Por Diego Buenaño*
Hacks custam à indústria de mídia e entretenimento centenas de milhões de dólares em perda de monetização irrecuperável e muitos profissionais podem potencialmente perder seus empregos e carreiras como o resultado destas perdas significantes. Sony Pictures, HBO, Netflix já sofreram com conteúdos roubados ou perdas sérias. Recentemente a América Latina tem tido um aumento considerável na produção de conteúdo para provedores de serviço como Netflix, Hulu, etc., fazendo da implementação de estratégias para proteger e salvaguardar conteúdo valioso um dever crítico.
Apesar de o risco de sofrer um hack nunca pode ser completamente eliminado, ter um registro auditado digital de todas as atividades dos arquivos pode deter e reduzir significativamente as tentativas de roubo de conteúdo. Evidências empíricas sugerem que, na maioria dos casos, o roubo de conteúdo de alto valor acontece dentro das próprias instalações da empresa, e depois é colocado na internet; esta é uma das principais razões pelas quais há vazamento de vídeos de alta qualidade online. E é por isso que criar uma infraestrutura de armazenamento segura e criar registros auditados é a prioridade número um para a muitas empresas de mídia e criação em 2018.
Clientes e empresas precisam seguir os requerimentos de auditoria de governança globais da Motion Picture Association of America (MPAA). Alguns estúdios, como os que produzem conteúdos para a Disney ou Marvel, possuem requerimentos ainda mais restritivos para proteger seu conteúdo de alto valor. As melhores práticas impostas tanto pela MPAA são :não perca conteúdo; não deixe ninguém roubar conteúdo; se conteúdo for perdido ou roubado, reporte imediatamente; não deixe que medidas de segurança atrapalhem a produção. Em termos de segurança de armazenamento de mídia, auditar é crítico e além da MPAA, existe uma crescente necessidade de proteger direitos de propriedade intelectual e reconhecer que precauções à segurança de conteúdo são um caminho necessário e parte de uma era de economia de informação saudável para o planeta.
Capacidades de auditoria de arquivos
Enquanto grande parte das soluções e camadas de segurança busca bloquear acesso físico, interno e externo à mídia, soluções de Auditoria de Arquivos têm foco em responder a pergunta “quem fez o que à qual arquivo e quando foi feito?”. Estas capacidades podem dar aos gerentes das instalações capacidade de determinar a causa de mudanças inesperadas nos arquivos, por exemplo.
Evidências empíricas sugerem que, na maioria dos casos, o roubo de conteúdo de alto valor acontece dentro das próprias instalações da empresa, e depois é colocado na internet
Soluções de auditoria de arquivos geralmente são ligadas de forma muito próximas à sistemas específicos. No caso do sistema de armazenamento EditShare XStream EFS, a auditorial de arquivos opera como parte do sistema de arquivos em si. De tal forma, ele “enxerga” o comportamento de todos os usuários incluindo todos os logins e logouts e todas as aberturas, criações, modificações, movimentos e apagamentos.
A presença de uma capacidade de auditoria forte pode significar uma dissuasão significativa das ameaças internas. Por meio de treinamentos e follow-ups das atividades expostas pelo processo de auditoria, os colaboradores rapidamente ganham apreciação pela capacidade do sistema.
Capacidade de análise forense
As melhores práticas da MPAA pede que as auditorias de arquivos tenham capacidade de logging em todos os sistemas e estações de trabalho para coletar a informação de logging para a auditoria em um repositório central e posteriormente armazenar esta informação por no mínimo um ano.
É mais fácil imaginar que em uma instalação de produção ou pós-produção moderna haverão dezenas de sistemas (firewalls, servidores de autenticação, Gateways de VPN, estações de trabalho, armazenamento e servidores de aplicação) gerando grandes volumes de dados de log de auditoria de arquivo. Este tsunami de de dados apresenta um número de novos desafios à gerentes de sistemas e das instalações.
