Os 3 principais desafios de uma solução SIEM

Nos últimos anos, a implantação de uma solução SIEM vem se mostrando uma necessidade para as grandes empresas em termos de segurança da informação. O SIEM é um sistema baseado em regras que é responsável por coletar logs, eventos e dados, com o objetivo de detectar  ocorrências suspeitas que possam, de alguma forma, comprometer a segurança dos dados da empresa.

Existem, no entanto, alguns desafios relacionados ao gerenciamento e à implantação do SIEM. O primeiro desafio está relacionado a análise, pois os sistemas SIEM são inerentemente dependentes  de um profissional de segurança para determinar se um determinado evento marcado por uma regra de segurança merece maior atenção ou se pode ser descartado como um falso positivo. O problema é que tal análise tende a durar entre 15 a 45 minutos, e devido ao grande número de alertas disparados pelo SIEM, o profissional de segurança pode acabar sendo sobrecarregado.

O segundo problema enfrentado pelo SIEM, é estar preparado para as novas ameaças, visto que, de uma forma geral, as regras de um SIEM são estabelecidas através de incidentes anteriormente detectados, o que pode deixar o sistema empresarial um passo atrás de possíveis cibercriminosos que, a todo momento, estão evoluindo suas técnicas de invasão.

E, por fim, o terceiro grande desafio está relacionado à complexidade em estabelecer as regras que irão basear as políticas do SIEM. Construir tais regras é bastante demorado e precisa de constante revisão, levando-se, normalmente, entre 4 e 8 horas para estabelecer uma regra sofisticada – algumas equipes de segurança possuem pessoal dedicado apenas para exercer esta tarefa.  Apesar dos melhores esforços desses profissionais, é extremamente difícil escrever regras que abrangem um amplo conjunto de ameaças e manter as regras bem definidas.

Ciente desse cenário, a Clavis Segurança da Informação desenvolveu um serviço de análise e integração de fontes de dados, correlação inteligente de eventos e monitoramento de ameaças baseado em uma ferramenta própria, o Sistema Octopus – Análise de Segurança Orientada por dados.

Com o Octopus o cliente tem acesso a uma central de gerenciamento que permite monitorar, em tempo real, os eventos relevantes do ponto de vista da Segurança, auxiliando na tomada de decisão com eficiência operacional, e redução de custos e riscos. O Octopus permite a definição de regras personalizadas, cuja violação implicaria em um cenário de alerta. Tais regras podem ser definidas com base em políticas de segurança, normas e padrões internacionais ou critérios definidos pelo cliente com base em sua própria experiência. Confira nossa publicação completa sobre a solução Octopus, clicando aqui

Saiba mais:

  • No SegInfocast #31 o especialista em Segurança da Informação, Rodrigo Montoro (@spookerlabs), conversou com o apresentador Paulo Sant´anna sobre o Octopus – as motivações para seu desenvolvimento, suas funcionalidades e benefícios.
  • Clavis anuncia parceria com a LogRhytm, empresa líder em inteligência e análise de segurança.