kras99 - stock.adobe.com
A história, evolução e estado atual do SIEM
O SIEM atendeu à necessidade de uma ferramenta de segurança que pudesse identificar ameaças em tempo real. Mas novas ameaças significam que a próxima evolução do SIEM oferecerá ainda mais poder.
Antigamente, a TI considerava os firewalls –que filtravam o tráfego com base em portas, protocolos e endereços IP– como a melhor maneira de manter os dispositivos em rede seguros.
Mas à medida que o tráfego de rede cresceu –impulsionado por uma maior conectividade à Internet e acesso dos utilizadores– os firewalls tornaram-se menos eficazes. Eles não tinham visibilidade do conteúdo e do contexto dos dados, o que significava que não conseguiam classificar o tráfego adequadamente. Isso criou uma procura por melhores tecnologias que pudessem monitorizar o acesso aos sistemas para combater o crescente número e sofisticação dos ataques à rede.
No início da década de 1990, surgiram sistemas comerciais de detecção de intrusão (IDS). Esses sistemas poderiam avaliar o tráfego de rede em relação a um conjunto de regras e ataques conhecidos, gerando um alerta caso um ataque fosse identificado. Antes do IDS, a análise dos logs e mensagens do sistema era realizada manualmente e os administradores tinham sucesso limitado na detecção de uma intrusão ativa.
No entanto, a natureza variada das redes durante a década de 1990 e início de 2000 fez com que os IDS gerassem um grande número de falsos positivos, desperdiçando tempo e recursos. Eles também não tinham a capacidade de centralizar e correlacionar dados de eventos de vários sistemas.
Bem vindo SIEM
O que a indústria precisava era de uma abordagem mais dinâmica à segurança de rede, que proporcionasse maior visibilidade do ambiente operacional geral. Isso levou os fornecedores de segurança a combinar ainda mais dois conceitos: gerenciamento de informações de segurança (SIM) e gerenciamento de eventos de segurança (SEM). O resultado foi o gerenciamento de eventos e informações de segurança (SIEM), um termo cunhado pelo Gartner em um relatório de segurança de TI de 2005.
A evolução do SIEM baseou-se na necessidade de uma ferramenta que pudesse identificar ameaças genuínas em tempo real, coletando e priorizando de forma mais eficaz os milhares de alertas de segurança gerados por firewalls, software antivírus e IDS. Os sistemas SIEM poderiam identificar potenciais riscos de segurança centralizando, normalizando e analisando dados de eventos em um ambiente de TI. Isso permitiu que as equipes de segurança se tornassem mais eficientes e eficazes à medida que lidavam com volumes crescentes de tráfego em infraestruturas de TI complexas.
Mas, apesar dos seus benefícios, os sistemas SIEM de primeira geração apresentavam deficiências. Seus painéis e relatórios eram básicos e seus alertas careciam de sofisticação. Os primeiros SIEMs também sofriam de escalonabilidade deficiente, pois cada etapa do processo –ingestão de dados, definição de políticas, regras e limites, revisão de alertas e análise de anomalias– exigia intervenção manual.
Ao mesmo tempo, um grupo ainda maior de usuários –incluindo trabalhadores remotos, clientes e terceiros– acessava as redes. Os invasores logo conseguiram operar sem serem detectados, evitando gatilhos baseados em regras.
SIEM se torna mais analítico
A chegada do armazenamento escalável e de baixo custo, como Apache Hadoop e Amazon S3, sustentou a próxima etapa na história do SIEM. Eles possibilitaram que os sistemas SIEM usassem análises de big data para melhorar a correlação e a interpretação de dados históricos e em tempo real, embora os limites de alerta fossem, em sua maioria, pré-configurados manualmente.
Por volta de 2015, a integração da aprendizagem automática e da inteligência artificial (IA) nas ferramentas SIEM tornou-as ainda mais eficientes na orquestração de dados de segurança e na gestão de ameaças em rápida evolução. Isso significava que os sistemas SIEM poderiam acionar alertas sobre ameaças de dia zero e padrões de ataque, bem como ameaças conhecidas. A precisão e a utilidade dos alertas SIEM melhoraram ainda mais depois que o SIEM começou a ingerir dados de log de infraestrutura implantada em nuvem, aplicativos SaaS e outras fontes de dados não padrão, incluindo fontes de inteligência de ameaças de terceiros contendo indicadores de comprometimento obtidos de diversas fontes.
A detecção de anomalias mais poderosa tem sido a base da evolução do SIEM. A criação automatizada de regras e perfis com base em IA adicionou uma camada dinâmica de recursos de detecção. A Análise do Comportamento de Usuários e Entidades (UEBA) deu um impulso adicional ao SIEM. A UEBA depende de informações de eventos, aprendizado de máquina e análise estatística para gerar uma linha de base de comportamento normal, permitindo detectar atividades fora dos limites aceitos que podem resultar em uma ameaça real. Considere, por exemplo, um hacker mal-intencionado usando credenciais roubadas de um administrador. Eles podem conseguir acesso a sistemas confidenciais, mas seria quase impossível para eles espelharem as ações do administrador. Um SIEM usando UEBA poderia detectar, sinalizar e interromper o acesso.
O SIEM evolui à medida que os ataques se tornam mais complexos
As ferramentas SIEM continuam a evoluir à medida que aumenta o número e a complexidade dos ataques cibernéticos. Os fornecedores estão comercializando novos conceitos para diferenciar seus produtos com recursos novos ou adicionais. A Automação e Resposta de Orquestração de Segurança (SOAR) é um bom exemplo. SOAR usa APIs para integrar sistemas SIEM com outras ferramentas de segurança. Isto permite que as equipes de segurança melhorem sua capacidade de detectar ameaças complexas e movimentos laterais, executando automaticamente ações pré-planejadas em resposta a incidentes específicos.
As ferramentas SIEM tornaram-se uma parte estabelecida da maioria dos centros de operações de segurança em organizações de todos os tamanhos e em todos os setores. Eles são implementados de diversas maneiras, incluindo dispositivos, software e serviços de segurança gerenciados. Embora os sistemas SIEM sejam usados principalmente para monitorar e detectar ameaças na nuvem e em recursos locais, sua telemetria em tempo real também permite que as equipes de operações analisem e resolvam problemas de rede. As equipes de resposta a incidentes usam seus registros para realizar exames forenses de eventos históricos de segurança e coletar evidências para investigações policiais. As equipes de conformidade também podem usar dados SIEM para atender aos requisitos de monitoramento, auditoria e relatórios especificados em regulamentações como GDPR, HIPAA e PCI DSS.
As ferramentas SIEM estão disponíveis em todos os principais fornecedores, mas os custos de implementação e integração são apenas parte da equação. As empresas precisam de pelo menos três ou quatro funcionários treinados para gerenciar e monitorar uma ferramenta SIEM e investigar quaisquer alertas que ela gere. Organizações maiores exigirão pessoal ainda maior. Esta é uma das razões pelas quais organizações com poucos recursos podem usar um provedor de serviços de segurança gerenciados.
Aumentando a proatividade
A evolução do SIEM significa que ele amadureceu e se tornou algo muito mais do que a soma de suas duas partes iniciais – SIM e SEM. Qualquer forma de tecnologia projetada para detectar e prevenir ameaças tem o SIEM em sua essência. A capacidade da ferramenta de coletar e analisar dados registrados por dispositivos e software na rede é a única maneira de obter visibilidade em infraestruturas grandes e complexas.
As ferramentas de segurança baseadas em SIEM desempenham um papel vital na segurança de dados e, independentemente da forma como os produtos e serviços SIEM eventualmente se transformem, o objetivo será sempre o mesmo: identificar ameaças aos anfitriões, priorizar aqueles com maior risco e mitigar automaticamente os riscos em tempo real.
Esta é a única maneira de as equipes de segurança reagirem com rapidez suficiente para evitar que os ataques se transformem em violações de dados completas. As ferramentas SIEM continuarão a melhorar, permitindo-lhes processar bilhões de eventos. Mas os avanços mais importantes serão como o SIEM transforma esses dados em informações acionáveis e como essas ações podem ser automatizadas para acelerar os processos de investigação e resposta a incidentes de segurança.
Independentemente de como essas ferramentas de próxima geração forem renomeadas –as versões mais recentes são TDIR, para detecção, investigação e resposta a ameaças, e XDR, para detecção e resposta estendidas– o SIEM desempenhará um papel fundamental.
O aprendizado de máquina e a IA estão começando a melhorar nossa compreensão do que está acontecendo em uma rede, mas o verdadeiro avanço para o SIEM virá quando os alertas puderem ser preditivos e reativos. Este será o ponto em que o SIEM se tornará um verdadeiro sistema de detecção e prevenção de intrusões, bloqueando não apenas atividades maliciosas conhecidas, mas impedindo um ataque cibernético antes que ele ocorra –sem interromper as operações e atividades diárias. Quando esse dia chegar, o SIEM precisará de um novo nome e uma nova sigla.
