A importância da visão holística de eventos e suas correlações ARTIGO. Artigo Eventos, Correlação, Resposta a incidentes, SIEM

Transcrição

1 ARTIGO A importância da visão holística de eventos e suas Artigo Eventos, Correlação, Resposta a incidentes, SIEM Artigo 1

2 A IMPORTÂNCIA DA VISÃO HOLÍSTICA DE EVENTOS E SUAS CORRELAÇÕES Qual o peso de uma conversa de corredor? E que importância tem se um sistema em homologação tiver passagem de credenciais (token de conexão) no meio do código? E se as políticas de segurança forem ineficientes ou antiquadas? Agora considere que um evento ocorra. Como se dá o tratamento? Isoladamente cada uma dessas situações pode representar uma falha de segurança, mas quando esses elementos são concatenados e por qualquer razão há uma falha ou algo simplesmente sai do esperado é preciso identificar o ponto de falha para que se possa buscar a contramedida mais adequada e eficiente para estancar o comprometimento da segurança. Segundo documentações reconhecidas de mercado, como por exemplo a documentação do NIST, referenciada como SP800-61, para tratamento de incidentes, uma das primeiras etapas do processo de tratamento de incidentes é justamente a identificação do ponto de falha e controle do elemento causador. Mas considerando que sistemas não são baseados em apenas uma plataforma e que sistemas trocam dados e conexões com outros sistemas, e que vários processos e ativos de rede podem estar relacionados, e que diversas equipes podem estar envolvidas nos processos de desenvolvimento e manutenção desses sistemas, o cenário começa a tornar-se um pouco mais complexo e intricado. A busca por registros de eventos torna-se muitas vezes uma corrida contra o tempo na qual em geral a heterogeneidade de registros de eventos (logs) e a muitas vezes inconsistência dessas informações jogam contra a equipe de resposta a incidentes (normalmente associada ou atrelada à equipe de segurança da informação). Versões diferentes de sistemas operacionais, tecnologias distintas entre bancos de dados, sistemas operacionais e servidores de aplicativos e equipamentos de rede muitas vezes trazem informações não concisas e de padrões próprios. Em muitos casos, esse cenário torna a resposta a incidentes uma tarefa árdua e imprecisa. Os eventos são registrados, mas nem sempre são totalmente desvendados e, portanto, nem sempre o elemento causador do evento terá sido efetivamente mitigado ou mesmo endereçado corretamente. E, em se tratando de desafios de coleta de eventos, técnicas de coleta de evidências para fins de auditoria ou mesmo análises forenses abrem outra brecha que a simples boa vontade e pró-atividade pode inviabilizar qualquer avaliação posterior que se faça necessária. A coleta de evidências é algo particularmente importante e que, se realizado de maneira errada, inviabiliza todos os esforços cogitados. Em todos os casos, tanto na validação de eventos registrados em sistema de logs quanto na apuração de evidências o conceito de integridade deve ser o principal foco das atenções, associado às possibilidades de correlacionamento dos eventos através de registros frios e evidências suscetíveis a alterações impróprias. A reconstituição de eventos de segurança para Artigo 2

3 fins de apuração seguem a linha de recontar histórias de trás para frente (e muitas vezes com páginas faltando). Auxiliam muito esse processo relativamente complexo quando os logs são consolidados e normatizados. A simples consolidação dos registros de eventos já reduz em parte todo o esforço de buscar por eles em cada ativo envolvido. E se nem todos os ativos estiverem devidamente mapeados, o desafio torna-se ainda maior. Pensando na consolidação de registros de eventos, a indústria de soluções de segurança proveu o Security Information Management SIM (Gerenciador de Informações de Segurança). Essa solução propõe-se a concentrar todos os logs de segurança em um repositório consolidado e gerar meios de interpretação desses registros. Parte do trabalho está feito, mas não é suficiente simplesmente ter os eventos concentrados. Simplesmente reuni-los já ajuda e esse já representa um grande passo dado. Normalmente a concentração de logs levanta uma série de questionamentos sobre o que guardar, por quanto tempo deve se manter alguma rastreabilidade, quanto de espaço de armazenamento deverá ser reservado... Essas são apenas algumas das questões de nível tático e estratégico que pairam sobre os gestores. E por mais que não pareça, as respostas não são tão triviais e nem tão diretas. Mas ainda resta conseguir relacioná-los (os logs armazenados) de forma a prover algum sentido a massa bruta de dados coletados. Complementarmente ao SIM, o Security Event Management SEM (Gerenciador de Eventos de Segurança) não é focado exatamente na simples coleta, mas na interpretação dos eventos coletados. Essa interpretação ainda requer uma coleta completa dos eventos; contudo, uma vez os dados coletados, o SEM propõe-se a interpretar essas informações baseados em inteligências e ajustes feitos para cada cenário. Naturalmente o mercado evolui de duas para uma solução completa. Nesse sentido, SIM e SEM tornam-se o SIEM (Security Information & Event Management Gestão de informações e eventos de segurança). Apesar de pela sua nomenclatura parecer redundante, conforme vimos Eventos e Informações têm contextos distintos. E como uma ferramenta extremamente útil, o SIEM auxilia na reconstituição de eventos e no entendimento holístico de ocorrências que inicialmente poderiam ser extremamente complexas ou mesmo impossíveis para análises manuais. Estrategicamente ferramentas como SIEM podem ser usadas para prover aos gestores informações mais concisas e objetivas. Enquanto os simples coletores de logs e rotinas internas de cada sistema tratam informações brutas e sem interpretações, os correlacionadores de eventos utilizam-se de inteligência sobre bases de conhecimento em eventos conhecidos (ataques de DoS, por exemplo) e em cima do que se ensina à ferramenta de cada ambiente, interpretam eventos tendenciosamente perigosos gerando alertas e eventualmente iniciando atividades de resposta a incidentes. Artigo 3

