As ferramentas SIEM (Gerenciamento de Incidentes e Eventos de Segurança) estão sendo usadas na maioria das organizações para monitorar, analisar e prevenir agentes de ameaças.
As organizações estão tentando desenvolver cada vez mais em termos de segurança para se protegerem contra ataques de ransomware, violações de dados e muitos outros tipos de atividades criminosas cibernéticas.
No entanto, a segurança é um processo contínuo. Essas ferramentas SIEM podem ajudar a prevenir os agentes de ameaças apenas até certo ponto.
Os mecanismos de detecção dos SIEMs são muito menores quando comparados aos ataques sofisticados que os agentes de ameaças usam para se infiltrar nas organizações.
MITRE ATT&CK e SIEMs
MITRE tem quase 194 técnicas em sua estrutura, que são tomadas como base para a construção de ferramentas SIEM.
De acordo com relatório da Cardinalops, os Enterprise SIEMs cobrem apenas 24% das detecções das técnicas gerais de ataque MITRE.
Atualmente, os SIEMs empresariais têm dados suficientes para cobrir essas técnicas, que representam quase 94% de todos os MITRE ATT&CK técnicas que só precisam de um aumento de escala para uma detecção muito mais rápida e eficiente.
O relatório também indicou que 12% de todas as regras SIEM construídas atualmente são quebradas devido a fontes de dados mal configuradas e elementos de campo ausentes.
De acordo com relatórios da RedHat, as organizações que utilizam contêineres representam mais de 68%. No entanto, a segurança dos contêineres está muito atrasada, com apenas 32% na detecção.
Camadas de segurança comuns
A maioria das camadas de segurança comuns cobertas pelo SIEM são,
- Windows – 96%
- Rede – 96%
- IAM – 96%
- Linux/Mac – 87%
- Nuvem – 83%
- E-mail – 78%
- Suítes de Produtividade – 63%
- Recipiente – 32%
Os SIEMs mais comumente usados foram Splunk, IBM QRadar, Sentinel e Sumologic. A análise dessas ferramentas forneceu mais de 4.000 regras em SIEMs, sendo que o maior SIEM possui mais de 600 regras.
Os setores analisados incluem serviços financeiros, bancos, seguros, energia, mídia e telecomunicações, serviços profissionais e jurídicos e MSSP (Managed Security Service Provider) / MDR (Managed Detection and Response).
Recomendações para SIEM
As organizações são aconselhadas a revisar o processo SIEM atual e verificar ameaças e técnicas ou comportamentos que estão faltando no momento.
O combinação ad hoc do gerenciamento de casos de uso deve incluir pentesting manual, red teaming, ferramentas de simulação de violação e ataque (BAS), inteligência de ameaças e muito mais.
Meça e melhore o SIEM com várias abordagens de processos de engenharia de detecção em termos de gerenciamento de TI, DevOps, SOC e outras métricas de qualidade que contribuem para o lado da segurança das organizações.
Com o aumento das ameaças dia a dia, é necessário que as organizações gerenciem e monitorem com eficácia as ameaças em todos os aspectos da segurança. Uma única lacuna pode derrubar toda a organização.
Conseqüentemente, os profissionais de segurança são aconselhados a tomar as medidas de segurança necessárias para se proteger contra os agentes de ameaças.