Escolar Documentos
Profissional Documentos
Cultura Documentos
sobre
SIEM
Explorando os 6 mitos sobre SIEM
Você procurou saber sobre soluções SIEM recentemente?
Pois as coisas mudaram.
Há rumores de que as soluções SIEM são desajeitadas e complexas e,
portanto, exclusivas para grandes organizações. É verdade, algumas
soluções SIEM enquadram-se exclusivamente na categoria corporativa,
mas este mito ignora as soluções SIEM mais inovadoras, concebidas para
empresas de todos os portes.
Vamos abordar os seis principais mitos sobre SIEM e investigar o que você
deve esperar de um SIEM hoje.
Mito n. 1 o
Um SIEM só detecta ameaças conhecidas; não é útil com ameaças
desconhecidas.
As soluções SIEM só usam correlação para detectar ameaças. Para redigir uma
regra de correlação eficaz, você primeiro precisa saber o que procurar.
Realidade
SIEMs eficientes usam uma combinação de correlação em tempo real, detecção
de anomalias, aprendizagem de máquina e análise comportamental para
detectar tanto ameaças conhecidas como desconhecidas.
Segundo o senso comum, como as melhores soluções SIEM do mercado podem ser
dimensionadas para atender às maiores organizações, elas são destinadas apenas
às maiores organizações.
Realidade
As melhores soluções SIEM atendem a uma vasta gama de organizações, independentemente
de ser uma empresa em crescimento que esteja apenas iniciando o monitoramento de
segurança, ou uma empresa global da Fortune 20 que necessita de casos de uso avançados.
A verdade é que, enquanto muitas equipes de segurança avançadas preferem inúmeros
recursos supérfluos para atender a casos de uso avançados e especializados, um bom SIEM
não requer recursos supérfluos para agregar valor. Uma solução ideal ajuda você a começar
imediatamente com casos de uso padrão, tais como detecção de ameaças,
monitoramento de nuvem e relatórios de compliance. Conforme
sua rotina amadurece e seu negócio cresce, seu SIEM deve
ser escalado para dar suporte a mais ambientes,
múltiplas geografias e casos de uso avançados,
tais como inspeção profunda de pacotes, análise
de DNS e orquestração de segurança, automação
e resposta (SOAR, security orchestration,
automation and response)
firmemente integradas.
Mito n. 3 o
SIEMs demandam uma grande quantidade de dados e o custo para coletar todos esses
dados é extremamente alto.
Realidade
Se você estiver considerando fornecedores que cobram com base na quantidade
de dados armazenados, isso poderá ficar muito caro, muito rapidamente. Mas
diferentes fornecedores cobram por suas soluções de formas diferentes.
Realidade
Se você não pode (ou não quer) encontrar e pagar por uma equipe de cientistas
de dados que também entendem de segurança, procure um fornecedor que
disponibilize conteúdo pronto para uso imediato.
O marketing criativo dos fornecedores de gerenciamento de log e data lake faria você
acreditar que as soluções de gerenciamento de log são superiores às de SIEM para
encontrar e investigar ameaças.
Realidade
As ferramentas de gerenciamento de logs podem alcançar o compliance e auditar casos de
uso, mas ficam aquém das análises e alertas em tempo real.
O gerenciamento de logs foi uma solução para um problema que já durava uma década –
as empresas precisavam de soluções para atender às auditorias da Sarbanes Oxley (SOX),
Payment Card Industry (PCI) e outras regulamentações do setor. Os stacks de gerenciamento
de logs ressurgiram nos últimos anos devido às elevadas reivindicações de busca e indexação
de petabytes, porém a falta de análise em tempo real impõe uma quantidade desproporcional
de tarefas de detecção manual – quer seja para consultar, pivotar ou procurar ameaças –
ao seu já limitado pessoal.
