Os ataques maliciosos foram a principal causa das violações de dados e geraram os custos mais elevados em 2016. As empresas que passaram por algum incidente tiveram um custo per capita de R$ 256. Os dados foram extraídos de uma pesquisa do Instituto Ponemon feita em parceria com a IBM. O estudo aponta também que 40% dos eventos envolveram um ataque malicioso ou criminoso. Considerando a dificuldade das empresas em identificar ameaças, tecnologias envolvendo analytics ganham força na área de Segurança Cibernética a fim de encontrar anomalias e comportamentos suspeitos que possam comprometer a integridade de dados.
A necessidade de detecção e resposta antecipada de ataques dirigidos está impulsionando a adoção de novos recursos de analytics no SIEM. A demanda por esta tecnologia se mantem forte. O mercado cresceu de US$ 1,67 bilhão em 2014 para US$ 1,73 bilhão em 2015. Não por acaso, o gerenciamento de ameaças é o principal driver de compra e a conformidade permanece secundária.
Alguns dos principais benefícios é que a tecnologia combina análise de detecção de ameaças e monitoramento de eventos, investigação e inteligência em tráfego de rede, pontos de extremidade e outras fontes de dados de eventos e logs de segurança. Além disso, é capaz de oferecer recursos forenses e de resposta a incidentes. São painéis com capacidade de visualização bem como suporte de fluxo de trabalho e documentação para permitir identificação, investigação e resposta eficazes de incidentes.
Como escolher a melhor tecnologia
O mercado SIEM é maduro e competitivo e passa por um novo momento. Diante das atuais ameaças, o modelo está sendo incrementado com recursos mais avançados, como o analytics, para atender às novas demandas dos usuários. Entre esses requisitos está a necessidades de facilitar a detecção de ataques direcionados e violação de dados, já que as organizações falham na detecção precoce desses incidentes. Hoje, dados apontam que mais de 80% das infrações não são detectadas. Esse cenário pode ser contra-atacado com inteligência de ameaças, perfil de comportamento e análise eficaz.
Atualmente, o segmento SIEM é composto por soluções que suportam os casos mencionados anteriormente. No entanto, há variações no nível relativo de capacidade para cada caso de uso. As organizações devem considerar produtos com base em seus requisitos funcionais e operacionais. As decisões de seleção devem ser conduzidas por condições específicas da companhia em áreas como:
– A importância relativa dos recursos básicos versus recursos avançados;
– A escala da implantação;
– Complexidade do produto;
– A adoção de projetos da empresa de TI e os recursos de suporte de tecnologia;
– Integração com aplicações estabelecidas, monitoramento de dados e infraestrutura de gerenciamento de ferramentas.
Os responsáveis pela segurança que consideram implantações do SIEM devem primeiro definir as condições para SEM (monitoramento em tempo real e gerenciamento de incidentes) e relatórios. A definição de requisitos deve incluir recursos que serão necessários para fases de implantação subsequentes. As organizações também devem descrever sua topologia de implantação de rede e sistema e avaliar as taxas de eventos, de modo que os fornecedores em potencial possam propor soluções para cenários específicos da empresa.
Flexibilidade e inteligência integrada
Para atender empresas de médio porte e grandes empresas com requisitos gerais SIEM, bem como organizações que procuram uma plataforma única de monitoramento e resposta de eventos de segurança para seus SOCs, a IBM vem posicionando sua solução QRadar da IBM. Recentemente a organização adquiriu a Resilient Systems para ampliar os recursos de resposta a incidentes da plataforma. A tecnologia fornece visão integrada de dados de log e eventos, com fluxos e pacotes de rede, dados de vulnerabilidade e ativos e inteligência de ameaças.
A arquitetura modular do QRadar ainda suporta eventos de segurança e acompanhamento em ambientes IaaS, incluindo monitoramento nativo para AWS CloudTrail e SoftLayer. A tecnologia e a abordagem arquitetural da plataforma tornam relativamente fácil a implantação e manutenção, seja como um appliance multifuncional ou em um ambiente de vários níveis, em vários estágios.
Por essas e outras razões, a tecnologia SIEM é implantada cada vez mais por uma ampla gama de empresas, considerando sua capacidade de suportar casos de uso adicionais para que continuem atendendo as demandas extras de seus usuários. Para ter acesso completo sobre como a tecnologia associada ao analytics pode ajudar na detecção de ameaças, clique AQUI.
