O que é SIEM? Definição e como funciona

SIEM significa gerenciamento de eventos e informações de segurança. Na prática, as soluções de software SIEM combinam os benefícios do gerenciamento de informações de segurança (SIM, Security Information Management) e do gerenciamento de eventos de segurança (SEM, Security Event Management) em uma solução de segurança abrangente capaz de fornecer análise em tempo real dos alertas de segurança gerados por seus aplicativos e hardware.

Como o SIEM funciona?

O SIEM funciona coletando informações de logs e dados de eventos gerados por uma organização em seus aplicativos, sistemas de segurança e hardware. Ao combinar eventos com regras e mecanismos de análise, é possível que os sistemas SIEM detectem e analisem ameaças à segurança em tempo real. Melhor ainda, tudo é indexado para pesquisa para ajudar as equipes de segurança em suas análises, gerenciamento de logs e relatórios.

Exemplos de ameaças que uma solução SIEM pode detectar

Acesso não autorizado

Algumas tentativas de login malsucedidas são compreensíveis. Disque esse número para até 100 e alguém provavelmente está realizando um ataque de força bruta. O software SIEM pode monitorar o comportamento do usuário e identificar tentativas de acesso incomuns.

Ameaças internas

Ao monitorar constantemente o comportamento dos funcionários, os sistemas SIEM podem detectar ameaças internas acidentais e maliciosas. Desde ex-funcionários que ainda não tiveram seus privilégios de acesso revogados até pessoas maliciosas que podem estar tentando roubar ou vazar informações confidenciais, até mudanças acidentais de segurança, o software SIEM pode detectar comportamentos anômalos e encaminhá-los para um analista de segurança para análise.

Phishing

Os ataques de phishing foram desenvolvidos para fazer com que as pessoas divulguem voluntariamente informações pessoais ou confidenciais se passando por uma autoridade confiável. A forma mais comum de phishing são e-mails com links ou anexos maliciosos de invasores se disfarçando de fornecedores, gerentes ou funcionários. Além do treinamento de segurança, uma solução SIEM pode detectar coisas como logins de funcionários em locais suspeitos em momentos incomuns, o que pode ser um sinal de uma conta de funcionário comprometida. Você pode bloquear esse perfil de usuário para evitar danos até que o acesso possa ser confirmado pelo funcionário.

Ataques de DoS e DDoS

Os ataques de negação de serviço (DoS, Denial-of-Service) interrompem os serviços ao inundar redes com tráfego suficiente para vincular recursos do sistema e acionar uma falha. A frequência dessas ameaças está aumentando devido à facilidade com que os botnets podem incluir dispositivos de rede de usuários involuntários em seus próprios enxames para realizar ataques de negação de serviço distribuído (DDoS, Distributed Denial-of-Service). Ao monitorar seus logs de servidor web, o software SIEM pode sinalizar eventos de tráfego anômalos que podem ser indicativos de um ataque de DoS ou DDoS. Detectar esses ataques logo no início pode dar à sua equipe de segurança tempo para montar uma defesa e planejar a restauração dos serviços.

Injeção de código

A injeção de código envolve a injeção de código malicioso em canais de entrada do lado do cliente, como formulários online, para obter acesso ao banco de dados ou aos sistemas de um aplicativo. O exemplo mais comum disso é a injeção de SQL, na qual os comandos SQL são inseridos em entrada não sanitizada, permitindo que o invasor modifique ou exclua dados diretamente do banco de dados. Ao monitorar a atividade de aplicativos da Web, é possível sinalizar eventos anômalos e usar a correlação de eventos para ver se ocorreram alterações no seu sistema.

Ransomware e outros malwares

Ransomware, vírus, worms, cavalos de troia e outros tipos de malware são softwares desenvolvidos para se infiltrar em sistemas de computador e executar programas maliciosos. A melhor defesa contra esses ataques é a prevenção, e os sistemas SIEM oferecem os recursos de monitoramento necessários para entender os logs de segurança, identificar vetores de ataque e detectar comportamentos anômalos que podem levar a um ataque. Depois de comprometido, o SIEM também pode ajudar a identificar o escopo dos danos de um ataque de malware, dando à sua equipe de segurança as informações necessárias para resolver o problema.

