色控传媒

SIEM significa gerenciamento de eventos e informa??es de seguran?a. Na prática, as solu??es de software SIEM combinam os benefícios do gerenciamento de informa??es de seguran?a (SIM, Security Information Management) e do gerenciamento de eventos de seguran?a (SEM, Security Event Management) em uma solu??o de seguran?a abrangente capaz de fornecer análise em tempo real dos alertas de seguran?a gerados por seus aplicativos e hardware.

Como o SIEM funciona?

O SIEM funciona coletando informa??es de logs e dados de eventos gerados por uma organiza??o em seus aplicativos, sistemas de seguran?a e hardware. Ao combinar eventos com regras e mecanismos de análise, é possível que os sistemas SIEM detectem e analisem amea?as à seguran?a em tempo real. Melhor ainda, tudo é indexado para pesquisa para ajudar as equipes de seguran?a em suas análises, gerenciamento de logs e relatórios.

Exemplos de amea?as que uma solu??o SIEM pode detectar

Acesso n?o autorizado

Algumas tentativas de login malsucedidas s?o compreensíveis. Disque esse número para até 100 e alguém provavelmente está realizando um ataque de for?a bruta. O software SIEM pode monitorar o comportamento do usuário e identificar tentativas de acesso incomuns.

Amea?as internas

Ao monitorar constantemente o comportamento dos funcionários, os sistemas SIEM podem detectar amea?as internas acidentais e maliciosas. Desde ex-funcionários que ainda n?o tiveram seus privilégios de acesso revogados até pessoas maliciosas que podem estar tentando roubar ou vazar informa??es confidenciais, até mudan?as acidentais de seguran?a, o software SIEM pode detectar comportamentos an?malos e encaminhá-los para um analista de seguran?a para análise.

Phishing

Os ataques de phishing foram desenvolvidos para fazer com que as pessoas divulguem voluntariamente informa??es pessoais ou confidenciais se passando por uma autoridade confiável. A forma mais comum de phishing s?o e-mails com links ou anexos maliciosos de invasores se disfar?ando de fornecedores, gerentes ou funcionários. Além do treinamento de seguran?a, uma solu??o SIEM pode detectar coisas como logins de funcionários em locais suspeitos em momentos incomuns, o que pode ser um sinal de uma conta de funcionário comprometida. Você pode bloquear esse perfil de usuário para evitar danos até que o acesso possa ser confirmado pelo funcionário.

Ataques de DoS e DDoS

Os ataques de nega??o de servi?o (DoS, Denial-of-Service) interrompem os servi?os ao inundar redes com tráfego suficiente para vincular recursos do sistema e acionar uma falha. A frequência dessas amea?as está aumentando devido à facilidade com que os botnets podem incluir dispositivos de rede de usuários involuntários em seus próprios enxames para realizar ataques de nega??o de servi?o distribuído (DDoS, Distributed Denial-of-Service). Ao monitorar seus logs de servidor web, o software SIEM pode sinalizar eventos de tráfego an?malos que podem ser indicativos de um ataque de DoS ou DDoS. Detectar esses ataques logo no início pode dar à sua equipe de seguran?a tempo para montar uma defesa e planejar a restaura??o dos servi?os.

Inje??o de código

A inje??o de código envolve a inje??o de código malicioso em canais de entrada do lado do cliente, como formulários online, para obter acesso ao banco de dados ou aos sistemas de um aplicativo. O exemplo mais comum disso é a inje??o de SQL, na qual os comandos SQL s?o inseridos em entrada n?o sanitizada, permitindo que o invasor modifique ou exclua dados diretamente do banco de dados. Ao monitorar a atividade de aplicativos da Web, é possível sinalizar eventos an?malos e usar a correla??o de eventos para ver se ocorreram altera??es no seu sistema.

Ransomware e outros malwares

Ransomware, vírus, worms, cavalos de troia e outros tipos de malware s?o softwares desenvolvidos para se infiltrar em sistemas de computador e executar programas maliciosos. A melhor defesa contra esses ataques é a preven??o, e os sistemas SIEM oferecem os recursos de monitoramento necessários para entender os logs de seguran?a, identificar vetores de ataque e detectar comportamentos an?malos que podem levar a um ataque. Depois de comprometido, o SIEM também pode ajudar a identificar o escopo dos danos de um ataque de malware, dando à sua equipe de seguran?a as informa??es necessárias para resolver o problema.

