Introdução
Esteja você trabalhando com uma abordagem de práticas recomendadas de segurança SANS 20 ou trabalhando com um auditor para conformidade com SOX ou QSA para conformidade com PCI, você implementará uma solução de registro em log.
Manter uma trilha de auditoria dos principais eventos de segurança é a única maneira de entender como é a operação 'regular'. Por que isso é importante? Porque é somente quando você tem isso claro que você pode começar a identificar atividades irregulares e incomuns que podem ser evidências de uma violação de segurança. Melhor ainda, uma vez que você tenha essa imagem de como as coisas devem ser quando tudo está normal e seguro, um sistema de análise de log inteligente, também conhecido como SIM ou SIEM, pode avaliar automaticamente eventos, volumes de eventos e padrões para julgar de forma inteligente em seu nome se há algo suspeito acontecendo.
Ameaça à Segurança ou Potencial Evento de Segurança? Somente com Correlação de Eventos!
A promessa dos sistemas SIEM é que, depois de instalar um desses sistemas, você pode continuar com seu trabalho diário e, se ocorrer algum incidente de segurança, ele informará sobre isso e o que você precisa fazer para cuidar dele. isto.
O mais recente conjunto de recursos 'obrigatórios' é a correlação, mas esse deve ser um dos termos de tecnologia mais usados e abusados de todos os tempos!
O conceito é simples: eventos isolados que são potenciais incidentes de segurança (por exemplo, 'IPS Intrusion Detected event') são notáveis, mas não tão críticos quanto ver uma sequência de eventos, todos correlacionados pela mesma sessão, por exemplo, um IPS Alert, seguido por Logon com falha, seguido por um logon de administrador bem-sucedido.
Na realidade, essas regras de correlação avançadas e verdadeiras raramente são tão eficazes. A menos que você esteja em uma situação de ponte de segurança muito ativa, com uma empresa composta por milhares de dispositivos, a operação padrão de evento único/alerta único deve funcionar bem o suficiente para você.
Por exemplo, no cenário acima, deve ser o caso de você NÃO ter muitos alertas de intrusão do seu IPS (se tiver, você realmente precisa examinar suas defesas de firewall e IPS, pois elas não estão fornecendo proteção suficiente) . Da mesma forma, se você estiver recebendo logins com falha de usuários remotos para dispositivos críticos, você deve dedicar seu tempo e esforço a um melhor design de rede e configuração de firewall, em vez de experimentar regras de correlação 'inteligentes e inteligentes'. É o princípio KISSaplicado ao gerenciamento de eventos de segurança.
Como tal, quando você recebe um dos alertas críticos do IPS, isso deve ser suficiente para iniciar uma investigação de emergência, em vez de esperar até ver se o invasor é bem-sucedido em forçar um logon em um de seus hosts (pelo qual vez que é tarde demais para sair de qualquer maneira!)
Regras de correlação aperfeiçoadas – mas o sistema já foi hackeado…
Na verdade, considere este último ponto mais adiante, pois é onde as práticas recomendadas de segurança se desviam drasticamente do argumento dos gerentes de produto SIEM. Todo mundo sabe que é melhor prevenir do que remediar, então por que há tanto entusiasmo em torno da necessidade de eventos SIEM correlacionados? Certamente o foco deveria estar na proteção de nossos ativos de informação em vez de implementar um dispositivo caro e complicado que pode ou não soar um alarme quando os sistemas estão sob ataque?
As práticas recomendadas de segurança lhe dirão que você deve implementar – completamente – o básico. A melhor prática de segurança mais fácil e disponível é proteger os sistemas e, em seguida, operar um processo robusto de gerenciamento de mudanças.
Ao eliminar vulnerabilidades conhecidas de seus sistemas (principalmente vulnerabilidades baseadas em configuração, mas, é claro, fraquezas de segurança relacionadas a software também por meio de patches), você fornece um sistema fundamentalmente bem protegido. Agrupe também outras medidas de defesa, como antivírus (falho como um sistema de defesa abrangente, mas ainda útil contra a principal ameaça de malware), firewall com IPS e, é claro, tudo sustentado por monitoramento e registro de integridade de arquivos em tempo real, para que, caso ocorra alguma infiltração, você fique sabendo imediatamente.
Conclusão
As soluções SIEM contemporâneas oferecem muitas promessas como o sistema de defesa de segurança inteligente. No entanto, a experiência e a evidência de números cada vez maiores de violações de segurança bem-sucedidas nos dizem que nunca haverá uma 'bala de prata' para defender nossa infraestrutura de TI. As ferramentas e a automação podem ajudar, é claro, mas a segurança genuína para sistemas só vem das melhores práticas de segurança operacional com a consciência e a disciplina necessárias para esperar o inesperado.
*KISS – Keep It Super Simple