Ataques MITM

Um ataque man-in-the-middle (MITM) ocorre quando um terceiro malicioso espiona as comunicações entre dois hosts para roubar ou manipular informações. Depois que as comunicações são interceptadas, o invasor pode empregar várias técnicas de sequestro de sessões de usuário ao cheirar entradas de senha para injetar pacotes maliciosos em fluxos de comunicação de dados. Conexões ou desconexões frequentes a locais desconhecidos podem indicar um ataque MITM, e é por isso que o SIEM pode ser uma ferramenta inestimável para ajudar a detectar hackers antes que seja tarde demais.

Quando usar o SIEM com exemplos

Os sistemas SIEM servem como um componente essencial de qualquer infraestrutura de segurança corporativa. Vejamos alguns exemplos de casos de uso de SIEM.

Conformidade com os padrões de dados

Os sistemas SIEM agregam dados de logs de eventos, ferramentas de segurança e dispositivos em toda a empresa. É a ferramenta perfeita para ajudar a gerar relatórios de conformidade e regulatórios.

Veja alguns exemplos:

• GDPR: O Regulamento Geral de Proteção de Dados (GDPR, General Data Protection Regulation) foi promulgado pela União Europeia (UE) para proteger os dados pessoais de cidadãos da UE.
• HIPAA: A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, Health Insurance Portability and Accountability Act) foi promulgada pelo legislativo dos EUA para proteger informações confidenciais de saúde dos pacientes.
• PCI: O Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS, Payment Card Industry Data Security Standard) é um padrão de segurança da informação exigido pelas principais empresas de cartão de crédito para proteger seus clientes.
• Conformidade SOX: A Lei Sarbanes-Oxley (SOX, Sarbanes-Oxley) é um regulamento dos EUA que visa fraudes contábeis corporativas. Ela se aplica a conselhos de empresas públicas, empresas de gerenciamento e contabilidade e exige relatórios precisos de onde as informações confidenciais são armazenadas, quem tem acesso a elas e como elas estão sendo usadas.

Como o SIEM fornece acesso estruturado a informações de log e dados de segurança em toda a sua empresa, é possível criar relatórios detalhados para órgãos regulatórios e proprietários de dados individuais.

Detecção avançada de ameaças à segurança

Conforme abordado em mais detalhes na seção anterior, “Exemplos de ameaças que uma solução SIEM pode detectar”, sistemas SIEM foram feitos para detectar ameaças avançadas à segurança. Vejamos alguns exemplos mais gerais de como os sistemas SIEM oferecem suporte à caça ativa a ameaças.

• Identificação de anomalias: A análise comportamental e a correlação de eventos podem sinalizar anomalias para inspeção mais detalhada pelas equipes de segurança.
• Exfiltração de dados: Ter uma visão geral de como seus dados estão sendo usados pode indicar ameaças internas e outras tentativas não autorizadas de transferir informações confidenciais para fora da sua organização sem autorização.
• Resposta a novas vulnerabilidades: Se uma nova exploração de dia zero ou vulnerabilidade do sistema for identificada, uma solução SIEM pode ajudar a identificar rapidamente o escopo da vulnerabilidade para que você possa fechá-la.
• Aprenda com incidentes passados: Quando ocorre um incidente, você pode verificar rapidamente se ele já aconteceu antes. Experiências passadas lidando com o problema podem ajudar a evitar ocorrências futuras ou lidar com incidentes repetidos mais rapidamente.
• Inteligência contra ameaças: Detecte ataques de maneira inteligente em sistemas de TI aplicando AI a dados e logs de segurança. O padrão combina assinaturas de ataque conhecidas com dados históricos.
• Investigações guiadas: Capacite os analistas a testar hipóteses por meio da exploração de dados por meio de uma plataforma SIEM.

