As empresas têm de se defender constantemente do número cada vez maior de ataques cibernéticos que enfrentam todos os dias. O gerenciamento de eventos e informações de segurança (SIEM) é um sistema de segurança amplamente adotado por várias empresas para proteger as suas redes contra estes ataques cibernéticos.
Uma solução de SIEM consiste em vários componentes que ajudam as equipes de segurança a detectar violações de dados e atividades maliciosas, monitorando e analisando constantemente os dispositivos e eventos da rede. Este artigo explica sobre os diferentes componentes da arquitetura de uma solução de SIEM.
1. Agregação de dados
Este componente de uma solução de SIEM é responsável pela coleta de dados de log gerados por várias fontes dentro de uma rede empresarial, tais como servidores, bases de dados, aplicações, firewalls, roteadores, sistemas em nuvem e muito mais. Estes logs, que incluem um registo de todos os eventos que ocorreram num determinado dispositivo ou aplicação, são coletados e armazenados numa localização centralizada ou num armazenamento de dados.
As várias técnicas de coleta de log do SIEM incluem:
Coleta de logs baseada em agente:
Nessa técnica, um agente é instalado em cada dispositivo de rede que gera logs. Estes agentes são responsáveis por recolher os logs dos dispositivos e encaminhá-los para o servidor central de SIEM. Além dessas responsabilidades, eles também podem filtrar os dados de log no nível do dispositivo com base em parâmetros predefinidos, analisá-los e convertê-los em um formato adequado antes do encaminhamento. Esta técnica personalizada de coleta e encaminhamento de logs ajuda a otimizar a utilização da largura de banda.
O método de coleta de logs baseado em agente é predominantemente usado em zonas fechadas e protegidas onde a comunicação é restrita.
Coleta de logs sem agente:
Essa técnica não envolve a implantação de agentes em nenhum dispositivo de rede. Em vez disso, as alterações de configuração têm de ser efetuadas no dispositivo para que possam enviar quaisquer logs gerados para o servidor central SIEM de forma segura. Em dispositivos como switches, roteadores, firewalls, etc., a instalação de ferramentas de terceiros para coleta de log geralmente não é suportada, portanto, a coleta de dados de log por meio de um agente torna-se difícil. Nesses casos, pode ser utilizada uma técnica de coleta de logs sem agente. Ele também reduz a carga no dispositivo de rede, uma vez que a implantação de um agente adicional não é necessária.
Coleta de logs baseada em API:
Nesta técnica, os logs podem ser coletados diretamente dos dispositivos de rede com a ajuda de Interfaces de programação de aplicações (APIs). O software de virtualização fornece APIs que permitem que a solução de SIEM colete logs de máquinas virtuais remotamente. Além disso, quando as empresas mudam de software no local para soluções baseadas na nuvem, torna-se difícil enviar os logs diretamente para o SIEM, uma vez que os serviços não estão ligados a qualquer infraestrutura física. Quando isso acontece, as soluções de SIEM baseadas em nuvem utilizam APIs como intermediário para coletar e consultar os logs de rede.
2. Análise de dados de segurança (relatórios e dashboards)
As soluções de SIEM são fornecidas com um componente de análise de segurança, que inclui predominantemente dashboards de controle em tempo real que apresentam intuitivamente dados de segurança sob a forma de gráficos e tabelas. Esses dashboards são atualizados automaticamente, ajudando a equipe de segurança a identificar atividades mal-intencionadas rapidamente e a resolver problemas de segurança. Com a ajuda desses dashboards, os analistas de segurança podem detectar anomalias, correlações, padrões e tendências que possam estar presentes nos dados e obter várias informações sobre eventos que ocorrem em tempo real. As soluções de SIEM também fornecem aos usuários uma opção para criar e personalizar os seus próprios dashboards.
Outra faceta deste componente de análise de segurança é relatórios predefinidos. Muitas vezes, as soluções de SIEM são agrupadas com centenas de relatórios predefinidos que ajudam a fornecer visibilidade sobre eventos de segurança, a detectar ameaças e a facilitar auditorias de segurança e conformidade. Estes relatórios, que são principalmente construídos com base em indicadores conhecidos de comprometimento (IoCs), também podem ser personalizados para se adaptarem às necessidades de segurança interna.
A maioria das soluções de SIEM também fornece aos usuários opções para filtrar, pesquisar e detalhar esses relatórios, definir programações para a geração de relatórios de acordo com as necessidades do usuário, exibir dados na forma de tabelas e gráficos e exportar os relatórios em diferentes formatos.
