Muitas empresas usam software de segurança e gerenciamento de eventos (SIEM) para ajudar a detectar atividades suspeitas em suas redes. No entanto, para ser eficaz, as organizações precisam cercar um SIEM com especialistas em segurança, casos avançados de uso, inteligência e processos comprovados para investigar e responder a ameaças.
Percepções erradas: por que instalar e não esquecer?
Uma vez que um SIEM coleta milhões de eventos de segurança por dia, a percepção equivocada mais comum é que ele irá identificar imediatamente os ataques e ofensas e fornecer insights significativos.
Muitos pensam “Oi, é por isso que eu comprei um SIEM!”
No entanto, um SIEM é apenas um kit de ferramentas. Um SIEM, infelizmente, só vem com conteúdo de linha de base incorporado, não é uma solução totalmente operacional de segurança cibernética, mesmo que um fornecedor experiente o instale.
As equipes de segurança de TI precisam desenvolver processos, regras de correlação e casos de uso continuamente para se beneficiar verdadeiramente de suas capacidades. Em suma, um SIEM não é estático – é um ambiente vivo e respiratório que precisa de manutenção e operação contínuas 24 horas por dia, 365 dias no ano.
HELP !! Estamos nos afogando em falsos positivos!
Você está experimentando um número incontrolável de alertas de alta prioridade? Isso pode ser uma indicação de que sua equipe de segurança de TI não possui casos de uso efetivos no local para suprimir alertas falsos ou encontrar cenários de ataque mais avançados. Portanto, o SIEM está fornecendo informações precárias que podem dificultar a filtro e a visibilidade de eventos de alta prioridade e relevantes.
Se uma empresa não tiver fluxo de trabalho operacional ou uma lista de escalonamento documentada, os analistas de segurança não terão uma cadencia de reprodução para validar alertas, integrar-se a outras fontes de ameaças para confirmar se o evento precisa ser endereçado e depois determinar o que fazer a respeito. Se as empresas não têm um processo de remediação claro, elas não estão prontas para responder de forma eficaz e, no pior caso, estão apenas tropeçando dentro da ferramenta, como se estivessem tentando encontrar o interruptor de luz em uma sala escura. Tudo, desde a realização da escalada, passando pela contenção até a resposta ao incidente, deve ser documentado e testado.
Encontre seu roadmap: Os dados devem fazer sentido
Enquanto um SIEM pode coletar e agregar uma ampla gama de informações, é necessário saber o que procurar para ter sucesso. Como qualquer solução de problemas baseada em computador, você deve informar ao computador qual a lógica a seguir para obter os dados desejados. Pergunte a si mesmo: quais dados eu preciso analisar para identificar ameaças potenciais? Em seguida, programe a lógica na ferramenta para que os filtros de dados identifiquem esses valores-chave; isso é classificado como um caso de uso. No mundo do SIEM, criar casos de uso é fundamental para o sucesso de qualquer implementação do SIEM. As empresas devem saber o que estão procurando, e quais os dados que estão sendo inseridos no sistema para avaliar a validade do que vai acontecer.
Um SIEM procurará tradicionalmente indicadores conhecidos de comportamento suspeito. Dependendo do caso de uso e correlações com outras variáveis, ainda pode exigir a supervisão e validação humana para confirmar que o alerta é legítimo. Por exemplo, um funcionário que normalmente trabalha no Brasil pode acessar um banco de dados da China. Embora isso possa parecer suspeito, pode ser legítimo. Em um centro de operações de segurança (SOC), os analistas geralmente procuram indicadores de atividade ruim que não se baseiam em um caso de uso estruturado. A busca de indicadores negativos desconhecidos é uma atividade importante para detectar ameaças persistentes avançadas (APTs). As análises avançadas ajudam um SIEM a procurar os indicadores desconhecidos com base em atividades suspeitas anteriores e riscos.
Para criar casos de uso efetivos, as equipes de segurança de TI precisam priorizar diferentes eventos de segurança, definir ativos críticos e considerar o contexto de negócios. A partir daí eles precisarão evoluir continuamente os casos de uso, pois os hackers usam novas formas de ataques. Este é um processo constante. Os casos que estão funcionando agora provavelmente não funcionarão em seis meses a um ano por causa da rapidez com que a paisagem da ameaça muda, assim como as tecnologias e logs. Normalmente, uma equipe de segurança precisará manter um mínimo de 50 casos de uso para modelar um SIEM para o ambiente de negócios.
Usando dados para manter a conformidade e passar nas auditorias
Além de identificar potenciais ameaças ou vulnerabilidades, um SIEM pode ser usado para gerenciar auditorias futuras e cumprir a conformidade com mais facilidade. Se as empresas falharem em uma auditoria, eles precisam descobrir onde há lacunas em suas políticas e processos de segurança e o que é especificamente necessário para atender a auditoria. As empresas também precisam entender como ser eficiente enquanto mantêm a conformidade.
Todos os regulamentos e frameworks de conformidade exigem que as empresas coletem registros de forma centralizada, monitorem ativamente esses logs e respondam ativamente aos indícios de ataques, comprometimento e violações das políticas. É aí que um SIEM vem. Muitas vezes, as empresas não conseguem organizar e documentar seus ativos, o que significa que eles perdem o contexto de existência de dados críticos em um servidor ou de comportamento apropriado para um dispositivo. Por exemplo, um hospital deve monitorar de perto os ativos que armazenam os dados do paciente e não esperam que os dispositivos médicos se comuniquem com endereços IP aleatórios fora de sua rede.
As empresas devem, em vez disso, avaliar quais regulamentos devem aderir e identificar os ativos, dispositivos, aplicativos e usuários que exigem uma revisão de conformidade. Para identificar vulnerabilidades e violações de políticas, as empresas precisam identificar os recursos que estão monitorando. Sem isso, é extremamente difícil criar controles em torno deles para identificar se houve um ataque direcionado a um bem específico.
Não é apenas o SIEM, é o processo
Não se trata apenas de gerenciar o SIEM, trata-se de gerenciar processos e casos de uso, descoberta de ameaças e resposta. As equipes de segurança de TI que continuamente criam e mantêm casos de uso e aplicam regras de correlação adequadas ao ambiente de negócios começarão a receber informações mais valiosas de seu SIEM para maximizar seu investimento na ferramenta. Da mesma forma, as organizações que definem o fluxo de trabalho operacional estão muito mais preparadas para gerir o ciclo de vida de um evento, desde a descoberta até a resposta, independentemente do software SIEM que a empresa tenha comprado.
Fonte: Helpnet Security