Armazenar o log da auditoria por um ano ou mais é um desafio à parte. No nível de sistema, armazenar arquivos de auditoria in-loco consome recursos do sistema (espaço em disco, RAM, energia, resfriamento) que poderiam estar sendo melhor empregados para as funções nativas do sistema. Claramente, a MPAA reconhece este desafio ao permitir que os dados de auditoria possam ser coletados e armazenados em um repositório central ao invés de cada sistema individual.
Na indústria da segurança, é senso comum que alguns eventos de segurança podem ser melhor detectados por meio da correlação de eventos separados acontecendo em diferentes sistemas em toda a instalação. Por exemplo, é possível detectar acesso não autorizado à ativos de mídia por meio da leitura da movimentação de arquivos no servidor de armazenamento combinado com o registro de cópias de arquivos para um dispositivo de armazenamento removível, como um drive USB.
É mais fácil imaginar que em uma instalação de produção ou pós-produção moderna haverão dezenas de sistemas gerando grandes volumes de dados de log de auditoria de arquivo. Este tsunami de de dados apresenta um número de novos desafios à gerentes de sistemas e das instalações.
Soluções SIEM
Detectar atividade suspeita geralmente requer monitoramento simultâneo de múltiplos sistemas; por exemplo, acesso físico aos sistemas e logins de usuário. SIEM (sigla para Segurança da Informação e Gerenciamento de Eventos, em inglês) é a prática de combinar informação de múltiplos sistemas para identificar ameaças de segurança de forma mais rápida e precisa ao agregar dados de log da rede, segurança, servidores, bancos de dados, aplicações e eventos correlatos em pacotes relevantes. É a crença da EditShare que cada toque digital em um arquivo deve ser gravado, seja uma ação de cópia, apagamento ou substituição de arquivo, de forma a manter um registro da pegada digital de todas as atividades relativas aos conteúdos de mídia dentro de uma instalação.
Estas soluções lhe garantem duas armas importantes na guerra contra as ameaças cibernéticas. Os sistemas provêem uma coleção centralizada de dados de log da auditoria de arquivos bem como dados de log de switches, roteadores, firewalls e outros elementos da infraestrutura TI. Eles também normalizam os dados para que eles possam ser armazenados de forma eficiente. Isso permite que você armazene de forma eficiente os dados de auditorial caso sejam necessários para propósitos forenses.
Sistemas SEM também provêem capacidade de observar arquivos individuais e correlacionar eventos para identificar de forma mais precisa eventos e ameaças. Uma vez detectadas, os Sistemas SIEM são capazes de notificar partes interessadas para que uma resposta imediata possa ser dada.
Conclusão
Uma solução de camadas de segurança é uma das melhores formas de proteger o surgimento crescente de ameaças em uma instalação de vídeo moderna. Enquanto muitas soluções de camada antigas têm foco em erguer barreiras imperfeitas aos ativos de mídia, desenvolvimentos recentes nas capacidades de auditoria de arquivos prometem proteger contra ameaças internas e externas ao rastrear “quem fez o que com quais arquivos e quando”.
Por meio da auditoria de arquivos, organizações de mídia podem otimizar a segurança de dados ao auditorar cada espaço de mídia, cada arquivo aberto, lido, movido, acessado ou apagado e cada tentativa de login ou logout de usuário, independente do resultado. Se alguém copia um arquivo, ele é rastreável ao usuário. Ao invés de atolar administradores com um tsunami de dados de logs de arquivo, a aplicação de auditoria de arquivos da EditShare provê ferramentas e relatórios para filtra atividades por períodos de tempo (Segundos, minutos, horas, dias, semanas), por usuário, por endereço de IP, ou por tipo de evento. Com as capacidades de auditoria de arquivos do EFS, a EditShare está liderando o caminho o qual organizações de mídia vão proteger melhor a si mesmas e à seus ativos.
Diego Buenaño
Gerente de Vendas para América Latina da EditShare