Segurança da Informação com SIEM, Análise de Regras e Tempo de Resposta
SIEM ou Security Information and Event Management é um sistema para gerenciamento e correlação de eventos de segurança que objetiva coletar e correlacionar eventos diversos oriundos de devices de segurança como IPS, Firewalls, Antivirus dentre outros, permitindo além do monitoramento em tempo real, um histórico dos eventos de segurança para assim obter uma melhor operacionalização da gestão de segurança.
O princípio subjacente de um sistema SIEM é que os dados relevantes sobre a segurança de uma empresa são produzidos em vários locais e poder ver todos os dados de um único ponto de vista torna mais fácil detectar tendências e ver padrões fora do comum. O SIEM combina as funções SIM (security information management) e SEM (security event management) em um único sistema de gerenciamento de segurança.
Os ataques estão cada dia mais inovadores devido a migração rápida para recursos baseados em nuvem, dispositivos móveis e ameaças ainda desconhecidas que dispositivos IoT podem trazer. Não é de admirar que muitas organizações estejam lutando.
Algumas pesquisas divulgaram que as empresas possuem uma média de 32 dispositivos de fornecedores diferentes em sua rede, sem habilidade automatizada para correlacionar os dados que cada um está coletando. Quanto tempo mais será necessário para que essas empresas entendam essas necessidades?
O que nos levaria a adotar uma solução de SIEM?
Uma simples questão, o fato de correlacionar em tempo real eventos diversos, permite da mesma forma, rápidas ações de resposta aos incidentes e ataques correlacionados, estado justamente no tempo de resposta o fator vital que mitigue um efeito devastador de ataques.
Tempo de resposta, este é o fator crucial!
Para obter-se sucesso com a implantação de soluções de SIEM, é imprescindível definir corretamente as regras e condições, pois uma vez em funcionamento, o sistema deve gerar uma grande variedade de detecções de anomalias e atividades incomuns nas redes e sistemas. Caso essas regras e condições não sejam corretamente definidas, a ausência de critérios devidos pode gerar ineficiência de detecção.
Uma solução de SIEM utilizada em conjunto com uma solução de Behavior Analysis permite além da correlação e monitoramento de eventos de segurança, o monitoramento de comportamento e atividades dos usuários.
Devemos ter em mente que incidentes e anomalias em sistemas de informação, são eventos diversos e em crescimento, e que o seu devido tratamento, além de uma questão de competitividade e performance, deve fazer parte de um processo corporativo de Governança, Gerenciamento de Riscos e Compliance.
Entre em contato com a RCE IT para falarmos de Monitoramento Integrado de Segurança, Desempenho e Disponibilidade em uma Aplicação.
Vladimir B. Bidniuk – Executivo de Negócios na RCE IT