Com o mundo se tornando digital e os ataques cibernéticos se tornando ferozes, a ciberdefesa eficaz é fundamental para pavimentar o caminho para a segurança. Seja a segurança dos dados de uma organização ou sua reputação, as técnicas corretas de defesa cibernética protegem tudo. Mas, para fazer isso, é essencial que as soluções de segurança, incluindo o SIEM, sejam atualizadas para serem equivalentes ou até superiores aos ataques cibernéticos cada vez mais sofisticados. E é para garantir a segurança da sua empresa que esse pequeno guia SIEM foi elaborado.
E você pode estar pensando agora: “O que é o SIEM e por que todos estão tão empolgados com isso?” Bem, sente-se e relaxe, e nós lhe diremos tudo o que você precisa saber. SIEM, em inglês pronunciado “sim”, significa Informações de Segurança e Gerenciamento de Eventos. O SIEM é uma solução de segurança cibernética centralizada e robusta que coleta, agrega, normaliza, categoriza e analisa dados de log. Em seguida, ele verifica os dados de log em relação a regras predefinidas e plataformas de inteligência de ameaças (TIPs) para detectar anomalias. Ele também alerta os analistas de segurança sobre quaisquer ameaças ou riscos potenciais à rede da organização.
Monitorar, detectar e responder a quaisquer ameaças ou potenciais ameaças são as principais responsabilidades do Centro de Operações de Segurança (SOC) de qualquer organização, e o SIEM é considerado o coração de cada SOC. Antes do SIEM existir, os SOCs dependiam do Gerenciamento de Informações de Segurança (SIM) e, em seguida, do gerenciamento de eventos de segurança (SEM). O SIM, também conhecido como gerenciamento de logs, envolvia coletar arquivos de log e armazená-los em um repositório central para análise posterior. Por outro lado, SEM envolveu monitoramento, coleta e processamento de dados em tempo real. O SIEM é uma combinação aprimorada de ambas as abordagens.
Capacidades
Os principais recursos de uma solução SIEM incluem coleta de logs, agregação de logs, análise, normalização, categorização, enriquecimento de logs, análises (incluindo regras de correlação, detecção de incidentes e resposta a incidentes), indexação e armazenamento. Então, sem mais delongas, vamos dar uma olhada no que tudo isso significa.
Coleta de registros (logs)
A coleta de registros (ou logs), como o nome sugere, é a coleta de dados de log de várias fontes na rede de uma organização. Você deve saber que integrar os logs e implantar sua solução SIEM não são tarefas fáceis. Use uma abordagem em camadas para integrar seus logs; a ordem na qual você os integra dependerá dos casos de uso importantes de sua organização. Aqui está uma maneira popular de sequenciar a coleta de logs no SIEM:
-
Registros de firewall de rede
-
Logs do dispositivo de segurança (sistema de detecção de intrusão e logs do sistema de prevenção de intrusão)
-
Logs de servidores, Windows e Linux
-
Registros de proxy da Web
-
Registros de segurança do endpoint
-
Servidor web e logs de aplicativos web
- Registros do banco de dados
- Registros do aplicativo
Em cada etapa de sua integração, certifique-se de fazer testes suficientes para saber se seus logs estão sendo integrados adequadamente à solução SIEM.
Observe também que o método de coleta de log pode ser baseado em agente ou sem agente. A coleta baseada em agente envolve um agente, como Windows Server, NXLog ou OSSEC, coletando, analisando e encaminhando os dados de log de cada dispositivo para o servidor SIEM. A coleta sem agente envolve os dispositivos, como switches, host do provedor WMI e ambientes de nuvem (APIs), enviando os logs para os servidores.
Agregação de registros (logs)
Nesse processo, informações relevantes são extraídas dos dados de log coletados e armazenadas em um formato facilmente legível, pesquisável e explorável por sua solução SIEM. A maneira mais comum de obter logs é o formato syslog, que é um protocolo de log padrão que pode ser facilmente consultado pela solução. Atualmente, a maioria das soluções SIEM são pré-criadas para entender o formato syslog. Depois que os syslogs e outros logs são trazidos para o SIEM, a agregação de log é feita para extrair informações significativas.
Análise (Parsing)
Para entender essa análise – em inglês chamada de parsing -, você precisa saber que, mesmo em dados de log não estruturados, ainda haverá padrões que podem aparecer em intervalos diferentes. Um analisador, que é um componente de software, pega dados de log não estruturados em um formato específico e os converte em dados legíveis, relevantes e estruturados. Você pode usar vários analisadores para sistemas diferentes, dependendo do volume de dados.
Normalização
Esse processo envolve a mesclagem de eventos diferentes com dados diferentes, reduzindo o volume de dados de log ao mínimo com atributos de eventos comuns (como nomes ou valores de campos comuns) e colocando-os em um formato que sua solução SIEM entenda.
