Desde que os analistas Mark Nicolett e Amrit Williams, do Gartner, cunharam o termo SIEM (Security Information & Incident Management), em 2005, derivado da junção dos acrônimos SIM (Security Incident Management) e SEM (Security Event Management), muita água rolou por baixo dessa ponte. E muitos eventos (pense em trilhões e trilhões, todos os anos) foram detectados.
Mas para termos uma ideia melhor do quão antiga é essa preocupação, você sabia que desde a década de 1970 se discutem os critérios para o gerenciamento da auditoria e monitoramento de sistemas?
Ou, ainda, que o NIST (Instituto Nacional de Padrões e Tecnologia), órgão estadunidense referência no tema, publicou a Base para Auditoria e Avaliação de Segurança de Computadores 500-19 já em 1977?
Inclusive, foi o próprio NIST que publicou, em setembro de 2006, o NIST 800-92 Guia de Segurança de Computadores por Gestão de Logs. Esse guia antecipou o crescimento da indústria de gestão de logs, sem fazer referência ao termo “SIEM”, mas continua relevante até os dias de hoje.
Como ferramenta, o SIEM assumiu, desde o início, o papel de pilar das capacidades de monitoramento, detecção e resposta a incidentes de segurança da informação, compondo uma parte importante no programa de Gestão de Segurança de muitas empresas.
A evolução das soluções SIEM
Lembro-me que, no final dos anos 2000, e início da década de 2010, o SIEM era adquirido, tanto o hardware quanto o seu software, para ser implementado e gerenciado pelas próprias empresas que iriam utilizá-lo.
Por ser uma ferramenta relativamente cara, os pioneiros em sua adoção foram as indústrias de sempre, como os bancos, seguradoras, defesa e afins.
O SIEM trouxe, com a sua capacidade de monitoramento, correlação de eventos e alertas, um nível completamente novo de visibilidade para o que estava acontecendo a cada instante, por toda a rede corporativa das empresas.
Tal capacidade, mesmo levando em consideração um escopo de monitoramento bastante restrito, era simplesmente impossível de ser replicada de forma manual.
Em meados da década passada, cada vez mais empresas e líderes de segurança da informação (CISOs – Chief Information Security Officers) entenderam que não seria possível atender a um nível satisfatório de monitoramento dos principais ativos de TI corporativos, como os ERPs, sem uma ferramenta como o SIEM.
Não que tenham feito isso por livre espontânea vontade, é claro. Muitas vezes, foram forçados por demandas regulatórias e imposições das auditorias internas e externas.
Surge a alternativa do SIEM como serviço
Como o SIEM continuava demandando um investimento que não cabia no CAPEX do orçamento de TI de muitas empresas, especialmente aquelas que não viam o investimento em Segurança da Informação como uma vantagem competitiva, a saída era contratar a ferramenta como OPEX.
Desse modo, como despesa operacional, o SIEM poderia ser um serviço pago mensalmente, eliminando a necessidade dos pesados investimentos para a compra de hardware e licenças, além da contratação de uma equipe operando em escala 24×7 para poder tratar os alertas gerados.
Frente a tal necessidade, os provedores de serviços de TI responderam com a criação dos chamados MSSP, ou Provedores de Serviços Gerenciados de Segurança, traduzindo da sigla em inglês.
Essas empresas, de forma simplificada, comprariam os hardwares e licenças, de um ou mais fabricantes de SIEM. E contratariam o time necessário para, em tempo integral, monitorar os alertas gerados e responder aos incidentes que surgiriam destes.
Dessa forma, em teoria, existiria um ganha-ganha:
- Por um lado, os provedores venderiam o seu serviço de monitoramento e resposta a incidentes para diversos clientes, utilizando ao máximo a sua capacidade instalada, recuperando o investimento e lucrando ao longo de contratos de 12 a 36 meses.
- Por outro, os clientes pagariam mensalidades que cabem dentro de seus orçamentos, em troca de um serviço profissional provido por equipes especializadas, utilizando ferramentas “estado da arte”, em regime integral.
