SecOps

RBA – risk based alerting: como funciona, por que usar e como implantar

Mais de 40% das empresas com SIEM estão lidando com 10.000 alertas por dia, sendo 50% deles de falsos positivos. As equipes de segurança estão soterradas em dados e alertas de diversas fontes que e, em muitos casos, de ruídos.

Boa parte dos CISOs estão se perguntando se existe uma maneira de gerar alertas altamente confiáveis para que a equipe não disperse seus esforços, orçamento e tempo. O RBA – Risk Based Alerting é uma resposta que eles têm encontrado.

Neste artigo, você encontra uma visão geral sobre o funcionamento dessa ferramenta, o que esperar dela e como implantar com Splunk.

Como funciona o RBA – risk based alerting

Vamos olhar para um SIEM tradicional. Nele os dados são analisados de acordo com uma lógica de detecção criada pela empresa ou pelo fornecedor da ferramenta. Toda atividade suspeita que possa indicar um ataque gera um alerta. Com isso, qualquer comportamento que fuja às regras é enviado a um analista responsável por sua investigação.

Vejamos o RBA. O RBA usa um framework de regras de correlação para coletar eventos com potencial de risco e, a partir do atendimento de vários critérios determinados, enviar alertas para a equipe.

Qual a diferença?

Com RBA, a lógica de detecção envolve primeiro a observação, que é marcada com metadados de segurança e correlacionada com outros fatos em um score que modifica o nível de risco dinamicamente. 

O ponto é: não temos uma observação pontual e isolada dos eventos, mas contextualizada. O alerta só é enviado quando existem observações suficientes para torná-lo notável. E então, quando analisado na investigação, o profissional poderá verificar todos os eventos correlacionados coletados, contando uma história.  

Implantando o RBA

A implantação do RBA é iterativa. Mas a consolidação de uma base é fundamental para sustentar todo o projeto e garantir a celeridade da evolução. 

A Splunk recomenda uma implantação em quatro níveis:

  1. Primeiros passos: familiarização com o RBA e ajuste do modo como ele vai funcionar no ambiente.
  2. Desenvolvimento: toda a parte de refinamento para remover ruídos, melhorar a fidelidade e gerar alertas notáveis.
  3. Operacionalização: setup de dashboards e ajustes de processos para que o RBA seja usado na prática.
  4. Produção: implantação, monitoramento da atividade de resultados para melhorar regras e processos sempre que necessário e oportuno.

Alinhando expectativas 

O RBA pode ajudar tanto a cobrir áreas cinzentas do ambiente quanto a melhorar a visibilidade de áreas já monitoradas, aumentado a qualidade dos alertas. Mas não basta virar uma chavinha para fazer. Os impactos atingem diretamente o modelo de operação do time.   

Inicialmente, enquanto está sendo ajustado, o RBA pode levar a um aumento no volume de alertas. O trabalho de refinamento é contínuo, e leva tempo até que o índice de risco esteja suficientemente acurado às necessidades do negócio. 

Portanto, nenhuma implantação vai ser 100% completa e abarcante logo de início. 

Testar vai ajudar a validar regras e a dimensionar até chegar ao formato ideal. Depois desse ponto, o trabalho especificamente relacionado ao RBA vai diminuir, assim como o próprio volume de alertas.

RBA com Splunk

Na solução de RBA da Splunk, o framework de regras de correlação é criado no Splunk Enterprise Security (ES) para coletar eventos de risco e organizá-los em um índice único, do qual partem os alertas quando os critérios determinados são atendidos. 

Dentro do Splunk ES, o RBA usa os seguintes componentes e dashboards:

  • Risk Analysis Adaptative Response Action
  • Notable Events
  • Asset ans Identity Framework
  • Common Information Model e Data Models
  • Risk Analysis
  • Risk Event Timeline.

A solução é alinhada com frameworks como:

  • MITRE ATT&CK
  • NIST 
  • Lockheed Martin Cyber Kill Chain e
  • CIS.

Os resultados do RBA

Os usuários apontam uma redução de 50% a 90% no volume de alertas e, acima de tudo, uma fidelidade altíssima nos alertas que chegam.

As equipes também apontam um aumento na identificação de ameaças sofisticadas, que podem escapar a SIEMs tradicionais.

Isso leva a uma maior produtividade geral da equipe e, ao mesmo tempo, à redução no tempo de investigação de incidentes – de dias, elas podem levar apenas minutos.

Inicie sua jornada em RBA no Splunk, com a DataRunk

O RBA pode agenciar uma transformação na abordagem de segurança, com resultados como redução de falsos positivos, volume de alertas, alinhamento a frameworks de alto nível, entre outros.

Mas, como todo projeto que precisa ser iniciado, consome esforços e tempo da equipe, sobretudo se ela ainda estiver pouco familiarizada com as ferramentas.

A DataRunk tem a experiência comprovada com cases de sucesso de implantação do RBA. Para saber mais sobre eles, assim como sobre a viabilidade dessa solução no seu ambiente, fale conosco.

foto mostra homem de capuz coberto por linhas de código a exemplo do rba - risk based alerting

Explore conteúdos relacionados:

SecOps

Como escolher um SIEM, de acordo com o Gartner

SecOps

User and entity behavior analytics (UEBA): como funciona?