Ataques sofisticados atingem organizações de todos os tipos frequentemente, sejam indústrias chave, como energia e finanças, ou estúdios de cinema. As ameaças podem vir de qualquer lugar, a qualquer momento e de qualquer forma.

Nesses ambientes, não pode haver um elo fraco na segurança de uma empresa. Cada componente, do firewall, passando pelo antivírus, até o sistema de detecção de invasões, é essencial bloquear as oportunidades disponíveis para os hackers.

As equipes também devem estar prontas para analisar as informações que os sistemas de segurança oferecem para identificar ameaças potenciais ou reais e destacar pontos fracos. Por oferecer a habilidade de coletar, gerenciar e agir com base em informações, os sistemas SIEM (Security Information and Event Management, na sigla em inglês) devem ser uma parte essencial de uma infraestrutura de segurança moderna.

Barreiras

No entanto, ainda há barreiras que impedem o investimento em SIEM. Uma delas é que muitos sistemas legados de SIEM simplesmente não oferecem os níveis de segurança e desempenho que deveriam. Muitos, por exemplo, não podem lidar com o montante de dados gerados pelos eventos de segurança.

Vários sistemas legados derrubam os logs de dados durante os períodos de pito, significando que a análise pode não dar uma imagem completa e precisa de uma situação real: ou registra grandes volumes de dados sem uma maneira de miná-los precisamente, sem procurar e analisar informações para oferecer uma inteligência significativa.

Outros sistemas ainda lidam apenas com o problema de compliance: juntam os dados para gerar um gráfico ou um relatório baseado neles, mal considerando os sinais de ataque que os dados contêm.

Complexidade é outra questão; espera-se que os analistas aprendam novas linguagens, executem consultas personalizadas continuamente ou até palpites de potenciais ataques. Isso adiciona custos ao sistema e diminui a efetividade devido à possibilidade de erro humano.

Sistemas mais modernos resolveram essas questões, no entanto, ainda esbarram nos custos de segurança em geral e continuam sendo bloqueados pela diretoria devido ao investimento ou devido ao sistema de monitoramento que passa pelos obstáculos da conformidade, mas não presta suporte completo aos processos de operação de segurança.

Vencendo o obstáculo da aprovação

Um dos argumentos que podem ganhar a aprovação da diretoria é a necessidade de estender a segurança além do mínimo necessário. Muito frequentemente, a segurança é visto como uma parte obrigatória para cumprir com conformidades. Isso significa que, em vez de investir em sistemas de SIEM mais inteligentes e outras tecnologias avançadas, as empresas vão adotar uma abordagem mínima, sem conhecimento real de que o negócio está realmente protegido.

As equipes de TI precisam argumentar que essa economia na verdade é falsa. O negócio ainda está vulnerável a violações de segurança que podem prejudicar a reputação da empresa, independentemente de estar de acordo com as conformidades ou não. Além disso, regulações não são mantidas. Sistemas que satisfazem as conformidades minimamente, um ano depois facilmente podem precisar de novas configurações para atender a um novo padrão mais elevado.

Isso pode levar a um gasto de tempo e dinheiro desnecessário com updates anuais de segurança, em vez de ter uma única solução contínua que possa oferecer segurança completa e suporte o crescimento e a melhoria do perfil de proteção entregue.

Como muitas ferramentas de segurança, disponibilizar ROI para tecnologias de SIEM requer discussões – afinal, seu valor é medido na quantificação de impactos que o negócio pretende prevenir. No entanto, ao demonstrar a necessidade de governança e mostrar como o SIEM pode agregar valor, as equipes de segurança podem ter bons argumentos.

A PROOF oferece implementação e suporte de soluções de segurança de todos os nossos parceiros de tecnologia. Entre eles está a Splunk, reconhecida pelo Gartner como líder no Quadrante Mágico 2015 para SIEM pelo terceiro ano seguido.

Com Computer Business Review