SIEM: necessário, mas não suficiente

De qualquer forma, independentemente da sigla, o que é comummente aceite e reconhecido é a necessidade de ter um SIEM em qualquer organização. Não me irei debruçar aqui sobre as funcionalidades e vantagens de um SIEM, assumidas como base de partida.

Mas, se todos os profissionais conhecem e reconhecem as vantagens de um SIEM, é fundamental também que os órgãos de gestão tenham consciência não só das vantagens, mas também das limitações de um SIEM e dos custos envolvidos. Como em quase todas as vertentes da segurança, o SIEM não é uma bala mágica que resolve todos os problemas.

Antes de implementar um SIEM temos de construir a base de análise, ou seja, o que vai ser alvo de monitorização. Claro que, sendo ideal ter uma monitorização completa de todos os ativos, sabemos que tal não é exequível na maior parte dos casos e, portanto, é essencial planear que ativos devem estar protegidos com base no seu risco. Isto implica que a segurança tenha conhecimento de todos os ativos existentes.

Depois de sabermos que ativos monitorizar, precisamos de definir a informação a recolher em cada um que nos permita uma análise posterior dos eventos e se existe algum requisito legal e/ou regulamentar sobre a informação a recolher. Esta fase implica um aprofundado conhecimento transversal do negócio.

Após estas fases, há que decidir se queremos ter resposta automática, e, em caso afirmativo, estabelecer os playbook que podem fazer sentido. Estes playbook devem ser testados e alinhados com o negócio, de forma que a resposta seja eficaz e não possa causar outros incidentes (pensemos na capacidade de os telemóveis atuais apagarem a informação toda e fazerem um reset pela introdução errada do PIN algumas vezes. Ou seja, se o objetivo do atacante for causar disrupção, não tem de entrar no telefone, basta introduzir uns quantos códigos errados. Se a informação que estiver no telemóvel for importante e não tivermos mecanismos de salvaguarda, esse ataque pode ser mais devastador do que alguém ler o conteúdo do telemóvel).

Apenas após todos estes passos podemos decidir qual a melhor ferramenta para a nossa organização.

Isto significa que são necessários recursos e o envolvimento de várias áreas da organização antes sequer de ter um SIEM funcional e é fundamental que a gestão tenha essa consciência e que dê um mandato claro à área de segurança para poder envolver todas as outras áreas.

Escolhendo a ferramenta, finalizada a respetiva implementação, que deve ser acompanhada por especialistas na ferramenta (mais recursos!) é fundamental que a gestão perceba que o trabalho ainda nem começou.

Não basta ter um técnico que olhe para o SIEM, tem de haver toda uma equipa, procedimentos e orquestração com outras equipas para que o SIEM seja útil. Tem de haver perfis diferentes dentro de um centro de operações de segurança (Security Operations Center – SOC): técnicos que monitorizam os eventos, técnicos que analisam e classificam os incidentes, técnicos que respondem aos incidentes, técnicos que geram eventuais crises, técnicos que parametrizam e melhoram o sistema, etc..

Toda a operação do SIEM (seja feita internamente, seja externalizada num SOC-as-a-Service) tem obrigatoriamente de ser planeada, documentada e dimensionada de acordo com as necessidades. É utópico imaginar que uma pessoa ou uma equipa pequena pode fazer todas estas tarefas. E, se para os especialistas, esta é uma verdade de la Palisse, para a gestão de topo é algo que importa sublinhar e justificar, dado que muitas vezes se considera que um ou dois técnicos de segurança são suficientes.

Temas como a relação entre a rapidez de deteção e o risco, ataques de movimentação lateral, ataques persistentes, etc., têm de ser enquadrados para a gestão de topo, de modo que esta tenha a consciência da importância de ter um SOC a funcionar corretamente. E isto é válido para grandes organizações, que podem montar o seu próprio SOC, como para PME, que, mesmo não tendo capacidade para desenvolver internamente um SOC, podem externalizar a função, de forma a poderem aproveitar também as suas vantagens.

Um outro tema que é crucial é que a gestão entenda que qualquer ferramenta é falível e que alguns eventos podem não ser detetados, o que significa que o SIEM é apenas mais uma peça, fundamental, mas que deve fazer parte de um conjunto alargado de ferramentas, procedimentos e organização.

Por outro lado, como vimos atrás, o SIEM necessita de um trabalho rigoroso de análise e planeamento, mas reporta-se a um momento no tempo específico. Com o evoluir das soluções, novos projetos, novas ferramentas, etc., o SIEM tem de ser reavaliado e reconfigurado para refletir novas realidades. Isto significa que todos os novos projetos, sistemas, etc., devem ser do conhecimento da equipa de segurança, para que possam validar e garantir que são compatíveis com o SIEM e as restantes ferramentas.

É, por isso, fundamental que o Chief Information Security Officer (CISO) tenha um mandato da gestão de topo que lhe permita envolver as várias equipas e garantir o cumprimento das normas de segurança. No limite, o CISO deve ter o empowerment de adicionar requisitos de segurança e poder interagir com o negócio e com as áreas técnicas sem necessidade de envolvimento constante da gestão de topo.

Resumindo, o SIEM é uma ferramenta fundamental em qualquer operação de segurança, mas não é suficiente. É necessário que a gestão de topo providencie os recursos necessários para a segurança, mas também que defina e comunique as responsabilidades do CISO em toda a organização, dando- -lhe o respaldo necessário para que a segurança seja efetiva.

(1) https://csrc.nist.gov/glossary/term/security_incident_event_monitoring