Security information and event management (ou gestão de eventos e segurança da informação) é uma classe de softwares que concentra, armazena e relaciona registros de eventos em um ambiente digital.
Isso é particularmente útil para determinar se um incidente de segurança está em curso, já que esse tipo de ferramenta emite alertas que podem avisar as equipes de segurança, que podem tomar as ações necessárias para reduzir o impacto de um ataque cibernético.
Todos os dispositivos, aplicações e sistemas geram logs (os registros) durante seu funcionamento, que podem indicar o estado de saúde atual do ativo, uso de CPU, número de processos por segundo, endereços IP de pedidos de conexão, tráfego de rede em diferentes protocolos e muito, muito mais. É o SIEM a ferramenta que enxerga e interpreta essa enxurrada de dados para tentar identificar rapidamente problemas de funcionamento ou tentativas de ataque.
O problema é que, se não for bem ajustado, um SIEM pode desviar a atenção das equipes de segurança daquilo que realmente é importante, sobrecarregar analistas com informações não muito relevantes e virar um tremendo “elefante na sala”, caro para adquirir, complexo para gerenciar e que não traz resultados para a empresa.
Para que o SIEM não se torne mais um item na sua lista de desafios de cibersegurança, veja abaixo como melhorar as configurações da ferramenta.
Tenha um inventário completo
Ter um registro abrangente sobre todos os ativos da sua empresa é crucial para o funcionamento do SIEM. Quanto mais informações disponíveis melhor, nesse caso. Mais do que saber o endereço de rede ou o hostname (nome pelo qual o ativo é identificado), é importante definir o nível de criticidade desse ativo para a companhia.
Isso é importante para que os analistas possam priorizar a correção de vulnerabilidades. Afinal, um alarme disparado pelo laptop de um funcionário deve ter menor prioridade daquele vindo de um servidor crítico para a operação.
Criar um inventário completo vai passar por atividades repetitivas de descoberta e identificação de ativos, além de engajar as gerências e diretorias para definir quais informações são mais importantes e onde elas estão armazenadas. Fazer a pergunta “o que acontece com nossa operação se o ativo x ficar indisponível” é um bom ponto de partida.
Aproveite o poder de feeds externos
Os feeds (ou fontes) de inteligência de ameaças são aliados importantes no funcionamento do SIEM. Estas listas são atualizadas continuamente pelos seus autores e trazem informação específica sobre falhas de segurança e como elas estão sendo exploradas pelos cibercriminosos.
Há diversas fontes gratuitas e pagas de feeds de inteligência de ameaças, algumas delas incluem o Department of Homeland Security dos Estados Unidos, o FBI, @abuse.ch, o SANS Institute e o Virus Total.
Ouça seus analistas
Os profissionais que estão no dia-a-dia da operação são uma fonte valiosa de informações. Pense, eles olham para os dados todos os dias e podem indicar quais alertas são ignorados e em quais eles prestam atenção. As regras do SIEM podem não estar levando em consideração essa visão, ajuste as configurações para refletir o conhecimento da sua equipe, isso vai melhorar a operação como um todo.
Preste atenção nas anomalias
As regras baseadas em assinaturas são excelentes para detectar vulnerabilidades conhecidas, através da comparação dos logs com uma fonte de dados mais abrangente. No entanto, elas não são suficientes para proteger seu ambiente, comece a ajustar regras com base em anomalias. Saber qual é o comportamento padrão do seu ambiente é o primeiro passo para criar regras com base em anomalias, o SIEM vai detectar esses desvios e alertar a equipe.
Ajuste alertas, reduza ruídos
É impossível para qualquer equipe de segurança cuidar de todos os alertas de um ambiente, eles atingem a marca de centenas de milhares todos os dias. Pense se é realmente necessário ser avisado de tudo que acontece no ambiente, ter alertas de baixa criticidade e falsos positivos vai criar ruído nas equipes de segurança e pode desviar a atenção daquilo que realmente importa. Deixe de lado alertas que não significam algo importante, ou que você não vai agir sobre eles.
Não escreva seu baseline em pedra
O baseline é o registro da operação do seu ambiente digital em uma situação normal, ele é um registro importante para servir de base de comparação para a identificação de anomalias nos sistemas, ativos e usuários. Esse registro, no entanto, só é válido se acompanhar as evoluções do ambiente digital em si. Um novo ativo, segmento de rede e até aplicação pode alterar substancialmente os padrões de funcionamento de ativos, tráfego de rede e, por isso, devem refletir no baseline.
Teste, corrija, repita
A realização de simulações de incidentes de segurança e ataques cibernéticos vai colocar seu SIEM à prova e não há melhor maneira de comprovar se as regras e alertas estão bem calibradas e vão chamar a atenção para ação de cibercriminosos. Um pentest interno ou realizado por uma empresa terceirizada cumpre bem essa função, a simulação de ataque deve ser, idealmente, do tipo blackbox em que não há conhecimento sobre qualquer detalhe do ambiente da empresa testada, ou seja, os especialistas vão se comportar como cibercriminosos.
O SIEM é uma ótima ferramenta para detectar incidentes e mitigar ações maliciosas o mais rápido possível e, para isso, deve estar bem configurado. Como qualquer tecnologia, ele demanda atenção em processos e pessoas, além dos alertas e regras de funcionamento a equipe de segurança deve saber o que fazer quando os alarmes tocarem.