Ataques MITM

Um ataque man-in-the-middle (MITM) ocorre quando um terceiro malicioso espiona as comunica??es entre dois hosts para roubar ou manipular informa??es. Depois que as comunica??es s?o interceptadas, o invasor pode empregar várias técnicas de sequestro de sess?es de usuário ao cheirar entradas de senha para injetar pacotes maliciosos em fluxos de comunica??o de dados. Conex?es ou desconex?es frequentes a locais desconhecidos podem indicar um ataque MITM, e é por isso que o SIEM pode ser uma ferramenta inestimável para ajudar a detectar hackers antes que seja tarde demais.

Quando usar o SIEM com exemplos

Os sistemas SIEM servem como um componente essencial de qualquer infraestrutura de seguran?a corporativa. Vejamos alguns exemplos de casos de uso de SIEM.

Conformidade com os padr?es de dados

Os sistemas SIEM agregam dados de logs de eventos, ferramentas de seguran?a e dispositivos em toda a empresa. ? a ferramenta perfeita para ajudar a gerar relatórios de conformidade e regulatórios.

Veja alguns exemplos:

• GDPR: O Regulamento Geral de Prote??o de Dados (GDPR, General Data Protection Regulation) foi promulgado pela Uni?o Europeia (UE) para proteger os dados pessoais de cidad?os da UE.
• HIPAA: A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, Health Insurance Portability and Accountability Act) foi promulgada pelo legislativo dos EUA para proteger informa??es confidenciais de saúde dos pacientes.
• PCI: O Padr?o de seguran?a de dados do setor de cart?es de pagamento (PCI DSS, Payment Card Industry Data Security Standard) é um padr?o de seguran?a da informa??o exigido pelas principais empresas de cart?o de crédito para proteger seus clientes.
• Conformidade SOX: A Lei Sarbanes-Oxley (SOX, Sarbanes-Oxley) é um regulamento dos EUA que visa fraudes contábeis corporativas. Ela se aplica a conselhos de empresas públicas, empresas de gerenciamento e contabilidade e exige relatórios precisos de onde as informa??es confidenciais s?o armazenadas, quem tem acesso a elas e como elas est?o sendo usadas.

Como o SIEM fornece acesso estruturado a informa??es de log e dados de seguran?a em toda a sua empresa, é possível criar relatórios detalhados para órg?os regulatórios e proprietários de dados individuais.

Detec??o avan?ada de amea?as à seguran?a

Conforme abordado em mais detalhes na se??o anterior, “Exemplos de amea?as que uma solu??o SIEM pode detectar”, sistemas SIEM foram feitos para detectar amea?as avan?adas à seguran?a. Vejamos alguns exemplos mais gerais de como os sistemas SIEM oferecem suporte à ca?a ativa a amea?as.

• Identifica??o de anomalias: A análise comportamental e a correla??o de eventos podem sinalizar anomalias para inspe??o mais detalhada pelas equipes de seguran?a.
• Exfiltra??o de dados: Ter uma vis?o geral de como seus dados est?o sendo usados pode indicar amea?as internas e outras tentativas n?o autorizadas de transferir informa??es confidenciais para fora da sua organiza??o sem autoriza??o.
• Resposta a novas vulnerabilidades: Se uma nova explora??o de dia zero ou vulnerabilidade do sistema for identificada, uma solu??o SIEM pode ajudar a identificar rapidamente o escopo da vulnerabilidade para que você possa fechá-la.
• Aprenda com incidentes passados: Quando ocorre um incidente, você pode verificar rapidamente se ele já aconteceu antes. Experiências passadas lidando com o problema podem ajudar a evitar ocorrências futuras ou lidar com incidentes repetidos mais rapidamente.
• Inteligência contra amea?as: Detecte ataques de maneira inteligente em sistemas de TI aplicando AI a dados e logs de seguran?a. O padr?o combina assinaturas de ataque conhecidas com dados históricos.
• Investiga??es guiadas: Capacite os analistas a testar hipóteses por meio da explora??o de dados por meio de uma plataforma SIEM.

