SegInfocast #73 – Octopus SIEM – Security Information and Event Management

SegInfocast #73 – Faça o download aqui(38:25 min,  46,1 MB)

seginfocast-150x150

Neste episódio do SegInfocast, apresentamos o áudio do Webinar Octopus SIEM apresentado por Victor Santos.

 

octopus-v2

O SIEM permitem que os eventos gerados por diversas fontes de dados sejam coletados, normalizados e armazenados de forma centralizada; fornecendo assim uma visão ampla sobre o seu parque tecnológico e maior agilidade na identificação de ameaças através de técnicas de agregação e correlacionamento de dados.

As tecnologias de SIEM foram amadurecendo ao longo dos últimos anos e novas técnicas de detecção de ameaças foram sendo adicionadas, como algoritmos de Machine Learning, Análise de Comportamento de Usuário e integrações com Fontes de Inteligências públicas. 

Entretanto durante muito tempo as tecnologias de SIEM ficaram restritas a um nicho muito pequeno do mercado, devido ao alto valor de investimento, complexidade de implementação e dificuldade na usabilidade. E visando resolver estes desafios e atender uma demanda reprimida de mercado, que nasceu o Octopus SIEM.

 

Uma Breve História

 

O Octopus SIEM nasceu em 2015 para atender uma demanda bem específica, a necessidade de centralizar logs de segurança da informação para extração de inteligência. Entretanto todos os clientes possuíam algumas características em comum: Orçamento limitado, um time de tecnologia enxuto e a necessidade de resultados rápidos. Cenário bastante comum até os dias de hoje.

Em 2016, a Clavis recebeu o investimento do Fundo Aeroespacial, destinado a empresas com grande potencial de crescimento, independência tecnológica e capacidade técnica. Esse aporte financeiro nos deu a oportunidade de viabilizarmos investimentos em pesquisa e no desenvolvimento dos nosso produtos. 

Desde o início, sempre tivemos como base do Octopus SIEM a Elastic Stack  e em 2017 nos tornamos o 1º  parceira OEM (Original Equipment Manufacturer) da Elastic na América Latina e o primeiro caso de uso em Segurança da Informação. 

Já em 2018 o Octopus SIEM foi homologado pelo Ministério da Defesa como Produto de Defesa, um reconhecimento para soluções que possuem tecnologias e conhecimento imprescindíveis para a soberania nacional. Uma grande conquista para a Clavis!

Com a expansão das nossas operações e evolução do Octopus SIEM, em 2019 ele se tornou a principal plataforma de inteligência do Centro de Operações de Segurança (SOC) da Clavis, presente em 75% dos nossos clientes. Traduzindo em números, atualmente temos 18 grandes clientes do Octopus SIEM, sendo 5 listados na bolsa de valores, com um volume de mais de 1 trilhão de eventos/logs processados diariamente.

Em 2020, a Clavis entrou no programa de aconselhamento do Gartner, com o Octopus SIEM, para continuarmos a evoluir ainda  mais os nossos serviços e soluções alinhados tendências e necessidades do mercado.

 

Catálogo de Serviços

Atualmente o Octopus SIEM é o coração do Centro de Operações de Segurança da Clavis. Ele agrega e unifica os nossos principais serviços e soluções, o que possibilita a Clavis fornecer aos nossos clientes uma arquitetura de segurança adaptativa alinhada os pilares de Governança, Risco e Compliance.

 

Ecossistema do Octopus SIEM

 

O Octopus SIEM realiza a integração de diversas fontes de dados relevantes à segurança para a identificação de ameaças. Estejam elas em um ambiente on premise, como Active Direct, Bancos de dados, dispositivos de rede e antivírus ou em ambientes de nuvem como AWS, Azure ou Google Cloud Platform.

O principal objetivo do Octopus é dar visibilidade e fornecer inteligência de segurança, através de alertas, relatórios e dashboads. Tudo isso com dados contextualizados com o seu negócio e enriquecido com fontes de inteligência internas e externas.

Uma Visão Holística da Solução

 

O Octopus SIEM trás uma visão unificada de dispositivos e tecnologias em um só lugar. E através do monitoramento dinâmico e da combinação com fontes de inteligência, o Octopus fornece tudo o que você precisa para uma tomada de decisão rápida e estratégica.

Além disso a implantação do Octopus SIEM é um dos nossos principais diferenciais, totalmente não intrusiva, de fácil integração ao seu ambiente e com uma arquitetura expansível para suportar o crescimento vegetativo e orgânico dos seus dados. 

 

Tratamento de Dados

 

A abordagem para o tratamento de dados do Octopus SIEM se baseia na centralização e integração de diversas fontes de dados, através de coleta ativa ou passiva, realizada pelos nossos coletores de dados.

Após a coleta, os dados são filtrados de acordo com a relevância e são analisados de acordo com o nosso modelo de informação, onde os dados são normalizados, contextualizados e enriquecidos. Só após essa transformação que os dados são armazenados e ingeridos na nossa base de dados.

