Ferramentas de segurança são complementares ao profissional

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

Produtos de SIEM (Security Information Management e Security Event Management) já não são novidade há quase 10 anos – assunto vasto e muito discutido, tanto no meio acadêmico quanto nas grandes corporações.

O ponto em questão é que os dados fluem nos sistemas computacionais e geram registros dos mais variados: de um mainframe na nuvem à cafeteira na copa da empresa. Isso mesmo! Para algumas empresas nos USA até os dados de uso da cafeteira são utilizados para medir a saúde e hábitos de seus profissionais. Em suma, depende do que o negócio precisa entender e controlar. E no caso de segurança, é proteger.

Podemos encontrar muitos dados importantes nos registros de equipamentos e de quaisquer ativos de informação. Porém, para se extrair a informação é necessário identificar padrões, criar perfis e aplicar, posteriormente, correlações para a descoberta de anomalias, tendências e comportamentos, a fim de determinar desvios.

Contudo, é necessário entender de onde se deve extrair a informação e qual valor ela possui para a organização. Nestes dias de ataques persistentes, entender taticamente um ambiente de modo a identificar, mitigar e erradicar atacantes é fundamental, mas, de fato, pouca gente entende a relevância dos registros, ou seja, a informação contida nos dados.

Analisar dados no âmbito de se obter informação também não é novidade. Há mais de 20 anos analistas financeiros usam ferramentas de Data Mining e sistemas BI (Business Intelligence) para determinar crédito, apoiar decisões de negócio e analisar mercados, ou seja, obter informações e a partir delas tomar decisões rápidas e estratégicas baseadas em dados escolhidos de fontes relevantes.

Os conceitos de BI (Business Intelligence) e SIEM são bem parecidos e, em ambos os casos, busca-se determinar Exposição, Riscos, Ganhos e Perdas. No caso do SIEM não estamos falando de ganhar dinheiro e sim, salvar dinheiro. Do mesmo modo que sistemas de BI precisam de analistas para interpretar as informações e tomar decisões de negócio, um sistema de SIEM também necessita de analistas de segurança para observarem e interpretarem as informações de modo a responderem a um incidente de segurança rapidamente e proteger o negócio de perdas financeiras.

Sistemas mais modernos de SIEM não são determinísticos (não usam “sim” ou “não”), mas trabalham mais próximos da lógica humana e fazem correlações baseadas em possibilidades e probabilidades, ou seja, focam em analisar os desvios.

Assim como um analista financeiro estuda os mercados e suas fontes de dados relevantes, o analista de segurança deve analisar de quais ativos de valor é necessário extrair dados e posteriormente processar os mesmos atrás de inteligência no que tange a segurança da informação. Para que o SIEM de fato traga a Inteligência (Estratégica, Tática e Operacional) é necessário que os dados dos ativos possuam valor para a detecção, a triagem e a análise para acelerar a resposta a um incidente.

Outra coisa importante a salientar, é que a correlação de logs é o principal objetivo de um SIEM. Porém, os ativos que serão analisados realmente devem possuir a informação necessária para que a reação e a tomada de decisões em um incidente de segurança seja feita no menor tempo hábil possível e com precisão. De forma nenhuma, ter um SIEM exclui a necessidade da interpretação humana. Um incidente deve ser analisado por um profissional de segurança que seja apto a validar uma determinada situação dentro de uma organização.

Muitas implementações de SIEM podem ser frustrantes por terem apenas a preocupação de estarem aderentes a normatizações (reter logs) ou pensar que o papel do analista de segurança será feito por um sistema. Não focar nos principais objetivos de um sistema de SIEM é que gera estas interpretações errôneas (às vezes míticas) do que um SIEM de fato é,e o que ele pode fazer para a organização. Um sistema de SIEM é uma ferramenta para o profissional de segurança ganhar tempo, obter informação relevante e diminuir o tempo de resposta a um incidente de segurança.

Entender o ambiente no qual o SIEM será inserido é primordial em projetos desta natureza. Saber posicionar a ferramenta de modo a coletar dados dos ativos estratégicos e obter o máximo de informações com pensamento tático é o que proporcionará a detecção de anomalias em um ambiente e isto de fato acelera o processo para mitigar e erradicar ataques persistentes.

O que é sempre importante ter em mente é que dado não é informação e que sistemas de SIEM são ferramentas para complementar e apoiar processos de resposta a incidentes dentro de uma organização. Sempre é necessário que o profissional de segurança saiba extrair informação dos dados contidos nos ativos e use a inteligência da ferramenta com uma visão tática e estratégica de suas fontes de dados. [Webinsider]

…………………………

Leia também:

…………………………

Conheça os cursos patrocinadores do Webinsider

Avatar de Wander Menezes

Wander Menezes, gerente de Serviços da Arcon serviços gerenciados de segurança.

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *