As ameaças cibernéticas estão cada vez mais rápidas, constantes e agressivas. Não basta ter somente um tipo de solução para garantir a segurança dos dados e sistemas das empresas.
É preciso uma atuação mais ampla frente às ameaças, que inclui o monitoramento eficiente de todos os eventos e também o correlacionamento entre todos os registros para que a resposta seja mais imediata e proativa.
Uma solução abrangente deve agregar e correlacionar todos os logs de segurança e possibilitar o gerenciamento dessas informações em um único local.
Estes modelos mais amplos de gerenciamento de informações entram na categoria SIEM (Security Information and Event Management) ou Gerenciamento e Correlação de Eventos de Segurança, que correlacionam múltiplas camadas.
Leia também A importância das múltiplas camadas de segurança.
O gerenciamento SIEM é mais completo porque agrega duas ferramentas: SIM (Security Information Management) ou Gerenciamento de Segurança da Informação, que armazena uma análise histórica dos eventos; e SEM (Security Event Manager) ou Gerenciamento de Eventos de Segurança, que faz o monitoramento em tempo real dos eventos de segurança e coleta dados.
A atuação com correlacionamento de logs pode ser feitas em várias frentes como:
– Cloud Access Security e Network Adaptative Defense: para o controle, descoberta de aplicações em Cloud.
– Hybrid Cloud and Datacenter Continuous Protection: para proteção avançada dos servidores físicos, virtuais e Cloud; incluindo aplicação e dados empresariais.
– Endpoint Intelligent Protection: proteção para usuário final, em computadores e dispositivos móveis.
– Forensics Security Operations Center (F-SOC): técnicas de data science e inteligência artificial para detectar e resolver ataques.
O uso dessas ferramentas de forma integrada permite que os logs sejam coletados, armazenados, e que seja feito um cruzamento de todas essas informações, o que permite respostas mais rápidas e eficientes.
Confira nosso post sobre Porque não adquirir as tecnologias mais cara em segurança?
A correlação de eventos de segurança pode ser feita também de forma automatizada, o que gera uma detecção e uma resposta muito mais ágil às ameaças. Isso porque é possível fazer uma correlação, uma análise de múltiplas fontes, incluindo estação do trabalho, servidores, tecnologias de segurança propriamente ditas como firewalls, anti-malawares.
Veja também Investimentos em segurança: você está fazendo isso errado.
Tudo isso é correlacionado, monitorado, e faz-se uma análise de comportamento do usuário, comportamento do sistema operacional, comportamento de máquina, etc. Por meio desses comportamentos é feita uma análise muito mais aprofundada. Assim, pode-se apoiar todo o processo de detecção, inclusive de ameaças desconhecidas, aquelas chamadas de dia zero.
Quer conhecer essa solução completa para correlacionamento de logs e aumentar a segurança de informação na sua empresa? Saiba mais em Microservice Sonar Shield ou contate nossos especialistas.