By Luizhenrique on 30th maio

“Dados! Dados! Preciso de dados! Não posso fazer tijolos sem barro!” Sherlock Holmes

“É um erro capital teorizar antes de ter os dados.” Sherlock Holmes

Em suma, um detetive só é bom se tiver dados para realizar uma investigação. Efetivamente, essa máxima vale para segurança da informação. Só temos sucesso na mitigação de riscos ou na investigação de incidentes se tivermos dados.

De forma prática, em um processo de investigação procuramos responder ao que chamamos de five Ws – “Who, What, Why, Where, and When” – Quem, O quê, Por que, Onde e Quando. Portanto, é extremamente importante a utilização de soluções que nos permitam capturar, armazenar e analisar as informações quando necessário.

Dentro da linha de produtos disponíveis no mercado, vamos destacar hoje o SIEM. Do inglês SIEM – Security Information and Event Management – é uma solução que permite que os eventos gerados por diversos ativos sejam coletados, normalizados, armazenados e correlacionados.

SIM e SEM de forma separada

SIM – Security Information Management:

Coleta de log, arquivamento, forense e relatório do passado

SEM – Security Event Management:

Coleta de log, normalização, correlação, agregação e relatório em tempo real

SIM + SEM = SIEM

Coleta de log

Normalização

Correlação

Agregação

Relatório

Soluções de SIEM são implementadas para entregar avaliação automatizada de riscos, mitigação de ameaças, detecção de fraudes, monitoramento de conteúdos, aplicações e atividades, conformidade, integração com ferramentas de gestão de negócios y otras cositas más. Porém, antes de implementar uma solução desta em seu ambiente corporativo, é preciso ter em mente que alguns pré-requisitos básicos devem ser respeitados para um melhor aproveitamento do produto.

  • Certifique de que todos os ativos são capazes de gerar mensagens de logs

  • Envie os logs através de um túnel criptografado para evitar que informações sensíveis sejam lidas por pessoas não autorizadas

  • Programe formas de controle de acesso, principalmente para evitar ataques de DoS – denial of servisse – negação de serviço

  • Sincronize a data e hora de todos os ativos através de um servidor de hora confiável

  • Programe políticas de armazenamento dos logs como, tempo de retenção, compactação e encriptação

  • Trate as exceções

Outro ponto importante é saber quais informações são realmente relevantes e devem ser mantidas em foco. Você não deve simplesmente enviar todos os logs de um ativo. Sendo assim, seguem algumas sugestões do que é crítico e deve ser olhado:

  • Autorização e autenticação

  • Alteração em sistemas e dados críticos

  • Atividades de rede suspeitas

  • Acesso a recursos importantes

  • Atividades de malware

  • Falhas ou erros críticos

Lembre-se: O excesso de logs pode trazer problemas de performance aos ativos, aumentar a carga de rede e tornar difícil a extração de informações.

Finalmente, de nada adianta toda essa parafernália tecnológica se não tivermos processos desenhados e pessoas treinadas para tratar de forma adequada os incidentes. Como exemplo, podemos citar o caso Target em que diversas ferramentas detectaram atividades suspeitas que foram completamente ignoradas pelas equipes de segurança.

There are no comments yet.

Leave a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *