SIEM e gerenciamento contínuo de vulnerabilidades: carros-chefes do 13º SegInfo, no Rio

Por André Machado

Dois temas importantes foram abordados na 13ª Edição do Workshop SegInfo, apresentado pela Clavis Segurança da Informação: a evolução dos sistemas de SIEM (Gerenciamento de Eventos e Informações de Segurança, na sigla em inglês) e a necessidade de gerenciamento contínuo de vulnerabilidades no mundo moderno.

SIEM: A EVOLUÇÃO

O primeiro tema foi tratado com profundidade por Victor Santos, diretor de serviços da Clavis, logo na primeira palestra do dia. Segundo Santos, um sistema de SIEM coleta, gerencia e correlaciona dados de segurança, sendo fundamental para todos os ambientes corporativos.

Antigamente, quando se tratava de monitorar dispositivos ou mesmo nos anos iniciais da internet comercial, até era possível ter um SIEM mais tradicional. O conceito de perímetro de segurança era aplicável. Hoje, com o advento da mobilidade, da computação em nuvem e do big data, as fronteiras desse perímetro se alargaram e ficaram quase impossíveis de definir.

– Em outros tempos, capturavam-se dados de dispositivos, mas hoje esses fatores (big data, cloud computing, pessoas acessando dados de qualquer lugar) transformaram a identidade do novo perímetro de segurança – disse Santos. – É preciso examinar comportamentos de acesso, hábitos, navegações e assim por diante.

Não admira que a vigilância sobre os dados seja cabal. Estudo da consultoria americana Domo estabelece que 90% de todos os dados criados hoje surgiram nos últimos dois anos e meio. Seriam 2,5 quintilhões de bytes por dia (2,5 exabytes). Outro estudo, da We Are Social em conjunto com a HootSuite, aponta que já há mais de 4 bilhões de usuários de internet no mundo, sendo 3,1 bilhões ativos em redes sociais. Atualmente, 15 milhões de mensagens de texto são enviadas a cada minuto. Só nos EUA, diz a Domo, os internautas consomem ou mexem com 2,65 milhões de dados online por minuto.

– E espera-se um aumento de 42% nos dados gerados pela internet até 2020 – afirmou Santos. – Assim, as ameaças estão cada vez mais avançadas e persistentes e exigem essa análise constante de comportamento. E o próprio sistema de SIEM precisa ser mais dinâmico. Hoje só 10% dos aplicativos instalados numa rede corporativa são de fato geridos pela equipe de segurança. Há muito software fora do escopo.

A tendência do BYOD (Bring Your Own Device, ou traga seu próprio aparelho), bem como do home office, só torna tudo isso mais difícil. Segundo Santos, não é mais possível basear o monitoramento em regras de assinaturas de ameaças. O SOC (Centro de Operações de Segurança) da empresa deve ser orientado à inteligência em tempo real, não só a eventos.

Um SIEM tradicional procura atuar contra ameaças fazendo relatórios sobre atividades nos dispositivos, emitindo alertas básicos, gerando provas de conformidade para auditorias, centralizando eventos e correlacionando dados. Mas isso não é suficiente nos dias de constantes mudanças que vivemos na seara digital atual.

– As principais desvantagens do SIEM tradicional são seu alto custo, sua complexidade e sua falta de personalização. Ele é engessado e “barulhento”, ou seja, gera alertas em excesso e não customizados – explicou Santos. – Suas regras rígidas não combatem a segurança de forma efetiva.

Segundo Bruno Salgado, diretor da Clavis e anfitrião do SegInfo, as soluções de SIEM sempre foram historicamente caras.

– E o cliente gastava muito em licenças de software, mas tentava economizar ao implementar a solução, o que acabava não gerando um resultado satisfatório. Ou seja, para a realidade brasileira, trata-se de algo caro e muito amarrado, engessado, não permitindo facilmente a personalização, a customização.

Foi assim que a Clavis começou a procurar uma solução mais versátil, um novo modelo de SIEM. E, em parceria com as poderosas ferramentas de busca e analytics da holandesa Elastic, criou o Octopus SIEM, capaz de trabalhar em diversas frentes e facilmente adaptável a diferentes ambientes corporativos.

– Ele é altamente escalável e personalizável – afirmou Santos. – Um ecossistema de análises em tempo real que combina várias fontes de dados. Assim, o monitoramento é orientado à inteligência e obtém resultados mais rápidos e eficazes.

Segundo Salgado, no Octopus a economia com licenças é de 80%, se comparada com os sistemas tradicionais, e a implementação exige apenas 20% do investimento usual. O sistema integra e centraliza fontes de dados, detecta atividades suspeitas ou maliciosas em tempo real, correlaciona de forma inteligente os eventos de segurança e faz uma análise comportamental de usuários e entidades envolvidos na rede da empresa. O machine learning (aprendizado de máquina) é um diferencial que torna todo o processo ainda mais personalizado, inteirando-se sobre as características inerentes ao uso da rede.

– O Octopus é uma plataforma de código-fonte aberto e totalmente auditável, com um dashboard (painel) online personalizável e regras claramente especificadas. O monitoramento é contínuo – resumiu Santos. – Trabalhamos junto com os times de políticas de segurança, de governança, de modo que o tempo de identificação e análise de ataques é menor, assim como a resposta, que fica mais ágil.

Para ver mais fotos do evento, clique na imagem acima.

DADOS INSERIDOS NUM CONTINUUM

O segundo tema, o gerenciamento contínuo de vulnerabilidades, foi explorado na palestra de Davidson Boccardo, diretor dos Green Hat Labs da Clavis. Ele explicou que a natureza dos ataques digitais mudou muito nos últimos tempos. Se antes eram voltados para a infraestrutura e as empresas em si e seus produtos, hoje o foco são as aplicações corporativas e pessoas aleatórias.

– A proteção hoje precisa ser baseada em gestão de segurança corporativa, pois os ataques seguem a lógica criminosa: reduzir o risco de ser descoberto e maximizar o ganho da melhor forma possível – disse Boccardo.

Entre os meios de invasão mais usados, 81% se dão por meio de senhas roubadas ou fracas, 62% exploram vulnerabilidades e 51% se valem de malware.

– Hoje se conhecem 100 mil trojans voltados para bancos, e as vulnerabilidades em sistemas móveis aumentam 153% a cada ano – comentou Boccardo. – O básico do gerenciamento ainda não está sendo feito. É preciso estudar as vulnerabilidades de infra e aplicação, desenvolver software mais seguro, fazer análise de código e testes de invasão. E definir o ferramental para ajudar a empresa na análise automatizada dessas falhas.

De acordo com o especialista, muitas empresas ainda se limitam a fazer alguns testes, mas não procuram proceder à gestão abrangente de seus ativos.

– O movimento dentro das empresas ainda é muito reativo. Deve-se fazer varreduras periódicas em todo o parque computacional, priorizar os ativos de acordo com o negócio, remediar as vulnerabilidades e informar todo o time de segurança, auditores e gerentes. Tudo de forma contínua e permanente – contou Boccardo.

Para Rafael Soares Ferreira, diretor-presidente da Clavis, tais procedimentos são fundamentais para se chegar à maturidade de mitigação dos problemas.

– O ambiente estar sempre atualizado é algo básico nesse ciclo perene de monitoramento e gerenciamento. Mas não só isso: procurar ativamente pelas falhas é essencial (inclusive falhas na configuração e implementação), bem como corrigi-las o mais rápido possível, evitando uma janela de exposição.

A Clavis trabalha o gerenciamento contínuo de vulnerabilidades por meio de sua solução BART, que realiza rotinas periódicas de escaneamento e descoberta de falhas no sistema corporativo. Os ativos são organizados segundo a estrutura do core business da empresa, e as varreduras constantes, controladas e visualizadas por classes de usuários (diversos perfis de acesso). As correções de vulnerabilidades são acompanhadas, bem como a emissão de boletins periódicos sobre novas falhas detectadas pela comunidade internacional de segurança.

Os ativos da empresa são mapeados e monitorados, e as informações são centralizadas num dashboard que permite tomar decisões de maneira mais ágil.

O BART – sigla para Baselines, Análises de Riscos, Testes de segurança – também se beneficia da parceria da Clavis com a Elastic, cujas ferramentas open-source de busca e análise permitem rápida implementação e agilidade ao longo do processo.

Ambas as soluções – Octopus e BART – são homologadas como Produtos de Defesa pelo Ministério da Defesa, e usadas pelas Forças Armadas (em especial a Marinha) para proteger seus ativos.

– Temos a trilha de desenvolvimento tanto do Octopus como do BART, mas é essencial frisar que os adaptamos às necessidades do cliente – concluiu Bruno Salgado. – Ajudamos a montar planos de segurança, estabelecer prioridades, analisar cada ambiente conforme suas especificidades. É fundamental a proximidade com os executivos para auxiliá-los na tomada de decisão, e nos pautamos por isso.

Segundo Salgado, o gerenciamento contínuo dos dados de segurança gera um volume de 2 terabytes a 3 terabytes diários, devidamente armazenados para futuras consultas. Se fizermos uma comparação, 3 terabytes de dados equivalem a 255 milhões de páginas de documentos Microsoft Word ou 930 mil fotos.

Para saber mais detalhes sobre a 1ª Parte do SegInfo 2018, acesse nosso artigo Décima-terceira edição do SegInfo apresenta as últimas novidades e tendências de segurança nas empresas.