O avanço para a di­gi­ta­li­za­ção, a adoção de modelos de trabalho híbridos e a uti­li­za­ção di­ver­si­fi­cada de dis­po­si­ti­vos finais expõem as empresas a uma vasta gama de riscos ci­ber­né­ti­cos, tanto co­nhe­ci­dos como emer­gen­tes. Por con­se­guinte, conceitos de segurança como o SIEM assumem uma im­por­tân­cia cada vez maior. Ao capturar, analisar e gerir ade­qua­da­mente os dados dos sistemas e das redes, as equipas de segurança podem iden­ti­fi­car e neu­tra­li­zar ameaças de segurança de forma eficaz e rápida.

O que é o SIEM?

SIEM, sigla de Security In­for­ma­tion & Event Ma­na­ge­ment (em português, gestão de in­for­ma­ções e eventos de segurança), pro­por­ci­ona às empresas maior trans­pa­rên­cia e controlo sobre os seus próprios dados e permite iden­ti­fi­car numa fase inicial in­ci­den­tes de segurança suspeitos, ten­dên­cias de ataques e padrões de ameaças. Isto é possível graças a fer­ra­men­tas de registo e análise de diversos dados de eventos e processos pro­ve­ni­en­tes de todas as camadas da empresa: abran­gendo desde o nível dos dis­po­si­ti­vos finais até aos firewalls e IPS (Intrusion Pre­ven­tion Systems), bem como a rede, a nuvem e o servidor.

Assim, o SIEM combina o SIM (Security In­for­ma­tion Ma­na­ge­ment) e o SEM (Security Event Ma­na­ge­ment) para analisar, em tempo real, de forma con­tex­tual e cor­re­la­ci­o­nada, as in­for­ma­ções de segurança e os in­ci­den­tes de segurança, emitindo alertas e im­ple­men­tando medidas de segurança. O SIEM permite iden­ti­fi­car e resolver vul­ne­ra­bi­li­da­des e falhas de segurança com rapidez, bem como impedir ten­ta­ti­vas de ataque de forma eficaz. A Gartner cunhou o termo SIEM em 2005. Entre os com­po­nen­tes-chave das soluções modernas de SIEM encontram-se a UBA (Análise do Com­por­ta­mento do Uti­li­za­dor), a UEBA (Análise do Com­por­ta­mento do Uti­li­za­dor e da Entidade) e o SOAR (Or­ques­tra­ção, Au­to­ma­ti­za­ção e Resposta de Segurança).

Por que é que a Gestão de In­for­ma­ções e Eventos de Segurança é im­por­tante?

Atu­al­mente, a in­fra­es­tru­tura de TI de uma empresa vai muito além de dispor de um servidor e de alguns dis­po­si­ti­vos. Até mesmo as médias empresas operam com redes em­pre­sa­ri­ais re­la­ti­va­mente complexas, compostas por um grande número de dis­po­si­ti­vos finais com acesso à Internet, o seu próprio ambiente de software e múltiplos ser­vi­do­res e serviços baseados na nuvem. A isto juntam-se inovações nos modelos de trabalho, como o te­le­tra­ba­lho ou o Bring Your Own Device (BYOD).

Quanto mais complexa for a in­fra­es­tru­tura in­for­má­tica, mais vul­ne­ra­bi­li­da­des podem surgir com uma ci­ber­se­gu­rança ina­de­quada. Por isso, cada vez mais empresas optam por uma proteção abran­gente contra ran­somware, spyware e scareware, bem como contra formas ino­va­do­ras de ci­be­ra­ta­ques e exploits de dia zero.

As atuais ameaças, jun­ta­mente com os rigorosos re­qui­si­tos de proteção de dados impostos pelo Re­gu­la­mento Geral sobre a Proteção de Dados (RGPD) ou cer­ti­fi­ca­ções como BASE II, ISO ou SOX, fazem com que a im­por­tân­cia de soluções de segurança como o SIEM para as empresas aumente. Atu­al­mente, estas re­gu­la­men­ta­ções exigem um conceito de proteção de dados e sistemas que, muitas vezes, só é alcançado através do SIEM ou de es­tra­té­gias se­me­lhan­tes, como o EDR e o XDR.

Ao recolher, avaliar e cor­re­la­ci­o­nar numa pla­ta­forma central os dados de registo e os re­la­tó­rios es­sen­ci­ais para a segurança, o SIEM permite analisar os dados de todas as apli­ca­ções e níveis de rede de forma orientada para a segurança. Ao detetar ameaças ou vul­ne­ra­bi­li­da­des de segurança desta forma o mais cedo possível, poderá minimizar ra­pi­da­mente os riscos para as suas operações co­mer­ci­ais e sal­va­guar­dar as in­for­ma­ções críticas da empresa. Assim, o SIEM oferece um aumento sig­ni­fi­ca­tivo na efi­ci­ên­cia para cumprir a re­gu­la­men­ta­ção e proteger em tempo real contra ameaças como ran­somware, malware ou roubo de dados.

Como funciona o SIEM?

Amrit Williams e Mark Nicolett, da Gartner, criaram a sigla «SIEM» em 2005. De acordo com a definição oficial do National Institute of Standards and Te­ch­no­logy (EUA), o SIEM é uma aplicação que recolhe dados de segurança de com­po­nen­tes in­di­vi­du­ais de um sistema de in­for­ma­ção e os apresenta de forma clara e orientada para a ação numa interface de uti­li­za­dor central. Ao contrário dos firewalls con­ven­ci­o­nais, que bloqueiam as ameaças ci­ber­né­ti­cas atuais, o SIEM é es­pe­ci­a­li­zado na recolha e análise proativa de dados para detetar ataques ocultos ou ten­dên­cias de ameaças.

É possível im­ple­men­tar um sistema SIEM no local, como solução na nuvem ou numa variante híbrida com com­po­nen­tes tanto locais como na nuvem. As quatro etapas, desde a recolha de dados até ao alerta de segurança, são as seguintes:

Etapa 1. Recolha de dados de várias fontes do sistema

A solução SIEM grava e recolhe dados de di­fe­ren­tes níveis, camadas e com­po­nen­tes da sua in­fra­es­tru­tura in­for­má­tica, incluindo ser­vi­do­res, routers, firewalls, programas antivírus, switches, IP e IDS, bem como dis­po­si­ti­vos finais através da sua in­te­gra­ção com o Endpoint Security ou XDR (Extended Detection and Response). São uti­li­za­dos sistemas de registo, re­la­tó­rios e segurança in­ter­li­ga­dos.

Etapa 2. Inserção dos dados re­co­lhi­dos

O SIEM consolida e sintetiza os dados re­co­lhi­dos de forma clara e acessível na interface de uti­li­za­dor central. A con­so­li­da­ção e or­ga­ni­za­ção num painel de controlo elimina a tediosa análise de múltiplos registos e re­la­tó­rios de apli­ca­ções in­di­vi­du­ais.

Etapa 3. Análise e cor­re­la­ção dos dados agregados

O sistema analisa e cor­re­la­ci­ona os dados re­co­lhi­dos para iden­ti­fi­car padrões, as­si­na­tu­ras digitais ou sinais de vírus e malware co­nhe­ci­dos, bem como in­ci­den­tes suspeitos, tais como inícios de sessão através de redes VPN ou cre­den­ci­ais in­cor­re­tas. Iden­ti­fica e destaca também cargas de trabalho elevadas, anexos suspeitos ou ati­vi­da­des in­vul­ga­res. Ao ligar, ca­te­go­ri­zar, cor­re­la­ci­o­nar e clas­si­fi­car os dados, o SIEM consegue traçar e isolar ra­pi­da­mente as rotas de in­fil­tra­ção, repelindo ou neu­tra­li­zando assim as ameaças. A clas­si­fi­ca­ção por níveis de segurança facilita uma resposta ágil a ataques graves ou dis­si­mu­la­dos, ao mesmo tempo que descarta anomalias não suspeitas.

Etapa 4. Detecção de ameaças, vul­ne­ra­bi­li­da­des ou falhas de segurança

Ao detetar uma situação de ameaça, os alertas au­to­ma­ti­za­dos garantem tempos de resposta mais rápidos e uma defesa contra ameaças em tempo real. Em vez de perder muito tempo a procurar, os alertas permitem localizar ime­di­a­ta­mente a origem da ameaça ou anomalia e agir em con­for­mi­dade, como, por exemplo, colocá-la em qua­ren­tena. Além disso, é possível analisar ameaças an­te­ri­o­res para otimizar os processos de segurança.

Ao combiná-lo com uma solução XDR que integra IA, pode im­ple­men­tar me­ca­nis­mos de defesa, como a qua­ren­tena ou o bloqueio de dis­po­si­ti­vos finais ou de IP, de forma es­pe­ci­al­mente rápida através de fluxos de trabalho au­to­ma­ti­za­dos e pre­de­fi­ni­dos. Os feeds de ameaças em tempo real, que fornecem con­ti­nu­a­mente as­si­na­tu­ras e dados de segurança atu­a­li­za­dos, permitem iden­ti­fi­car novos tipos de ataques e ameaças nas suas fases iniciais.

