whitepaper Os benefícios da integração do File Integrity Monitoring com o SIEM

Transcrição

1 Os benefícios da integração do File Integrity Monitoring com o SIEM

2 A abordagem de gerenciamento de informações e eventos de segurança (SIEM - Security Information and Event Management) foi criada para oferecer monitoramento contínuo de TI, inteligência acionável, resposta a incidentes e suporte à conformidade com regulamentos. O SIEM identifica comportamentos suspeitos e maliciosos compilando logs de todos os dispositivos de segurança e relacionados à segurança, bem como de sistemas e aplicativos. Mesmo assim, como os ataques estão cada vez mais difíceis de serem detectados, os logs por si só não oferecem o nível de inteligência exigido para garantir a segurança dos dados e da rede. Além disso, as auditorias de conformidade estão migrando para um formato baseado em riscos. Um SIEM é tão inteligente quanto os dados que ele absorve. Portanto, o SIEM apresenta apenas uma parte do cenário de segurança. Muitos dos ataques mais prejudiciais são detectados somente quando se compreende as atividades de arquivos, que são difíceis de serem registradas de forma expressiva. O monitoramento inteligente das atividades e da integridade dos arquivos ajuda a completar o cenário oferecendo informações críticas que ajudam a detectar ataques furtivos e malware de dia zero. Ele também informa sobre atividades internas. As ameaças de segurança estão aumentando. Portanto, você precisa monitorar regularmente seus dados corporativos (ativos de propriedade intelectual, programas e códigos de software, dados financeiros e de receita e informações de contas de clientes) e manter sua integridade restringindo o acesso somente a usuários autorizados. É aí que entra o monitoramento de integridade de arquivos. File Integrity Monitoring (FIM) é o processo de monitorar o acesso e as alterações em arquivos do sistema. Esse processo permite que as organizações protejam melhor as informações confidenciais contra roubos, perdas e ataques maliciosos ao monitorar de perto quem acessa e modifica arquivos. Em muitos setores, é necessário incluir o FIM como um componente de segurança de TI para atender aos padrões de conformidade com regulamentos, como o PCI DSS, HIPAA e SOX. O escopo do FIM não se limita apenas ao conteúdo de arquivos e pastas, mas também à integridade dos diretórios do sistema, às chaves de Registro e aos valores no sistema operacional. Ao monitorar as alterações feitas em arquivos em tempo real, você obtém informações adicionais sobre muitas ameaças de segurança, o que ajuda a evitar violações. Benefícios de segurança do File Integrity Monitoring Protege os dados e arquivos confidenciais contra acessos e alterações não autorizados. Oferece visibilidade sobre os arquivos alterados, quando foram alterados e quem os alterou. Monitora o acesso, a movimentação e o compartilhamento de arquivos e diretórios. Detecta malware de dia zero, que pode alterar arquivos e executáveis importantes do sistema, ou criar/instalar um processo ou driver malicioso. Identifica abuso interno e protege os dados confidenciais contra uso impróprio pelos funcionários. 2

