Não se pode controlar aquilo que não se vê

"Dados! Dados! Preciso de dados! Não posso fazer tijolos sem barro!", Sherlock Holmes

Luiz Henrique Borges

 "É um erro capital teorizar antes de ter os dados", Sherlock Holmes

 Em suma, um detetive só é bom se tiver dados para realizar uma investigação. Efetivamente, essa máxima vale para segurança da informação. Só temos sucesso na mitigação de riscos ou na investigação de incidentes se tivermos dados. De forma prática, em um processo de investigação procuramos responder ao que chamamos de five Ws – “Who, What, Why, Where, and When” – Quem, O quê, Por quê, Onde e Quando. Portanto, é extremamente importante a utilização de soluções que nos permitam capturar, armazenar e analisar as informações quando necessário.

Dentro da linha de produtos disponíveis no mercado, vamos destacar hoje o SIEM. Do inglês SIEM deriva de Security Information and Event Management, uma solução que permite que os eventos gerados por diversos ativos sejam coletados, normalizados, armazenados e correlacionados.

SIM e SEM de forma separada
SIM - Security Information Management: Coleta de log, arquivamento, forense e relatório do passado	SEM – Security Event Management: Coleta de log, normalização, correlação, agregação e relatório em tempo real

SIM + SEM = SIEM
Coleta de log	Normalização	Correlação	Agregação	Relatório

Soluções de SIEM são implementadas para entregar avaliação automatizada de riscos, mitigação de ameaças, detecção de fraudes, monitoramento de conteúdos, aplicações e atividades, conformidade, integração com ferramentas de gestão de negócios y otras cositas más. Porém, antes de implementar uma solução desta em seu ambiente corporativo, é preciso ter em mente que alguns pré-requisitos básicos devem ser respeitados para um melhor aproveitamento do produto.

Certifique-se de que todos os ativos são capazes de gerar mensagens de logs

• Envie os logs através de um túnel criptografado para evitar que informações sensíveis sejam lidas por pessoas não autorizadas
• Programe formas de controle de acesso, principalmente para evitar ataques de negação de serviço( DoS – denial of service)
• Sincronize a data e hora de todos os ativos através de um servidor de hora confiável
• Programe políticas de armazenamento dos logs como, tempo de retenção, compactação e encriptação
• Trate as exceções

Outro ponto importante é saber quais informações são realmente relevantes e devem ser mantidas em foco. Você não deve simplesmente enviar todos os logs de um ativo. Sendo assim, seguem algumas sugestões do que é crítico e deve ser olhado:

• Autorização e autenticação
• Alteração em sistemas e dados críticos
• Atividades de rede suspeitas
• Acesso a recursos importantes
• Atividades de malware
• Falhas ou erros críticos

Lembre-se: O excesso de logs pode trazer problemas de performance aos ativos, aumentar a carga de rede e tornar difícil a extração de informações.

Finalmente, de nada adianta toda essa parafernália tecnológica se não tivermos processos desenhados e pessoas treinadas para tratar de forma adequada os incidentes. Como exemplo, podemos citar o caso Target em que diversas ferramentas detectaram atividades suspeitas que foram completamente ignoradas pelas equipes de segurança.

 *Luiz Henrique Borges é consultor forense na TechBiz Forense Digital. Especialista na solução RSA Security Analytics, possui as seguintes certificações: RSA Certified SE Professional in Security Analytics, CompTIA Security+, RHCE, RHCSA, LPIC-1, NCLA e NDTS.