[Artigo] Gerenciamento e Correlação de Eventos de Segurança, conheça o Octopus SIEM

O Gerenciamento e Correlação de Eventos de Segurança (ou SIEM) é uma solução que permite os eventos gerados por diversas fontes de dados serem coletados, normalizados e armazenados de forma centralizada; fornecendo assim uma visão ampla sobre o parque tecnológico e dando maior agilidade na identificação de ameaças através de técnicas de agregação e correlacionamento de dados. Essa é a abordagem utilizada na solução Octopus SIEM, desenvolvida pela Clavis Segurança da Informação. Atualmente, o Octopus SIEM consiste no produto mais importante da empresa, agora, como ele surgiu e se tornou o que é hoje?

Uma breve história

O Octopus SIEM nasceu em 2015 para atender uma demanda bem específica, a necessidade de centralizar logs de segurança da informação para extração de inteligência. Entretanto, todos os clientes possuíam algumas características em comum: orçamento limitado, um time de tecnologia enxuto e a necessidade de resultados rápidos. Cenário bastante comum até os dias de hoje.

Em 2016, a Clavis recebeu o investimento do Fundo Aeroespacial, destinado a empresas com grande potencial de crescimento, independência tecnológica e capacidade técnica. Esse aporte financeiro nos deu a oportunidade de viabilizarmos investimentos em pesquisa e no desenvolvimento dos nosso produtos. 

Desde o início, sempre tivemos como base do Octopus SIEM a Elastic Stack e em 2017 nos tornamos o 1º  parceira OEM (Original Equipment Manufacturer) da Elastic na América Latina e o primeiro caso de uso em Segurança da Informação. 

Já em 2018 o Octopus SIEM foi homologado pelo Ministério da Defesa como Produto de Defesa, um reconhecimento para soluções que possuem tecnologias e conhecimento imprescindíveis para a soberania nacional. Uma grande conquista para a Clavis!

Com a expansão das nossas operações e evolução do Octopus SIEM, em 2019 ele se tornou a principal plataforma de inteligência do Centro de Operações de Segurança (SOC) da Clavis, presente em 75% dos nossos clientes. Traduzindo em números, atualmente temos 18 grandes clientes do Octopus SIEM, sendo 5 listados na bolsa de valores, com um volume de mais de 1 trilhão de eventos/logs processados diariamente.

Em 2020, a Clavis entrou no programa de aconselhamento do Gartner, com o Octopus SIEM, para continuarmos a evoluir ainda mais os nossos serviços e soluções alinhados tendências e necessidades do mercado.

Nosso catálogo de Serviços

Atualmente o Octopus SIEM é o coração do Centro de Operações de Segurança da Clavis. Ele agrega e unifica os nossos principais serviços e soluções, o que possibilita a Clavis fornecer aos nossos clientes uma arquitetura de segurança adaptativa alinhada aos pilares de Governança, Risco e Compliance.

Ecossistema do Octopus SIEM

O Octopus SIEM realiza a integração de diversas fontes de dados relevantes à segurança para a identificação de ameaças, estejam elas em um ambiente on premise, como Active Direct, Bancos de dados, dispositivos de rede e antivírus, ou em ambientes de nuvem, como AWS, Azure ou Google Cloud Platform.

O principal objetivo do Octopus é aumentar a visibilidade das ameaças e fornecer inteligência de segurança, por meio de alertas, relatórios e dashboards, utilizando dados contextualizados de seu negócio e enriquecidos com fontes de inteligência internas e externas.

Uma Visão Holística da Solução

O Octopus SIEM traz uma visão unificada de dispositivos e tecnologias em um só lugar. E através do monitoramento dinâmico e da combinação com fontes de inteligência, o Octopus fornece tudo o que você precisa para uma tomada de decisão rápida e estratégica.

Além disso, a implantação do Octopus SIEM é um dos nossos principais diferenciais, totalmente não intrusiva, de fácil integração ao seu ambiente e com uma arquitetura expansível para suportar o crescimento vegetativo e orgânico dos seus dados. 

Tratamento de Dados

A abordagem para o tratamento de dados do Octopus SIEM se baseia na centralização e integração de diversas fontes de dados, através de coleta ativa ou passiva, realizada pelos nossos coletores de dados.

Após a coleta, os dados são filtrados de acordo com a relevância e são analisados de acordo com o nosso modelo de informação, onde os dados são normalizados, contextualizados e enriquecidos. Só após essa transformação que os dados são armazenados e ingeridos na nossa base de dados.

É aí que entra em ação os nossos motores de inteligência, com as nossas regras de correlacionamento de dados (que identificam padrões de ataques e violações a políticas internas das companhias, como por exemplo ataques de força bruta, movimentações laterais e acessos não autorizados), com os nossos algoritmos de machine learning baseados em padrões e detecções de anomalias e das nossas técnicas de análise de comportamento.