Parece bastante simples, não é verdade?
Contudo, na prática, os CISOs não demoraram a perceber que, para monitorar e correlacionar eventos relevantes ao negócio das suas empresas, além do interesse estrito dos times de tecnologia e segurança, teriam que investir uma quantia significativa em Eventos por Segundo (EPS) ou GB/dia.
Tudo isso sem contar os potenciais gastos com conectores customizados para receber os eventos dos sistemas escolhidos.
Isso porque, só assim, as plataformas dos provedores contratados poderiam monitorar tantos eventos diferentes, em inúmeras plataformas diferentes.
Inevitavelmente, as faturas mensais dos provedores passariam de dezenas de milhares de reais mensais – e centenas de milhares de reais anuais -, para centenas de milhares de reais por mês. E milhões por ano, estourando qualquer orçamento de segurança da informação, por mais robusto que esse fosse.
Ou seja, era necessária uma solução que tornasse o SIEM mais eficiente, consumindo menos eventos para gerar os seus alertas.
Paralelamente, outra demanda importante era o acompanhamento do avanço das novas ameaças digitais, como as Ameaças Persistentes Avançadas (APT). Ou, ainda, os ataques de Ransomware, que ganharam tanta notoriedade em 2021 – e, ao que tudo indica, assim seguirão em 2022.
LEIA MAIS: Cibersegurança: ameaças e tendências para estar atento em 2022
Mais uma vez, perspectiva atual está na nuvem
Neste momento, o futuro aponta para soluções de SIEM que estão já nativamente na nuvem, com integrações e funcionalidades avançadas de análise de dados “out of the box” (nativas). Isso ocorre sob a premissa de que os sistemas dos clientes estão, agora, no Cloud Computing (ou em múltiplas nuvens, o multicloud).
Adicionalmente, os custos e esforços de gestão do ambiente de SIEM seriam minimizados ou mesmo eliminados. Além disso, as plataformas de SIEM na nuvem têm o seu uso cobrado por subscrições mensais, no modelo “pay per use” (pague pelo que usar).
Existem, também, novas soluções que buscam baixar os custos, por meio do uso cada vez maior de automação.
Como exemplo, temos a orquestração e resposta avançada a incidentes, reforçada pelo uso intensivo de IA e aprendizado de máquina, sendo também conhecidas como SOAR (Security Orchestration, Automation and Response) ou, em português, Orquestração, Automação e Resposta de Segurança.
Em suma, o CISO precisa acompanhar atentamente essa evolução, que deve culminar com a união dos produtos que conhecemos hoje como SIEM e SOAR em um só. Ainda assim, para escolher a melhor opção para o seu ambiente, ele também deve pesquisar os seguintes pontos, principalmente:
– Roadmap: Qual é o futuro planejado para a solução, segundo o fabricante;
– Modelo de Cobrança: Se a cobrança é feita por Eventos por Segundo (EPS), GB/dia ou outra métrica, lembrando também que é importante entender quais são os critérios a serem observados, caso o seu ambiente cresça ou diminua repentinamente;
– Suporte Avançado: Como funciona e como é cobrado o suporte do fabricante quando for necessário fazer um Troubleshooting avançado ou, ainda, atuar na recuperação do seu ambiente, em caso de um incidente grave. Se é através de recursos de parceiros ou próprios, e se esses recursos estão disponíveis 24×7, inclusive em um idioma que o seu time fale;
Desafios para uma escolha ideal se mantêm
Escolher e manter a melhor solução de SIEM não é uma tarefa fácil e pode depender de variáveis que não estão sob controle do CISO. Como exemplo, é preciso saber se é um padrão global imposto pela matriz, herança de gestões anteriores com uma ferramenta descontinuada. Ou, ainda, questões políticas que não permitam que a solução escolhida atinja o preço necessário para vencer a concorrência.
Naturalmente, essa escolha passa também por um conhecimento íntimo do funcionamento da empresa onde o CISO está atuando, sob os mais diversos aspectos. Mas isso já é matéria para um próximo artigo, que escreverei em breve.