E aí que entra em ação os nossos motores de inteligência, com as nossa regras de correlacionamento de dados (que identificam padrões de ataques e violações a políticas internas das companhias, como por exemplo ataques de força bruta, movimentações laterais e acessos não autorizados) com os nossos algoritmos de machine learning baseados em padrões e detecções de anomalias e das nossas técnicas de análise de comportamento.

 

Uma vez identificado, o evento ou conjunto de eventos que desencadeou uma ação maliciosa é enviado para o fluxo de trabalho que pode ser um alerta por e-mail, uma abertura de chamado ou até mesmo uma integração com uma API.  Agilizando assim todo o processo de tratamento e resposta a incidentes.

O Octopus SIEM trabalha com milhões de eventos processados diariamente para extrair somente o que for relevante para segurança da informação. Reduzindo o ruído e amplificando o sinal da suas informações. Este é um dos nossos principais objetivos, sermos cada vez mais cirúrgicos nas taxas de detecção e nas taxas de resposta a ameaças.

 

Módulos do Octopus

 

Toda a inteligência do Octopus SIEM é composta por 8 módulos de detecção de ameaças ou como chamados internamente na Clavis, tentáculos do Octopus. Esses módulos nada mais são do que playbooks desenvolvidos pela Clavis desde a coleta do evento (normalização, contextualização e ingestão) até os insights  de segurança gerados pelo produto.

Diferenciais

 

Onboarding com resultados rápidos: Nosso processo de implantação assistida é em média 4x mais rápido que os nosso principais concorrentes. Nosso escopo de implantação focado na integração de tecnologias step-by-step com resultados e entregáveis nas primeiras semanas.

Dashboards, alertas e correlações personalizáveis: Nossos dashboards, alertas e correlações são totalmente personalizáveis para o seu negócio. Desde os templates até as condições de acionamento, tudo para que a Clavis possa lhe oferecer a melhor experiência possível com o Octopus SIEM sem impacto na cultura da sua companhia.

Licenciamento: Atualmente 80% dos SIEMs de mercado são baseados em armazenamento (quantidade de gigabytes armazenados por dia) e velocidade (quantidade de eventos por segundo processados por dia ). E essa forma de licenciamento limita bastante o escopo do SIEM nas empresas devido ao alto valor do investimento. Sempre que expandir o monitoramento, você tem que pagar a mais por isso. O Octopus SIEM não possui essa barreira. Nosso licenciamento é totalmente diferenciado, adequado ao mercado regional e com a melhor relação custo x benefício.

Desenvolvimento e criação de novos coletores: A Clavis possui um time de engenheiros especializados e dedicados para o desenvolvimento de novos coletores sem custo adicional. Muitas empresas possuem fábricas de software com aplicações desenvolvidas internamente. Então o nosso time auxilia os nossos clientes não só na criação de coletores, mas também na especificação do o formato de eventos/logs que devem ser gerados. Um trabalho fantástico do nosso time de engenharia.

Foco no Sucesso do Cliente:  Garantir o sucesso do cliente é mais do que um diferencial da Clavis é a cultura e missão da empresa. Clientes sempre em primeiro lugar. Nosso time de atendimento e relacionamento com o cliente estão sempre presentes e participativos para auxiliar os nossos clientes a alcançarem os melhores resultados em toda a sua jornada. 

 

CIS

 

Importante mencionar que os serviços e soluções da Clavis seguem o Framework do CIS, que são diretrizes e práticas recomendadas de segurança cibernética reconhecidas internacionalmente para defesa contra ameaças. Um dos benefícios na utilização do Framework CIS é que ele prega o menor número de ações com maior valor efetivo para segurança da informação. E que por ser mantido por um comitê de profissionais de segurança, se mantém constantemente atualizado.

O CIS serve de referência e faz o mapeamento para diversas normas e padrões de segurança. Como a família da ISO 27000 e também do PCI DSS.

 

Normas – ISO 27001, LGPD (ISO 27701), PCS DSS e BACEN 4658

 

Falando em normas, o Octopus SIEM atende os requisitos de monitoramento, auditoria e controle das principais normas e padrões de mercado. Como a ISO 27001 e 27002, a Lei Geral de Proteção de dados, o PCI-DSS, e mais recentemente a BACEN 4658 – que tem como objetivo mitigar os riscos cibernéticos e garantir a segurança das instituições financeiras.

 

Crescimento

 

Devido ao constante crescimento, a Clavis precisa novamente de bons reforços! Aproveite para conferir aqui algumas das vagas abertas recentemente pela empresa – inclusive para o time de SOC/MSS.

Sobre o apresentador

 

VS_3x4_redondaVictor Santos é Chief Product Officer da Clavis Segurança da Informação. Possui mais de 16 anos de experiência na área de segurança da informação e é certificado Auditor Líder da ISO 27001, Certified Ethical Hacker (C|EH), Certified CompTIA Security+, MSCO, ITIL e COBIT. Palestrou em diversos eventos nacionais e internacionais, entre eles: SegInfo, Mind The Sec RJ, RoadSec, GTS – Nic.br, Elastic Seminar, LatinoWare, entre outros.

E veja mais informações sobre o Octopus SIEM aqui. (=