São três da manhã e em um dos servidores da empresa um código malicioso "desperta" depois de o sistema de segurança ter aprovado seu envio, logo após avaliá-lo, a uma outra máquina que contém arquivos protegidos, fora da área de quarentena. Na manhã seguinte, os responsáveis pelos sistemas descobrem o roubo de dados da empresa.
Esse cenário, que parece de ficção científica, é vivenciado cada vez mais por empresas que não estão preparadas para se protegerem dessas ameaças. Por outro lado, a evolução dinâmica das Tecnologias da Informação e Comunicação (TICS) tornou realidade os sonhos de mais de um visionário da tecnologia: computação na ponta dos dedos, videoconferências no outro lado do mundo (inclusive em nossos smartphones) e manipulação do Big Data, que permitem às empresas preverem tendências de consumo. No entanto, os grandes avanços tecnológicos em relação à segurança trazem muitos desafios.
De acordo com o Relatório sobre previsões e ameaças para 2016 do McAfee Labs, em 2019, serão 4 bilhões de usuários, contra os 3 bilhões de 2015; e os smartphones passarão de 3,3 bilhões em 2015 para 5,9 bilhões em 2019. Os dados crescerão de 8,9 zettabytes em 2015 para 44 zettabytes em 2019.
O ambiente de desenvolvimento das ameaças é tão dinâmico quanto o das tecnologias de vanguarda. Um exemplo disso são as técnicas avançadas de evasão (AETs) de hoje, capazes de apagar os rastros. Dessa forma, os criadores de malware podem burlar os sistemas de segurança comuns.
Para combater essas ameaças a melhor opção é um sistema de última geração de Gerenciamento de Eventos e Informações de Segurança (SIEM). O SIEM começou com a compilação das informações de registros e relatórios sobre a conformidade de políticas. Atualmente funciona como uma ferramenta complexa que coleta, armazena, padroniza, correlaciona e analisa informações de dados de um grande número de dispositivos em rede, e através deles pode oferecer inteligência de segurança, além de referência sobre o comportamento típico de uma rede.
Estas são as características de um SIEM de próxima geração:
- Um sistema SIEM avançado deve ser projetado para atender as velocidades de Big Data e os requisitos de volume para aumentar a coleta de dados com a alimentação de mais fontes e processar conjuntos maiores e diversos em grandes números de eventos, bem como armazenar milhões de registros para analisar dados em tempo real e históricos para encontrar indicadores de que uma rede está comprometida.
- Ele deve operar em um contexto dinâmico, pois os profissionais de segurança concentram sua vigilância nos ativos com maior risco; nesse ambiente, podem atender a essa necessidade de segurança, já que é possível filtrar informações irrelevantes enquanto os sistemas externos e internos são categorizados com base em sua conduta anterior.
- Pode realizar Análise de Segurança, uma vez que gera análises aprofundadas as quais são mais avançadas se forem integradas a outras soluções de segurança. Por exemplo, com os dados de vulnerabilidade, um sistema SIEM pode criar um mapa das vulnerabilidades de ativos para atender aos requisitos de confidencialidade e integridade definidos por uma empresa.
- São fáceis de utilizar, pois seu gerenciamento centralizado permite uma acessibilidade superior através de uma interface para usuário da Web. Dessa forma, as equipes de TI determinam a magnitude do risco.
"Para grandes males, grandes remédios", diz uma frase muito conhecida e no combate às grandes ameaças de segurança de última geração, o significado dessa frase não poderia ser melhor. Por esse motivo, convém avaliar se a sua linha de defesa está à altura do desafio que o malware complexo dos nossos dias representa.
Edgar Vásquez Cruz, gerente para o setor de governo na Intel Security do México.