A tecnologia SIEM não é uma tendência atual. Ela existe há mais de duas décadas e foi elaborada com o objetivo de fornecer aos analistas do centro de operações de segurança, análises de dados consistentes sobre eventos variados e volumosos. Dada a evolução significativa dos sistemas computacionais nos últimos anos, a estratégia de centralização de gerenciamento tornou-se primordial para que profissionais de segurança tenham uma melhor visão e um histórico detalhado das atividades em seu ambiente de TI e possam melhorar significativamente o tempo de resposta a ameaças.

Para entender a função do gerenciamento SIEM precisamos antes conceituar outros dois termos: SIM (Gerenciamento de Segurança de Informações) e SEM (Gerenciamento de Eventos de Segurança).

O SIM é a prática de coletar, correlacionar, monitorar e analisar dados de logs históricos de incidentes de segurança. Esses dados são colecionados em um repositório, organizados em forma de índices para análise posterior. O SEM, por sua vez, lida com monitoramento e gerenciamento de eventos que podem constituir sinais de alerta em tempo real.

Quando recursos SEM e SIM são combinados, estamos falando em SIEM, a sigla para Security Information and Event Management (Gerenciamento de Segurança de Informações e Eventos). O SIEM é um sistema único de gerenciamento de segurança que permite total visibilidade de qualquer atividade na rede dando aos analistas a possibilidade de responder a ameaças em tempo real. Trata-se de uma infraestrutura central que agrega ao mesmo tempo dados históricos e em tempo real e analisa a atividade de recursos diferentes em toda a infraestrutura de TI da empresa.

Os objetivos principais do gerenciamento SIEM são: obter relatórios sobre eventos e incidentes relacionados à segurança (como por exemplo logins de um mesmo usuário em vários dispositivos simultaneamente, tentativas de invasão e outros) e emitir alertas ao detectar atividades anormais ou ainda acionar respostas automatizadas para erradicar os riscos. É importante lembrar que não é função do SIEM impedir de forma direta um ataque, mas sim disparar alertas para que outros controles de segurança da rede possam interrompê-lo.

Em síntese, o SIEM permite a detecção de problemas que, de outra forma, passariam despercebidos. Na rede de uma organização, sistemas de prevenção de intrusão (IPS), sistemas de detecção de intrusão (IDS), firewalls e roteadores geram uma enxurrada de dados de registro. Quando consegue-se reunir numa única interface os dados de todas essas fontes e analisá-los para detectar comportamentos anormais na rede é menos custoso determinar qual foi a natureza do incidente e assim tratar de forma mais eficiente e reduzir a extensão dos danos.

SIEM tradicional X SIEM de próxima geração

O que distingue o SIEM de última geração ou Next-Gen SIEM de seus predecessores mais antigos e menos sofisticados é basicamente o fato dele usar análises estatísticas avançadas.

As tecnologias SIEM ditas tradicionais funcionam basicamente coletando e indexando dados de logs de aplicativos e dispositivos. Um SIEM de última geração por sua vez soma esses atributos da solução tradicional com inteligência artificial e aprendizado de máquina para reconhecer padrões comportamentais, enriquecer os dados que estão sendo coletados com informações contextuais adicionais e assim conseguir identificar rapidamente atividades e eventos anômalos, fazendo uma relação de correspondência entre esses eventos em tempo real.

Usando reconhecimento de padrões, a tecnologia SIEM Next Generation consegue, por exemplo, detectar comportamentos de ameaças avançadas e polimórficas, que mudam seu comportamento para dificultar ao máximo sua detecção.  Eles também facilitam a detecção de ameaças internas que é um dos maiores desafios das equipes de TI porque grande parte das ferramentas de segurança demoram a entender que a violação está relacionada a um usuário legítimo. Ao detectar comportamentos que não são normais para o dispositivo, aplicativo ou usuário e correlacionar esses eventos com outros registrados é possível entender rapidamente a gravidade do evento com base no usuário, ativo envolvido e tipo de dados em risco e assim definir a melhor maneira de tratá-lo.

SIEM-as-a-Service

Dado que os SIEMs da próxima geração permitem que as organizações monitorem ambientes em nuvem, não causa estranheza que a própria tecnologia esteja cada vez mais sendo implantada na nuvem.

Os fornecedores de SIEM oferecem opções híbridas da tecnologia, com algumas das análises sendo executadas como serviço na nuvem e também localmente. Pelas mesmas razões pelas quais um modelo SaaS faz sentido para aplicativos corporativos, ele também se apresenta como uma ótima opção para SIEMs na nuvem.

Antes de investir em gerenciamento SIEM na sua organização há muitas questões que precisam ser consideradas:

1 – Quais são seus objetivos, para assim adequar a solução escolhida às prioridades do seu negócio;

2 – Quanto de experiência sua equipe de TI tem ou não para implementar, gerenciar e manter o SIEM?

3 – A solução é flexível ao crescimento e ritmo de crescimento de seu negócio e obviamente da própria rede?

Em suma, para que o gerenciamento SIEM atenda às necessidades de segurança específicas de sua empresa, antes de qualquer outra coisa você deve saber o que fazer. Portanto antes de adquirir e implantar uma solução do tipo, considere a complexidade necessária para implantá-la e mantê-la.