quinta-feira, 31 de outubro de 2013

NOVA CONSULTORIA DE SEGURANÇA EM SAMPA. LIGUEM 0XX11 3533 2568


sábado, 26 de outubro de 2013

SEGURANÇA DA INFORMAÇÃO

Na segurança, dado não é informação
Por Wander Menezes     18/10/2013

Produtos de SIEM (Security Information Management e Security Event Management) já não é novidade há quase 10 anos. O ponto em questão é que os dados fluem nos sistemas computacionais e geram registros dos mais variados: de um mainframe na nuvem à cafeteira na copa da empresa. Isso mesmo! Para algumas empresas nos Estados Unidos até os dados de uso da cafeteira são utilizados para medir a saúde e hábitos dos colaboradores. Em suma, depende do que o negócio precisa entender e controlar. E no caso de segurança, é proteger.

Pode-se encontrar muitos dados importantes nos registros de equipamentos e de quaisquer ativos de informação. Porém, para se extrair a informação é necessário identificar padrões, criar perfis e aplicar, posteriormente, correlações para a descoberta de anomalias, tendências e comportamentos, a fim de determinar desvios.

Contudo, é necessário entender de onde se deve extrair a informação e qual valor ela possui para a organização. Nestes dias de ataques persistentes, entender taticamente um ambiente de modo a identificar, mitigar e erradicar atacantes é fundamental, mas, de fato, pouca gente entende a relevância dos registros, ou seja, a informação contida nos dados.

Analisar dados no âmbito de se obter informação também não é novidade. Há mais de 20 anos analistas financeiros usam ferramentas de Data Mininge e sistemas BI (Business Intelligence) para determinar crédito, apoiar decisões de negócio e analisar mercados, ou seja, obter dados e a partir delas tomar decisões rápidas e estratégicas baseadas em dados escolhidos de fontes relevantes.

Os conceitos de BI (Business Intelligence) e SIEM são bem parecidos e, em ambos os casos, busca-se determinar exposição, riscos, ganhos e perdas. No caso do SIEM não se ganha dinheiro e sim, salva-se dinheiro. Do mesmo modo que sistemas de BI precisam de analistas para interpretar as informações e tomar decisões de negócio, um sistema de SIEM também necessita de analistas de segurança para observarem e interpretarem as informações de modo a responderem a um incidente de segurança rapidamente e proteger o negócio de perdas financeiras.

Sistemas mais modernos de SIEM não são determinísticos (não usam “sim” ou “não”), mas trabalham mais próximos da lógica humana e fazem correlações baseadas em possibilidades e probabilidades, ou seja, focam em analisar os desvios.

Assim como um analista financeiro estuda os mercados e as fontes de dados relevantes, o analista de segurança deve analisar de quais ativos de valor é necessário extrair dados e posteriormente processar os mesmos atrás de inteligência no que tange a segurança da informação. Para que o SIEM de fato traga a Inteligência (Estratégica, Tática e Operacional) é necessário que os dados dos ativos possuam valor para a detecção, a triagem e a análise para acelerar a resposta a um incidente.

Outra coisa importante a salientar, é que a correlação de logs é o principal objetivo de um SIEM. Porém, os ativos que serão analisados realmente devem possuir a informação necessária para que a reação e a tomada de decisões em um incidente de segurança seja feita no menor tempo hábil possível e com precisão. De forma nenhuma, ter um SIEM exclui a necessidade da interpretação humana. Um incidente deve ser analisado por um profissional de segurança que seja apto a validar uma determinada situação dentro de uma organização.

Muitas implementações de SIEM podem ser frustrantes por terem apenas a preocupação de estarem aderentes a normatizações (reter logs) ou pensar que o papel do analista de segurança será feito por um sistema. Não focar nos principais objetivos de um sistema de SIEM é que gera estas interpretações errôneas (às vezes míticas) do que um SIEM de fato é, e o que ele pode fazer para a organização. Um sistema de gerenciamento de proteção é uma ferramenta para o profissional de segurança ganhar tempo, obter informação relevante e diminuir o tempo de resposta a um incidente de segurança.

Entender o ambiente no qual o SIEM será inserido é primordial em projetos desta natureza. Saber posicionar a ferramenta de modo a coletar dados dos ativos estratégicos e obter o máximo de informações com pensamento tático é o que proporcionará a detecção de anomalias em um ambiente e isto de fato acelera o processo para mitigar e erradicar ataques persistentes.

O que é sempre importante ter em mente é que dado não é informação e que sistemas de SIEM são ferramentas para complementar e apoiar processos de resposta a incidentes dentro de uma organização. Sempre é necessário que o profissional de segurança saiba extrair informação dos dados contidos nos ativos e use a inteligência da ferramenta com uma visão tática e estratégica de suas fontes de dados.

Por Wander Menezes, gerente de Serviços da Arcon serviços gerenciados de segurança


APERFEIÇOAMENTO DE GESTORES DE SEGURANÇA CLASSE MUNDIAL