Security Information and Event Management (SIEM)

Analisam comportamentos de dispositivos e utilizadores, detetam comportamentos de risco ou desvios no comportamento habitual dos utilizadores e dependendo do nivel de maturidade das regras implementadas no SIEM respondem de forma automática a eventos de segurança, possuem ainda ferramentas de investigação e gestão de incidentes e elaboram relatórios com KPI`s de avaliação de performance do SOC.

As plataformas mais avançadas incorporam também algoritmos de inteligência artificial (IA) e aprendizagem de máquina (ML) para analisar logs e tendências de forma a identificar proativamente novos alertas, ameaças e gerir riscos. Machine Learning que é a aprendizagem de máquina (ML), e a inteligência artificial (IA) surgiram como ferramentas críticas para lidar com o volume e a complexidade cada vez maior de ameaças à segurança cibernética. As máquinas conseguem reconhecer padrões que levam à deteção de malware e de atividades incomuns melhor do que os seres humanos e os softwares clássicos. Esta tecnologia tem também a possibilidade de prever possíveis ataques e responder automáticamente às ameaças identificando tendências e ciclos específicos.

É comum ter incidentes ou alertas semelhantes que exigem a mesma resposta. Em vez de repetir o mesmo procedimento, às vezes manualmente, o sistema pode detetar o evento, identificar e categorizar o incidente e, em seguida, aplicar a correção automáticamente.

A análise comportamental, designada por UEBA, que faz a análise do comportamento de utilizadores e entidades, é uma das aplicações de segurança mais promissoras do Machine Learning. As ferramentas UEBA procuram atividades novas ou inesperadas na rede para detetar ameaças. Estas ferramentas podem ser particularmente úteis para a defesa contra ameaças de dia zero (zero day) ou ameaças préviamente desconhecidas.

O cenário das ameaças cibernéticas está em constante evolução e cada vez mais os cibercriminosos usam também a IA para criar ataques sofisticados, de forma tentar evitar a sua detecção e ultrapassar as defesas clássicas, enganando os algoritmos e até a usando tecnologia semelhante para comprometer os sistemas. O ChatGPT pode já ter sido usado como ferramenta para hackers criarem ransomware, ofuscar malware e outras explorações, e ainda utilizar habilidades de engenharia social que permitem criar e-mails e conteúdos de phishing sofisticados e de difícil deteção. Este é o novo paradigma na corrida à segurança cibernética, com novos desafios para atacantes e defensores a tentarem adaptar-se às inovações de ambos os lados na tentativa de ganhar vantagem no cenário cibernético.

Na perspectiva de quem a ataca, a IA permite agilizar e tornar as técnicas, táticas e procedimentos de ataque mais eficázes e sofisticados. Do lado de quem defende é importante garantir que a tecnologia tem capacidade de identificar técnicas de dissimulação que possam desvirtuar os acontecimentos reais e que ofusquem os modelos usados na deteção de comportamentos anómalos.

Em ambientes de SOC com maturidade e tecnológicamente atualizados, a 1ª linha de defesa é muito suportada pela componente de ML, ou seja, numa fase inicial foca-se em analisar comportamentos atípicos, olhando para os restantes eventos apenas para ter um enquadramento global e desenhar a linha temporal num ataque, podendo acionar respostas automáticas a eventos conhecidos sem recurso à intervenção humana.

Os SIEMs são ferramentas muito úteis, flexíveis, poderosas e podem oferecer informações críticas sobre o status da infraestrutura de uma organização. Na conjuntura atual, os atacantes exploram com alguma naturalidade as capacidades da inteligência artificial na criação de código malicioso, desse modo é imperativo que as equipas de ciber defesa disponham de SIEMs com IA/ML e algoritmos avançados de deteção e análise de eventos maliciosos, visto ser consensual que esta abordagem oferece um tipo de deteção mais competente das ameaças cibernéticas nas organizações.

Conteúdo co-produzido pela MediaNext e pela Noesis