Os ambientes de TI estão crescendo e tornando-se mais complexos e difíceis de gerir, fazendo com que softwares e appliances para segurança da informação, conhecidos como SIEM (Security Information and Event Management - Gerenciamento de Eventos e Informações de Segurança) fiquem mais importantes do que nunca. A seguir, cinco razões pelas quais elas ganharam esse status no ambiente de TI:

1-Compliance: quase todas as empresas estão vinculadas a algum tipo de regulação. Alcançar e manter conformidade com a regulamentação é uma tarefa difícil. As tecnologias SIEM podem atender aos requisitos de conformidade tanto direta quanto indiretamente.

Praticamente toda exigência reguladora requer alguma forma de gerenciamento de registros para manter um rastro da atividade. O SIEM fornece um mecanismo para rápida e fácil implementação de uma infraestrutura de coleta de logs, que suporta diretamente esse requisito, e permite o acesso instantâneo a dados de registro recentes, bem como arquivamento e recuperação de dados de logs mais antigos. É preciso ter capacidade de alerta e de correção que satisfaça requisitos de rotina de logs e de revisão de dados.

2-Suporte de Operações: o tamanho e a complexidade das empresas de hoje crescem exponencialmente, junto com o número de pessoal de TI para suportá-los. As operações são frequentemente divididas entre diferentes grupos, como o Network Operations Center (NOC), o Security Operations Center (SOC), e a área de desktop. Cada um com suas próprias ferramentas para monitorar e responder aos eventos.

O cenário dificulta o compartilhamento de informações e a colaboração quando ocorrem problemas. Mas as tecnologias de gerenciamento de incidentes (SIEM) podem extrair dados de sistemas distintos em um único painel, permitindo a colaboração eficiente entre as equipes de empresas de grande porte.

3- Detectar ameaças 0-day: novos vetores de ataque e vulnerabilidades são descobertos a cada dia. Soluções como Firewalls e IDS/IPS observam todas as atividades maliciosas em vários pontos da infraestrutura de TI. No entanto, muitas dessas soluções não estão equipadas para detectar ataques 0-day. O SIEM pode detectar a atividade associada a um ataque, em vez do próprio ataque. Ele pode ser configurado para detectar a atividade em torno de tal ataque. Muitos SIEMs oferecem capacidades para maior monitoramento e controle dos processos e conexões de rede. Ao correlacionar atividade do processo e conexões de rede, pode detectar ataques, sem ter de inspecionar pacotes ou cargas. Enquanto IDS/IPS e AV desempenham bem suas funções, o SIEM fornece uma rede de segurança que pode travar atividades maliciosas que escapam das defesas tradicionais.

4- Ameaças persistentes avançadas: as APTS, sigla em inglês para ameaças persistentes avançadas, têm sido muito divulgadas. Especialistas afirmam que elas são responsáveis pelas violações mais graves. Geralmente, uma APT é definida como um ataque sofisticado que tem como alvo uma parte específica de dados ou da infraestrutura, utilizando uma combinação de vetores de ataque, com métodos, simples ou avançados, para evitar a detecção. Em resposta, muitas organizações têm implementado uma estratégia de defesa de profundidade em torno de seus ativos críticos utilizando firewalls e IDS/IPS no perímetro.

Todos esses dispositivos geram uma enorme quantidade de dados, que é difícil de controlar. A equipe de segurança não pode realisticamente ter oito painéis abertos e correlacionar eventos entre diversos componentes com rapidez suficiente para acompanhar os packets que atravessam a rede. As tecnologias SIEM trazem todos esses controles juntos em um único motor, capaz de monitorar continuamente em tempo real, e fazendo a correlação entre a amplitude e a profundidade.

Mas e se um ataque não é detectado pelo SIEM? Depois que um host está comprometido, o atacante ainda deve localizar os dados de destino e extraí-los. Alguns motores de correlação SIEM são capazes de monitorar um limite de valores únicos. Por exemplo, uma regra que procura por um determinado número de tentativas de acesso sem sucesso na porta 445 (ou portas 137, 138 e 139 se o NetBIOS é usado) a partir do mesmo host dentro em um curto espaço de tempo seria identificar uma varredura para pastas compartilhadas. Uma regra semelhante à procura de portas de banco de dados padrão indicaria uma varredura para bancos de dados escutando a rede.

Por meio da integração de listas brancas com SIEM, torna-se trivial identificar quais hosts e contas estão tentando acessar dados que não deveriam. Enquanto isso, a implementação de Monitoramento de Integridade de arquivo com uma SIEM pode correlacionar os dados que esão sendo acessados com o tráfego de rede de saída a partir do mesmo host para detectar vazamento de dados.

5- Forensics: uma investigação pode ser um processo longo e arrastado. Não apenas um analista forense deve interpretar o log de dados para determinar o que realmente aconteceu, como deve preservar os dados, usando procedimentos que sejam admissíveis em um tribunal de direito. Ao armazenar e proteger registros históricos, fornecendo ferramentas para navegar rapidamente e correlacionar os dados, tecnologias SIEM permitem investigações rápidas, completas e com corte forense admissível.

Como os dados de log são como se fossem impressões digitais das atividades dentro das estruturas de TI, eles podem ser extraídos para detectar problemas de compliance reguladoras relacionadas à segurança. Consequentemente, a tecnologia SIEM, com a sua capacidade de automatizar o monitoramento de logs, correlacionar, reconhecer padrões, alertar e investigações forenses, está emergindo como um sistema fundamental criar uma TI inteligente.

*Gerente de engenharia do conhecimento da LogRhythm.