4 A melhora percebida não é tão imediata quanto o esforço necessário para a sua implementação. Contudo, a medida que eventos de segurança ocorram, normalmente os sistemas de monitoramento inteligente de eventos passa a ser o grande irmão ( the big brother ) que deve ser capaz de trazer em tempo real, ou com uma defasagem curta de tempo, a interpretação de algumas atividades que possam indicar ações potencialmente maliciosas. Considerando que pelas classificações acadêmicas de controles o monitoramento é considerado um controle do tipo reativo, este passa a figurar como um dos insumos para ações preventivas de segurança, alertando equipes responsáveis pela configuração de sistemas a aplicarem alterações que impeçam a potencial ação maliciosa. Há outras atividades que podem ser beneficiadas com o uso de ferramentas de monitoramento em tempo real e que proporcionem retorno executivo como, por exemplo, o atendimento a necessidades de auditorias internas, insumos para os planos de comunicação de eventos e incidentes. Mas esses serão tratados oportunamente e posteriormente em outro artigo. Vale ressaltar que, assim como todas as outras ferramentas existentes no mercado para qualquer coisa que se imagine, nenhum sistema é tão autossuficiente a ponto de dispensar a inteligência humana. Mesmo ainda que bem customizado e com todos os parâmetros bem ajustados qualquer ferramenta ou sistema de monitoramento será tão competente quanto suas limitações permitirem. Quando se fala nesse artigo em uma solução de correlação de eventos, não se tem expectativas de tratar-se de uma obra divina ou miraculosa. A inteligência atribuída à ferramenta pode ser míope a ponto de, mesmo após todas as customizações, ainda apresentar eventos considerados falsos-positivos ou falsos-negativos que interferem diretamente na tomada de decisão. Artigo 4

5 SOBRE A SHIELD SECURITY AS A SERVICE A Shield Security as a Service é dedicada em oferecer soluções de segurança da informação com foco no negócio. As soluções são apresentadas sempre de forma consultiva, visando o melhor atendimento das expectativas de seus clientes. Usando os princípios do GRC (Governança, Riscos e Conformidade), a Shield - Security as a Service procura alinhar suas soluções e projetos às melhores práticas de mercado com foco em segurança da informação e governança de TI, entendendo que essa abordagem propicia melhoria do nível de maturidade corporativa. Dessa forma a Shield procura reduzir os pontos de falha e de não conformidade atendendo os mais variados nichos de mercado. SOBRE A METODOLOGIA DE TRABALHO DA SHIELD Não é de intenção da Shield não aproveitar ou não considerar esforços anteriores, por mais que estejam totalmente defasados. Consideramos o conhecimento histórico das operações da Contratante como material enriquecedor para o entendimento e melhor aproveitamento da força de trabalho. A nossa metodologia de consultoria em segurança da informação é baseada nas boas práticas de governança de TI e na experiência embarcada com os profissionais envolvidos no projeto. O fato de valorizarmos profissionais com certificações na área de governança de TI, de segurança da informação e gestão de projetos (ex. CISSP, CBCP, MCSO, CISA, CISM, PMP, ITIL, CobiT, Auditor Líder ISO27001, etc.) comprova que buscamos sempre ter em nossas equipes os melhores e mais bem preparados profissionais da área. Artigo 5

6 AS VERTICAIS DA SHIELD Gestão de SI: Com foco nas atividades relacionadas ao sistema de gestão de segurança da informação, oferecemos suporte e atendemos a projetos de: Análise e avaliação de riscos Formação e manutenção de equipe de SI Suporte decisório à equipe de SI (Security Advisory) Classificação da informação Elaboração e revisão de políticas e normas Continuidade de negócios: Como suporte operacional e estratégico a garantir as atividades criticas da organização, atendemos a projetos de: Identificação e estudo de agentes de ameaça Suporte na elaboração e avaliação do Plano de Continuidade de Negócios (PCN) Auditoria do PCN Treinamento e segurança comportamental: Oferecemos suporte e treinamentos pontuais através de projetos de: Workshops de segurança Treinamentos presenciais ou pela internet Desenvolvimento de campanhas de segurança Elaboração de material de conscientização em segurança da informação Auditoria de SI: Com o foco em segurança da informação, atendemos a projetos de: Suporte para adequação ao PCI-DSS (pré-auditoria) Elaboração de programas de auditoria genéricos ou específicos para processos críticos (ex. PCN,SGSI, Governança de TI, etc.) Realização de auditorias em normas internacionais como ISO27001 e SOx Artigo 6

7 A importância da visão holí R. Álvaro Alvim, 33 cj.1223 Centro Rio de Janeiro, RJ Artigo