SIEM: Dado não é informação
Produtos de SIEM (Security Information Management e Security Event Management) já não são novidade há quase 10 anos - assunto vasto e muito discutido, tanto no meio acadêmico quanto nas grandes corporações.
O ponto em questão é que os dados fluem nos sistemas computacionais e geram registros dos mais variados: de um mainframe na nuvem à cafeteira na copa da empresa. Isso mesmo! Para algumas empresas nos Estados Unidos até os dados de uso da cafeteira são utilizados para medir a saúde e hábitos de seus colaboradores. Em suma, depende do que o negócio precisa entender e controlar. E no caso de segurança, proteger.
Podemos encontrar muitos dados importantes nos registros de equipamentos e de qualquer ativo de informação. Porém, para se extrair a informação é necessário identificar padrões, criar perfis e aplicar, posteriormente, correlações para a descoberta de anomalias, tendências e comportamentos, a fim de determinar desvios.
Para tanto é necessário entender de onde se deve extrair a informação e qual valor ela possui para a organização. Nestes dias de ataques persistentes, entender taticamente um ambiente de modo a identificar, mitigar e erradicar atacantes é fundamental, mas, de fato, pouca gente entende a relevância dos registros, ou seja, a informação contida nos dados.
Analisar dados no âmbito de se obter informação também não é novidade. Há mais de 20 anos analistas financeiros usam ferramentas de Data Mining e sistemas de Business Intelligence para determinar crédito, apoiar decisões de negócio e analisar mercados. Em suma, obter informações e a partir delas tomar decisões rápidas e estratégicas baseadas em dados escolhidos de fontes relevantes.
Os conceitos de BI e SIEM são bem parecidos e, em ambos os casos, busca-se determinar exposição, riscos, ganhos e perdas. No caso do SIEM não estamos falando de ganhar dinheiro e, sim, salvá-lo. Do mesmo modo que sistemas de BI precisam de analistas para interpretar as informações e tomar decisões de negócio, um sistema de SIEM também necessita de analistas de segurança para observarem e interpretarem as informações para que possam responder a um incidente de segurança rapidamente sem grandes perdas.
Sistemas mais modernos de SIEM não são determinísticos (não usam “sim” ou “não”) mas trabalham mais próximos da lógica humana e fazem correlações baseadas em possibilidades e probabilidades, ou seja, focam em analisar os desvios.
Assim como um analista financeiro estuda os mercados e suas fontes de dados importantes, o analista de segurança deve analisar de quais ativos de valor é necessário extrair dados e posteriormente processar os mesmos atrás de inteligência no que tange a segurança da informação. Para que o SIEM de fato traga a Inteligência (Estratégica, Tática e Operacional) é necessário que os dados dos ativos possuam valor para a detecção, a triagem e a análise para acelerar a resposta a um incidente.
Outra coisa importante a salientar é que a correlação de logs é o principal objetivo de um SIEM. Porém, os ativos que serão analisados realmente devem possuir a informação necessária para que a reação e a tomada de decisão em um incidente de segurança seja feita no menor tempo hábil possível e com precisão. De forma nenhuma ter um SIEM exclui a necessidade da interpretação humana. Um incidente deve ser analisado por um profissional de segurança que seja apto a validar uma determinada situação dentro da organização.
Muitas implementações de SIEM podem ser frustrantes por terem apenas a preocupação de estarem aderentes a normatizações (reter logs) ou pensar que o papel do analista de segurança será feito por um sistema. Não focar nos principais objetivos de um sistema de SIEM resulta em interpretações errôneas (às vezes míticas) do que um SIEM de fato é e o que ele pode trazer de valor. Um sistema de SIEM é uma ferramenta para o profissional de segurança ganhar tempo, obter informação relevante e diminuir o tempo de resposta a um incidente de segurança.
Entender o ambiente no qual o SIEM será inserido é primordial em projetos desta natureza. Saber posicionar a ferramenta de modo a coletar dados dos ativos certos e obter o máximo de informações com pensamento tático é o que proporcionará a detecção de anomalias em um ambiente e isto de fato acelera o processo para mitigar e erradicar ataques persistentes.
Vale lembrar que dado não é informação e que sistemas de SIEM são ferramentas para complementar e apoiar processos de resposta a incidentes dentro de uma organização. Sempre é necessário que o profissional de segurança saiba extrair informação dos dados contidos nos ativos e use a inteligência da ferramenta com uma visão tática e estratégica de suas fontes de dados. O SIEM é tão bom quanto a inteligência que se coloca nele.