 

Uma vez identificado, o evento ou conjunto de eventos que desencadeou uma ação maliciosa é enviado para o fluxo de trabalho que pode ser um alerta por e-mail, uma abertura de chamado ou até mesmo uma integração com uma API, agilizando assim todo o processo de tratamento e resposta a incidentes.

O Octopus SIEM trabalha com milhões de eventos processados diariamente para extrair somente o que for relevante para segurança da informação, reduzindo o ruído e amplificando o sinal de suas informações. Este é um dos nossos principais objetivos, sermos cada vez mais cirúrgicos nas taxas de detecção e nas taxas de resposta a ameaças.

Módulos do Octopus

Toda a inteligência do Octopus SIEM é composta por 8 módulos de detecção de ameaças ou como chamados internamente na Clavis, tentáculos do Octopus. Esses módulos nada mais são do que playbooks desenvolvidos pela Clavis desde a coleta do evento (normalização, contextualização e ingestão) até os insights  de segurança gerados pelo produto.

Diferenciais

  • Onboarding com resultados rápidos: Nosso processo de implantação assistida é em média 4x mais rápido que os nosso principais concorrentes. Nosso escopo de implantação focado na integração de tecnologias step-by-step com resultados e entregáveis nas primeiras semanas.

  • Dashboards, alertas e correlações personalizáveis: Nossos dashboards, alertas e correlações são totalmente personalizáveis para o seu negócio. Desde os templates até as condições de acionamento, tudo para que a Clavis possa lhe oferecer a melhor experiência possível com o Octopus SIEM sem impacto na cultura da sua companhia.

  • Licenciamento: Atualmente 80% dos SIEMs de mercado são baseados em armazenamento (quantidade de gigabytes armazenados por dia) e velocidade (quantidade de eventos por segundo processados por dia ). E essa forma de licenciamento limita bastante o escopo do SIEM nas empresas devido ao alto valor do investimento. Sempre que expandir o monitoramento, você tem que pagar a mais por isso. O Octopus SIEM não possui essa barreira. Nosso licenciamento é totalmente diferenciado, adequado ao mercado regional e com a melhor relação custo x benefício.
  • Desenvolvimento e criação de novos coletores: A Clavis possui um time de engenheiros especializados e dedicados para o desenvolvimento de novos coletores sem custo adicional. Muitas empresas possuem fábricas de software com aplicações desenvolvidas internamente. Então o nosso time auxilia os nossos clientes não só na criação de coletores, mas também na especificação do o formato de eventos/logs que devem ser gerados. Um trabalho fantástico do nosso time de engenharia.
  • Foco no Sucesso do Cliente:  Garantir o sucesso do cliente é mais do que um diferencial da Clavis é a cultura e missão da empresa. Clientes sempre em primeiro lugar. Nosso time de atendimento e relacionamento com o cliente estão sempre presentes e participativos para auxiliar os nossos clientes a alcançarem os melhores resultados em toda a sua jornada.

CIS Controls

Importante mencionar que os serviços e soluções da Clavis seguem o Framework do CIS, que são diretrizes e práticas recomendadas de segurança cibernética reconhecidas internacionalmente para defesa contra ameaças. Um dos benefícios na utilização do Framework CIS é que ele prega o menor número de ações com maior valor efetivo para segurança da informação. E que por ser mantido por um comitê de profissionais de segurança, se mantém constantemente atualizado.

O CIS serve de referência e faz o mapeamento para diversas normas e padrões de segurança. Como a família da ISO 27000 e também do PCI DSS.

Normas – ISO 27001, LGPD (ISO 27701), PCS DSS e BACEN 4658

Falando em normas, o Octopus SIEM atende os requisitos de monitoramento, auditoria e controle das principais normas e padrões de mercado. Como a ISO 27001 e 27002, a Lei Geral de Proteção de dados, o PCI-DSS, e mais recentemente a BACEN 4658 – que tem como objetivo mitigar os riscos cibernéticos e garantir a segurança das instituições financeiras.

Conteúdo Relacionado

Se interessou pelo Octopus SIEM?! Confira o podcast SegInfocast #73 – Octopus SIEM – Security Information and Event Management, apresentado pelo Victor Santos, mostra como a solução pode auxiliar a sua empresa ficar segura e em conformidade. Aproveite para conferir também a página da solução clicando aqui.

Devido ao constante crescimento, a Clavis precisa novamente de bons reforços! Aproveite para conferir aqui algumas das vagas abertas recentemente pela empresa – inclusive para o time de SOC/MSS.

Outros artigos e webinars podem ser obtidos em: