Recursos

Área dedicada à Introdução ao Risco Operacional
Clique com o botão direito do mouse sobre o arquivo desejado e selecione "Salvar Destino Como..."

Automação da Segurança da Informação

SIEM, logs, eventos

Transformando dados brutos em informações úteis.

A geração de logs pelas aplicações data dos primórdios da computação e visava identificar os problemas que geraram um abend (abnormal end).

Se uma aplicação tinha um “abend”, a análise visual do log da aplicação permitia identificar os problemas que ocasionaram o fim abrupto do programa.

Com o advento dos minicomputadores e com o sistema operacional Unix, o conceito de log foi ampliado para o próprio sistema operacional e o uso que os usuários estavam fazendo do computador.

A Novell, a primeira rede bem sucedida para microcomputadores, usou bastante esse conceito, registrando a maioria dos eventos nos logs, que passaram a ser de leitura difícil e fastidiosa.

Um dos mais bem sucedidos softwares de leitura e interpretação de logs para Novell foi o AuditTrack, criado pela EG Software, que mais tarde lançou o Webtrends, até hoje padrão de mercado para análise dos logs de Servidores Web.

Atualmente, a coleta, armazenamento, normalização, correlação e análise de logs sofisticaram-se bastante, pois constituem-se em uma maneira muito eficiente de identificar brechas na segurança de TI, bem como para identificar ataques às redes LAN e WAN das organizações.

Security Automation

Hoje já se fala mais em coleta, armazenagem, normalização e correlação de eventos, e esta passou a ser a principal função dos SOC s – Security Opereations Center.

Existem no mercado softwares e appliances para estas funções, conhecidos como SIEM (Security Information and Event Management - Gerenciamento de eventos e informações de segurança) , que são a base de qualquer SOC ou Grupo de Resposta Imediata.

As utilizações de um SIEM vão muito alem do SOC:

  • Simplifica e facilita a comprovação do COMPLIANCE, isto é, a confirmação de que a empresa está de acordo com as regulamentações exigidas para a sua área de atuação. Permite a Rastreabilidade das atividades da Rede, a criação de Relatórios, a retenção e manutenção dos Logs.
  • Melhora a Segurança global da empresa e da área de TI, e permite uma mitigação do Risco mais ativa, identificando ataques através da correlação de eventos de diversas fontes. Um software eficiente de SIEM permite encontrar uma agulha no palheiro, analisando rapidamente todos os eventos coletados à procura de anomalias.
  • Otimiza TI e as operações da Rede (LAN e WAN), aumentando a visibilidade do comportamento da rede, equipamentos defeituosos, sofwares não atualizados, capturando informações e eventos de uma miriade de ativos de rede, desde firewalls, roteadores, switches, servidores, estações, etc.

A análise do Gartner do mercado de SIEM de 2008 identifica 23 fornecedores, sendo 5 como líderes e 6 como visionários.

Os líderes são: RSA, CISCO, Symantec, Arcsight, e os visionários são, eIQ , TriGeo, netForensics, Intellitactics, LogRhythm, etc..

O que diferencia um do outro, basicamente, são:

  • A quantidade de marcas de ativos de rede, equipamentos e softwares do qual capturam informações;
  • A facilidade de criação de módulos para capturar equipamentos ou softwares não previstos;
  • O número de eventos por segundo que conseguem captura;
  • O número de relatórios prontos de que dispõe, ou a facilidade em criar relatórios novos;
  • O renome da marca.

O importante é a adequação do sistema à empresa e as suas necessidades.

Não seria muito inteligente comprar um sistema bastante caro, se o porte da empresa e as necessidades podem ser satisfeitas por um sistema mais em conta.

A CLM tem expêriencia em análise de Logs desde 1994, quando trouxe o AuditTrack, analisador de logs de Redes Novell, para o Brasil, seguido pelo Webtrends para análise de logs de Servidores Web, o Firewall Analyser para análise de logs de Firewalls e, recentemente, o premiado SecureVue, da eIQ Networks.

SecureVue: SIEM para até 15 mil eventos por segundo

  • Gerenciamento de Logs
  • Análise de vulnerabilidades
  • Auditoria de configurações
  • Análise dos ativos de rede
  • Monitoramento e Análise da Performance dos ativos de rede
  • NBA – Monitoramento e Análise do comportamento do fluxo de dados

O SecureVue tem ainda um completo sistema de Automação de Compliance, com Risk Assesment e uma exaustiva biblioteca de Complaince para Sarbanes Oxley, FISMA, GLBA, HIPAA, NERC, CIS, COBIT, ISO 27002, NIST SP 800-53, PCI DSS e outros.

Para mais informações, acesse: www.clm.com.br e www.eiqnetworks.com