As ferramentas de gerenciamento de informações e eventos de segurança (SIEM) evoluíram significativamente desde a introdução dos primeiros sistemas básicos de incorporação e monitoramento. Desde então, os sistemas SIEM adotaram técnicas mais avançadas, como mecanismos de correlação, análise comportamental de usuários e entidades, inteligência artificial e outros recursos.
Sistemas SIEM mais antigos ("legado") podem ter dificuldade em acompanhar o volume atual de dados. Para garantir um nível abrangente de segurança cibernética no ambiente interconectado na nuvem, as equipes de SecOps das empresas precisam de SIEMs modernos que possam processar dados quase ilimitados, realizar consultas rápidas e sofisticadas e se integrar perfeitamente a outros sistemas de segurança da organização.
A fragmentação de ferramentas também é uma preocupação crescente das equipes de TI e de segurança. Em média, as organizações têm quase 50 ferramentas de proteção em seus ambientes, algumas chegam a mais de 140 ferramentas diferentes, de acordo com um relatório da IDC.
Organizações que consideram investir em um SIEM moderno precisam entender a velocidade das ameaças atuais. De acordo com o Relatório de Ameaças Globais CrowdStrike 2024, o breakout time do eCrime – o tempo que um adversário leva para passar do acesso inicial para outro host no ambiente da vítima – agora é de 62 minutos, com o tempo mais rápido sendo apenas 2 minutos e 7 segundos.
Ao avaliar um SIEM, é importante considerar as necessidades futuras à medida que os volumes de dados crescem, e também procurar soluções flexíveis, escaláveis e personalizadas.
Abaixo estão cinco recursos essenciais em um SIEM de última geração:
- Pesquisa rápida e alertas em tempo real: um SIEM deve ser capaz de pesquisar com rapidez um alto volume de dados de registro e fornecer resultados eficientes em tempo real. Essa velocidade é fundamental para aumentar o impacto das investigações de segurança e reduzir sua duração. As equipes devem conduzir testes extensivos usando várias consultas paralelas para avaliar o desempenho de diferentes SIEMs sob cargas pesadas de consulta.
Muitos sistemas SIEM mais antigos falham devido a atrasos causados pela necessidade de indexar dados, um passo demorado que requer processamento adicional. Os SIEMs modernos superam essas limitações ao oferecerem a possibilidade de alertas em tempo real, permitindo que equipes de segurança identifiquem e respondam rapidamente às ameaças.
- Funcionalidade de consulta avançada e precisa: Um SIEM eficaz deve permitir que os caçadores de ameaças naveguem facilmente por conjuntos de dados grandes. O sistema deve se adaptar a vários níveis de expertise, fornecendo ferramentas para pesquisas simples e complexas, com resultados exatos. Devido à sua complexidade, os SIEMs antigos podem gerar alarmes falsos e não detectar ameaças reais. As soluções SIEM modernas utilizam automação impulsionada por inteligência artificial e machine learning para minimizar erros, aliviar a carga de trabalho dos operadores de segurança e possibilitar relatórios mais confiáveis.
- Escalabilidade para coleta de dados em alto volume: À medida que os volumes de dados aumentam, a escalabilidade do SIEM se torna um ponto crítico. Alguns sistemas enfrentam altas taxas de ingestão de dados, resultando em problemas de desempenho ou perda de dados quando os volumes excedem os limites estabelecidos. Um SIEM de última geração deve ser capaz de lidar com grandes volumes de dados de forma eficiente para facilitar a colaboração entre equipes de segurança, desenvolvimento e operações de TI. A plataforma ideal deve gerenciar logs de segurança e integrar dados de telemetria proporcionando uma visão holística do cenário de segurança e reduzindo a complexidade operacional.
- Integração com ecossistemas avançados de segurança: Os SIEMs de última geração devem se integrar a soluções para análise para análise de comportamento do usuário e inteligência de ameaças. É essencial que as organizações avaliem esses serviços adicionais quanto à qualidade e eficácia, garantindo que estejam alinhados com necessidades específicas de segurança. Por exemplo, serviços de inteligência de ameaças devem ser capazes de analisar grandes quantidades de dados, enquanto análises de comportamento do usuário devem identificar possíveis ameaças de segurança com base em atividades irregulares ou incomuns.
- Avaliação de custos eficaz e equilibrada: Custos elevados podem limitar o escopo do registro de dados, levando a possíveis pontos cegos de segurança. É essencial comparar tanto os custos de assinatura quanto o custo total de propriedade ao escolher fornecedores, incluindo infraestrutura, implantação e despesas operacionais. O custo de manutenção e expansão de um SIEM também pode ser substancial ao longo do tempo. Portanto, sua avaliação deve incluir ainda os custos de licenciamento, e também potenciais taxas de serviços adicionais e os custos associados ao aumento dos volumes de dados, especialmente para sistemas auto-hospedados.
A escolha de um SIEM requer uma avaliação abrangente considerando a integração com tecnologias avançadas de segurança, opções de implantação flexíveis, custo-efetividade e licenciamento transparente. As organizações devem olhar além de suas necessidades imediatas para escolher um SIEM que possa se adaptar a desafios futuros. Dessa forma, estarão melhor posicionadas para prevenir e mitigar os efeitos de uma intrusão.
Jeferson Propheta, VP da CrowdStrike para Brasil e Sul da América Latina.