SIEM: ter uma visão centralizada da cibersegurança

Recolher, analisar e reportar dados relacionados com cibersegurança é uma necessidade para qualquer organização. O principal objetivo do SIEM – Security Information and Event Management – passa exatamente por aí: fornecer uma visão completa da postura de cibersegurança da organização e permitir que os profissionais de cibersegurança identifiquem e respondam a potenciais ameaças, idealmente antes de se tornarem um problema sério.

Todas as organizações podem beneficiar de uma visão centralizada que o SIEM disponibiliza, até pela crescente importância que os sistemas de informação ocupam na atividade das organizações. No entanto, as organizações com requisitos de conformidade significativos e uma equipa de operações de segurança capacitada podem tirar maior valor destas soluções.

Benefícios

Carlos Santos, System Engineer da Fortinet Portugal, refere que o SIEM “permite dar uma visibilidade bastante extensa do que se passa na organização” em que “podem receber dados sob a forma de logs e outros, além de terem, ainda, a função de alertar sobre ameaças detetadas e responder às mesmas”. Através destes produtos, também é possível “processar informação recolhida da captura de tráfego em rede” e “monitorizar a integridade de ficheiros”.

	“A lógica contemporânea da tecnologia SIEM pressupõe a agregação de informações de diversos sistemas e aplicações corporativas num ponto único para efeitos de analítica de segurança e com o objetivo de detetar potenciais ciberataques e violações – permitindo assim uma resposta mais célere e contextualizada a esses mesmos ataques” Rui Barata Ribeiro, Security Leader da IBM Portugal

Rui Barata Ribeiro, Security Leader da IBM Portugal, relembra que o SIEM é o resultado “de duas tendências históricas na cibersegurança do final dos anos 90”: a gestão de informação e o intelligence de segurança, assim como a gestão de eventos de segurança. Na prática, diz Rui Barata Ribeiro, “a lógica contemporânea da tecnologia SIEM pressupõe a agregação de informações de diversos sistemas e aplicações corporativas num ponto único para efeitos de analítica de segurança e com o objetivo de detetar potenciais ciberataques e violações – permitindo assim uma resposta mais célere e contextualizada a esses mesmos ataques”.

A visibilidade é “a vantagem fundamental da tecnologia”, indica Rui Barata Ribeiro, que acrescenta que permite “tornar semelhante o que é dissemelhante e estabelecer critérios comuns de análise”.

Pedro Jorge Viana, Head of Presales da Kaspersky Ibéria, defende que os principais benefícios de um sistema SIEM “só são percebidos quando acompanhados por uma plataforma de inteligência de ameaças”, até porque “os sistemas SIEM foram criados como uma ferramenta para recolher informações sobre incidentes de segurança numa infraestrutura e analisá-las utilizando dados externos sobre ciberameaças conhecidas. No entanto, à medida que as ameaças evoluem, estão a surgir no mercado cada vez mais fontes de informações sobre ameaças”.

“A promessa original era ‘coloque todos os seus logs num só local e a segurança será mais fácil e eficaz’; contudo, na realidade, os SIEM tendem a ser caros, complexos e não tão eficazes quanto as soluções XDR/MDR na deteção e resposta a ameaças” Maxim Weinstein, VP Market Intelligence da Sophos

Maxim Weinstein, VP Market Intelligence da Sophos, afirma que o SIEM agrega eventos e logs de vários sistemas e, com todos os dados num só lugar, “as organizações podem criar regras para identificar possíveis ameaças”, assim como dashboards com os dados de várias fontes. Assim, para as organizações “com o conhecimento certo”, o SIEM traz dois grandes benefícios: a conformidade – já que algumas organizações podem ser obrigadas a manter logs de segurança por um longo período de tempo – e a deteções personalizadas e visibilidade – uma vez que os SIEM “são altamente flexíveis, pelo que são muito úteis para os clientes que precisam de criar as suas próprias deteções de ameaças”.

Bruno Castro, CEO da VisionWare, defende que o SIEM tem de ser capaz de “ler do máximo número de fontes de informação possíveis, ter inteligência suficiente para conseguir detetar o máximo número de ações suspeitas e maliciosas” para que possa “gerar informações relevantes daquilo que se passa digitalmente numa organização”.

Ajuda na deteção (e resposta)

Através de analítica avançada sobre a informação recolhida e tirando partido de informações de ciberameaças, assim como mecanismos de machine learning para identificação de padrões, o SIEM é capaz de detetar as ciberameaças contra uma determinada organização, explica Rui Barata Ribeiro. Já na componente de resposta, o SIEM permite a obtenção de uma “parte substancial da informação necessária para endereçar um potencial incidente de segurança – de forma a permitir que os analistas de segurança tenham a informação para agir”.

