Definição: SIEM - sigla para Security Information and Event Management é a combinação dos recursos do SIM (Security Information Management) com o SEM (Security Event Management).
O Sistema SIM coleta dados num repositório centralizado para a realização de análises de tendências,possibilitando a geração de relatórios automatizados para a análise de conformidade. Já o Sistema SEM centraliza o armazenamento e a interpretação de logs permitindo análises (quase em tempo real) pela equipe de segurança da empresa, possibilitando ações defensivas mais ágeis.
A solução SIEM centraliza as funcionalidades do SEM+SIM em uma única base de dados, permitindo importantes análises, disparos de alertas de segurança e extração de relatórios. Ele coleta, armazena e analisa uma grande variedade de informações de segurança, como por exemplo: eventos de autenticação, eventos de antivírus, eventos de auditoria, eventos de intrusão, de redes, de hosts, de aplicações críticas, entre outros.
Atualmente, qualquer empresa, seja ela de pequeno, médio ou grande porte, possui um grande tráfego de rede: e quanto maior o tráfego e a complexidade da rede maior serão os problemas de ameaça e conformidade para a empresa. Esse cenário exige análises, disparos de alertas, correlações de logs e auditorias em tempo real que somente a tecnologia SIEM e uma equipe especializada 24x7 podem realizar.
Os principais benefícios do SIEM são:
1) Detecção de incidentes:
Muitos hosts que registram eventos de segurança não possuem recursos internos de detecção de incidentes, como, por exemplo, notebooks e desktops. Esses dispositivos não possuem a capacidade de identificar atividades mal-intencionadas e, em alguns casos, apenas conseguem alertar quando ocorre um determinado tipo de evento.
Através do SIEM, os eventos desses dispositivos e de todos os outros da empresa são correlacionados possibilitando uma visualização completa do ambiente da organização e identificação de ataques vindos de diferentes direções.
Ele também têm a capacidade de tentar parar os ataques detectados enquanto estes ainda estão em andamento. Para isso, o SIEM se comunica com outros controles de segurança da empresa ( como firewalls) e os orienta para alterarem suas configurações e, dessa forma,bloquear a atividade mal-intencionada. Essa ação impede que os ataques sejam bem-sucedidos e que, muitas das vezes, se quer foram notados pela empresa.
2) Melhoria na eficiência do tratamento de incidentes:
O SIEM possui uma única interface de visualização de todos os dados de log de segurança dos hosts, permitindo que a equipe de segurança:
Um tratamento de incidentes mais eficiente gera economia no tempo, reduz a utilização de recursos e acelera a contenção de incidentes minimizando a quantidade de danos ao ambiente da organização.
3) Otimização de relatórios de conformidade:
Muitas empresas precisam estar em conformidade com uma (ou mais) de Norma de Segurança, como por exemplo: HIPAA – Health Insurance Portability and Accountability Act; PCI DSS – Payment Card Industry Data Security Standard; SOX - Sarbanes-Oxley Act; FISMA – Federal Information Security Modernization Act ou GLBA – Gramm-Leach-Bliley Act.
Para tanto, o SIEM possui relatórios em conformidade com tais normas possibilitando às empresas economia no tempo e nos seus recursos para atendê-las.
Trilhões de logs processados
Para uma empresa de médio porte, um SIEM corretamente configurado chega a processar acima de 1 bilhão de logs por mês. Desse processamento são gerados aproximadamente 10.000 alertas após a correlação de logs, resultando numa média de 300 incidentes de segurança ao mês. As quantidades variam de empresa para empresa mas, ainda assim, são surpreendentes e preocupantes para àquelas empresas que decidem gerir tal tecnologia internamente.
Mas para que o SIEM monitore adequadamente o ambiente as regras de correlação de logs são de extrema importância! O SIEM não é uma ferramenta plug and play. É necessária a criação de regras customizadas para atender ao ambiente da empresa. Para tanto, acriação dessas regras deve ser a “quatro mãos”: um analista expert em desenvolvimento de regras no SIEM e um analista que tenha profundo conhecimento da topologia e do negócio da empresa.
E assim como o cibercrime é dinâmico, a manutenção de tais regras devem seguir o mesmo comportamento. Quanto mais as regras de correlação de logs se adequarem ao ambiente da empresa mais eficiente será seu monitoramento, menos falso-positivos serão gerados liberando a equipe para atuação no que é realmente importante eprioritário para a empresa.
Considerando todas características apresentadas, não é difícil conluir: a tecnologia SIEM vale quanto processa!