A maioria dos fornecedores de SIEM oferece uma camada de gerenciamento de logs ou data
lake como parte da solução para agregação, análise e armazenamento. Muitas vezes, a camada
de gerenciamento de logs pode ser licenciada separadamente do SIEM, permitindo às equipes
estabelecer um data lake de segurança com um modelo de preços baseado em host econômico
e previsível. O valor incremental do SIEM está na análise pronta para uso (correlação em tempo real,
aprendizagem de máquina etc.) que dá conta do trabalho pesado de monitoramento e detecção.
Simplificando, o gerenciamento de logs não é um SIEM por si só, mas um recurso de um SIEM.
Mito n. 6 o
SIEMs são difíceis de integrar com outras soluções em meu ambiente.
Realidade
As principais soluções SIEM precisam ser fáceis de integrar – e, felizmente, muitas delas são.
Os primeiros SIEMs que chegaram ao mercado há uma década, e que não conseguiram evoluir com a mudança das
necessidades e a evolução da tecnologia, são difíceis de integrar. No entanto, esses players ou estão completamente fora do
mercado ou estão tendo muitas dificuldades agora. As soluções líderes oferecem hoje centenas de integrações prontas com
tecnologias comerciais de TI e OT, e oferecem conectores simples para integrar e analisar logs de aplicações personalizadas.
Se você estiver curioso sobre as integrações que existem – e são totalmente suportadas pelos fornecedores – verifique os
diferentes sites de suporte ao cliente dos fornecedores ou navegue em suas app exchanges.
Os estereótipos que existem hoje tendem a se basear em tecnologia ultrapassada. Se você avaliou uma
solução SIEM dez ou mesmo cinco anos atrás, muitos dos principais mitos eram verdadeiros naquele
momento. Mas, na mesma medida em que a tecnologia e os cenários de ameaça evoluíram,
o mesmo aconteceu com os SIEMs.
IBM Corporation
New Orchard Road
Armonk, NY 10504
IBM, o logotipo da IBM, ibm.com e IBM Security são marcas registradas da International Business Machines
Corp., registrada em muitas jurisdições no mundo inteiro. Outros nomes de produtos e serviços podem ser marcas
registradas da IBM ou de outras empresas. Uma lista atual de marcas registradas da IBM está disponível na web
em “Copyright and trademark information” em ibm.com/legal/copytrade.shtml.
Este documento é atual na data inicial de publicação e pode ser alterado pela IBM a qualquer momento.
Nem todas as ofertas estão disponíveis em todos os países em que a IBM opera.
Os dados de desempenho e os exemplos de clientes citados são apresentados apenas para fins ilustrativos.
Os resultados reais de desempenho podem variar de acordo com configurações e condições operacionais
específicas.
AS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO SÃO FORNECIDAS “AS IS” SEM GARANTIA ALGUMA,
EXPRESSA OU IMPLÍCITA, INCLUSIVE SEM QUALQUER GARANTIA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UMA
FINALIDADE ESPECÍFICA E QUALQUER GARANTIA OU CONDIÇÃO DE NÃO INFRAÇÃO. Os produtos IBM são
garantidos de acordo com os termos e as condições dos acordos sob os quais eles são fornecidos.
O cliente é responsável por garantir o cumprimento das leis e regulamentos a ele aplicáveis. A IBM não fornece
consultoria jurídica nem representa ou garante que seus serviços ou produtos garantirão que o cliente esteja em
conformidade com qualquer lei ou regulamento.
Statement of Good Security Practices: IT system security involves protecting systems and information through
prevention, detection and response to improper access from within and outside your enterprise. Improper
access can result in information being altered, destroyed, misappropriated or misused or can result in damage
to or misuse of your systems, including for use in attacks on others. No IT system or product should be
considered completely secure and no single product, service or security measure can be completely effective
in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful,
comprehensive security approach, which will necessarily involve additional operational procedures, and
may require other systems, products or services to be most effective. IBM DOES NOT WARRANT THAT ANY
SYSTEMS, PRODUCTS OR SERVICES ARE IMMUNE FROM, OR WILL MAKE YOUR ENTERPRISE IMMUNE FROM,
THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.