Reforçando que os SIEM devem ser integrados com uma plataforma de inteligência de ameaças, Pedro Jorge Viana defende que esta “é uma ferramenta indispensável que permite navegar através de uma multiplicidade de fontes de diferentes fornecedores, possibilitando ligar várias fontes de dados – que não têm necessariamente de estar no mesmo formato – e compará-las com base em diferentes parâmetros”.

Por seu lado, Maxim Weinstein indica que o cliente ou o fornecedor do SIEM pode “criar deteções que correspondam a eventos ou logs específicos que são reportados ao SIEM. Quando uma deteção é identificada ou ativada, um analista de segurança será capaz de investigar as atividades relacionadas com ela, e fazê-lo em várias fontes de dados. Muitos SIEM também incorporam ou podem integrar-se com uma plataforma SOAR para automatizar os manuais de resposta”.

	É possível “identificar comportamentos suspeitos ou até maliciosos numa fase inicial do ciberataque, permitindo responder atempadamente antes do próprio ciberataque ganhar dimensão ou maior impacto negativo na organização” Bruno Castro, CEO da VisionWare

Bruno Castro afirma que, sendo capaz de monitorizar as ações de cariz digital dentro de uma organização e assente num processamento rápido near real time, é possível “identificar comportamentos suspeitos ou até maliciosos numa fase inicial do ciberataque, permitindo responder atempadamente antes do próprio ciberataque ganhar dimensão ou maior impacto negativo na organização”. O CEO da VisionWare compara o SIEM a um “conjunto de sentinelas” que está 24 horas por dia, sete dias por semana “a guardar interruptamente o castelo e à procura de movimentos suspeitos que possam ser ou vir a tornar-se uma ameaça”, algo que “não seria possível ser realizado, por exemplo, por humanos”.

Já Carlos Santos explica que, “quanto mais dados o SIEM dispor, melhor análise se pode aplicar e, dos alertas gerados, poderemos identificar mais rapidamente ciberataques, aumentando a eficácia na identificação das ameaças no mais curto espaço de tempo”. Durante a análise dos alertas, “a equipa de segurança desenvolverá um conjunto de procedimentos de validação e confirmação, fazendo a gestão dos mesmos na plataforma de SIEM, eliminando os falsos positivos e respondendo aos ataques, de acordo com os procedimentos de cada organização”.

Tendências e desafios

Maxim Weinstein, da Sophos, refere que um dos desafios do SIEM é o investimento necessário para a sua implementação. “A promessa original era ‘coloque todos os seus logs num só local e a segurança será mais fácil e eficaz’; contudo, na realidade, os SIEM tendem a ser caros, complexos e não tão eficazes quanto as soluções XDR/MDR na deteção e resposta a ameaças”. Isto acontece, diz, porque as soluções XDR/MDR “geralmente utilizam sensores específicos que reúnem telemetria muito mais detalhada e fornecem opções de respostas nativas”.

Já Bruno Castro, da VisionWare, afirma que os SIEM “terão de ser capazes de ser mais inclusivos em termos conetividade, aplicações ou tecnologias mais obsoletas ou menos inteligentes, permitindo cobrir a totalidade do parque digital de uma organização. É cada vez mais urgente que a capacidade de monitorização abranja a totalidade dos sistemas informáticos, indo desde os sistemas industriais, redes SCADA ou IoT”, enquanto a capacidade de inteligência terá “de evoluir na mesma linha” que as técnicas utilizadas pelo cibercrime forem evoluindo.

Por seu lado, Carlos Santos, da Fortinet, indica que os SIEM são “soluções bastante maduras e é reconhecido o seu valor para as equipas de segurança, mas esse reconhecido valor não impediu o setor de evoluir. Com o acesso ao elevado volume de dados e o seu extremo valor, novas técnicas continuam a ser desenvolvidas que permitem cada vez melhores formas de detetar ameaças, cada vez mais avançadas e complexas”. Do mesmo modo, “a maior pressão está na resposta, que técnicas podem ser desenvolvidas para reduzir o tempo de resposta às ameaças reais, contendo essas ameaças ou mesmo mitigando futuras tentativas”.

