Adotando uma Solução SIEM, parte 1: Por que escolher o SIEM?

As ameaças de segurança estão em alta e os métodos de ataque dos hackers estão se tornando mais sofisticados a cada dia.

De acordo com o recente Relatório de Violação de Dados da Verizon, “68% das violações levaram meses ou mais para serem descobertas, embora 87% das violações examinadas tivessem dados comprometidos em poucos minutos ou menos do ataque ocorrido”.

Isso significa que os invasores estão usando técnicas que passam despercebidas pelos centros de operações de segurança (SOCs). Em muitos casos, as violações de dados são detectadas por um terceiro que notifica o negócio; o negócio então encomenda uma investigação forense. Embora um número considerável de ataques leve muito pouco tempo para roubar dados específicos, o método de invasão, os movimentos laterais dentro da rede e a rota pela qual os dados são roubados são escavados apenas alguns meses depois. Por esta altura, os dados desapareceram há muito tempo.

Esses ataques deixam rastros, mesmo que o SOC não consiga conectar os pontos. Com o advento de mandatos rígidos de conformidade, como o Regulamento Geral de Proteção de Dados (GDPR) e o Ato de Proteção de Informações Pessoais (POPIA), o cenário de segurança de TI está mudando. As organizações estão procurando soluções que detectam e resolvem incidentes antes que se tornem críticas, e as soluções de gerenciamento de eventos e informações de segurança (SIEM) são a melhor maneira de fazê-lo.

Três razões pelas quais você precisa de uma solução SIEM:

• Visibilidade em profundidade dos incidentes de rede:  É provável que você esteja usando um punhado de soluções de segurança em sua rede. Essas soluções variam de firewalls, IDS / IPS, verificadores de vulnerabilidades, aplicativos antivírus e anti-malware e assim por diante. O que você precisa é de uma visão consolidada de todos os eventos de segurança que ocorrem em sua rede, para que você possa facilmente conectar informações discretas que indicam um possível ataque. Uma solução SIEM coleta dados de log de toda a rede, extrai informações significativas desses registros, correlaciona diferentes eventos para detectar padrões de ataque e ajuda a pesquisar dados de log para análise de causa raiz, fornecendo visibilidade detalhada do que está acontecendo em sua rede. Isso ajuda a evitar ou conter ataques de segurança o mais rápido possível.
• Auditoria contínua é a chave:  quando se trata de detectar e conter ataques de segurança, você nunca deve configurá-lo e esquecê-lo. Embora você defina políticas de segurança críticas, como regras de firewall, listas de controle de acesso, permissões de associação a grupos e assim por diante, você precisa observar constantemente quaisquer alterações nessas configurações. Uma solução SIEM oferece relatórios regulares que ajudam você a auditar continuamente os eventos para validar a imposição de políticas e detectar alterações críticas de configuração ou comportamentos incomuns dos usuários para manter as ameaças sob controle.
• Orquestração de segurança: as organizações usam várias soluções para facilitar suas operações de TI. Por exemplo, o software help desk é usado para lidar com solicitações de TI e operações de rede. Uma solução SIEM deve integrar-se a essas soluções para tornar as operações de segurança tão eficientes quanto possível. A integração com soluções de help desk aumentará a velocidade da resolução de incidentes e garantirá a responsabilidade.

Na segunda parte desta série, discutiremos os critérios que você considera ao escolher sua solução SIEM.