O que é o software SIEM?
O software de gerenciamento de informações e eventos de segurança (SIEM) oferece aos profissionais de segurança corporativa uma visão e uma histórico das atividades em seu ambiente de TI.
A tecnologia SIEM já existe há mais de uma década, inicialmente evoluindo da disciplina de gerenciamento de log. Ele combinou o gerenciamento de eventos de segurança (SEM) – que analisa os dados de registro e evento em tempo real para fornecer monitoramento de ameaças, correlação de eventos e resposta a incidentes – com o gerenciamento de informações de segurança (SIM) que coleta, analisa e relata os dados de registro.
Como funciona o SIEM
O software SIEM coleta e agrega dados de registro gerados em toda a infraestrutura de tecnologia da organização, de sistemas host e aplicativos a dispositivos de rede e segurança, como firewalls e filtros antivírus.
O software então identifica e categoriza incidentes e eventos, bem como os analisa. O software atende a dois objetivos principais, que são
- fornecer relatórios sobre incidentes e eventos relacionados à segurança, como logins bem-sucedidos e com falha, atividade de malware e outras atividades maliciosas possíveis e
- enviar alertas se a análise mostrar que uma atividade é executada contra conjuntos de regras predeterminados e, portanto, indica um possível problema de segurança.
A necessidade corporativa de um melhor gerenciamento de conformidade motivou muito a adoção antecipada dessa tecnologia, diz Paula Musich, diretora de pesquisa da Enterprise Management Associates (EMA), uma empresa de pesquisa de mercado e consultoria com sede em Boulder, Colorado.
“Os auditores precisavam de uma maneira de verificar se a conformidade estava sendo cumprido ou não, e o SIEM forneceu o monitoramento e os relatórios necessários para cumprir mandatos como HIPPA, SOX e PCI DSS ”, diz ela, referindo-se à Lei de Portabilidade e Responsabilidade de Seguro Saúde, Lei Sarbanes – Oxley e Dados da Indústria de Cartões de Pagamento Padrão de segurança.
No entanto, ex perts afirmam que a demanda empresarial por medidas de segurança maiores impulsionou mais o mercado de SIEM nos últimos anos.
“Agora, as grandes organizações costumam olhar para o SIEM como uma base para erguer o centro de operações de segurança”, diz Musich.
Análise e inteligência
Um dos principais motivadores por trás do uso do software SIEM para operações de segurança reside nos recursos mais novos contidos em muitos dos produtos no mercado.
“Agora, muitas tecnologias SEIM trazem feeds de inteligência de ameaças, além dos dados de log tradicionais, e há vários produtos SIEM que têm recursos de análise de segurança que examinam o comportamento da rede, bem como o comportamento do usuário para dar mais inteligência sobre se uma atividade indica atividade maliciosa ”, explica Musich.
De fato, a empresa de pesquisa de tecnologia Gartner em seu relatório de maio de 2017 sobre o mercado mundial de SIEM chama a inteligência em ferramentas de SIEM, dizendo” inovação em o mercado SIEM está se movendo g em um ritmo empolgante para criar uma ferramenta de detecção de ameaças melhor. ”
O relatório do Gartner observa ainda que os fornecedores estão introduzindo aprendizado de máquina, análise estatística avançada e outros métodos analíticos em seus produtos, enquanto alguns também estão experimentando inteligência artificial e recursos de aprendizado profundo.
De acordo com o Gartner, os fornecedores comercializam avanços como recursos que podem fornecer taxas de detecção mais precisas em um ritmo mais rápido. No entanto, o Gartner aponta que as empresas ainda não têm certeza se, ou por quanto, esses recursos geram novos retornos para a organização.
Rob Stroud, analista principal da Forrester Research e ex-presidente do conselho da ISACA, uma associação profissional internacional focada em governança de TI, diz que vê uma promessa em tais tecnologias.
“Com IA e aprendizado de máquina, podemos fazer inferência e monitoramento e alertas baseados em padrões, mas a oportunidade real é a restauração preditiva. Esta é a transição no mercado agora. Vai de uma ferramenta de monitoramento a sugestões de remediação ”, diz Stroud, acrescentando que espera que o software SIEM seja capaz de automatizar a remediação no futuro.
