Quando falamos em segurança, muitas empresas ainda cometem o erro de achar que os seus dados não estão vulneráveis. Mas estudos mostram que no Brasil 87% das organizações afirmam ter experimentado ao menos uma violação de dados ou incidentes de segurança no último ano. A fonte é pesquisa “Tendências Internacionais em Segurança Cibernética”, feita pela CompTIA.

O mesmo estudo aponta que erros humanos, ou negligência, representam 58% das causas de riscos cibernéticos, contra 42% de erros apontados por problemas técnicos da tecnologia. O que isso nos mostra? Que nós, profissionais de TI, precisamos estar atualizados, bem informados e estruturados para dar suporte e responder com agilidade a esses ataques. Por este motivo escolhi o tema correlacionamento de logs e como fazer isto pode ajudar a sua empresa a ser impenetrável.

Por definição, correlacionamento de eventos, também conhecido pelas siglas SIEM (Security Information and Event Management), SEM (Security Event Management) ou SIM (Security Information Management) é uma série de ferramentas, processos e procedimentos que, juntos, tem a finalidade de coletar, armazenar, processar, monitorar e correlacionar logs de outros sistemas de informação.

O log de dados, por sua vez, é uma expressão que descreve o processo de registro de eventos relevantes num sistema. Um arquivo de log pode ser usado tanto na auditoria quanto no diagnóstico de problemas. E de onde vem essas informações? As fontes podem ser aplicações, equipamentos de rede de computadores e de segurança da informação.

E na prática, onde fica a segurança?

Os logs são coletados pelas ferramentas de SIEM que gerenciam os eventos corporativos. Quando um incidente ocorre, é importante que uma equipe de monitoramento, como um SOC 24×7, esteja acompanhando para responder em tempo de execução da operação, enviando alertas que podem ser mensagens por e-mail, SMS, ou programas para interação com outros sistemas. Sendo assim, além de ter um armazenamento centralizado de logs das corporações, que já torna as informações mais protegidas e respostas mais ágeis, eles ajudam na análise forense computacional, pois vários cruzamentos de dados podem ser realizados.

Ataques são motivados pelos mais diversos motivos: para derrubar o servidor da empresa, uma invasão para roubar e vender dados, para prejudicar o funcionamento do negócio e, acreditem, até mesmo por motivo de ego, o hacker quer mostrar que pode invadir o sistema em questão. A motivação nesse caso é o reconhecimento, para ficar famoso por determinada ação.

Por isso, os sistemas SIEM analisam todo o tipo de informações de segurança, eventos de autenticação, eventos de antivírus, eventos de auditoria, eventos de intrusão, entre outros – sendo inclusive estratégicos em políticas de compliance no cumprimento de exigências regulatórias.

Se houver alguma anomalia, o sistema aponta e alerta o profissional de segurança para que uma ação seja tomada.

Como monitorar?

Como mencionado acima, é muito importante que você tenha uma equipe de monitoramento acompanhando o correlacionamento de logs para respostas rápidas. O SOC, ou Security Operations Center, é a prestação de serviços de monitoramento, detecção e reação à incidentes de segurança da informação. Junto com todas as outras frentes, a parte de notificação parece ser simples, mas é uma das mais importantes.

O SOC pode ser útil em casos mais complexos, por exemplo, na análise em tempo real com uma escala de 24×7 no monitoramento de firewall, em alguns casos podendo fazer até ações diretas, como bloqueio de IPS e notificações ao cliente. Também pode ser utilizado em casos mais simples de monitoramento de serviços para detectar possíveis quedas e instabilidades em sistemas e servidores.

E então por que alinhar os dois? O SIEM já oferece meio caminho andado para a equipe de SOC, com todas as informações centralizadas. Esse tipo de ação faz toda a diferença. Na GatewayiT, onde atuo na frente de RED SAFE, divisão especializada em segurança da informação, conseguimos com essa prática reduzir a quase zero o número de ataques de um cliente que chegava a 11 mil por mês.

São prevenções que fazem toda a diferença e deixam gestores sem grandes dores de cabeça. Especialmente com ataques que, além de prejudicar o negócio como um todo – já afetando financeiramente – extorquem em troca de mais dinheiro, independente do porte do negócio, se pequeno, médio ou grande.

Como funciona na sua empresa? Vocês já praticam essas ações? Precisa de orientações? Deixe seu comentário aqui.