Ferramentas SIEM baseadas em cloud e o ecossistema de segurança de dados
Cesar Candido, diretor de vendas da Trend Micro
As notícias sobre vazamento de dados estão cada vez mais frequentes e têm colocado ainda mais pressão sobre a área de segurança. O maior desafio das organizações frente aos ataques é identificar rapidamente as ameaças críticas para limitar os riscos, reduzir o tempo de resposta e, consequentemente, os danos de uma possível invasão.
A Trend Micro divulgou, recentemente, um estudo que revela que 70% das equipes dos centros operacionais de segurança (SOC – Security Operations Center) e tecnologia da informação (TI) estão emocionalmente sobrecarregadas — e o principal culpado é o excesso de alertas.
Faz parte da rotina das equipes de TI e segurança correlacionar os diversos alertas gerados por soluções diferentes. Mas, convenhamos, fica difícil saber o que procurar se a análise dos logs de dados e alertas de cada uma das soluções for realizada manualmente, com cada produto oferecendo uma perspectiva específica, coleta e sua própria forma de elencar a relevância das informações.
Diante de uma série de logs e alertas sem indicadores claros, mesmo que você encontre um problema ou ameaça, ainda terá a complexa tarefa de mapear o caminho percorrido pelo invasor e projetar o impacto na organização. Realizar uma investigação pode ser uma atividade extremamente demorada e muito minuciosa.
Por isso, algumas corporações usam o SIEM – Security Information and Event Management, ou gerenciamento de informações e eventos de Segurança, para coletar logs e alertas de diversas soluções e ter uma visibilidade centralizada, embora a ferramenta não elimine um número esmagador de alertas individuais.
O SIEM é ótimo para agregar logs, mas não é eficaz para correlacionar os vários alertas associados ao mesmo incidente, tornando muito difícil para um analista fazer a triagem dos dados e identificar os principais problemas de segurança.
Para ajudar as empresas a enfrentar esses desafios, existem plataformas que dão visibilidade para correlacionar diferentes sensores e trazer informações do que é mais crítico onde atacar e o que priorizar. Essas ferramentas são capazes de oferecer uma rápida detecção e resposta em várias camadas por meio do (XDR – Extended Detection and Response). O diferencial são os recursos avançados que proporcionam respostas rápidas em e-mails, endpoints, servidores, workloads em nuvem e redes.
Tais plataformas coletam dados profundos de atividades e os encaminham para um data lake – repositório que armazena conjuntos grandes e variados de dados brutos em formato nativo –, onde recursos de inteligência artificial são utilizados para analisar as informações.
Isso gera menos e mais contextualizados alertas, que podem, inclusive, se desejado, serem enviados à solução SIEM por meio de API – Application Programming Interface, ou “interface de programação de aplicativos”.
O objetivo não é substituir o SIEM e sim aumentar sua capacidade de agregar valor, reduzindo o tempo necessário para que os analistas de segurança avaliem os alertas e os logs de dados relevantes e decidam o que realmente precisa de atenção e requer investigações mais profundas.
Cesar Candido é o novo diretor geral da Trend Micro Brasil, tem uma longa carreira com mais de 19 anos na Trend Micro. Nos últimos quatro anos, atuou como diretor de vendas e canais no México e na América Latina, cargo em que foi responsável por estruturar a equipe de vendas e fortalecer o ecossistema de parceiros. Graças ao seu trabalho, a empresa atingiu um crescimento de vendas de dois dígitos em 2019 nas tecnologias estratégicas da empresa. Cândido cursou administração e marketing na Universidade Anhembi Morumbi, além de MBA em Gestão de Segurança da Informação pela Escola Paulista de Informática e Administração (FIAP), ambas em São Paulo.