SIEM na empresa
O software SIEM captura apenas uma pequena parte do total de dólares gastos em segurança corporativa em todo o mundo, de acordo com o Gartner. O Gartner estima os gastos globais com segurança corporativa em quase US $ 98,4 bilhões em 2017, com o software SIEM arrecadando cerca de US $ 2,4 bilhões. O Gartner prevê que os gastos com tecnologia SIEM aumentarão modestamente, para quase US $ 2,6 bilhões em 2018 e US $ 3,4 bilhões em 2021.
O software SIEM é usado principalmente por grandes organizações e empresas públicas, onde a conformidade às regulamentações continua sendo um fator forte no uso dessa tecnologia, de acordo com analistas.
Embora algumas empresas de médio porte também façam o software SIEM, as pequenas empresas tendem a não precisar nem querer investir nele.Os analistas dizem que muitas vezes não pagam a compra de sua própria solução, já que seu custo anual pode ir de dezenas de milhares a mais de US $ 100.000. Além disso, as pequenas empresas não têm a capacidade de contratar o talento necessário para manter o software SIEM em uma base contínua.
Dito isso, os analistas também observam que algumas pequenas e médias empresas têm SIEM entregue como uma oferta de software como serviço por meio de provedores de terceirização grandes o suficiente para vender esse serviço a seus clientes SMB.
Atualmente, os usuários de grandes empresas tendem a sempre executar software SIEM localmente, devido à sensibilidade de alguns dos dados que passam pelo sistema. “Você está registrando coisas confidenciais, e isso não é algo que as pessoas tenham muito apetite para enviar pela Internet”, diz John Hubbard, analista-chefe do US Security Operations Center da GlaxoSmithKline e instrutor do SANS Institute, uma organização de segurança profissionais.
No entanto, à medida que os recursos de aprendizado de máquina e inteligência artificial aumentam nos produtos SIEM, alguns analistas esperam que os fornecedores de SIEM ofereçam uma opção híbrida, com algumas das análises em execução na nuvem .
“Estamos vendo coleta, curadoria e inteligência por meio da nuvem; estamos vendo isso surgir porque o fornecedor pode selecionar mais dados do que uma organização ”, diz Stroud.
Ferramentas de SIEM e seleção de fornecedores
O mercado de SIEM tem vários fornecedores dominantes com base nas vendas mundiais, especificamente IBM, Splunk e HPE. Existem pelo menos vários outros participantes importantes, como Alert Logic, Intel, LogRhythm, ManageEngine, Micro Focus, Solar Winds e Trustwave.
Musich diz que as empresas precisam avaliar os produtos com base em seus próprios objetivos para determinar quais atenderia melhor às suas necessidades. As organizações que desejam essa tecnologia principalmente para conformidade valorizarão determinados recursos, como relatórios, mais do que as organizações que desejam aproveitar o SIEM para configurar um centro de operações de segurança.
Enquanto isso, Ela diz que as organizações que têm petabytes de dados encontrarão alguns fornecedores mais capazes de atender às suas necessidades, enquanto aquelas que têm menos dados podem optar por outras opções. Da mesma forma, as empresas que desejam caçar ameaças de destaque provavelmente procurarão as principais ferramentas de visualização de dados e recursos de pesquisa que outras pessoas talvez não precisem ter.
Os líderes de segurança precisam levar em consideração vários outros fatores – como se eles podem oferecem suporte a uma ferramenta específica, quantos dados eles terão no sistema e quanto desejam gastar – ao avaliar os fornecedores de SIEM, diz Musich. Por exemplo, o ArcSight ESM da HPE é uma ferramenta madura que tem muitas funcionalidades, mas requer uma quantidade significativa de experiência e é mais cara do que outras opções.
“Sempre haverá uma gama de recursos”, Musich acrescenta: “E quanto mais sofisticada for a segurança nas operações, melhor uso eles farão das ferramentas de que dispõem.”
Dados os diversos requisitos de capacidade, dependendo dos dois fatores principais por trás Seleção de SIEM, Hubbard diz que vê muitas organizações optando por dois sistemas diferentes, um focado em conformidade e outro focado em detecção de ameaças.
