a su casa a hacer parrilladas, disfruto escuchando sus historias mientras nos sentamos alrededor de la fogata.
En una comida al aire libre en particular el verano pasado, contó algo de emoción reciente.
“Allanamos ese laboratorio de drogas varias veces antes, así que sabíamos en lo que nos estábamos metiendo. Tommy rompió la puerta y entramos con la policía local brindando cobertura”.
Guau. Creo que me enteré de eso en las noticias.
Cuando terminó, sentí que era mi turno de decir algo. Empecé haciendo una broma sobre cómo me meto con las computadoras todo el día. Me miró con cara solemne y me explicó: “No querrás asaltar laboratorios de drogas, Phil. Sé agradecido por lo que tienes."
Palabras amables, pero todavía me sentía como Gomer Pyle hablando con Rambo. Sin embargo, insistió en que la mayor parte de su tiempo lo pasa en un escritorio, en un cubículo, escribiendo informes.
“Phil”, comenzó, “el noventa y nueve por ciento del tiempo estoy sentado haciendo un trabajo aburrido y tedioso, esperando que suceda algo emocionante. Y cuando finalmente lo hace, se acaba en un instante”.
Esto resonó conmigo. Verá, realmente me encantaba ser un ingeniero de redes tradicional. Tal vez fue porque trabajé para revendedores de valor agregado y pude poner mis manos en el equipo nuevo más nuevo y genial, pero creo que fue más porque tuve la oportunidad de volar de un proyecto a otro como el héroe de la red. Todos los días se sentían como emoción, caos organizado y aventura.
Sin embargo, la seguridad de la red es un juego de pelota muy diferente. Hoy trabajo para un departamento de TI interno, no para una consultora, y en lugar de ir de proyecto en proyecto como el héroe de la red, paso mis días en el tedio y la monotonía de las tareas de seguridad. Recopilar y estudiar minuciosamente grandes cantidades de información de escaneos y auditorías de red no es emocionante en absoluto, pero este tedio es el corazón de la seguridad de la información.
Dave me lo explicó. En la aplicación de la ley, la recopilación y categorización de la información que podría conducir a un arresto y, en última instancia, convertirse en prueba en los tribunales es de suma importancia. No se puede perder nada, y todo debe hacerse a la perfección. La parte emocionante puede durar solo unos minutos, pero el tedioso trabajo previo y como resultado es igual de importante.
La seguridad de la información tiene muchos paralelos. Una de las razones por las que el trabajo que hago es tan aburrido es que, bueno, es tan aburrido. Administrar scripts para recopilar datos, supervisar un puñado de plataformas de escaneo que generan mucho ruido y mirar los correos electrónicos de resumen de auditoría que inundan mi buzón todas las mañanas no me motiva a levantarme de la cama todos los días. La fatiga de la seguridad es algo real.
Pero luego sucedió. Cuando nuestra conversación pasó a hablar de nuestros hijos, mi teléfono comenzó a sonar frenéticamente. Busqué a tientas el botón de desbloqueo en la oscuridad solo para ver que era mi jefe enviándome un mensaje de texto que los servidores de archivos estaban bloqueados. Parecía un ataque de ransomware y sabía por qué estaba tan preocupado. Estos servidores tenían una tonelada de valiosa propiedad intelectual sobre ellos.
Inmediatamente me puse de pie y me disculpé por tener que salir a toda prisa. Normalmente, solo tenía VPN en la red corporativa, pero no tenía mi computadora portátil y la conexión a Internet satelital de Dave era pésima. Además, en una situación como esta, quería tantos monitores frente a mí como fuera posible, así como las pantallas grandes en la pared que mostraban paneles de monitoreo de seguridad en tiempo real.
Después de llegar a la oficina, segregar el sitio del resto de la red global fue el primer paso. El plan de alto nivel era simple: mitigar el riesgo para el resto de la red y detener la hemorragia
- Mata a la WAN.
- Bloquee la VLAN del servidor.
- Busque las direcciones IP del servidor de archivos en IPAM.
- Verifique que pueda acceder a los servidores en la consola de VMware y elimine las redes de forma individual.
- Reúnase con la gente de respaldo y servidor para ver si los servidores pueden borrarse y reconstruirse a partir del respaldo.
Después de que un pequeño equipo se reuniera y buscara ransomware en el resto de la red, las cosas se calmaron. El CIO llamó buscando una actualización. ¿Perdimos algún dato? ¿Cómo entró este ransomware? ¿Cómo se propagó? ¿Tuvimos buenas copias de seguridad?
Aquí es donde la goma se encuentra con el camino en la seguridad de la información. Cuando todo está cerrado y el sangrado se ha detenido, comienzan las preguntas. Al igual que ese rápido estallido de acción intensa seguido de un regreso a lo mundano que mi amigo describió alrededor de la fogata, este era el momento para que me instalara y buscara pistas en la miríada de datos escaneados.
Pero tenga en cuenta que esta no es una tarea trivial. No se activaron secuencias de comandos automáticas cuando se detectó actividad anómala, y tuve múltiples herramientas para mirar para obtener una imagen completa. Tuve que mirar los registros. Tuve que desplazarme por docenas de gráficos. Tuve que despertar a la gente tarde en la noche. Tuve que iniciar sesión en docenas de dispositivos. Si tan solo tuviera al alcance de la mano la información de lo que sucedió justo en el momento del ataque.
Esto es tedio, esto es ineficiencia, esto es propenso a errores, y ciertamente esta no es la forma de gestionar un ciberataque en el siglo XXI. Pero es lo que tenía, y necesitaba rastrear cómo entró este malware y llegó a los servidores de archivos.
A la inversa, NetBrain automatiza todo este proceso. En mi caso particular, Ejecutable RunbookLos correos electrónicos podrían haberse iniciado automáticamente para ejecutar scripts que recopilan información en tiempo real. Eso habría puesto información específica y relevante al alcance de nuestro equipo cuando la necesitábamos.
Esta no es una ventaja menor en una autopsia de seguridad. Tuve que hacerlo solo, buscando en los registros generados por los dispositivos administrados por varios equipos. automatizado Runbook las salidas habrían puesto a disposición de todos nuestros equipos la misma información relevante al mismo tiempo.
Y tan importante como descubrir cómo y cuándo entraron los malos es cómo se propagó el malware a través de nuestra red. NetBrain Dynamic Mapping proporciona el resolución de problemas visuales que tuve que averiguar manualmente. En lugar de rastrear los dispositivos uno por uno, lo cual es tedioso y propenso a errores, NetBrain proporciona un método activado por API para crear dinámicamente un mapa de red de una ruta de ataque en tiempo real.
No estábamos completamente preparados para un ataque principalmente por el tiempo y la energía que se necesita para estar preparados y responder adecuadamente. Un software robusto que automatice todo el proceso me hubiera permitido mejorar drásticamente la postura de seguridad de mi empresa sin tener que contratar equipos de pasantes para leer los archivos de registro.
Desafortunadamente, sin embargo, estaba atrapado en la Edad de Piedra. Después de llamar a mi esposa para avisarle que tardaría un rato, me serví una taza de café recién hecho, respiré hondo y comencé a buscar en los registros manualmente. . . una línea a la vez.