SIEM, UEBA, SOAR e seu arsenal de segurança cibernética
A evolução das soluções de gerenciamento de eventos e informações de segurança (SIEM) fez algumas mudanças importantes ao longo do tempo. Começou simplesmente coletando e armazenando logs, depois se transformou em correlacionar informações com regras e alertar uma equipe quando algo suspeito estava acontecendo. E agora, as soluções SIEM estão fornecendo análises avançadas e automação de respostas.
As soluções SIEM avançadas de hoje:
- Incorpore sensores específicos para coletar continuamente dados forenses digitais em uma organização.
- Aproveite a inteligência artificial e o aprendizado de máquina para identificar comportamentos de rede incomuns que podem indicar possível malware ou violação de dados.
O SIEM avançado requer ajuste contínuo para aprender o que é considerado comportamento anormal para uma determinada organização.
No EventTracker, tudo isso acontece por meio de nosso Centro de Operações de Segurança (SOC) certificado pela ISO 27001, onde analistas especializados trabalham com esses dados complexos para conhecer a rede do cliente e os vários tipos de dispositivos (SO, aplicativos, dispositivos de rede, etc.). Idealmente, estes especialistas trabalham em conjunto com as equipas internas de TI dos clientes para compreender a sua definição de atividade normal da rede.
A seguir, com base nessas informações e nos pacotes de conhecimento disponíveis no EventTracker, agendamos relatórios diários e semanais adequados, juntamente com a configuração de alertas. A verdadeira mágica acontece quando esses dados se tornam “relatórios flexíveis”. Esses relatórios concentram-se em informações valiosas incorporadas na parte de descrição das mensagens de log. Quando esses parâmetros são tendências em um gráfico, surgem todos os tipos de informações interessantes e acionáveis.
Análise do comportamento de usuários e entidades
Além de detectar comportamentos de rede suspeitos, os SIEMs evoluíram para incluir User Behavior Analytics (UBA) ou User and Entity Behavior Analytics (UEBA). O UBA/UEBA aciona um alerta quando ocorre um comportamento incomum do usuário ou da entidade. Este é um recurso importante agora que as credenciais comprometidas representam 76% de todas as invasões de rede.
Quando as credenciais são roubadas, elas tendem a ser usadas de maneiras, lugares e horários incomuns. Por exemplo, se ocorrer um login fora do padrão normal, isso será imediatamente sinalizado para investigação. Se a usuária ‘‘Susan’’ geralmente faz login em “Workstation5”, mas de repente faz login em “Server3”, então isso é fora do comum e pode merecer uma investigação.
Automação e resposta de orquestração de segurança (SOAR)
Embora os alertas sobre comportamentos suspeitos sejam necessários, o verdadeiro objetivo é agir sobre o comportamento suspeito da forma mais rápida e eficaz possível. Essa é a próxima evolução do SIEM: Automação e Resposta de Orquestração de Segurança (SOAR).
Embora os SIEMs tradicionais possam “dizer” algo, aqueles que incorporam SOAR podem “fazer” algo.
Os SOARs consolidam fontes de dados, usam informações fornecidas por feeds de inteligência sobre ameaças e automatizam respostas para melhorar a eficiência e a eficácia.
Por exemplo, com o EventTracker, se um USB infectado for conectado a um laptop, mesmo que esteja fora da rede no momento, e o malware começar a ser executado, o EventTracker detectará a inserção do USB, bem como detectará qualquer comunicação suspeita com um endereço IP de baixa reputação. Ele também detectará quaisquer processos suspeitos que começarem a ser executados. Uma vez detectado, o EventTracker interrompe automaticamente a comunicação e o executável, evitando uma possível violação de dados.
Tire o máximo proveito do seu SIEM
À medida que os ataques continuam a tornar-se mais sofisticados e persistentes, as ferramentas de segurança tradicionais que se concentram apenas na proteção do perímetro continuarão a ser substituídas por soluções que também possuem capacidades de deteção e resposta, em particular nos dispositivos terminais.