Os ataques cibernéticos evoluem a cada dia. Conceitos como ‘Malware as a service’ permitem que até mesmo hackers amadores usem software malicioso de alto nível para explorar organizações. Isso permite que os cibercriminosos obtenham lucros enormes sem o risco de implantar as explorações por conta própria. Esses ataques em grande escala fomentaram a necessidade de uma estrutura de segurança unificada nas organizações para proteção contra ameaças futuras.
No cenário de segurança cibernética, os primeiros provedores de ferramentas de gerenciamento de log evoluíram lentamente para fornecedores de soluções de gerenciamento de eventos e informações de segurança (SIEM). Isso deu início a uma nova fase na defesa cibernética. À medida que avançamos para um ambiente de trabalho remoto com um número maior de endpoints, podemos ver a complexidade e o volume dos ataques aumentando. As organizações precisam atualizar os recursos de detecção e resposta a ameaças de suas soluções de segurança.
A rápida evolução das ameaças cibernéticas
Desde o primeiro ataque cibernético em 1988, um incidente de negação de serviço distribuído, até os ataques mais sofisticados dos últimos tempos, os hackers se tornaram cada vez mais inteligentes.
Curiosidade: antes da era do computador, o equivalente a um ataque cibernético foi perpetrado contra uma rede de telégrafo em 1834. Os irmãos François e Joseph Blanc criaram uma maneira de hackear o sistema de semáforos, que o governo francês usava para transmitir dados sobre os movimentos do mercado em Paris bolsa de valores para as demais cidades do país. Os irmãos subornaram o telegrafista para incluir um conjunto específico de códigos nas mensagens habituais enviadas. Esses caracteres foram feitos para parecerem erros, mas na verdade continham informações críticas que apenas os irmãos Blanc poderiam decifrar.
Infelizmente, a maioria das organizações hoje está equipada apenas para proteger contra ameaças de geração anterior, como vírus e cargas úteis, deixando redes, data centers, recursos de nuvem e dispositivos de endpoint expostos a outros ataques.
Dica: entender como um ataque cibernético funciona é importante para evitar que ele ocorra. A série de vídeos sobre a estrutura da cadeia de mortes cibernéticas explica a abordagem usada pelos cibercriminosos para realizar um ataque.
Qualquer ferramenta de segurança é tão boa quanto a pessoa que a utiliza. A escassez de habilidades de segurança cibernética é um problema enfrentado por muitas organizações hoje. De acordo com o relatório de 2020 da ISACA, 70% dos entrevistados disseram que menos da metade de seus candidatos à segurança cibernética eram bem qualificados. As preocupações citadas incluíam a falta de experiência e conhecimento sobre o cenário atual de segurança cibernética.
Se você deseja defender sua rede de ataques, deve pensar como um hacker. Embora impedir ataques cibernéticos nem sempre seja viável, com uma forte estratégia de segurança e as ferramentas certas, é definitivamente possível detectar hackers em ação e conter um ataque em seu estágio inicial.
Dica: ferramentas de segurança cibernética como o Log360 implementaram a estrutura MITRE ATT&CK para detectar ataques com eficácia. Essas integrações também ajudam a construir um sistema de defesa eficaz, pois fornecem claramente a imagem das táticas, técnicas e procedimentos usados para realizar o ataque.
À medida que mais organizações adotam o trabalho remoto e a Internet das Coisas (IoT) continua a evoluir, haverá mais pontos de acesso para os criminosos cibernéticos aproveitarem. As soluções SIEM precisarão ser atualizadas para suportar as tecnologias avançadas que protegerão contra as crescentes ameaças.
A evolução do SIEM
Nos últimos anos, as organizações começaram a investir em ferramentas SIEM como sua linha de frente de defesa contra ataques cibernéticos. Inicialmente, essas ferramentas eram caras, difíceis de implementar e implantadas apenas por grandes organizações. À medida que o SIEM evoluiu, esses desafios foram resolvidos e os fornecedores agora se concentram em organizações de pequeno e médio porte para ajudar a protegê-las contra ameaças.
Vejamos como o SIEM se desenvolveu ao longo dos anos.
Ferramenta de Gerenciamento de Logs
As soluções SIEM em estágio inicial eram capazes de combinar recursos de gerenciamento de informações de segurança (SIM) e gerenciamento de eventos de segurança (SEM), que antes eram separados, mas forneciam recursos limitados de resposta e visualização de incidentes. As regras de detecção de ameaças precisavam ser definidas manualmente e eram limitadas às informações disponíveis aos analistas de segurança. Portanto, esses sistemas tradicionais baseados em regras não puderam se adaptar à crescente complexidade dos ataques, número de ameaças e fontes de dados. Limites estáticos foram definidos para as regras de correlação e, devido a isso, os sistemas geraram um número excessivo de alertas, exigindo análise manual de ameaças para eliminar relatórios falsos.
