SIEM - Security Information and Event Management

A gestão de segurança do ambiente corporativo é cada vez mais crítica para as empresas. A expansão dos ambientes de TI, cada vez mais heterogêneos e distribuídos, bem como a informatização crescente dos processos cruciais de negócio, aumentaram a complexidade das infra-estruturas de TI e o potencial impacto da realização de riscos inerentes a estes ambientes tecnológicos.

 

Além disso, regulamentações (externas e/ou internas), políticas e processos de auditoria, entre outros, exigem, direta ou indiretamente, a capacidade de demonstrar o devido cuidado com os riscos e reportar informações baseadas em quantidades cada vez maiores e complexas de dados.

 

Atuais Desafios
A crescente informatização dos processos de negócio e, por conseqüência, o aumento do tamanho e complexidade dos ambientes de TI, aliado à descentralização dos recursos computacionais e interligação das redes corporativas entre si e com redes públicas, trouxe à tona novas ameaças para essas infra-estruturas.

Os investimentos iniciais no intuito de proteger esses ambientes cada vez mais críticos e complexos basearam-se em grande parte em iniciativas isoladas, voltadas à mitigação de riscos específicos ou até mesmo inerentes a um único tipo de tecnologia ou estrutura. Estas iniciativas, embora úteis, criaram estruturas de segurança extremamente complexas e de difícil gerenciamento, impactando inclusive na própria eficiência e eficácia das soluções.

 

Do ponto de vista de gerenciamento da estrutura de segurança da informação, observa-se hoje a existência de:

 

• “Inundação” de logs, eventos e outras informações relativas às atividades monitoradas pelas soluções de segurança e do próprio funcionamento interno das mesmas;
• Existência de ilhas de defesa, onde cada solução específica trabalha, na maioria dos casos, de forma isolada ou com baixa sinergia com outras soluções complementares;
• Consoles heterogêneas de monitoração, que oferecem visões isoladas sobre o estado de segurança do ambiente e requerem especialistas para sua utilização e interpretação dos dados, além de dificultar a análise das relações existentes entre os eventos reportados pelas diferentes soluções e tecnologias;
• Alta taxa de falsos positivos, decorrente das análises isoladas pelas soluções trabalhando em silos, as quais, em geral, não possuem visão de todo o ambiente de TI ou de condições específicas que possam alterar o significado dos eventos observados.

 

O primeiro desafio neste cenário cada vez mais comum é a capacidade de oferecer uma visão consolidada do estado de segurança do ambiente de TI da corporação de forma a atender as necessidades e expectativas desde o nível técnico-operacional até o executivo.

 

Entretanto, a simples consolidação de eventos e informações já não basta para as atuais necessidades das organizações. É preciso adicionar certo nível de inteligência a esta monitoração holística, tanto do ponto de vista tecnológico quanto de negócio, com o objetivo de detectar relações entre as informações e eventos observados, bem como contextualizar esses dados na realidade da empresa. O aumento do nível de maturidade neste sentido acaba por alavancar necessidades mais sofisticadas, tais como identificação de incidentes e fraudes até a automatização de respostas a essas violações de segurança.

 

Finalmente, o número crescente de regulamentações, padronizações, normas, políticas e processos de auditoria decorrentes, sejam externas ou internas, obrigam cada vez mais as empresas a reportarem o devido cuidado com relação à segurança da informação e provar conformidade. Estas tarefas são cada vez mais freqüentes, com menores janelas de execução e envolvendo quantidade e complexidade cada vez maior de informações e dos conseqüentes processos de extração, organização e relato dos mesmos.

 

A Bricon e SIEM

A Bricon possui larga experiência na oferta de soluções para gerenciamento de eventos e informações de segurança (SIEM) adequadas para as necessidades e particularidades da sua empresa. De acordo com as características de cada projeto, as tecnologias fornecidas pela Bricon podem habilitar sua empresa a:

 

• Gerir a segurança do ambiente corporativo através da correlação de eventos, identificando comportamentos, incidentes, fraudes, não-conformidades e quebra de baseline;
• Fornecer ferramentas adequadas para equipes de SOC (Security Operation Center), investigação, auditoria e/ou resposta a incidentes;
• Gerir a segurança em tempo próximo ao real (near real time);
• Monitorar qualquer tipo de ativo que gere logs, eventos ou registros similares de atividades, independente do tipo de tecnologia e fabricante, mesmo que não sejam ativos de segurança;
• Integrar informações de negócio e riscos dos ativos à monitoração de segurança do ambiente de TI;
• Monitorar aplicações e ações de usuários;
• Reter os eventos e informações de segurança em longo prazo, de acordo com as políticas da organização;
• Reportar o estado de segurança e conformidade do ambiente de TI da organização;
• Abrir e acompanhar chamados associados à investigação de incidentes através de ferramentas de Workflow internas ou externas;
• Responder incidentes de forma automática ou assistida.

 

Além das tecnologias, a Bricon também oferece serviços profissionais especializados para o levantamento de necessidades da sua organização, arquitetura da solução mais adequada, implantação, treinamento de equipes operacionais e administrativas, operação assistida, suporte e consultoria para customizações avançadas de funcionalidades e/ou integrações de SIEM no seu ambiente corporativo. Nossa equipe conta com profissionais de alto nível de capacitação e certificados nas soluções ofertadas.

 

Utilizando as soluções de SIEM da Bricon, sua empresa será capaz de:

 

• Monitorar o estado de segurança do ambiente de TI de forma consolidada e reportá-la desde o nível operacional ao executivo;
• Identificar incidentes e outras ameaças em execução ou que ocorreram no passado;
• Monitorar a conformidade do ambiente de TI com relação a regulamentações, normas e políticas organizacionais;
• Reduzir falso-positivos e priorizar de forma inteligente as ações das equipes de monitoração, investigação e resposta a incidentes;
• Reduzir o tempo e esforço necessário para atender a processos de auditoria interna e externa;
• Prover maior visibilidade para as iniciativas de segurança da informação;
• Aprimorar o alinhamento das iniciativas de segurança da informação com o as necessidades e características de negócio.

 

  Voltar aos tópicos de Segurança