fbpx

SIEM, o gerenciamento dos eventos de segurança

SIEM

SIEM, o gerenciamento dos eventos de segurança

Você já ouviu falar no SIEM? O Security information and event management ou Gerenciamento de eventos e informações de segurança é um gerenciador de logs utilizado para segurança da informação na sua empresa. 

Baixe agora mesmo o E-book gratuito

Segurança de dados para empresas

 

O gerenciamento da segurança de informação nas empresas passa pela instalação de antivírus, proxy, firewall e IDS (Intrusion Detection Sytem). Se sua empresa possui diversos sistemas gerando logs, é fundamental monitorar, controlar e gerenciar esses logs e alertar. Nesse momento, entra o SIEM. 

 

Leia também: Gargalos em redes corporativas, como evitá-los e boas práticas de engenharia de tráfego

 

Origem do SIEM

O termo SIEM surgiu em 2005 e foi criado por Amrit Williams da Gartner e Mark Nicolett para descrever o sistema capaz de apresentar, coletar e analisar dados de softwares de controle de acesso, dos dispositivos de segurança de rede, logs de sistema operacional, ferramentas de conformidade, bancos de dados, gerenciamento de vulnerabilidade e informações de ameaças externas.

 

Mas afinal, o que é o SIEM?

Muitos sistemas de serviços ou produtos recebem orientação de deter determinados tipos de ataques. Para isso, eles reconfiguram outros controles de segurança na empresa. 

A ferramenta SEM (security event manager) agrega, coleta dados e monitora os eventos de segurança, em tempo real com o objetivo de oferecer monitoramento de ameaças. Já o SIM (security information management) fornece uma análise história e correlaciona esses mesmos eventos, permitindo consultas mais complexas. 

O SIEM é um software que mistura SEM e SIM. Essa solução permite que os eventos gerados pelos diversos aplicativos de segurança sejam coletados, armazenados e normalizados. 

Grande parte das empresas que usam o SIEM, aplicam o software para detecção de incidentes, conformidade de segurança e visão ampla das atividades no ambiente de TI. Com isso, aumenta o valor potencial da tecnologia. 

 

Leia também: Monitoramento de segurança de redes, como ele pode prevenir ataques em sua empresa

 

Há mais de 10 anos, essa tecnologia já existe e continua em evolução. Quando o monitoramento e a análise dos logs acontecem em tempo real, eles fornecem subsídios para problemas atuais e no futuro. As principais necessidades regulatórias que precisam ter seus logs monitorados e auditados são: PCI DSS, HIPAA, GRPR, SOX, entre outras. 

O software SIEM obtém dados de diferentes servidores como Unix, Linux, Windows, firewalls, bancos de dados, roteadores de rede etc. Seu maior desafio é essa variedade de formatos de logs. 

Por se tratar de logs de sistemas diferentes são gerados bilhões de eventos. Por isso, é tão difícil encontrar, coletar e analisar dados relevantes com tanta variedade. Quando ocorre uma violação de segurança, seja ela interna ou externa, encontrar a origem da violação e o que foi acessado faz grande diferença para solucionar os problemas. 

 

Vantagens do SIEM

Os produtos e serviços SIEM são disponibilizados por meio de hardware, softwares instalados em servidor local, serviço em nuvem e aplicação virtual. Independente do meio, o SIEM serve para dois propósitos: auxiliar na mitigação, detecção e análise dos incidentes de segurança e fornecer relatórios para melhor organização e segurança na empresa. 

As principais vantagens do SIEM são:

  • Suporte de mecanismos afim de mitigar e conter os eventos de segurança de forma automática;
  • Coleta e armazenamento de dados massivamente;
  • Proteção dos dados de registro dos eventos para evitar destruição ou alteração;
  • Processo e normalização dos logs de diferentes fontes;
  • Permissão e visualização de dados e eventos;
  • Correlacionamento dos eventos de fontes de dados diferentes, como objetivo de transformar dados em informações úteis;
  • Acesso em tempo real de maneira consistente e centralizada, em relação a todos os logs e eventos de segurança, independentemente do tipo de fabricante e tecnologia;
  • Emissão de relatórios detalhados e sofisticados sobre as condições de segurança dos ambientes de TI;
  • Indexação e retenção de dados a longo, o que possibilita uma análise forense ou auditoria posterior;
  • Notificações e alertas emitidos automaticamente, quando há alguma não conformidade de acordo com as políticas de segurança ou normas regulatórias. 

 

Como funciona o SIEM

Um dos aspectos mais importantes do software SIEM é de que forma os dados de log são transferidos de cada sistema.

Há duas abordagens para essa transferência: baseado em agente ou sem agente. Quanto a transferência desses logs é feita baseada em agente significa que um agente é estabelecido em cada máquina que gera os registros. Esse agente é o responsável para realizar a extração, o processamento e a transmissão dos dados para o servidor. 

A transferência sem agente representa que o sistema responsável por gerar logs, também é encarregado pela transmissão direta desses logs para o sistema. Também pode existir um servidor de registro intermediário, conhecido como servidor de syslog. 

Boa parte dos produtos fornecem os dois tipos de abordagens, pois acomoda o maior número possível das fontes de log. 

A execução do SIEM na sua empresa conduz a duas metas principais:

  1. O envio de alertas, caso haja alguma atividade fora das regras predeterminadas, caracterizando um possível problema de segurança.
  2. Fornecimento de relatórios sobre eventos e incidentes relacionados à segurança, como falhas, atividades de malware, logins bem-sucedidos, e outras tarefas mal-intencionadas. 

 

Diferença entre SIEM e SOAR

O SIEM identifica ameaças de diferentes fontes, analisa dados agregados em tempo real e ranqueia os eventos de segurança por ordem de criticidade. Dessa forma, já há alguns anos, o SIEM já faz parte da realidade das empresas. 

Em contrapartida, o SOAR – Security Orchestration Automation and Response ainda é uma novidade para as empresas. O SOAR vai além de agregar dados de segurança de fontes diferentes, ele também agrega informações de fontes externas como feeds de inteligência de segurança. Com isso, o sistema SOAR conta com uma visão mais ampla de todo cenário de segurança, tanto dentro quanto fora da rede corporativa. 

Além disso, o SIEM provê apenas o alerta dos eventos de segurança. Cabe ao gestor escolher o caminho da investigação. Já o SOAR automatiza esse caminho e reduz o tempo gasto com os alertas significativamente.

No entanto, o custo de implantação do SIEM é mais barato do que o SOAR. 

Mas uma coisa é certa, as empresas sentem cada vez mais a necessidade de melhorar o gerenciamento dos eventos de Segurança. Isso tem impulsionado o mercado de SIEM que cresce a cada ano no Brasil.

 

A Everest Ridge tem soluções de segurança e monitoramento que podem resolver grande parte dos problemas tecnológicos de sua empresa. Entre em contato conosco!

Deixe uma resposta