Uma nova chance para o SIEM

O Gerenciamento e Correlação de Eventos de Segurança, mais conhecido como SIEM, não é nenhuma novidade no mercado de segurança da informação. De fato, a tecnologia já vem sendo comercializada há cerca de 20 anos e, por um bom tempo, carregou um falso estigma de ser muito complexa e pouco eficiente para combater as ameaças cibernéticas.

É claro que existem implementações mal sucedidas, mas também existe uma falta de entendimento sobre como funciona e como alcançar todos os benefícios da solução. Assim como outras tecnologias, o SIEM evoluiu, agregou novas funcionalidades e tornou-se novamente uma forte arma no combate ao cibercrime moderno.

Para entender o custo-benefício do SIEM é preciso levar em consideração que algumas soluções não funcionam sozinhas, elas dependem de processos bem definidos e de uma inteligência envolvida para direcionar como deve ser o seu funcionamento. Neste caso, alinhar a tecnologia com o negócio é fundamental.

O SIEM é uma folha em branco, cabe a empresa colocar nessa folha o que é mais importante para o negócio, programar a solução para falar a linguagem do negócio e gerar relatórios com dados que realmente importam. Antes de pensar se as ameaças serão contidas e se o investimento vale a pena, é preciso avaliar como a empresa pode usar o SIEM para alavancar o negócio. Sem essa resposta a tecnologia não vai ser bem sucedida.

Também já ouvimos bastante que o SIEM traz mais complexidade ao ambiente, o que é um mito. Na verdade, o SIEM não traz mais complexidade e sim otimiza as tratativas, simplificando a carga operacional.

O que mais vemos atualmente são ambientes corporativos cada vez mais complexos, com diferentes consoles para gerenciar, soluções subutilizadas, muitas vezes divididas em silos e que não conversam entre si, recursos humanos insuficientes e uma avalanche de novas ameaças para serem avaliadas todos os dias.

Por mais eficiente que seja, nenhuma equipe consegue analisar milhares de ameaças por dia. Por isso a segurança precisa ser simplificada e aí entra uma das principais funcionalidades do SIEM moderno que é a automação. Ela permite que a análise das ameaças seja feita pela máquina, em frações de segundos, e o recurso humano seja focado na solução do problema, concentrando os esforços nos pontos que merecem mais atenção.

A visão que tínhamos do SIEM era de uma ferramenta voltada para receber logs, agora ele precisa analisar comportamento, detectar tendências e antecipar as ações. Antes a solução era focada em eventos de infraestrutura, agora o foco é no comportamento do usuário, antecipar a carga comportamental antes que algo aconteça, analisar e resolver em tempo real para não precisar mais de pessoas estudando cada ameaça detectada. Para isso, tecnologias como inteligência artificial, machine learning e behaviour analysis estão inseridas na sua nova formação.

Os negócios mudaram muito nos últimos 20 anos e o papel do SIEM é entender essa nova economia. Uma solução mais dinâmica e analítica ajuda a dar sentido as informações vindas de diferentes fontes e a obter maior visibilidade. Assim como processos mais inteligentes ajudam a avaliar riscos e a tomar decisões. Definitivamente, a segurança não pode mais ser vista como responsabilidade da área de TI, pois sua eficiência está cada vez mais atrelada ao negócio.

*Carlos Jardim é engenheiro de sistemas da McAfee do Brasil