Uma configuração alterada. Ninguém percebeu.

Onde a lacuna realmente se abre

Um valor de registro muda em um controlador de domínio às 2h14. Um arquivo em /etc/ssh/sshd_config recebe uma linha adicionada. Uma ACL de firewall em um switch em um escritório regional recebe uma nova regra de permissão. Nenhum destes dispara um alerta SIEM. Nenhum deles causa falhas. Nenhum aparece em uma varredura de vulnerabilidades, porque o scanner foi executado ontem e não será executado novamente até a próxima semana.

A brecha está aberta. O atacante a lê antes de você, porque está procurando exatamente isso, a pequena variação, a modificação não registrada, o desvio que ninguém possui.

É por isso que file integrity monitoring como uma ideia posterior não funciona. Extrair logs de eventos e procurar pelo código 4663 é o equivalente a assistir a partida com atraso. Você não está pressionando. Está reagindo. A variação precisa ser detectada na camada de E/S, no momento em que acontece, contra uma linha de base em que você realmente confia.

A imprensa, no kernel

O Gen 7 Agent no Windows registra um driver minifiltro com o Filter Manager na altitude 388790. Toda operação de E/S de arquivo (criar, escrever, excluir, renomear, alteração de atributo) passa pela pilha de filtros, e o driver registra os eventos que correspondem ao modelo de rastreamento em um buffer de memória. O agent consulta o buffer a cada 100 milissegundos. Sem bloqueios de arquivos. Sem modificação de E/S. Nenhuma reinicialização para habilitá-lo.

Isso é a prensa. Você não está esperando um log ser descarregado. Você não está consultando o sistema de arquivos a cada cinco minutos esperando que nada tenha acontecido entre eles. Você está conectado diretamente ao caminho de E/S, lendo cada toque em tempo real e comparando com a forma que você definiu.

No Linux, o Agente Gen 7 usa Sysdig para capturar a mesma profundidade, alterações na integridade dos arquivos e a identidade do usuário por trás delas. Quem fez a alteração. Não apenas o que mudou. Porque “alguém modificou /etc/pam.d/sshd” é meio alerta. “A conta de serviço svc-backup modificou /etc/pam.d/sshd às 02:14 a partir de uma sessão fora da janela de manutenção” é uma decisão.

A cobertura sem agente cuida do resto. Dispositivos de rede via SSH. Hosts Windows via registro remoto na porta 445. Linux e Unix via shell. ESXi e vCenter via PowerCLI. Plataformas em nuvem via APIs de provedores. Uma linha de base em toda a linha de fundo, não nove ferramentas diferentes monitorando nove posições diferentes.

Fechando o ciclo

A detecção em tempo real sem contexto é como um meio-campista que comete falta em todo jogador que passa correndo. Vinte minutos depois, você está com dez e o banco está gritando.

A maioria das mudanças em qualquer ambiente real são legítimas. Correções acontecem. Administradores fazem tarefas administrativas. Jobs agendados acessam arquivos. Uma ferramenta FIM que dispara em cada um desses casos é ruído, e ruído é ignorado, e ser ignorado é pior do que nada — agora você tem uma ferramenta e uma falsa sensação de cobertura.

Change Tracker reconcilia cada alteração detectada com o que deveria ter acontecido. O Sync Service extrai solicitações de alteração aprovadas do ServiceNow, BMC Remedy, Cherwell, ManageEngine, ChangeGear, OpenText SMAX e Samanage. Cada RFC torna-se uma Alteração Planejada com uma janela programada, um item de configuração e, no ServiceNow, o campo AssignedTo, para que os eventos possam ser correspondidos com quem deveria ter feito a alteração, não apenas quando. Os eventos detectados são avaliados com base no conjunto de regras da alteração planejada e classificados.

Planejado. Reconhecido. Filtrado.

Não planejado. Detectado. Investigado.

Esse é o ciclo fechado. Saber quais execuções são iscas e quais são a ameaça real, comprometendo-se apenas com as que importam.

Quando não há ticket, quando a alteração não tem um RFC correspondente e nenhuma justificativa registrada, o Change Tracker pode gerar automaticamente o incidente no ServiceNow, direcionado ao proprietário do item de configuração. A alteração não autorizada gera o item de trabalho que a resolve. A pressão não apenas ganha a bola. Ela inicia o contador.

A linha de base é a formação

Uma linha de quatro sem forma são quatro pessoas paradas em um campo. Detecção sem uma linha de base é a mesma coisa. Você não pode identificar desvios se não definiu o normal.

O recurso Configuração Base trata isso da mesma forma que um treinador trata uma configuração tática. Escolha um dispositivo fonte: sua imagem gold, sua build de referência reforçada. Capture seu estado. Integridade dos arquivos. Software instalado. Processos em execução. Serviços e seus estados. Contas locais. Portas abertas. Chaves de registro no Windows. A baseline torna-se a formação, e todos os outros dispositivos do grupo são medidos em relação a ela. Desvios aparecem como exceção. Exceções são revisadas. Desvios aprovados são promovidos à baseline. Desvios não aprovados são corrigidos.

Isto é o que NERC CIP-010-4 e 5 querem quando falam sobre configurações base autorizadas e monitoramento de mudanças de 35 dias. É o que o Requisito 11.5 do PCI DSS quer quando fala sobre mecanismos de detecção de mudanças. É o que CIS Control 4 quer quando fala sobre configuração segura dos ativos empresariais. Os frameworks descrevem todos a mesma coisa com palavras diferentes: definir a forma, manter a forma, evidenciar a divergência. Change Tracker é construído em torno desse ciclo exato, com mais de 250 relatórios de conformidade pré-construídos que mapeiam a linha de base para o framework que o auditor vai solicitar em março.

Nada se move sem um registro

O painel está verde. Os tickets são gerenciáveis. A equipe está confortável.

Esse é o momento mais perigoso da partida.

Em algum lugar do seu ambiente, algo acabou de mudar. A questão não é se suas ferramentas eventualmente notaram. A questão é quantas vezes o atacante passou entre o momento em que a brecha se abriu e o momento em que sua detecção realmente disparou.

Pressione mais cedo. Leia a jogada no ponto da mudança. Defina a forma, mantenha a forma e certifique-se de que nada se mova sem um registro.

Esse é o trabalho. Esse é o padrão. É assim que você defende o que é seu.