Nas partes 1 e 2 desta série de posts, passamos pela SIEM e seu papel na realização de uma auditoria completa da sua rede. Agora que temos o básico fora do caminho, é hora de entrar nas coisas difíceis: atenuar ameaças de segurança. Afinal, em 2017 as ameaças cibernéticas foram desenfreadas. Você precisava estar em uma posição para combater as ameaças à segurança de sua empresa.
Primeiro, é importante entender como os atacantes são capazes de realizar os ataques. Os atacantes exploram vulnerabilidades em sua rede para tentar quebrar a sua segurança, os o primeiro passos na mitigação de ameaças está em detectar as falhas de segurança. Não é uma tarefa fácil, mas uma ferramenta SIEM pode dar uma mão.
A segunda coisa a entender sobre os ataques é que geralmente seguem um padrão, o que significa que você pode associar um conjunto de eventos a um tipo particular de ataque . Por exemplo, um ataque de força bruta , onde em um atacante tenta forçar o caminho em sua rede , terá vários logons fracassados quando o hacker tenta adivinhar uma senha. Quando se trata de ransomware, você estará analisando as criações de processo e principais mudanças nos sistemas afetados , bem como (várias) modificações de arquivo.
Correlação de eventos que ocorrem em sua rede
Falamos sobre “ contexto “ nas primeiras duas partes da serie de posts. A correlação de eventos significa associar ou vincular diferentes eventos que ocorrem em sua rede. Isso é necessário porque um evento individual que ocorre na sua rede pode não ter muito sentido por conta própria .
Por exemplo, em um ataque de senha, um invasor pode tentar criar uma conta de backdoor para quebrar ou mesmo derrubar sua rede . Ele pode incluir uma cadeia de eventos que começam com vários logons fracassados, seguido por um sucesso, seguido pela criação de uma nova conta privilegiada (ou uma escalada de privilégios). Agora, repetidos logons fracassados e criações de contas privilegiadas são, naturalmente, as coisas que você gostaria de acompanhar como um administrador , mas eles não dão-lhe informações sobre o ataque. Este é o problema que o mecanismo de correlação pretende resolver para que você possa descobrir instantaneamente ameaças e potenciais ataques em sua rede. O mecanismo de correlação da sua ferramenta SIEM pode detectar todo o padrão do ataque à medida que ocorre.
Tudo isso não significa nada sem alertas
A característica mais importante de uma solução SIEM são os alertas. Ser alertado quando os eventos de interesse de segurança ocorrer em sua rede é o objetivo final de SIEM. Imagine que um ataque DoS estava em andamento e você recebeu um alerta em tempo real para vários pedidos da mesma fonte. Uma solução SIEM não pode apenas alertá-lo para isso, mas também pode capacitá-lo a mitigar proativamente as ameaças executando automaticamente um script personalizado uma vez que os critérios de alerta sejam disparados.
Não é apenas sobre a implantação de uma solução SIEM, mas também sobre o gerenciamento adequado de alertas . Se você tiver mil alertas em sua caixa de e-mail a cada hora, há uma boa chance que perca um alerta que é realmente importante . Por exemplo, alguns alertas não são tão críticos quanto os outros e podem ser vistos em um relatório de auditoria, se necessário, enquanto outros – como aqueles para o ransomware – requerem atenção imediata.
A inteligência das ameaças também são importantes!
É importante integrar a sua ferramenta SIEM com a inteligência de ameaças. Se a sua ferramenta SIEM está integrada com uma alimentação de ameaça, ela garante que você previna com as ” ameaças inteligentes “, então você será alertado instantaneamente assim que qualquer fonte mal-intencionada conhecida tente interagir com um de seus sistemas . Correlação, alertas , e ameaças inteligentes se reúnem para colocar o seu centro de operações de segurança em posição de guarda e os bandidos para fora .
ACS Pro Revendedor Autorizado ManageEngine e Zoho no Brasil.
Fone / WhatsApp (11) 2626-4653.
