Aplicando inteligência à sua estratégia de segurança

Empresas de todos os tamanhos, níveis de maturidade e diferentes mercados estão buscando insights de como construir uma melhor estratégia de segurança e muitos projetos começam com uma abordagem de Gerenciamento e Correlação de Eventos de Segurança (em inglês, Security Information and Event Management – SIEM).

Com a promessa de “dados concisos sobre ameaças”, a inclinação natural das empresas parece ser alimentar esses dados com inteligência e direcioná-los ao SIEM para análise. No entanto, uma das maiores reclamações sobre a implementação de SIEM é a de que eles fazem “muito barulho”, além de criar um massivo repositório de logs por causa da grande quantidade de dados.

Para diminuir a quantidade de alertas, os analistas então partem para uma personalização, configurando filtros, entradas e removendo alertas que não impactam na postura de segurança da empresa. O resultado é uma redução significativa no volume de alertas, com milhões de linhas de logs por dia (algumas vezes, por hora), sendo reduzidas a 3 ou 4 eventos por dia que valham a pena uma investigação.

Depois de descobrir como reduzir o volume de dados, naturalmente, queremos adicionar um inteligência para ajudar a encontrar mais ameaças relevantes em nossa infraestrutura. O problema é que assim acabamos criando um aumento no volume de dados – o mesmo contra o qual estávamos lutando.

Adicionar inteligência sem filtro diretamente à ferramenta SIEM pode ter dois resultados: ou seu ambiente fica lento recebendo um volume de dados maior que sua capacidade ou emite mais alarmes que os profissionais são capazes de analisar em um ano.

Uma plataforma que resolve o seu problema

Uma solução para esse problema é começar com uma plataforma. Há uma série de ferramentas que agem como um ponto de fusão para inteligência, que normalizam, correlacionam e oferecem dados baseados em funções orquestradas pelo seu SIEM e em ferramentas de resposta para direcionar ações significativas.

Dados de inteligência particularmente refinados e relevantes para sua empresa são altamente sensíveis. Para que sua plataforma SIEM saiba disso, é preciso seguir uma política de acesso rigorosa com poucos privilégios.

Além disso, se seu volume de dados cresce em magnitude sem levar em consideração aspectos como expiração, sua estratégia pode ter resultados fracos. Se seu sistema desempenha regras de consultas e correlações contra 48 horas de dados de registro em tempo real e ainda tem espaço para analisar mais dados, sua estratégia é sólida.

Se uma máquina é pega tentando se conectar a um servidor C2 conhecido, é preciso conseguir checar o passado o mais rápido possível para entender quando essa atividade começou, saber com quais outros sistemas interagiu e aspectos críticos da investigação.

A PROOF oferece consultoria nas áreas de infraestrutura de redes, infraestrutura de dados e segurança da informação. Para isso, possui uma equipe multidisciplinar e investe fortemente em treinamento. A PROOF desenvolveu um serviço especializado para auxiliar as empresas na gestão do ambiente de TI. Os Serviços Gerenciados de Segurança (MSS) garantem as operações essenciais para o funcionamento do negócio.

Com Dark Matters