Categorização
Isso envolve classificar os dados e atribuir categorias com base em eventos (como operação local, operação remota, eventos gerados pelo sistema ou eventos baseados em autenticação) e se uma reinicialização foi necessária.
Enriquecimento de log
Isso se refere à adição de outros detalhes essenciais, como geolocalização, endereço de e-mail e sistema operacional usado, aos dados brutos de log para torná-los mais relevantes e significativos.
Análises
Uma solução SIEM monitorará e analisará continuamente os dados recebidos para procurar sinais de anormalidades, vulnerabilidades e ameaças que possam comprometer a segurança da rede da sua organização e resultar em violações de dados. Dependendo da solução SIEM que você usa, os recursos serão diferentes. No caso do SIEM tradicional, sua solução detectará e alertará você sobre ameaças com base apenas em regras predefinidas, enquanto uma solução SIEM integrada à IA também poderá detectar e alertar você sobre anomalias no comportamento do usuário e até mesmo ajudar a evitar ataques zero-day.
Para melhor identificar eventos e detectar ameaças, a análise de dados é feita com a ajuda de um mecanismo de correlação, um TIP e, no caso de SIEM integrado à IA, análise de comportamento de usuário e entidade (UEBA). Você precisa saber o que são para entender como eles protegem a segurança da rede da sua organização.
-
- Mecanismo de correlação: Este é um recurso central encontrado em todas as soluções SIEM. Um mecanismo de correlação identifica ameaças e alerta os analistas de segurança com base em regras de correlação predefinidas ou personalizadas. Por exemplo, você pode definir regras para alertar o analista de segurança se houver um pico anormal no número de alterações de extensão de arquivo e para alertar o administrador do sistema se uma pessoa tiver oito falhas de login consecutivas em um minuto, e a solução executará essas ações adequadamente.
- TIP: Esse é um recurso importante que ajuda a identificar e proteger contra a maioria das ameaças conhecidas e identificadas à segurança de uma organização. Você pode dizer que um TIP potencializa a inteligência de uma solução SIEM em geral. Um TIP fornece feeds de ameaças que fornecem informações essenciais, como indicadores de comprometimento, os detalhes dos recursos de um invasor conhecido e os endereços IP de origem e destino. Você pode integrar feeds de ameaças em sua solução por meio de uma API, ou sua solução pode ter seu próprio TIP ou pode se conectar a um TIP separado alimentado por diferentes feeds.
- UEBA: UEBA emprega técnicas de IA e ML para detectar ameaças internas. A UEBA faz isso monitorando e analisando constantemente o comportamento de cada usuário e, se houver algum desvio do normal, ele o registra, atribui uma pontuação de risco e alerta um analista de segurança. O analista pode então determinar se é um evento isolado ou parte de um ataque maior e responder de acordo.
Indexação
Um índice é criado com base em dados de log com atributos comuns para consulta ou exploração mais rápida e eficaz por um analista de segurança. Por exemplo, quando um analista deseja descobrir quais processos foram executados por um determinado usuário, ele pode consultar ou navegar pelo índice e obter os resultados instantaneamente.
Armazenamento
Dependendo dos mandatos de conformidade que sua organização deve cumprir, das políticas internas da organização, da necessidade de dados históricos e dos casos de uso de segurança, os dados dos logs podem ser armazenados pelo tempo que você precisar.
Com base nos recursos que sua solução SIEM possui, você pode alertar sua equipe de segurança sobre quaisquer eventos de segurança, ameaças e vulnerabilidades ou pode automatizar os fluxos de trabalho de resposta.E com isso, pessoal, a aula teórica está oficialmente encerrada. Daqui em diante, analisaremos os benefícios do SIEM com exemplos reais de onde sua solução SIEM pode ser útil e insights sobre o que pode torná-la ainda melhor.
Benefícios
Você já deve ter deduzido a maioria dos benefícios que o SIEM pode conferir à sua organização. Vamos apenas expandi-los um pouco mais para garantir a clareza. Se a sua solução SIEM tiver recursos de ML, ela poderá fornecer benefícios como melhor detecção e mitigação de ameaças, resposta mais rápida a incidentes, gerenciamento de conformidade mais eficiente e busca de ameaças mais eficaz.
Quando se trata de detecção de ameaças, uma solução SIEM integrada à IA com sua capacidade inata de aprender pode até identificar vulnerabilidades anteriormente desconhecidas (ou seja, vulnerabilidades de dia zero) e pontos cegos que se tornarão problemas quando sua organização crescer. A IA também pode priorizar alertas com base na ordem de criticidade, o que não apenas economizará tempo para os analistas de segurança, mas também garantirá uma resposta mais rápida a incidentes e melhor segurança e recuperação de dados. Isso reduzirá a incidência de falsos positivos, permitindo que seus analistas se concentrem nas ameaças que exigem atenção.