O “eterno inimigo do SIEM”, diz Rui Barata Ribeiro, da IBM, “tem sido sempre as integrações, lidar com a diversidade de tecnologias, de ambientes, de use cases… Essa é, simultaneamente, a força e a fraqueza da tecnologia”. Ao mesmo tempo, “algumas organizações começaram a abandonar a ideia do ponto único de concentração de informação de segurança, como resultado do esforço de diversos fabricantes de serviços cloud para vender o seu SIEM para a sua cloud. Assumindo a tendência das organizações para o registo de multicloud híbrida, esse fenómeno vai provavelmente resultar numa construção de novos silos, que não são benéficos para as organizações”.

“Os sistemas SIEM permitem agregar, deduplicar, normalizar e armazenar dados de entrada e eventos detetados. Além disso, possibilita a análise de indicadores de compromisso com base na verificação prévia das fontes mais recentes, permitindo detetar ameaças previamente não identificadas” Pedro Jorge Viana, Head of Presales da Kaspersky Ibéria

Pedro Jorge Viana defende que os sistemas SIEM que existem atualmente “não são projetados para lidar com uma quantidade ilimitada de indicadores” e que, “quando se conectam várias fontes, a carga de trabalho no sistema aumenta significativamente”. Além disso, diz, um sistema SIEM “não é adequado para lidar diretamente com fontes de inteligência de ameaças de forma mais detalhada”, uma vez que “não consegue”, por exemplo, “comparar a taxa de deteção e a qualidade de fontes de diferentes fornecedores, ou gerir diferentes tipos de máscaras de fontes com indicadores de compromisso representados como URL, hosts ou domínios”.

Uma obrigatoriedade?

Bruno Castro indica que a importância do SIEM está, “precisamente, na capacidade de operar interruptamente com o máximo de informação possível, que um humano não conseguiria, e fazendo uso da sua inteligência, cada vez mais assertiva e eficiente, ir também evoluindo na deteção antecipada dos ciberataques de maior sofisticação”. Assim, “os SIEM terão um papel fundamental na implementação de medidas de segurança preventiva e reativa no futuro do mercado. Diria que, será obrigatório ter um SIEM em produção numa qualquer organização, independentemente da sua eficácia ou capacidade, tal como é ter um antivírus ou uma firewall”.

	O SIEM “permite dar uma visibilidade bastante extensa do que se passa na organização” em que “podem receber dados sob a forma de logs e outros, além de terem, ainda, a função de alertar sobre ameaças detetas e responder às mesmas” Carlos Santos, System Engineer da Fortinet Portugal

Para Carlos Santos, os SIEM “são essenciais para as organizações na deteção e mitigação de ameaças e ciberataques. Mesmo com as mais avançadas tecnologias de proteção, sem a visibilidade que os SIEM permitem, as organizações podem e deixam as ameaças passar nas sombras da engenharia social, que é o vetor de ataque mais explorado pelos atacantes, pois só depende do comportamento humano”. No entanto, se “as organizações se basearem apenas nos sistemas de controlo, a informação fica dispersa impedindo as equipas de segurança de fazer a ligação rápida do que se passa na organização. Os dados vindos dos pontos de controlo, das aplicações de suporte ao negócio, telemetria, estatísticas e muitos outros dados, só conseguem ser analisados com exaustão e de forma automatizada através dos SIEM”.

Rui Barata Ribeiro defende que o SIEM é “absolutamente fulcral” para as organizações. “Existe no mercado, neste momento, um conjunto de tendências para tentar simplificar a analítica de segurança, fazê-la parecer mais simples do que é, e trazer algo de parecido com a simplicidade do antivírus para este mundo”. No entanto, “as más notícias é que, até agora, esse tipo de abordagem só foi possível em empresas que não têm muita diversidade, nem complexidade, nem provavelmente humanos”.

“A tecnologia SIEM é, por excelência, a ferramenta de gestão da complexidade na cibersegurança – é o conciliador de informação, e a forma de instruir o processo de resposta a incidentes com informação adequada, completa e em contexto”, assevera Rui Barata Ribeiro.

Pedro Jorge Viana refere que, integrado com inteligência de ameaças, “os sistemas SIEM permitem agregar, deduplicar, normalizar e armazenar dados de entrada e eventos detetados. Além disso, possibilita a análise de indicadores de compromisso com base na verificação prévia das fontes mais recentes, permitindo detetar ameaças previamente não identificadas”.

Por fim, Maxim Weinstein, relembra que, “como qualquer ferramenta, o SIEM pode desempenhar o seu papel numa operação de segurança mais abrangente”, mas, ressalva, “é apenas uma ferramenta, e a segurança requer a combinação certa de ferramentas (tecnologia), pessoas e processos para ser eficaz”.