- Gerar link
- Outros aplicativos
Luiz Sales Rabelo*
Independentemente do tamanho, as empresas de hoje encaram ameaças sérias e crescentes, tais como cibercriminosos em busca de seus dados confidenciais ou tentando inviabilizar o acesso a sistemas críticos. Os perfis dessas ameaças estão sempre evoluindo e crescendo em grau de sofisticação, mas ainda assim há muita ameaça interna: se a empresa permite que seus funcionários tenham acesso a dados da corporação, então ela está exposta a furto de dados corporativos e dados confidenciais de clientes.
Outro ponto muito importante nos negócios atuais é o atendimento a regulamentações impostas por organizações internacionaios e países, dentre as quais, podemos destacar: SOX, PCI-DSS, FISMA, GLBA, HIPAA, Basel, etc.. Estar em conformidade (compliance) com estas regulamentações possibilita a concretização de novos negócios e dá mais confiança e credibilidade aos parceiros. Mas como tentar evitar fraudes e ainda estar em conformidade com tantas regras?
A ArcSight tem a as respostas, e uma delas é o Correlacionamento de Eventos, também conhecido pela sigla SIEM (Security Information and Event Management). Eventos (ou logs) são registros, normalmente armazenados em arquivos de texto simples ou em banco de dados, que armazenam tudo o que se passa em sistemas informatizados.
A correlação desses eventos possibilita a reconstrução de um cenário passado, mostrando o que efetivamente ocorreu com um sistema computacional em outro momento. Por exemplo, cruzando as informações de eventos, é possível detectar que o funcionário JOÃO, do financeiro, não passou pela catraca da portaria, não passou pelo relógio de ponto, mas está acessando o ERP da empresa. Bem, muito provavelmente, como o funcionário não passou pela catraca e nem pelo relógio de ponto, alguém está utilizando a credencial do JOÃO para acessar o ERP.
Esse é só um exemplo bobinho, mas que já demonstra muito bem os poderes do correlacionamento dos eventos. Já imaginou a quantidade de logs de eventos que os sistemas de uma grande corporação geram? Esses logs, isolados, podem nos dizer muito a respeito das ferramentas que os geraram. Combinados então, são capazes de nos informar exatamente quem, como e onde determinada situação ocorreu.
Independentemente do tamanho, as empresas de hoje encaram ameaças sérias e crescentes, tais como cibercriminosos em busca de seus dados confidenciais ou tentando inviabilizar o acesso a sistemas críticos. Os perfis dessas ameaças estão sempre evoluindo e crescendo em grau de sofisticação, mas ainda assim há muita ameaça interna: se a empresa permite que seus funcionários tenham acesso a dados da corporação, então ela está exposta a furto de dados corporativos e dados confidenciais de clientes.
Outro ponto muito importante nos negócios atuais é o atendimento a regulamentações impostas por organizações internacionaios e países, dentre as quais, podemos destacar: SOX, PCI-DSS, FISMA, GLBA, HIPAA, Basel, etc.. Estar em conformidade (compliance) com estas regulamentações possibilita a concretização de novos negócios e dá mais confiança e credibilidade aos parceiros. Mas como tentar evitar fraudes e ainda estar em conformidade com tantas regras?
A ArcSight tem a as respostas, e uma delas é o Correlacionamento de Eventos, também conhecido pela sigla SIEM (Security Information and Event Management). Eventos (ou logs) são registros, normalmente armazenados em arquivos de texto simples ou em banco de dados, que armazenam tudo o que se passa em sistemas informatizados.
"Já imaginou a quantidade de logs de eventos que os sistemas de uma grande corporação geram? Esses logs, isolados, podem nos dizer muito a respeito das ferramentas que os geraram. Combinados então, são capazes de nos informar exatamente quem, como e onde determinada situação ocorreu."
A correlação desses eventos possibilita a reconstrução de um cenário passado, mostrando o que efetivamente ocorreu com um sistema computacional em outro momento. Por exemplo, cruzando as informações de eventos, é possível detectar que o funcionário JOÃO, do financeiro, não passou pela catraca da portaria, não passou pelo relógio de ponto, mas está acessando o ERP da empresa. Bem, muito provavelmente, como o funcionário não passou pela catraca e nem pelo relógio de ponto, alguém está utilizando a credencial do JOÃO para acessar o ERP.
Esse é só um exemplo bobinho, mas que já demonstra muito bem os poderes do correlacionamento dos eventos. Já imaginou a quantidade de logs de eventos que os sistemas de uma grande corporação geram? Esses logs, isolados, podem nos dizer muito a respeito das ferramentas que os geraram. Combinados então, são capazes de nos informar exatamente quem, como e onde determinada situação ocorreu.
*Luiz Sales Rabelo é analista de Segurança
e consultor em computação forense da Techbiz Forense Digital. Desde
outubro de 2010, é instrutor autorizado pela AccessData a transmitir os
conhecimentos sobre a ferramenta FTK 3. É MCP (Microsoft Certified
Professional) e ACE (AccessData Certified Examiner).Autor do blog:
http://forensics.luizrabelo.com.br/
Comentários
Postar um comentário