Proteção de implantações de IoT

A Internet das coisas (IoT ) existe como uma frota de dispositivos de rede distribuídos, cada um transmitindo seus próprios logs de eventos em tempo real. Os sistemas SIEM são ideais para proteger implantações de IoT.

• Monitoramento de dispositivos IoT: Os dispositivos IoT são os principais alvos para sequestrar botnets para realizar ataques de DDoS. O monitoramento constante de um sistema SIEM pode indicar comportamento anômalo indicativo de um dispositivo comprometido.
• Monitoramento do fluxo de dados: Os dispositivos IoT frequentemente se comunicam entre si por meio de protocolos não criptografados. Uma solução SIEM pode detectar padrões de tráfego incomuns entre nós em sua rede IoT e alertar as equipes de segurança quando informações confidenciais são comprometidas.
• Controle de acesso: Monitorar quem acessa seus dispositivos IoT e quando pode dar dicas sobre atividades ou conexões suspeitas.
• Gerenciamento de vulnerabilidades: Uma solução SIEM pode ajudar a detectar sistemas operacionais antigos e vulnerabilidades não corrigidas nos dispositivos IoT da sua frota. Também pode ajudar a isolar dispositivos com maior probabilidade de serem atacados, como aqueles com pontos de acesso a dados confidenciais ou funções críticas.

Qual é a diferença entre o SIEM e um IDS?

A principal diferença entre um sistema SIEM e um sistema de detecção de intrusão (IDS, Intrusion Detection System) é que o SIEM é preventivo, enquanto um IDS é otimizado para detectar e relatar eventos de ameaça conforme eles ocorrem. Embora ambas as ferramentas criem alertas e gerem logs, apenas o sistema SIEM pode centralizar e correlacionar essas informações de log em diferentes dispositivos e sistemas para obter uma visão geral da segurança da sua empresa.

As organizações frequentemente usam SIEM e IDS juntas. O IDS ajudará durante um ataque. A solução SIEM pegará esses logs de IDS e os disponibilizará junto com outras informações do sistema para que as equipes de segurança possam gerar relatórios de conformidade e evitar ataques futuros.

SIEM x SOAR: qual é a diferença?

A orquestração, automação e resposta de segurança (SOAR, Security Orchestration, Automation and Response) é a criança relativamente nova no setor. Ela expande os recursos do SIEM permitindo automatizar fluxos de trabalho de caminho de investigação. Isso reduz o tempo necessário para lidar com alertas.

O SIEM identifica ameaças correlacionando informações de várias fontes, incluindo firewalls, aplicativos, servidores e dispositivos. A solução SIEM tentará fornecer as informações mais relevantes para a equipe de segurança com sugestões para correção, mas é da equipe de segurança rastrear e corrigir a origem de uma ameaça potencial.

A plataforma SOAR faz tudo isso e muito mais ao dar o passo extra para automatizar o caminho da investigação. Ele vai além de simplesmente alertar a equipe de segurança sobre uma ameaça potencial usando inteligência AI para aprender comportamentos padrão e abordar ameaças automaticamente por meio de orquestração.

Fornecedores comuns de cibersegurança SIEM

Algumas ferramentas populares de SIEM no mercado incluem:

• SIEM Elastic
• SolarWinds SIEM
• Datadog
• SIEM corporativo da Splunk
• McAfee ESM
• Micro Focus ArcSight
• LogRhythm
• SIEM de segurança cibernética da AT&T (anteriormente AlienVault USM)
• NetWitness do RSA
• Netsurion EventTracker

Conclusão

Em resumo, SIEM significa gerenciamento de eventos e informações de segurança. As ferramentas de SIEM podem ser usadas para detectar e prevenir uma variedade de ameaças, incluindo injeção de código, ataques de ransomware e ataques de DDoS. Elas são especialmente úteis para detectar anomalias, como acesso não autorizado, tentativas suspeitas de login e fluxos de dados incomuns. Se você precisar de uma plataforma de segurança que possa agregar logs de várias fontes em um local centralizado para análise de segurança, uma solução de SIEM pode ajudar.