Prote??o de implanta??es de IoT

A Internet das coisas (IoT ) existe como uma frota de dispositivos de rede distribuídos, cada um transmitindo seus próprios logs de eventos em tempo real. Os sistemas SIEM s?o ideais para proteger implanta??es de IoT.

• Monitoramento de dispositivos IoT: Os dispositivos IoT s?o os principais alvos para sequestrar botnets para realizar ataques de DDoS. O monitoramento constante de um sistema SIEM pode indicar comportamento an?malo indicativo de um dispositivo comprometido.
• Monitoramento do fluxo de dados: Os dispositivos IoT frequentemente se comunicam entre si por meio de protocolos n?o criptografados. Uma solu??o SIEM pode detectar padr?es de tráfego incomuns entre nós em sua rede IoT e alertar as equipes de seguran?a quando informa??es confidenciais s?o comprometidas.
• Controle de acesso: Monitorar quem acessa seus dispositivos IoT e quando pode dar dicas sobre atividades ou conex?es suspeitas.
• Gerenciamento de vulnerabilidades: Uma solu??o SIEM pode ajudar a detectar sistemas operacionais antigos e vulnerabilidades n?o corrigidas nos dispositivos IoT da sua frota. Também pode ajudar a isolar dispositivos com maior probabilidade de serem atacados, como aqueles com pontos de acesso a dados confidenciais ou fun??es críticas.

Qual é a diferen?a entre o SIEM e um IDS?

A principal diferen?a entre um sistema SIEM e um sistema de detec??o de intrus?o (IDS, Intrusion Detection System) é que o SIEM é preventivo, enquanto um IDS é otimizado para detectar e relatar eventos de amea?a conforme eles ocorrem. Embora ambas as ferramentas criem alertas e gerem logs, apenas o sistema SIEM pode centralizar e correlacionar essas informa??es de log em diferentes dispositivos e sistemas para obter uma vis?o geral da seguran?a da sua empresa.

As organiza??es frequentemente usam SIEM e IDS juntas. O IDS ajudará durante um ataque. A solu??o SIEM pegará esses logs de IDS e os disponibilizará junto com outras informa??es do sistema para que as equipes de seguran?a possam gerar relatórios de conformidade e evitar ataques futuros.

SIEM x SOAR: qual é a diferen?a?

A orquestra??o, automa??o e resposta de seguran?a (SOAR, Security Orchestration, Automation and Response) é a crian?a relativamente nova no setor. Ela expande os recursos do SIEM permitindo automatizar fluxos de trabalho de caminho de investiga??o. Isso reduz o tempo necessário para lidar com alertas.

O SIEM identifica amea?as correlacionando informa??es de várias fontes, incluindo firewalls, aplicativos, servidores e dispositivos. A solu??o SIEM tentará fornecer as informa??es mais relevantes para a equipe de seguran?a com sugest?es para corre??o, mas é da equipe de seguran?a rastrear e corrigir a origem de uma amea?a potencial.

A plataforma SOAR faz tudo isso e muito mais ao dar o passo extra para automatizar o caminho da investiga??o. Ele vai além de simplesmente alertar a equipe de seguran?a sobre uma amea?a potencial usando inteligência AI para aprender comportamentos padr?o e abordar amea?as automaticamente por meio de orquestra??o.

Fornecedores comuns de ciberseguran?a SIEM

Algumas ferramentas populares de SIEM no mercado incluem:

?

Conclus?o

Em resumo, SIEM significa gerenciamento de eventos e informa??es de seguran?a. As ferramentas de SIEM podem ser usadas para detectar e prevenir uma variedade de amea?as, incluindo inje??o de código, ataques de ransomware e ataques de DDoS. Elas s?o especialmente úteis para detectar anomalias, como acesso n?o autorizado, tentativas suspeitas de login e fluxos de dados incomuns. Se você precisar de uma plataforma de seguran?a que possa agregar logs de várias fontes em um local centralizado para análise de seguran?a, uma solu??o de SIEM pode ajudar.