Esta nova variante do SIEM está agora mais madura e conta com novas capacidades como entidade do usuário e análise de comportamento (UEBA) – Indo além de regras e correlações, a UEBA aproveita o aprendizado de máquina para entender o comportamento dos funcionários e encontrar padrões irregulares. Isso ajuda a detectar as ameaças internas, que representam 60% dos ataques cibernéticos sofridos pelas organizações em 2020, um aumento de 47% em relação a 2018.
As equipes de segurança começaram a perceber que as regras de correlação padrão não eram adaptáveis quando vários falsos positivos as sobrecarregavam. A UEBA correlaciona vários fatores e utiliza técnicas de aprendizado de máquina (ML) para filtrar possíveis ameaças e alertar as equipes de segurança.
Inteligência de ameaças – Como profissionais de segurança, precisamos nos manter informados sobre os últimos indicadores de comprometimento (IoCs) para evitar ataques nos estágios iniciais. Os feeds de inteligência de ameaças contêm dados de ameaças gerados de várias fontes. Os dados são obtidos de domínios maliciosos conhecidos, IPs, geolocalizações e são atualizados em tempo real para fornecer novos conhecimentos sobre ameaças ao vivo e para identificar IoCs válidos.
Esses feeds podem ser integrados a outros dispositivos de segurança, como firewalls, para bloquear IPs maliciosos. Quando combinados com uma solução SIEM, esses feeds podem ser usados para correlacionar com eventos internos e gerar alertas.
Segurança, orquestração, automação e resposta (SOAR) – os SIEMs modernos são profundamente integrados aos sistemas da organização para acelerar a resposta a incidentes. O SOAR pode ser usado para automatizar táticas de ameaças comumente conhecidas e definir alertas e medidas de resposta, se detectados.
SOAR é comumente usado para detectar e-mails de phishing onde os metadados do e-mail suspeito são extraídos e correlacionados com feeds de ameaças externas. Se o limite for atingido, ações como bloquear os IOCs e excluir o e-mail das caixas de entrada de outras pessoas podem ser definidas para ajudar a neutralizar a situação.
Preparando-se com uma defesa em camadas
Existem muitas ferramentas, como prevenção de perda de dados (DLP), gerenciamento de endpoint unido (UEM) e agente de segurança de acesso à nuvem (CASB), que se especializam em proteger aplicativos específicos na rede de uma organização. Você pode usar qualquer uma dessas ferramentas com base em suas necessidades. Por exemplo, uma ferramenta UEM pode ser usada para atualizar ou rastrear o software usado em todos os dispositivos terminais em sua rede.
As equipes de segurança de hoje exigem uma solução que possa reunir diferentes recursos para evitar que um ataque interrompa a rede. Ao procurar uma solução SIEM, verifique se ela atende aos requisitos de uma defesa em camadas contra ataques cibernéticos e pode evoluir para lidar com novas ameaças.
-
Planos flexíveis e uma arquitetura escalável – os sistemas SIEM podem custar centenas e milhares de dólares. Uma solução ideal é um modelo de pagamento conforme o uso baseado em suas necessidades que oferece suporte a modelos híbridos, baseados em nuvem e no local.
-
Recursos abrangentes e orquestrais – Reúne diferentes recursos, como UEBA, SOAR, segurança em nuvem, DLP e gerenciamento de identidade federada (FIM), etc., em um pacote.
-
Relatórios de conformidade de suporte – oferece suporte a relatórios de conformidade prontos para uso para ajudar sua organização a atender aos requisitos regulamentares.
-
Inteligência de ameaças – extrai dados de ameaças e os correlaciona com os eventos de segurança interna.
-
Caça a ameaças – grava consultas que obtêm insights de dados brutos de log e para análise forense de log.
-
Arquivamento de log e proteção de dados – Recursos adicionais que protegem dados de log críticos para requisitos futuros durante análise forense e auditoria.
- Integração perfeita – Uma ferramenta SIEM moderna deve ter a capacidade de se integrar a determinadas ferramentas, como um componente de suporte técnico, para que os tickets possam ser gerados e atribuídos aos respectivos administradores.
- Visualização e análise de log avançadas – Exibe os logs visualmente em painéis e como gráficos.
Quer saber mais sobre uma solução SIEM e todos os recursos que elas possuem? Confira nossa série sobre o que é SIEM e todas as funcionalidades que podem ser exploradas através de uma solução de monitoramento de logs. Clique aqui e saiba mais.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Vijayaraghavan M.