0
0
Para Gil Shua, tirar o máximo proveito do sistema de gerenciamento de eventos de informações de segurança (SIEM) para a Bolsa de Valores de Tel Aviv se resume a obter a relação sinal-ruído correta. Isso e escrever as regras certas.
A relação sinal-ruído, como todo engenheiro de radiofrequência sabe, se resume às quantidades de conteúdo real (sinal) para estática e outras perturbações sônicas (ruído). Para Shua, o objetivo é minimizar a quantidade de ruído enviado ao SIEM em favor do conteúdo acionável. Ele está procurando por algo que o faça se levantar de sua mesa com a percepção: “Temos um problema; temos algo que queremos abordar agora e consertá-lo”.
Shua trabalhou em vários cargos de segurança na Bolsa de Valores de Tel Aviv (TASE) por mais de uma década e foi nomeado CISO em 2022. Durante esse tempo, ele diz que tem sido uma “busca constante por recursos de dados” para garantir que o sinal- a relação ruído/ruído se inclina a favor dos dados do sinal para maximizar os recursos e benefícios do SIEM da central.
Filtrando o Ruído
Shua e sua equipe têm muito trabalho pela frente, já que com a maioria dos SIEMs, “você vê muito ruído e pouco sinal”. Isso leva a falsos positivos e configurações incorretas, o que, por sua vez, cria trabalho extra para a equipe SOC, reduz a produtividade e é um impedimento para tentar fazer um SIEM funcionar .
Para minimizar isso, Shua diz que a equipe SOC pode escrever regras sobre como o SIEM lida com os dados recebidos, mas a criação dessas regras também ocupa um tempo valioso da equipe SOC.
Mas escrever regras de correlação SIEM é relativamente fácil se a solução SIEM já tiver regras e análise de log predefinidas para o aplicativo de geração de relatórios, diz Shua. Mas antes que as regras possam ser escritas, a equipe SOC deve:
- Descubra a estrutura de dados e identifique os campos relevantes necessários para a regra.
- Entenda a lógica dos sistemas de relatórios, pois eles podem ter seus próprios padrões de registro.
- Crie uma correlação exata de regras e analise as exceções.
- Realizar garantia de qualidade e testes.
Esses itens de ação podem levar algumas horas cada, mas se forem mais complexos, podem levar dias para serem concluídos, acrescenta Shua.
“Ao estabelecer um SIEM, você tem duas preocupações. Uma é ‘Tenho as regras que me protegem contra ataques relevantes… estou coberto por regras eficazes?’ A segunda coisa é: ‘Recebo as informações dos sistemas de relatórios que acionarão essas regras?’.”
A recente adição da plataforma CardinalOps melhorou o Splunk Enterprise na TASE; Shua diz que o processo de escrita de regras foi bastante reduzido, com 85 regras produzidas nos poucos meses em que essa tecnologia específica está em uso. “A equipe está mais focada em implementar regras e testá-las e não em escrevê-las, que foi o processo mais demorado no link”, acrescenta.
Então, os SIEMs valem o tempo e o dinheiro gastos na correlação e na redação de regras? Shua admite que a manutenção de um SIEM é uma tarefa exigente, pois são necessárias atualizações e modificações constantes. Apesar de todo o esforço, alguns ataques podem passar despercebidos por falta de visibilidade ou regras de correspondência.
“Espero que as soluções futuras adotem recursos de automação para criação e resposta de regras autônomas, prontas para uso”, diz Shua.
E como os SIEMs extraem dados de várias fontes, eles devem se tornar mais eficientes no processamento, análise e armazenamento de dados em diferentes formatos. “Você precisa fazer ajustes para manter”, diz Shua, acrescentando que o gerenciamento inadequado de mudanças significa que uma organização provavelmente perderá alguns eventos de segurança.
FONTE: DARKREADING