O que é SIEM e como funciona?

/em

SIEM significa gerenciamento de eventos e informações de segurança e fornece às organizações detecção, análise e resposta de última geração. O software SIEM combina gerenciamento de informações de segurança (SIM – security information management) e gerenciamento de eventos de segurança (SEM – security event management) para fornecer análise em tempo real de alertas de segurança gerados por aplicativos e hardware de rede. O software SIEM compara eventos com regras e mecanismos analíticos e os indexa para pesquisa de subsegundos para detectar e analisar ameaças avançadas usando inteligência coletada globalmente. Isso dá às equipes de segurança uma visão e um registro das atividades no seu ambiente de TI, fornecendo análise de dados, correlação de eventos, agregação, relatórios e gerenciamento de log.

O software SIEM pode ter vários recursos e benefícios, incluindo:

  • Consolidação de vários pontos de dados
  • Painéis personalizados e gerenciamento de alerta de fluxo de trabalho
  • Integração com outros produtos

Como funciona o SIEM?

O software SIEM funciona coletando dados de log e eventos gerados por aplicativos, dispositivos de segurança e sistemas host de uma organização e reunindo-os em uma única plataforma centralizada. O SIEM coleta dados de eventos de antivírus, logs de firewall e outros locais, ele classifica esses dados em categorias, por exemplo: atividade de malware e logins com falha e bem-sucedidos. Quando o SIEM identifica uma ameaça por meio do monitoramento da segurança da rede, ele gera um alerta e define um nível de ameaça com base em regras predeterminadas. Por exemplo, alguém tentando entrar em uma conta 10 vezes em 10 minutos está ok, enquanto 100 vezes em 10 minutos pode ser sinalizado como uma tentativa de ataque. Desta forma, ele detecta ameaças e cria alertas de segurança. Os painéis personalizados do SIEM e o sistema de gerenciamento de eventos aumentam a eficiência da investigação e reduzem o tempo perdido com falsos positivos.

Capacidades e aplicativos SIEM

O SIEM possui uma gama de recursos que, quando combinados e integrados, oferecem proteção abrangente para as organizações. Também fica mais fácil e eficiente por ser reunido em um painel. O SIEM fornece segurança corporativa, oferecendo visibilidade corporativa – toda a rede de dispositivos e aplicativos.

O software permite que as equipes de segurança obtenham percepções do invasor com regras de ameaças derivadas da percepção das táticas, técnicas e procedimentos (TTPs – tactics, techniques and procedures) do atacante e indicadores conhecidos de comprometimento (IOC – indicators of compromise). Para fazer isso, ele usa vários feeds de inteligência de ameaças (informações organizadas e analisadas sobre ameaças atuais e potenciais) que complementam a detecção de ameaças.

O próprio elemento de detecção de ameaças pode ajudar a detectar ameaças em e-mails, recursos de nuvem, aplicativos, fontes externas de inteligência contra ameaças e terminais. Isso pode incluir análise de comportamento de usuário e entidade (UEBA – user and entity behavior analytics), que analisa comportamentos e atividades para monitorar comportamentos anormais que podem indicar uma ameaça. Ele também pode detectar anomalias de comportamento, movimento lateral e contas comprometidas.

Isso é semelhante ao componente de análise de segurança, que detecta anomalias nos dados para derivar a caça de informações para ameaças nunca vistas anteriormente.

O componente de regras gerenciadas permite que as organizações reajam quase em tempo real às técnicas mais recentes do invasor, com atualizações quase em tempo real dos analistas.

Depois que o software SIEM determina uma ameaça, vulnerabilidade, ataque ou comportamento suspeito, ele cria alertas para as equipes de segurança de uma organização para uma resposta imediata. Algumas versões do software incluem fluxo de trabalho e gerenciamento de caso para acelerar as investigações usando instruções de investigação passo a passo geradas automaticamente com pesquisas e ações a serem executadas. Os alertas SIEM também podem ser personalizados para atender às necessidades do usuário.

O gerenciamento de logs é um componente complexo do SIEM, composto por três áreas principais:

  1. Agregação de dados: reunindo grandes quantidades de dados de vários aplicativos e bancos de dados em um só lugar.
  2. Normalização de dados: o SIEM permite que todos os dados díspares sejam comparados, correlacionados e analisados.
  3. Análise de dados / correlação de eventos de segurança: Determinar sinais potenciais de violação de dados, ameaça, ataque ou vulnerabilidade.

O SIEM também oferece suporte a relatórios de alerta e conformidade. Ele ajuda as organizações a simplificar os relatórios de conformidade com painéis de dados para reter e organizar informações de eventos e monitorar o acesso de usuários com privilégios. Isso é importante porque a maioria das regulamentações industriais e governamentais (incluindo HIPAA) exige algum grau de compilação e normalização de log, e todas exigem relatórios.

Algumas soluções SIEM, por exemplo, FireEye’s, são baseadas em nuvem.

Casos de uso de SIEM

O SIEM tem muitos casos de uso no cenário moderno de ameaças, incluindo detecção e prevenção de ameaças internas e externas, bem como conformidade com vários padrões legais.

Uso de SIEM em conformidade

Regulamentações de conformidade mais rígidas estão levando as empresas a investir mais pesadamente em segurança de TI e o SIEM desempenha um papel importante, ajudando as organizações a cumprir os padrões PCI DSS, GDPR, HIPAA e SOX. Esses mandatos de conformidade estão se tornando mais prevalentes e colocam uma pressão cada vez maior na detecção e no relato de violações. Embora o SIEM tenha sido inicialmente usado principalmente por grandes empresas, devido à ênfase crescente na conformidade e na manutenção da segurança dos negócios, ele pode ser necessário para pequenas e médias empresas, porque regulamentações como o GDPR são aplicáveis ​​a organizações independentemente do seu tamanho.

Segurança IoT

O mercado de Internet das Coisas (IoT – Internet of Things) está crescendo. A Gartner previu que haverá 26 bilhões de dispositivos conectados em 2020. Mas com o progresso vem o risco, pois mais dispositivos conectados oferecem mais pontos de entrada para as empresas, porque assim que um hacker está em uma parte da sua rede por meio de um dispositivo conectado, ele pode acessar o resto com muita facilidade. A maioria dos fornecedores de soluções IoT fornece API e repositórios de dados externos que podem ser facilmente integrados às soluções SIEM. Isso torna o software SIEM uma parte essencial da segurança cibernética da sua empresa, pois pode mitigar ameaças de IoT, como ataques DoS, e sinalizar dispositivos em risco ou comprometidos como parte do seu ambiente.

Prevenção de ameaças internas

Ameaças externas não são as únicas coisas que tornam as organizações vulneráveis, ameaças internas representam um risco considerável, especialmente considerando a facilidade de acesso. O software SIEM permite que as organizações monitorem continuamente as ações dos funcionários e criem alertas para eventos irregulares com base na atividade ‘normal’. As empresas também podem usar o SIEM para conduzir o monitoramento granular de contas privilegiadas e criar alertas relacionados a ações que um determinado usuário não tem permissão para realizar, como instalar software ou desativar software de segurança.

Referencia: https://www.fireeye.com/products/helix/what-is-siem-and-how-does-it-work.html