CISOs enfrentam desafios para usar os logs a favor da segurança das organizações brasileiras

Em um mundo cada vez mais digitalizado, conceitos como log serão cada vez mais parte do nosso dia a dia. Cada ação que realizamos em meio digital – seja pedir um carro no App Uber, seja pagar uma conta no Internet Banking, seja acessar uma empresa na Suécia – gera registros, os logs. Esses registros se multiplicam diariamente aos bilhões, representando um tesouro de Dados que tem de ser explorado para a construção de uma economia digital resiliente e inovadora.

Um log avançado, em especial, é um registro estruturado e detalhado de eventos e ações que ocorrem em sistemas, aplicações ou dispositivos. Esses eventos abrangem desde simples inícios de sessão até operações complexas, e cada um fica cuidadosamente documentado para futuras referências.

Há empresas que geram milhões de eventos todos os dias. Provedores de serviços de Internet, órgãos governamentais, universidades e grandes corporações necessitam armazenar e analisar registros em sistemas de alto desempenho. Ganha velocidade na economia digital quem efetivamente transforma os dados de registro em inteligência com buscas em frações de segundo, que proporcionam uma visão instantânea de bilhões de registros. Somente essa estratégia gera visibilidade em tempo real acerca do tráfego na rede.

Logs de segurança: fonte de informação sobre ameaças cibernéticas
Em relação aos desafios enfrentados pelos CISOs, os logs de segurança representam uma fonte de informação crucial para detecção e resposta a ameaças cibernéticas. Ainda assim, analisá-los de maneira escalável e eficaz é uma tarefa desafiadora. As técnicas de aprendizado de máquina (Machine Learning) são promissoras na automação de análise de logs. Os CISOs seguem, no entanto, lutando para lidar com o grande volume de dados e formatos inconsistentes de registros.

A multiplicidade de tipos de logs gerados pelas soluções de cyber security utilizadas dentro da organização aumenta essa complexidade.

Logs de firewall
Registram a atividade do tráfego de rede permitido ou bloqueado pelo firewall.

 Logs de sistema de detecção e prevenção de intrusões (IDS/IPS)
Registram eventos relacionados a tentativas de acesso não autorizado, infecções por malware, e outras ameaças à segurança.

Logs de eventos
Registram diversos eventos de sistemas e aplicações, como instalações de software, reinicializações do sistema, e logins de usuários.

Logs de aplicações
Registram eventos relacionados a aplicações específicas, como tentativas de login, transferências de dados, e erros.

 Logs de dispositivos da rede
Registram eventos relacionados a dispositivos da rede, como roteadores, switches e firewalls, incluindo alterações de configuração e tráfego na rede.

 Logs do sistema operacional
Registram eventos relacionados ao sistema operacional, como inicialização e fechamento do sistema, e instalações de software.

 Logs de bancos de Dados
Registram eventos relacionados a acesso a bancos de dados, como tentativas de login de usuários e modificações de dados.

 Logs de autenticação
Registram eventos de autenticação de usuários, incluindo horários de login e logout, e o resultado das tentativas de autenticação.

 Logs de servidores web
Registram eventos relacionados à atividade de servidores web, como solicitações de páginas da web, transferências de Dados, e erros.

 Logs de VPN
Registram eventos relacionados a conexões à rede privada (VPN), incluindo horários de login e logout e o resultado das conexões à VPN.

Em todos os casos, arquivos de logs de segurança valem ouro. Eles são ricos em pistas, apontando caminhos capazes de impedir proativamente acessos indevidos a dados e sistemas. O uso de logs inclui coleta, análise e pesquisa de grandes volumes de dados de log relacionados à segurança, a fim de detectar e responder a potenciais ameaças à segurança.

O mercado conta com soluções que centralizam os registros dos dispositivos de segurança – qualquer que seja sua função ou sua marca – e permitem que as instruções sejam revisadas, aprovadas e implementadas. O resultado é uma solução integral para analisar o fluxo de trabalho dos dispositivos. A partir daí, os Dados de logs são transformados em inteligência para segurança, permitindo pesquisas granulares que fornecem visibilidade instantânea do tráfego na rede e de bilhões de registros de log.

Processamento de logs de alto desempenho
Grandes empresas podem gerar até 100 gigabytes de Dados de log por dia. Ser capaz de escalar até essas taxas de Dados é um aspecto importante da retenção de logs. Neste contexto, é fundamental contar com plataformas robustas, capazes de processar até 100.000 eventos por segundo. Como o número de logs só aumenta, essa solução tem de escalar dinamicamente o armazenamento para atender às exigências de retenção e Compliance. Uma boa estratégia para isso é contar com recursos de balanceamento de cargas distribuído ou por envio de logs específicos para servidores específicos.

Outro destaque dessa estratégia – usar de modo proativo logs de segurança – é o fato desse caminho oferecer uma relação custo-benefício superior à análise forense após o ataque ter acontecido. Quem ganhar visibilidade sobre seus logs de segurança consegue detectar e responder a potenciais ameaças antes que elas causem danos de monta. Essa abordagem pode ajudar as organizações a estar em conformidade com exigências regulatórias, como as relacionadas a privacidade e segurança de Dados. Acima de tudo, ao analisar os logs de segurança proativamente, as organizações coletam valiosas informações acerca de ameaças. Isso aprimora a postura geral de segurança da empresa e da economia digital brasileira como um todo.

Por André Kupfer, Líder América Latina de Engenharia de Vendas na Hillstone.