SecOps

SIEM: que funcionalidades você precisa para modernizar o seu

Compliance, emergências, complexidade tecnológica e falta de profissionais: esses são os principais desafios em segurança das organizações, segundo o The State of Security Report 2022, realizado pela Splunk.

De acordo com o mesmo estudo, o futuro tampouco reserva tranquilidade para as equipes de segurança. Ataques de variadas frentes, manutenção do home office e continuidade da migração para cloud vão ampliar a superfície de ataques, exigindo soluções novas e criativas dos CISOs.

Não por acaso, a resposta virá por meio da construção de conhecimento especializado e, sobretudo, da automação: 52% aumentarão o uso de ferramentas de cibersegurança com AI e ML.

Boa parte dessas organizações já usam ou vão usar seu SIEM para isso. No entanto, elas terão que evoluir sua própria ferramenta de trabalho.

De que funcionalidades elas vão precisar para endereçar esses desafios?

Essa é a resposta que você encontra neste artigo. Vamos começar identificando as limitações do SIEM tradicional que as empresas normalmente têm para lidar com os desafios em segurança de hoje e, depois, que funcionalidades as organizações precisam ter em seu SIEM para lidar com elas.

 

O SIEM tradicional: as limitações na busca da automação em segurança

SIEM é uma tecnologia bem conhecida. Suas principais funcionalidades surgiram há duas décadas para dar apoio à detecção de ameaças e incidentes de segurança. O método é o monitoramento, coleta e análise de dados históricos de uma ampla variedade de eventos e fontes.

Essa habilidade é fundamental para as organizações. SIEMs tradicionais, no entanto, revelam algumas limitações para endereçar os novos desafios da TI:

  • Captação limitada a certos tipos de dados: por padrão, os SIEMs tradicionais captam apenas certos tipos de dados, o que consequentemente limita a capacidade de detecção, investigação e tempo de resposta a incidentes, além de gerar falsos negativos e falsos positivos.
  • Captação de dados complexa e cara: o próprio processo de captação de dados relevantes em segurança, em SIEMs tradicionais, é trabalhoso e caro, o que pode gerar descompasso com os eventos que precisam ser investigados.
  • Demora no processamento de investigação: nem todos os dados relevantes em segurança são acionáveis, e ações simples como buscas em logs podem ser prolongadas.
  • Roadmap de atualizações do produto é incerto: fornecedores mais antigos podem interromper investimentos em atualizações e inovações na ferramenta, tornando-a defasada contra as ameaças modernas.
  • Ecossistema fechado: geralmente não são integrados com outras ferramentas do mercado, o que exige customizações, gera dificuldades de manter e de operar, e afeta a escalabilidade.
  • Implementação exclusivamente on-premise: SIEMs tradicionais geralmente rodam apenas on-premise, não atendendo ambientes híbridos, cenário de TI mais comum.

 

Para manter a sua relevância nas atividades de detecção de ameaças e resposta a incidentes, o SIEM das organizações precisa se modernizar. Que funcionalidades você deve buscar?

 

SIEM moderno: 7 funcionalidades fundamentais

 

O SIEM que as organizações precisam para endereçar seus desafios iminentes tem que poder ser aplicado a vários casos de uso em segurança, assim como compliance. Ao mesmo tempo, ele precisa ajudar a TI a minimizar a complexidade de seu ecossistema tecnológico de segurança e facilitar o uso.

Como é essa ferramenta? Vejamos as principais funcionalidades.

1. Monitoramento em tempo real

A relação é óbvia: quanto maior o tempo de descoberta de um ataque, maior o dano potencial.

Com a velocidade do avanço de ameaças pelos ambientes, a TI precisa ter no seu SIEM a capacidade de monitorar todo o seu ambiente de TI, de usuários, a aplicações e dispositivos.

Um SIEM moderno também deve correlacionar quaisquer dados dessas fontes por meio de regras predefinidas, em tempo real, a fim de identificar comportamentos anômalos.

2. Resposta a incidentes

Com um número maior de ameaças bem-sucedidas, as organizações precisam ter uma forma organizada de endereçar e gerenciar potenciais falhas de segurança, assim como as consequências de uma falha real, a fim de reduzir danos, custos e tempo de resposta.

Um SIEM moderno deve ser robusto o suficiente para rastrear incidentes e iniciar a resposta a eles, funcionando como o hub em torno do qual se dará a gestão de incidentes.

Isso significa ser capaz de fazer triagens de eventos, selecionar eventos para análise, examinar detalhes, categorizar ameaças por nível de severidade e, finalmente, dar a resposta apropriada a qualquer evento, inclusive automáticas, para interromper ataques em andamento.

3. Monitoramento de usuários

Monitorar em tempo real a atividade de usuários do ambiente, como acessos, autenticações e contexto de uso, é uma habilidade crítica para localizar falhas e descobrir abusos, além de ser um requisito comum de compliance em segmentos mais regulados. Seu SIEM deve fazer isso.

4. Inteligência sobre ameaças

Um SIEM moderno precisa fornecer informações sobre indicadores como comprometimento, mas também sobre possíveis táticas adotadas por invasores, contextualizando incidentes e atividades naquele ambiente.

Essa inteligência torna a TI capaz de reconhecer atividades anormais mais facilmente, mas também de dimensionar adequadamente seus riscos, impactos e até objetivos – o que é determinante para priorizar uma estratégia de resposta.

5. Advanced analytics

Seu SIEM deve ser capaz de aprender o que é normal e o que não é em seu ambiente de TI e, com isso, gerar insights por meio de métodos quantitativos como estatística, data mining e machine learning.

A produção de insights a partir de dados com analytics baseado em machine learning eleva a capacidade de identificar ameaças.

6. Detecção avançada de ameaças

Um SIEM precisa fornecer ferramentas para monitorar, analisar e detectar novas ameaças potenciais, como determinar o escopo ou o caminho que uma ameaça vai tomar depois de inicialmente detectada.

7. Biblioteca de casos de uso

Um SIEM moderno fortalece a postura de uma organização com ferramentas prontas para uso.

Mas uma biblioteca de casos de uso ajuda a TI a automaticamente descobrir novas aplicações e a determinar quais delas podem ser utilizadas em seu ambiente.

 

SIEM: do legado à modernidade

Compreender e responder a ameaças em tempo real é um imperativo para as organizações endereçarem seus desafios em segurança. Para que construam essa competência sobre seu SIEM, as soluções precisam evoluir em termos de automação.

Nos SIEMs modernos, você tem funcionalidades de monitoramento e correlação de dados, inteligência e detecção avançada sobre ameaças, resposta a incidentes, além de analytics.

É hora de repensar seu SIEM?

Explore conteúdos relacionados:

SecOps

Como escolher um SIEM, de acordo com o Gartner

SecOps

RBA – risk based alerting: como funciona, por que usar e como implantar