Elementos-chave do SIEM em detalhe

Numa solução SIEM, vários com­po­nen­tes funcionam em conjunto para garantir uma recolha e análise exaus­ti­vas dos dados. Esses com­po­nen­tes incluem:

Com­po­nente Ca­rac­te­rís­ti­cas
Painel central Apresenta todos os dados re­co­lhi­dos com vista à tomada de medidas Oferece vi­su­a­li­za­ções de dados, mo­ni­to­ri­za­ção de ati­vi­da­des em tempo real, análise de ameaças e opções para tomar medidas Permite con­fi­gu­rar in­di­ca­do­res de ameaças per­so­na­li­za­dos, regras de cor­re­la­ção e no­ti­fi­ca­ções
Serviços de protocolo e registo Captura e regista dados de eventos em toda a rede, tanto ao nível dos dis­po­si­ti­vos finais como dos ser­vi­do­res Gera re­la­tó­rios de con­for­mi­dade normativa em tempo real para normas como PCI-DSS, HIPAA, SOX ou RGPD, cumprindo os re­gu­la­men­tos de proteção de dados Mo­ni­to­riza e regista as ati­vi­da­des dos uti­li­za­do­res em tempo real, incluindo acessos internos e externos, acessos pri­vi­le­gi­a­dos a bases de dados, ser­vi­do­res e conjuntos de dados, bem como fugas de dados
Cor­re­la­ção e análise de dados sobre ameaças e in­ci­den­tes de segurança Relaciona eventos e analisa dados de segurança para ligar in­ci­den­tes de di­fe­ren­tes níveis, iden­ti­fi­car ataques co­nhe­ci­dos, complexos ou novos e reduzir os tempos de deteção e resposta Realiza in­ves­ti­ga­ções forenses sobre in­ci­den­tes de segurança

Todas as vantagens da Gestão de In­for­ma­ções e Eventos de Segurança (SIEM)

Face às cres­cen­tes ameaças ci­ber­né­ti­cas que as empresas enfrentam, os firewalls ou os programas antivírus, por si só, já não são su­fi­ci­en­tes para proteger as redes e os sistemas de forma eficaz. Em contextos de es­tru­tu­ras híbridas, que incluem mul­ti­clouds e hybrid clouds, são ne­ces­sá­rias soluções avançadas como EDR, XDR e SIEM, ou, ide­al­mente, uma com­bi­na­ção de dois ou mais destes serviços. Só assim é possível utilizar dis­po­si­ti­vos finais e serviços na nuvem de forma segura e detetar as ameaças atem­pa­da­mente.

As prin­ci­pais vantagens que o SIEM lhe oferece incluem:

Detecção de ameaças em tempo real

A recolha e análise abran­gen­tes de dados em todo o sistema facilitam a rápida iden­ti­fi­ca­ção e prevenção de diversas ameaças. Ao reduzir o tempo médio de deteção (MTTD) e o tempo médio de resposta (MTTR), é possível proteger de forma fiável os dados sensíveis e os processos críticos da empresa.

Con­for­mi­dade re­gu­la­men­tar e proteção de dados

Os sistemas SIEM pro­por­ci­o­nam uma in­fra­es­tru­tura de TI em con­for­mi­dade com a re­gu­la­men­ta­ção, ao ofe­re­ce­rem registo e análise de ameaças, ga­ran­tindo assim o cum­pri­mento de todas as normas de segurança e in­for­ma­ção exigidas para o ar­ma­ze­na­mento e o pro­ces­sa­mento au­di­tá­veis de dados sensíveis.

Um conceito de segurança eficiente em termos de tempo e custos

Ao apre­sen­tar todos os dados re­le­van­tes para a segurança de forma cen­tra­li­zada e clara numa interface de uti­li­za­dor, o SIEM melhora a efi­ci­ên­cia da sua segurança in­for­má­tica. Trata-se de um sistema que reduz o tempo e os custos as­so­ci­a­dos às medidas de segurança manuais con­ven­ci­o­nais. Em par­ti­cu­lar, a ve­lo­ci­dade de defesa contra ameaças é aumentada através da análise e cor­re­la­ção au­to­ma­ti­za­das de dados que, de­pen­dendo do sistema, podem ser as­sis­ti­das por in­te­li­gên­cia ar­ti­fi­cial. Além disso, permite evitar custos elevados as­so­ci­a­dos à reparação de sistemas infetados ou à remoção de malware.

A pos­si­bi­li­dade de im­ple­men­tar o SIEM como SaaS (Software as a Service) ou através de Serviços de Segurança Geridos permite que até mesmo as empresas mais pequenas, com recursos limitados ou sem um de­par­ta­mento de segurança in­for­má­tica próprio, protejam a sua rede em­pre­sa­rial de forma eficaz.

Au­to­ma­ti­za­ção com in­te­li­gên­cia ar­ti­fi­cial e apren­di­za­gem au­to­má­tica

Os sistemas SIEM pro­por­ci­o­nam um nível ainda mais elevado de au­to­ma­ti­za­ção e defesa in­te­li­gente contra ameaças, através da uti­li­za­ção de in­te­li­gên­cia ar­ti­fi­cial e apren­di­za­gem au­to­má­tica. Por exemplo, pode integrar soluções SIEM em sistemas SOAR (Security Or­ches­tra­tion, Au­to­ma­tion and Response) ou combiná-las com a sua segurança de terminais ou XDR já existente.

Ir para o menu principal