3. Correlação e monitoramento de eventos de segurança
Um mecanismo de correlação é um dos componentes mais vitais de uma solução de SIEM. Usando regras de correlação predefinidas ou definidas pelo usuário, os dados de log coletados são analisados para quaisquer relacionamentos existentes entre diferentes atividades de rede, atributos comuns ou padrões que possam estar presentes. Os mecanismos de correlação têm a capacidade de reunir diferentes incidentes de segurança para fornecer uma visão holística dos ataques de segurança. São capazes de detectar sinais de atividade suspeita, compromisso ou potencial violação cedo na rede, e o sistema SIEM também irá gerar alertas para essas atividades.
Um exemplo de uma regra de correlação:
“Se um usuário tiver uma tentativa de login bem-sucedida após várias tentativas malsucedidas de login em um curto período de tempo, acione um alerta.”
A maioria das soluções de SIEM vem com regras de correlação predefinidas construídas com base nos IoCs. No entanto, como os invasores estão continuamente usando técnicas mais avançadas para invadir um sistema, as regras precisam ser modificadas e aprimoradas regularmente, ou se tornarão obsoletas. A construção de regras de correlação requer um conhecimento profundo do comportamento e das táticas de um invasor.
4. Análise forense
Este componente de uma solução de SIEM é usado para realizar uma análise de causa raiz e gerar um relatório de incidente que fornece uma análise detalhada de uma tentativa de ataque ou um ataque contínuo que ajuda as empresas a tomar as medidas corretivas apropriadas imediatamente.
Apesar de contar com os melhores mecanismos de defesa, nem sempre é possível para uma empresa impedir todos os ataques cibernéticos. No entanto, uma empresa pode realizar uma análise forense para reconstruir as cenas do crime e determinar a causa raiz da violação. Como os dados de log compreendem um registro de todos os eventos que ocorreram em um determinado dispositivo ou aplicação, eles podem ser analisados em busca de rastros deixados por invasores mal-intencionados.
As soluções de SIEM ajudam a equipe de segurança a navegar pelos logs, gerar relatórios forenses e descobrir a hora em que uma violação de segurança específica ocorreu, sistemas e dados que foram comprometidos, hackers por trás da atividade maliciosa, bem como o ponto de entrada.
Esse componente também ajuda as empresas a cumprir certas obrigações de conformidade, como o armazenamento e arquivamento de dados de log por longos períodos e a capacidade de realizar investigações forenses sobre eles.
5. Detecção e resposta de incidentes
Detecção de incidentes
Este módulo de uma solução de SIEM está envolvido na detecção de incidentes de segurança. Um incidente de segurança refere-se a uma tentativa ou sucesso de violação de dados na rede por uma parte não autorizada, ou violação das políticas de segurança de uma organização. Ataques de negação de serviço, uso indevido de dados e recursos, escalonamento não autorizado de privilégios e ataques de phishing são alguns exemplos comuns de incidentes de segurança. Esses incidentes devem ser detectados e analisados, e as ações apropriadas devem ser tomadas para resolver o problema de segurança, garantindo a continuidade das operações de negócios. Durante a detecção de incidentes, as organizações se esforçam para manter o tempo médio de detecção (MTTD) o mais baixo possível para reduzir os danos causados pelos invasores.
A detecção de incidentes pode ser realizada usando as seguintes técnicas:
Resposta a incidentes
Este módulo de uma solução de SIEM é responsável pelas ações corretivas que são realizadas para resolver incidentes de segurança após a detecção. Com as empresas enfrentando toneladas de problemas de segurança diariamente e com os invasores empregando técnicas mais sofisticadas, a resposta a incidentes se tornou um empreendimento desafiador. Reduzir o tempo médio de resolução (MTTR) é uma grande prioridade para todas as empresas.
Algumas técnicas de resposta a incidentes incluem:
6. Resposta a eventos em tempo real ou console de alerta
As soluções de SIEM realizam atividades de coleta e correlação de logs em tempo real; se qualquer atividade suspeita for detectada, um alerta é gerado instantaneamente e a equipe de resposta a incidentes agirá imediatamente para mitigar o ataque ou impedir que aconteça.
As notificações de alerta também podem ser enviadas por e-mail ou SMS em tempo real e podem ser categorizadas com base nas prioridades atribuídas a elas: alta, média ou baixa. Os fluxos de trabalho podem ser atribuídos a incidentes de segurança, de forma que, quando um alerta for gerado, o fluxo de trabalho correspondente seja executado automaticamente.
