Gerenciamento e Correlação de Eventos de Segurança

Gerenciamento e Correlação de Eventos de Segurança ( em inglês Security Information and Event Management) é uma solução de Software que combina SIM (security information management) e SEM (security event manager) .

Uma solução SIEM permite que os eventos gerados por diversas aplicações de segurança (tais como firewalls, proxies, sistemas de prevenção a intrusão (IPS) e antivírus sejam coletados, normalizados, armazenados e correlacionados; o que possibilita uma rápida identificação e resposta aos incidentes.

Enquanto ferramentas SEM oferecem monitoramento em tempo real dos eventos de segurança, coletando e agregando os dados (com resposta automática em alguns casos); uma ferramenta SIM oferece análise histórica dos eventos de segurança, também coletando e correlacionando os eventos, porém não em tempo real; o que permite consultas mais complexas ao repositório.

As soluções SIEM combinam os recursos oferecidos em ambas as tecnologias (SIM e SEM).

O termo foi cunhado em 2005 por Mark Nicolett e Amrit Williams da Gartner,[1] descrevendo um produto capaz de coletar, analisar e apresentar informações dos dispositivos de segurança de rede; softwares de controle de acesso; gerenciamento de vulnerabilidades; ferramentas de conformidade; logs de sistema operacional, banco de dados e aplicações; e por último, dados de ameaças externas.

Até Outubro de 2013,[2] o site Mosaic Security Research listava 86 soluções SIEM, equanto a Gartner,[1] listava apenas 15 vendors em seu Magic Quadrant.

O Problema

editar

Do ponto de vista do gerenciamento de segurança da informação, observa-se:

  • A “Inundação” de logs, eventos e outras informações relativas às atividades monitoradas pelas soluções de segurança e do próprio funcionamento interno das mesmas;
  • Existência de ilhas de defesa, onde cada solução específica trabalha de forma isolada;
  • Consoles heterogêneas de monitoração, que oferecem visões isoladas sobre o estado de segurança do ambiente e requerem especialistas para sua utilização e interpretação dos dados, além da dificuldade de relacionar os eventos reportados pelas diferentes soluções;
  • Alta taxa de falsos positivos, decorrente das análises isoladas pelas soluções, as quais não possuem visão de todo o ambiente;
  • Crescente número de regulamentações, padronizações, normas, políticas e processos de auditorias, externas ou internas, obrigam cada vez mais as empresas a reportarem o devido cuidado com relação à segurança da informação e provar conformidade.

A Solução SIEM

editar

Com base nos problemas citados, uma solução SIEM tenta atender com as seguintes características:

  • Acesso em tempo real, centralizado e consistente a todos os logs e eventos de segurança, independente do tipo de tecnologia e fabricante;
  • Correlação de logs de tecnologias heterôgeneas, conectando atributos comuns e/ou significativos entre as fontes, de modo a transformar os dados em informação útil;
  • Identificação de comportamentos, incidentes, fraudes, anomalias e quebras de baseline;
  • Alertas e notificações que podem ser disparadas automaticamente no caso de não conformidade com as políticas de segurança e/ou normas regulatórias, ou ainda, de acordo com as regras de negócio pré-estabelecidas;
  • Emissão de relatórios sofisticados sobre as condições de segurança do ambiente para equipes de SOC (security operations center) auditoria ou resposta a incidentes;
  • Retenção e indexação a longo prazo dos dados possibilitando posterior análise forense;
 
Wikilivros
O Wikilivros tem um livro chamado Segurança da Informação

Que tipo de empresas oferecem soluções SIEM?

editar

As empresas que oferecem esse tipo de solução são dedicadas ao ramo da tecnologia da informação.

Dentre as mais expressivas estão big techs como IBM com Qradar SIEM, Datadog e Miscrosoft

Referências

  1. a b The Future of SIEM - The market will begin to diverge
  2. «Mosaic Security Research». Consultado em 6 de outubro de 2013. Arquivado do original em 16 de março de 2012