SIEM: 6 armadilhas na implantação

27/nov/2018 16:00:00 Arcon SIEM, MSS, MSSP, Big Data, Tecnologia, Gestão de TI

Complexos, projetos de SIEM muitas vezes não correspondem às expectativas de seus usuários e falhas ou implantações abandonadas não são incomuns. O Gartner identificou as 6 armadilhas que comumente ocorrem nesses tipos de projeto:

1. Incapacidade de planejar antes de comprar

Apesar da percepção comum de que as soluções SIEM são complexas e caras, muitas organizações desconsideram as melhores práticas e escopo do projeto. A chance de sucesso da implementação de um projeto de SIEM sem planejamento é baixa e pode condená-lo antes mesmo de começar. O investimento necessário em tempo, recursos e potenciais custos adicionais superam os benefícios percebidos de avançar sem planejamento. O SIEM não é para todos e, ao estudar a viabilidade do projeto, pode ser que se conclua que os requisitos inerentes não atendem às necessidades da empresa.

 
2. Falta de definição de escopo

A seleção de uma solução de SIEM deve ser baseada com uma compreensão clara do escopo, objetivos e casos de uso associados. Implantação sem um escopo definido é como construir uma casa sem alicerces: não é apenas um processo cheio de perigos... eventualmente ela acabará por ruir.

 
3. Definição otimista do escopo

Muitas organizações subestimam a quantidade de trabalho e, para obter o valor máximo da ferramenta, ficam tentadas a fazer tudo de uma vez. Porém, a única forma eficiente de dimensionar o SIEM para que seja uma plataforma eficaz na monitoração de toda a organização e gestão de incidentes é implementá-lo em etapas.

 
4. SIEM não é big data

SIEM não deve ser utilizado para capturar e armazenar todos os registros de todos os dispositivos e aplicações sem discriminação. No entanto, esse é um erro comum. O SIEM deve ser configurado para procurar e reconhecer atividades ou eventos que esteja procurando. Não é uma bola mágica - ao jogar os dados ele vai se iluminar automaticamente com um incidente de segurança identificado no ambiente.

 
5. Definir o que procurar

O SIEM não encontra nada que você não determine que ele encontre. Por isso as regras de correlação são tão importantes. Sem grande contextualização e fontes de dados para correlação, não há detecção.


6. Recursos insuficientes

Uma vez implantado, começarão a surgir resultados que exigem resposta e gestão. O retorno do investimento está ligado diretamente a equipe que gerencia a solução de SIEM, que exige manutenção e contínua criação de regras. Para se ter uma ideia, um típico banco de médio porte precisa de uma equipe mínima de 8 profissionais especializados para trabalhar em escala 24x7 na monitoração do ambiente de segurança.

Importante salientar que soluções de SIEM “on-premise” fornecem alguns dos mesmos benefícios que os serviços gerenciados de Monitoração de Segurança providos por um MSSP. Entretanto, a ferramenta de SIEM apenas não produz todos os benefícios que um serviço completo de Monitoração de Segurança entrega. Deve-se ter em mente que um SIEM é tão bom quanto a inteligência que se coloca nele. Sem boas regras de correlação, nenhum SIEM é capaz de gerar os alertas de segurança a partir da correlação de grandes volumes de logs gerados pelos ativos de TI de uma rede corporativa.

 

 

ar