“Você pode coletar muito para conformidade , mas isso pode retardá-lo para usos de detecção de ameaças. Portanto, você tem um SIEM tático para detecções de ameaças ”, diz ele.
Maximizando o valor do SIEM
Mesmo assim, a maioria das empresas continua a usar Software SIEM principalmente para rastrear e investigar o que aconteceu, diz Eric Ogren, analista sênior com a informação se curadoria da equipe da 451 Research. Ogren diz que este caso de uso é impulsionado pela crescente ameaça de violações e as consequências cada vez mais graves que os líderes e organizações enfrentarão em tais eventos.
Como Ogren diz: “Se uma empresa for hackeada, nenhum CIO deseja peça ao conselho que pergunte o que aconteceu e diga: Droga, eu sei. Eles querem dizer: Estamos analisando os dados de registro para descobrir o que aconteceu. ”
Ao mesmo tempo, no entanto , muitas empresas estão indo além disso e estão usando cada vez mais a tecnologia para detecção e resposta quase em tempo real, diz Ogren.
“O jogo agora é: quão rápido você consegue detectar? ” ele diz, acrescentando que os recursos de aprendizado de máquina em evolução estão ajudando os sistemas SIEM a identificar com mais precisão atividades incomuns e potencialmente maliciosas.
Apesar de tais avanços, as organizações continuam enfrentando desafios em suas habilidades para maximizar os benefícios e, portanto, , o valor que eles obtêm dos sistemas existentes, dizem os especialistas.
Existem várias razões para isso.
Primeiro, as tecnologias SIEM consomem muitos recursos e exigem uma equipe experiente para implementar e manter e ajustá-los – equipe na qual nem todas as organizações investiram totalmente.
“Muitas organizações trazem a tecnologia porque sabem que é algo que querem, mas não têm a equipe ou não recebem a equipe o treinamento de que precisam para usá-lo ”, diz Stroud.
O software SIEM também requer dados de qualidade para rendimento máximo -“ Quanto maior a fonte de dados fornecida, melhor se torna e melhor pode ver os outliers ”, explica Stroud. Mesmo assim, as organizações continuam a lutar para definir e fornecer os dados corretos.
E mesmo com dados sólidos e uma equipe sofisticada executando a tecnologia SIEM, o software em si tem limites, dizem os analistas. Eles apontam que não é totalmente preciso detectar o que é uma atividade aceitável e o que é uma ameaça potencial legítima – uma discrepância que leva a um grande número de alertas falsos em muitas implantações.
Esse cenário requer uma governança forte e procedimentos eficazes dentro da empresa para que as equipes de segurança não sucumbam à sobrecarga de alertas.
Stroud diz que os profissionais de segurança geralmente começam perseguindo uma quantidade impressionante de alertas falsos. Organizações sofisticadas aprenderão a ajustar as ferramentas com o tempo, para que o software entenda quais são os eventos usuais e, assim, diminuir o número de alertas falsos.
Por outro lado, no entanto, ele diz que algumas equipes de segurança irão economizar nisso passo a passo e, em vez disso, desligue mais os falsos alertas por hábito – uma prática que corre o risco de perder ameaças reais.
Musich diz que as organizações mais sofisticadas também escrevem scripts para automatizar mais funções mundanas, como puxar contextual dados de diferentes fontes para dar uma ideia mais completa dos alertas para agilizar as investigações e a identificação de ameaças reais.
“São necessários bons processos e também maturidade nas operações de segurança”, acrescenta. “Isso significa não sendo apenas uma ferramenta em si, mas integrando-se a outras tecnologias e tendo um processo geral para orientar as atividades. ”
É movimentos assim, diz ela, que pode reduzir o tempo que a equipe gasta em atividades de nível inferior e, em vez disso, permitem que eles redirecionem suas energias para tarefas de alto valor que elevam toda a postura de segurança da empresa.
Mais sobre SIEM:
- ArcSight vs. Splunk? Por que você pode querer ambos
- Critérios de avaliação para SIEM
- SIEM: 14 perguntas a serem feitas antes de comprar
- Noções básicas de gerenciamento de log
- SIEMs -como um serviço atende às necessidades de pequenas e médias empresas