Tecnologia

por Bruno Lobo, Advisor of Digital Security da Italtel

Você já ouviu falar de SIEM? O SIEM (Security information and event management) é um sistema baseado em regras, responsável em coletar logs, eventos e dados. O seu objetivo é detectar ocorrências suspeitas que possam, de alguma forma, comprometer a segurança dos dados da empresa.

A solução SIEM, nos últimos anos, vem se mostrando uma necessidade para as grandes empresas em termos de segurança da informação.

Em um passado recente, pensava-se que o SIEM era usado apenas por grandes organizações, com recursos avançados para segurança dos seus dados. Porém, hoje ele é um componente de segurança extremamente importante para todas as organizações. Empresas de todos os portes precisam para fins de compliance gerando automaticamente relatórios que fornecem requisitos de conformidade.

Benefícios do SIEM

  • Agilizar a criação de relatórios
  • Detectar incidentes
  • Melhorar a eficiência do tratamento de incidentes, reduzindo a utilização de recursos e permitindo respostas mais eficientes aos incidentes
  • Limitar os danos de incidentes
  • Reunir logs dos sistemas de segurança, sistemas operacionais, aplicativos e outros componentes para analisar grandes volumes de dados e identificar ataques
  • Identificar atividades maliciosas
  • Gerar relatórios para conformidades de segurança (HIPAA, PCI DSS e SOX);

Arquitetura

Os produtos e serviços do SIEM são disponibilizados nas arquiteturas:

  • Software
  • Hardware
  • Aplicação Virtual
  • Serviço baseado em nuvem

Custos do SIEM

Os custos são variáveis e dependem da implantação escolhida:

  • Robustez
  • Arquitetura de implantação

A maioria dos SIEM exigem a compra de hardware e software, enquanto os serviços de SIEM baseados em nuvem consideram taxas de uso.

Outra questão que deve entrar nessa conta é o custo da gestão. A maioria das organizações pecam seriamente nos custos voltados à gestão e implantação do SIEM, falando particularmente para fins de detecção de incidentes. Caso esse custo seja feito erroneamente, o SIEM vai exigir ajustes frequentes e personalizações, sem mencionar nos monitoramentos constantes para poder responder rapidamente um incidente e limitar os danos.

Desafios relacionados ao gerenciamento e à implantação do SIEM 

  1. O primeiro desafio, está relacionado às análises, uma vez que são dependentes de uma profissional de segurança para indicar se um determinado evento, configurado na regra de segurança, merece ter maior atenção ou se é um falso positivo. 
  2. O segundo desafio está relacionado às novas ameaças, pois todas as regras de um SIEM são estabelecidas através de incidentes detectados anteriormente. Desta forma, o sistema empresarial poderá estar um passo atrás de possíveis cibercriminosos. 
  3. O terceiro desafio refere-se às complexidades em se estabelecer as regras que irão basear as políticas do SIEM. São regras que demandam tempo e uma constante revisão. Em algumas equipes de segurança da informação existem membros dedicados para essa função.

 Funcionamento 

Um aspecto muito importante da arquitetura do SIEM é como os dados de log são transferidos de cada sistema. Existem duas abordagens básicas:

Com agente: Um agente é instalado em cada máquina que gera os registros, e ele é responsável por extrair, processar e transmitir os dados para o servidor.

Sem agente: O sistema que gera os logs pode transmitir diretamente para o sistema. Em muitos casos, pode ter um servidor de registro intermediário (exemplo: Servidor de Syslog).

Encerramento 

O SIEM tem dois propósitos: fornecer registro de segurança e relatórios centralizados para a organização, e auxiliar na detecção, análise e mitigação de incidentes de segurança da informação.

Os serviço e produtos estão disponíveis através de múltiplas arquiteturas e cabe à cada empresa, com o auxílio de um parceiro, definir qual modelo encaixa-se melhor na sua realidade, estrutura e demandas.


Tags :
ameaçassegurança da informaçãoSIEM