Aprendizado e descoberta 3min de Leitura - 07 de outubro de 2021

Gerenciamento e Correlação de Eventos de Segurança (SIEM)

SIEM

This post is also available in: Português

Os diversos sistemas de segurança digital que uma empresa possui guardam muita informação. Afinal, coletam dados de todos os eventos relacionados à proteção, armazenando cada detalhe minuto a minuto. No final das contas, o volume de informação é tão grande que precisa de um sistema diferenciado para gerenciar esse conteúdo, que forma uma riquíssima base de conhecimento sobre a estrutura de segurança da empresa.

É neste momento que entra em cena o SIEM, uma sigla em inglês que significa Gerenciamento de Eventos e Informações de Segurança. Sistemas do tipo criam relatórios e alertas através de análises de eventos e dados de registros em tempo real. Assim, podem correlacionar eventos, identificar padrões, monitorar ameaças e responder a incidentes.

Nesse contexto, tudo entra no radar do SIEM, como logins bem-sucedidos e malsucedidos, atividade de malware e outras possíveis ameaças. A plataforma então envia alertas caso a análise mostre que existe determinada atividade contrária a um conjunto de regras pré-determinado, o que representa um potencial problema de segurança.

Existe também a possibilidade de configurar alguns sistemas para interromper certos ataques, orientando a reconfiguração de outros controles de segurança da empresa.

As vantagens do SIEM

Basicamente o SIEM atua em três frentes: agiliza a criação de relatórios, melhora a eficiência no tratamento de incidentes e os detecta de modo que seria impossível por meio de outras soluções. Por isso, chega em um determinado grau de organização que mostra uma visão completa dos eventos de segurança da empresa.

Isso acontece ao reunir dados de log dos sistemas de segurança, sistemas operacionais, aplicativos e outros componentes de software, podendo analisar grandes volumes de dados e então identificar ataques. Assim, pode-se afirmar que o SIEM identifica atividades maliciosas que nenhum outro método conseguiria, porque é o único controle de segurança com ampla visibilidade sobre toda a empresa.

Sua eficácia é tão alta que pode agilizar a criação de relatórios para conformidades de segurança como HIPAA, PCI DSS e SOX. Nesse sentido, maximiza a qualidade do tratamento de incidentes ao reduzir a utilização de recursos – permitindo respostas mais rápidas e ajudando a limitar os danos em eventuais ataques de cibercriminosos.

Local ou nuvem

As plataformas do tipo SIEM estão disponíveis de várias maneiras, podendo ser via software instalado em um servidor local, em forma de hardware, aplicação virtual ou mesmo em cloud computing.

É essencial ter em mente que cada uma dessas arquiteturas tem suas próprias vantagens e desvantagens, sendo que nenhuma é melhor ou pior do que a outra. Tudo vai depender da necessidade de cada empresa, que pode enxergar maiores benefícios em determinado meio em relação a outro por conta de características inerentes ao negócio.

Seja como for, um aspecto importante do SIEM é a forma como os dados de log são transferidos de cada sistema. Existem duas abordagens básicas, baseadas em agente ou sem agente. No primeiro caso, um agente é instalado em cada máquina que gera registros, sendo o responsável por extrair, processar e transmitir os dados para o servidor. Na segunda opção, o sistema que gera logs pode transmiti-los diretamente para a plataforma, ou pode haver um servidor de registro intermediário envolvido.

Para pequenos e grandes

As diversas opções de utilização do SIEM mostram que se trata de uma tecnologia bastante flexível e adaptável, o que o torna adequado para uso em empresas de todos os tamanhos e ramos.

Contudo, existia um estigma de associação a algo exclusivo de grandes empresas, com recursos de segurança avançadíssimos que nem sempre eram necessários em pequenos negócios. Porém, isso mudou. O próprio SIEM evoluiu para se tornar um componente de segurança importante para praticamente todas as empresas.

Além disso, o número de fontes de logs de segurança tem crescido, assim como a necessidade de visualizar e analisar essas entradas a partir de um único console. Sem mencionar a crescente quantidade de ataques cibernéticos, que atingem tanto grandes quanto pequenos negócios.

E mais: até mesmo pequenas e médias empresas podem precisar do SIEM para fins de compliance. Em alguns casos, é possível gerar automaticamente relatórios que fornecem evidências de adesão da organização aos requisitos de conformidade.

Por isso, levando em conta sua agilidade e precisão em automatizar relatórios de conformidade, detecção de incidentes e tratamento de incidentes, o SIEM é um diferencial que está se tornando uma necessidade para praticamente todas as empresas, ganhando relevância ainda maior com o advento da LGPD.

This post is also available in: Português