As organizações também são obrigadas a cumprir regulamentações como HIPAA, GDPR, SOX e PCI DSS. Para isso, eles precisam atender a vários critérios que envolvem o monitoramento contínuo de dados de log, tráfego de rede, ameaças e vulnerabilidades, atividades não autorizadas, acesso de funcionários a dados e alterações de credenciais e políticas de dados. Sua solução SIEM pode alcançar tudo isso e gerar relatórios de auditoria específicos para ajudá-lo a atender aos requisitos.
Ataques cibernéticos
Para ajudá-lo a entender por que sua organização precisa de uma solução SIEM, daremos alguns exemplos de crimes cibernéticos da vida real e mostraremos como sua organização pode ser vítima deles se deixar seus dados sem segurança.
-
Instituto Ortopédico da Flórida
Em 9 de abril de 2020, o Instituto Ortopédico da Flórida (FOI), um dos maiores provedores ortopédicos do estado, descobriu que havia se tornado vítima de ransomware quando sua equipe não conseguiu acessar os arquivos dos pacientes, que haviam sido criptografados por hackers. O FOI contratou especialistas forenses terceirizados para ajudar na investigação. Em 6 de maio, os especialistas determinaram que os invasores acessaram e potencialmente exfiltraram dados confidenciais, incluindo nomes, datas de nascimento, números de previdência social, códigos de diagnóstico, números de identificação do pagador, valores de pagamento, localizações de médicos e números de identificação de planos de seguro de cerca de 640.000 pacientes!
Embora o FOI tenha conseguido recuperar os dados, isso não nega o fato de que as informações de identidade pessoal de seus clientes caíram em mãos erradas. Em reconhecimento, o FOI ofereceu monitoramento de crédito gratuito e proteção contra roubo de identidade para seus clientes afetados por um período de um ano. Isso, no entanto, não impediu que o instituto fosse processado por negligência e falha em proteger as informações de saúde dos pacientes; e agora enfrenta uma ação coletiva por este incidente.
-
Nippon Telégrafos e Telefones
Em 7 de maio de 2020, a maior empresa de telecomunicações do Japão, a Nippon Telegraph and Telephone (NTT), sofreu uma violação em seu servidor de produção em Cingapura. Os hackers usaram esse ponto de entrada como um trampolim para obter acesso a um servidor em nuvem localizado no Japão. Eles então se moveram lateralmente para um servidor interno antes de finalmente obterem acesso ao servidor Active Directory (AD) da empresa.
Os hackers carregaram os dados roubados do servidor AD para um servidor remoto. A NTT detectou o ataque em 11 de maio e imediatamente tomou medidas para mitigá-lo. No entanto, foi descoberto que os hackers já haviam roubado os dados de até 621 de seus clientes.
Estes são apenas dois exemplos de como os ataques cibernéticos podem custar não apenas dinheiro, mas também reputação. Existem muitas maneiras diferentes para os cibercriminosos atacarem organizações, mas phishing, malware e ransomware são os mais comuns.
Integrações
Agora você sabe por que precisa de uma solução SIEM. Mas se sua organização for enorme e tiver um SOC correspondente, e seus analistas de segurança estiverem se afogando em uma enxurrada de ameaças e alertas de segurança, além de suas próprias responsabilidades diárias, então integrar a orquestração, automação e resposta de segurança (SOAR) com sua solução SIEM pode ser o caminho a percorrer.
Assim como o SIEM, o SOAR também é um tópico de tendência em segurança cibernética. Inicialmente, os técnicos acreditavam que o SOAR poderia substituir o SIEM, mas agora os especialistas concordam que a integração das plataformas SIEM e SOAR aumentará a segurança das organizações e a eficiência dos SOCs.
O SOAR compartilha algumas semelhanças com o SIEM, mas fornece detecção e resposta a incidentes mais rápidas. Isso se deve à sua capacidade de automatizar respostas com base em eventos e sugerir recomendações a analistas com base em inteligência de ameaças. Assim que um analista seleciona o melhor curso de ação, o SOAR o executa automaticamente e contém rapidamente a ameaça.
SOAR oferece um local central para pesquisa, investigações e inteligência. Ele pode padronizar as melhores práticas e também reduzir tarefas repetitivas e, portanto, erros humanos. A melhor parte do SOAR é que ele pode ser integrado ao seu SIEM e TIP. Contudo, por mais ideal que pareça, antes de tomar a decisão de implementar o SOAR, você deve considerar fatores como as necessidades reais do seu SOC, a complexidade da configuração do SOAR e os enormes custos de implementação que você incorrerá.
Você deve saber que o SIEM também será um investimento significativo para sua organização, tanto em termos de dinheiro quanto de segurança de dados. Portanto, se você estiver procurando por uma solução SIEM que possa fortalecer a segurança de dados da sua organização, confira o ManageEngine Log360, uma das soluções SIEM mais populares. Escolha com sabedoria e proteja seus dados extensivamente, caso contrário… As consequências podem ser terríveis. Obrigado por ler, pessoal!
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Hiranmayi Krishnan.
