Combate a ameaças de segurança

Correlacionamento de logs no combate a ameaças de segurança

913 326 Microservice

As ameaças cibernéticas estão cada vez mais rápidas, constantes e agressivas. Não basta ter somente um tipo de solução para garantir a segurança dos dados e sistemas das empresas.

É preciso uma atuação mais ampla frente às ameaças, que inclui o monitoramento eficiente de todos os eventos e também o correlacionamento entre todos os registros para que a resposta seja mais imediata e proativa.

Uma solução abrangente deve agregar e correlacionar todos os logs de segurança e possibilitar o gerenciamento dessas informações em um único local.

Estes modelos mais amplos de gerenciamento de informações entram na categoria SIEM (Security Information and Event Management) ou Gerenciamento e Correlação de Eventos de Segurança, que correlacionam múltiplas camadas.

Leia também A importância das múltiplas camadas de segurança. 

O gerenciamento SIEM é mais completo porque agrega duas ferramentas: SIM (Security Information Management) ou Gerenciamento de Segurança da Informação, que armazena uma análise histórica dos eventos; e SEM (Security Event Manager) ou Gerenciamento de Eventos de Segurança, que faz o monitoramento em tempo real dos eventos de segurança e coleta dados.

A atuação com correlacionamento de logs pode ser feitas em várias frentes como:

Cloud Access Security e Network Adaptative Defense: para o controle, descoberta de aplicações em Cloud.

Hybrid Cloud and Datacenter Continuous Protection: para proteção avançada dos servidores físicos, virtuais e Cloud; incluindo aplicação e dados empresariais.

Endpoint Intelligent Protection: proteção para usuário final, em computadores  e dispositivos móveis.

Forensics Security Operations Center (F-SOC): técnicas de data science e inteligência artificial para detectar e resolver ataques.

O uso dessas ferramentas de forma integrada permite que os logs sejam coletados, armazenados, e que seja feito um cruzamento de todas essas informações, o que permite respostas mais rápidas e eficientes.

Confira nosso post sobre Porque não adquirir as tecnologias mais cara em segurança? 

A correlação de eventos de segurança pode ser feita também de forma automatizada, o que gera uma detecção e uma resposta muito mais ágil às ameaças. Isso porque é possível fazer uma correlação, uma análise de múltiplas fontes, incluindo estação do trabalho, servidores, tecnologias de segurança propriamente ditas como firewalls, anti-malawares.

Veja também Investimentos em segurança: você está fazendo isso errado. 

Tudo isso é correlacionado, monitorado, e faz-se uma análise de comportamento do usuário, comportamento do sistema operacional, comportamento de máquina, etc. Por meio desses comportamentos é feita uma análise muito mais aprofundada. Assim, pode-se apoiar todo o processo de detecção, inclusive de ameaças desconhecidas, aquelas chamadas de dia zero.

Quer conhecer essa solução completa para correlacionamento de logs e aumentar a segurança de informação na sua empresa? Saiba mais em Microservice Sonar Shield ou contate nossos especialistas.

SP (11) 4063-8108 | RJ (21) 4063-3343 | MG (31) 4063-7161 | PR (41) 4063-7161 | SC (47) 3322-2343 | RS (51) 4063-7161 | PE (81) 4062-9072