7. Inteligência contra ameaças
A inteligência contra ameaças fornece informações contextuais necessárias para identificar diferentes tipos de ameaças à segurança cibernética e tomar as ações apropriadas para prevenir, resolver ou mitigá-las. Ao compreender a origem do ataque, o motivo por trás dele, as estratégias e métodos usados para executá-lo, bem como os sinais de comprometimento, as organizações podem entender melhor a ameaça, avaliar os riscos e tomar decisões bem informadas.
Para adicionar informações contextuais, as empresas podem obter feeds de ameaças de fornecedores terceirizados ou compilar e usar feeds de ameaças de código aberto disponíveis no formato STIX/TAXII. O tipo de ameaça pode ser identificado imediatamente e a correção pode ser iniciada, reduzindo o MTTR.
Esse componente também ajuda os administradores de segurança a caçar ameaças, um processo de pesquisa ativa em toda a rede por quaisquer ameaças ou IOCs que possam estar iludindo o sistema de segurança.
8. Análise de comportamento de usuários e entidades (UEBA)
Este componente ajuda na detecção de incidentes de segurança. Com os invasores desenvolvendo constantemente novas técnicas para invadir as redes, os sistemas convencionais de segurança estão rapidamente se tornando obsoletos. No entanto, as organizações podem se defender de qualquer tipo de ameaça cibernética com a ajuda de técnicas de aprendizado de máquina.
Os componentes da UEBA empregam técnicas de aprendizado de máquina para desenvolver um modelo de comportamento baseado no comportamento normal de usuários e máquinas em uma empresa. Este modelo de comportamento é desenvolvido para cada usuário e entidade por meio do processamento de grandes quantidades de dados obtidos de vários dispositivos de rede. Qualquer evento que se desvie deste modelo de comportamento será considerado uma anomalia e será posteriormente avaliado para potenciais ameaças. Uma pontuação de risco será atribuída ao usuário ou entidade; quanto maior a pontuação de risco, maior a suspeita. Com base na pontuação de risco, a avaliação de risco é realizada e as atividades corretivas são realizadas.
Algumas pessoas podem perguntar qual é a diferença entre um mecanismo de correlação e UEBA. Enquanto o primeiro é um sistema baseado em regras usado para detectar incidentes e ameaças, o último, como o nome indica, identifica eventos suspeitos com base em análises comportamentais. Para uma empresa impedir ataques de maneira eficaz, ela deve contar com o mecanismo convencional baseado em regras e com a análise comportamental moderna.
9. Gerenciamento da conformidade de TI
Quando se trata de proteção e segurança de dados, geralmente espera-se que uma empresa atenda aos padrões, regulamentos e diretrizes exigidos por vários órgãos reguladores. Esses mandatos regulatórios variam para diferentes empresas, dependendo do tipo de indústria e da região onde operam. Se a empresa descumprir, será penalizada.
Para garantir que uma organização atenda a todos os requisitos de conformidade definidos pelo governo para proteção de dados confidenciais, as soluções de SIEM incluem um componente de gerenciamento de conformidade. Medidas proativas, como o emprego de várias técnicas para identificar anomalias, padrões e ameaças cibernéticas, também devem ser tomadas para evitar que dados confidenciais sejam comprometidos.
As soluções SIEM têm a capacidade de armazenar e arquivar dados de log por um longo período para que os auditores possam verificar as trilhas de auditoria. Elas também podem gerar relatórios de conformidade como HIPAA, SOX, PCI DSS, GDPR, ISO 27001 por meio de coleta e análise de log, bem como relatórios prontos para uso de acordo com os requisitos específicos declarados pelo mandato.
Todos esses componentes do SIEM trabalham juntos para ajudar a equipe de segurança, fornecendo percepções sobre diferentes tipos de ameaças, seus padrões de ataque e atividades maliciosas que podem estar ocorrendo na rede, bem como o curso de ação necessário que deve ser executado para resolver quaisquer problemas de segurança.
Capítulo 2
Saiba mais sobre as diferentes capacidades de uma solução de SIEM ideal.
Capítulo 3
Obtenha uma descrição geral de todos os componentes que constituem uma solução de SIEM.
Capítulo 4
Saiba mais sobre o gerenciamento de log e porque ele é necessário.
Capítulo 5
Saiba mais sobre incidentes de segurança e como eles são tratados.
Capítulo 6
Saiba mais sobre auditorias de segurança, monitoramento em tempo real e correlação e como elas são úteis para atenuar ameaças cibernéticas.
Capítulo 7
Saiba por que é importante proteger dados armazenados on-line em plataformas de computação em nuvem.
Capítulo 8
Saiba por que a UEBA é fundamental para maximizar a cibersegurança.
Capítulo 9
aiba por que é importante respeitar os regulamentos de conformidade.