3 Fornece informações sobre ameaças persistentes avançadas (APT) que são geralmente difíceis de serem detectadas. Quando você identifica uma alteração de arquivo não autorizada, ela pode ter ocorrido devido a um ataque APT. Nem sempre as alterações em conteúdo de arquivos são causadas por ato malicioso, malware ou ataque cibernético. As violações de integridade de arquivos também ocorrem dentro do escopo do ciclo de vida de gerenciamento de arquivos que inclui erros de transmissão, bugs de software, erros de armazenamento, erros de gravação e procedimentos de gerenciamento de alterações incorretos. Ao monitorar as alterações e o acesso a arquivos de forma proativa, você pode detectar esses erros e impedir que seus arquivos sejam ainda mais afetados. Escopo do File Integrity Monitoring O escopo do File Integrity Monitoring é amplo. Quanto mais atributos você puder monitorar, mais segurança de dados você terá. Normalmente, você será capaz de monitorar: Quando um arquivo for acessado/criado/modificado/movido/excluído Nome de login do usuário que acessou/modificou um arquivo Alterações nos atributos, como Somente leitura, Oculto etc. Alterações nas permissões de acesso de segurança Alterações em diretórios e chaves de Registro Alterações na propriedade de um grupo de arquivos Para garantir a integridade de todos os arquivos protegidos, você precisa que o seu gerenciamento de arquivos inclua os principais conteúdos/arquivos de dados, arquivos de banco de dados, arquivos da Web, arquivos de áudio/vídeo, binários do sistema, arquivos de configuração e registros do sistema. Requisitos dos padrões de conformidade do File Integrity Monitoring Garantir a integridade de arquivos e detectar ataques maliciosos em dados protegidos é um requisito de muitas das diretrizes de conformidade conhecidas (listadas abaixo). Padrão de conformidade Seção que aborda o File Integrity Monitoring Requisito do Payment Card Industry Data Security Standard (PCI DSS) Requisito e 11.5 Sarbanes-Oxley Act (SOX) Seção 404 Padrão NERC CIP Segurança de sistemas (R15-R19) Department of Defense Information Assurance Implementation (DIACAP) DODI Federal Information Security Management Act (FISMA) NIST SP Rev3 Health Insurance Portability and Accountability Act de 1996 (HIPAA) Publicação da NIST SANS Critical Security Controls Controle 3 3

4 Desafios com o File Integrity Monitoring Normalmente, existem duas abordagens de monitoramento de integridade de arquivos. 1. Verificação de integridade de arquivos baseada em hash: Faz varreduras de arquivos críticos em sistemas regularmente e alerta os administradores sobre as alterações detectadas comparando o hash com a versão anterior. Como alternativa, você precisa agendar essa tarefa para ser executada de acordo com um intervalo de tempo especificado. Dessa forma, entretanto, você não saberá quando a verificação estiver em andamento. Além disso, esse método é mais adequado a alterações reais de arquivos não a acesso e leituras de arquivos. 2. Verificação de integridade de arquivos em tempo real: O verdadeiro processo de auditoria de arquivos que captura acessos e alterações de arquivos em tempo real nos eventos de auditoria de arquivos. Ao analisar esses eventos em tempo real, você será capaz de obter informações não só das alterações de arquivos, mas também de todos os eventos de leitura, gravação e criação de arquivos. A desvantagem desse método é ter que lidar com um grande volume de eventos para localizar a violação que você procura. Nos sistemas Windows, o FIM pode ser executado com a coleta de eventos de auditoria de arquivos de um determinado arquivo, pasta ou de um sistema inteiro e analisar os logs de eventos para ver os atributos de alteração de arquivos. Isso é mais fácil falar do que fazer. Um desafio ao habilitar auditoria de arquivos nativos do Windows e usar o Windows Event Viewer para detectar alterações em arquivos é que você acaba recebendo vários eventos (a maioria são alarmes falsos) e precisa examinar todos eles para encontrar o evento exato que apresenta uma violação. Outro desafio é saber a ID exata do evento para identificar uma violação. Você precisa empregar mais tempo e esforço procurando por essas IDs de eventos e encontrar uma forma de eliminar todos os eventos falsos e irrelevantes gerados no processo de auditoria de arquivos. A melhor abordagem de monitoramento de integridade de arquivos: Integração com o SIEM As informações obtidas através do File Integrity Monitoring são mais bem utilizadas quando alimentadas em um fluxo de eventos mais abrangente dos dados de log coletados de várias partes da sua rede (estações de trabalho, servidores, controladores de domínio, servidores de arquivos, software antivírus, sistemas IDS/IPS systems etc.). Esses dados podem ser correlacionados para produzir percepção situacional entre diversos eventos. Os sistemas SIEM já coletam dados de log de toda a sua infraestrutura de TI para correlação e análise. Ao combinar eventos do FIM com o SIEM, você pode obter um sistema de segurança mais avançado que oferece inteligência de defesa profunda contra ameaças para detectar ameaças avançadas e sofisticadas. 4

