SIEM: Dado não é informação

Autor: Wander Menezes

Produtos de SIEM (Security Information Management e Security Event Management) já não são novidade há quase 10 anos – assunto vasto e muito discutido, tanto no meio acadêmico quanto nas grandes corporações. O ponto em questão é que os dados fluem nos sistemas computacionais e geram registros dos mais variados: de um Mainframe na nuvem à cafeteira na copa da empresa. Isso mesmo! Para algumas empresas nos Estados Unidos até os dados de uso da cafeteira são utilizados para medir a saúde e hábitos de seus profissionais. Em suma, depende do que o negócio precisa entender e controlar. E no caso de segurança, proteger.

Podemos encontrar muitos dados importantes nos registros de equipamentos e de qualquer ativo de informação. Porém, para se extrair a informação é necessário identificar padrões, criar perfis e aplicar, posteriormente, correlações para a descoberta de anomalias, tendências e comportamentos, a fim de determinar desvios. Para tanto é necessário entender de onde se deve extrair a informação e qual valor ela possui para a organização. Nestes dias de ataques persistentes, entender taticamente um ambiente de modo a identificar, mitigar e erradicar atacantes é fundamental, mas, de fato, pouca gente entende a relevância dos registros, ou seja, a informação contida nos dados.

Analisar dados no âmbito de se obter informação também não é novidade. Há mais de 20 anos analistas financeiros usam ferramentas de Data Mining e sistemas Business Intelligence para determinar crédito, apoiar decisões de negócio e analisar mercados, ou seja, obter informações e a partir delas tomar decisões rápidas e estratégicas baseadas em dados escolhidos de fontes relevantes.

Os conceitos de BI e SIEM são bem parecidos e, em ambos os casos, busca-se determinar exposição, riscos, ganhos e perdas. No caso do SIEM não estamos falando de ganhar dinheiro e sim, salvar dinheiro. Do mesmo modo que sistemas de BI precisam de analistas para interpretar as informações e tomar decisões de negócio, um sistema de SIEM também necessita de analistas de segurança para observarem e interpretarem as informações de modo a responderem a um incidente de segurança rapidamente e proteger o negócio de perdas financeiras. Sistemas mais modernos de SIEM não são determinísticos (não usam “sim” ou “não”) mas trabalham mais próximos da lógica humana e fazem correlações baseadas em possibilidades e probabilidades, ou seja, focam em analisar os desvios.

Assim como um analista financeiro estuda os mercados e suas fontes de dados relevantes, o analista de segurança deve analisar de quais ativos de valor é necessário extrair dados e posteriormente processar os mesmos atrás de inteligência no que tange a segurança da informação. Para que o SIEM de fato traga a Inteligência (Estratégica, Tática e Operacional) é necessário que os dados dos ativos possuam valor para a detecção, a triagem e a análise para acelerar a resposta a um incidente.

Outra coisa importante a salientar é que a correlação de logs é o principal objetivo de um SIEM. Porém, os ativos que serão analisados realmente devem possuir a informação necessária para que a reação e a tomada de decisões em um incidente de segurança seja feita no menor tempo hábil possível e com precisão. De forma nenhuma, ter um SIEM exclui a necessidade da interpretação humana. Um incidente deve ser analisado por um profissional de segurança que seja apto a validar uma determinada situação dentro de uma organização.

Muitas implementações de SIEM podem ser frustrantes por terem apenas a preocupação de estarem aderentes a normatizações (reter logs) ou pensar que o papel do analista de segurança será feito por um sistema. Não focar nos principais objetivos de um sistema de SIEM é que gera estas interpretações errôneas (às vezes míticas) do que um SIEM de fato é,e o que ele pode fazer para a organização. Um sistema de SIEM é uma ferramenta para o profissional de segurança ganhar tempo, obter informação relevante e diminuir o tempo de resposta a um incidente de segurança.

Entender o ambiente no qual o SIEM será inserido é primordial em projetos desta natureza. Saber posicionar a ferramenta de modo a coletar dados dos ativos estratégicos e obter o máximo de informações com pensamento tático é o que proporcionará a detecção de anomalias em um ambiente e isto de fato acelera o processo para mitigar e erradicar ataques persistentes.

O que é sempre importante ter em mente é que dado não é informação e que sistemas de SIEM são ferramentas para complementar e apoiar processos de resposta a incidentes dentro de uma organização. Sempre é necessário que o profissional de segurança saiba extrair informação dos dados contidos nos ativos e use a inteligência da ferramenta com uma visão tática e estratégica de suas fontes de dados

Leia Também:

Artigo: Posso usar a sua senha de rede?

Como os seus dados on-line estão sendo empacotados e vendidos

Cerca de 35% das empresas não usam a criptografia para proteger dados

Fonte: CIO

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s