5 Alguns aplicativos que combinam o FIM com o SIEM incluem: File Integrity Monitoring centrado em usuários: Os eventos de auditoria do sistema, Active Directory (AD) e de arquivos são correlacionados para obter informações sobre qual usuário foi responsável por acessar e alterar um arquivo. Também é possível identificar outras atividades do usuário antes e depois da alteração do arquivo para concluir o monitoramento das atividades de usuários. Prevenção contra perda de dados: Correlacionar eventos de auditoria de arquivos com outros dados de log coletados pelo SIEM oferece inteligência avançada contra ameaças, o que é útil para identificar tentativas de violação. Com o recurso de correção do SIEM, você pode automatizar ações responsivas (desligar sistemas, desconectar dispositivos USB, desconectar sistemas da rede, desconectar usuários, desativar contas de usuários etc.) para proteger os dados e evitar violações. Detecção de malware de dia zero: Malware é um dos principais vetores de ameaça à integridade e segurança de arquivos. Portanto, com o SIEM para detectar malware de dia zero através de logs AV e IDS/IPS e correlacioná-los com os eventos de auditoria de arquivos, você poderá interromper o malware que estiver a caminho antes que ele danifique seus arquivos protegidos. Use as ações de resposta a incidentes do SIEM para cancelar um processo malicioso ou colocar em quarentena os sistemas para obter proteção total de pontos de extremidade. Suporte contínuo à conformidade: Onde o FIM for um requisito importante para muitos regulamentos de conformidade, os sistemas SIEM oferecem modelos prontos para uso que ajudam com auditorias de conformidade. A inclusão do FIM faz com que seus relatórios de conformidade mostrem aos auditores as informações de segurança de toda a sua rede. Outro benefício de combinar o FIM com o SIEM é que os sistemas SIEM ajudam a reduzir a interferência de eventos desnecessários. Você pode personalizar alertas para recebê-los somente quando as condições de correlação forem atendidas. Isso elimina a complexidade de examinar manualmente uma grande quantidade de eventos de auditoria de arquivos. 5

6 Como a SolarWinds pode lhe ajudar O SolarWinds Log & Event Manager (LEM) é um dispositivo virtual de SIEM acessível e totalmente funcional que você pode implantar em um departamento de segurança de TI de qualquer tamanho com recursos limitados. O SolarWinds LEM oferece a funcionalidade FIM incorporada para detectar alterações de arquivos em tempo real e correlacionar essas informações com outros eventos do sistema e da rede para obter total percepção das ameaças e violações. O LEM inclui muitos modelos de FIM para ajudar você a oferecer suporte ao padrão PCI, HIPAA, SOX e outros requisitos de conformidade. Os benefícios imediatos do LEM incluem: Economia: O SolarWinds LEM foi desenvolvido e tabelado especificamente para os pequenos departamentos de segurança. O FIM vem incluído no LEM sem nenhum custo adicional. Isso reduz ainda mais seus custos de licença e manutenção de monitoramento de segurança inteligente e conformidade com regulamentos. Eficiência operacional: Você gerencia o FIM e o SIEM através dos mesmos agentes e no mesmo console, o que reduz as despesas de operação e recursos. Inteligência mais avançada: Todas as funções do SIEM, incluindo painéis visuais, correlação, resposta ativa e ndepth estão disponíveis ao FIM. Resposta ativa: Com o FIM incorporado ao LEM, os profissionais de segurança não só veem as ameaças, como também as interrompem de forma eficaz. Ao utilizar o recurso de resposta ativa do LEM, os processos e as atividades suspeitos podem ser automaticamente interrompidos. Com a ajuda das ações de resposta prontas para uso para lidar com ameaças e solucionar problemas, o SolarWinds LEM pode se tornar a sua solução de segurança de informações eficaz em termos de custo para proteger os dados. Visite para saber mais! 2014 SolarWinds, Inc. Todos os direitos reservados. SolarWinds, o logotipo da SolarWinds, ipmonitor, LANsurveyor e Orion estão entre as marcas comerciais e marcas registradas da empresa nos Estados Unidos e outros países. Todas as outras marcas comerciais são propriedade de seus respectivos proprietários. WP