Muito se fala sobre aumentar o nível de segurança das empresas, mas pouco se fala como e quais as reais consequências quando falamos de gerenciamento de informações e massa de logs.
Laércio Maciel (*)
A grande maioria das empresas preocupam-se em blindar-se contra ameaças, mas não pensam em como controlar a grande quantidade de alertas gerados a partir disso.
Com a grande quantidade de soluções de segurança disponíveis no mercado, muitas vezes temos grandes massas de logs ou alertas que nem sempre trazem informações relevantes ou apontam de fato um evento importante ao ambiente. Esse tipo de situação acaba exigindo grande mão de obra dos times de segurança, que muitas vezes possuem equipe reduzida ou outras demandas com as quais precisam se preocupar, não conseguindo dedicar inteligência e tempo para análise dos tipos de informações que os ativos de segurança estão apontando.
Essas empresas, na grande maioria das vezes, não possuem orçamento disponível para contrações ou ampliação da equipe, que ficam comprometidas com a falta de recurso interno e como consequência não sentem o efeito positivo que esperavam com a adoção de mais ferramentas de segurança, uma vez que, não dedicam tempo para entender as informações sobre o próprio ambiente.
Partindo desse princípio temos a necessidade não só de aumentar o nível de proteção das empresas, mas também facilitar o gerenciamento e entendimento rápido do que está acontecendo, ou seja, densos arquivos cheios de linhas de logs em planilhas não se tornam mais interessantes para uma análise eficiente e rápida em uma possível resposta a incidente.
Outro ponto muito importante é a necessidade de fazer com que ferramentas de segurança atuando em camadas diferentes de proteção comecem a trocar conhecimento, informação e inteligência de detecção entre si, assim não trabalham individualmente, passando a ter ferramentas operando umas para as outras em prol do ambiente, automatizando não só a detecção mas também o compartilhamento do que está acontecendo em diferentes camadas do parque, colocando em prática o termo ecossistema de segurança.
As soluções de centralização de logs e correlação de eventos (os chamados SIEMs), surgiram exatamente para fornecer tal inteligência, porem esse tipo de solução ainda possui um custo muito elevado e um tempo de implementação e adequação considerável até ser devidamente implementado. Em paralelo, no último ano, as grandes empresas que definem tendências de mercado baseado no que vem acontecendo, falam cada vez mais em ter uma solução que não só entregue proteção preventiva, mas que também auxilie em caso de incidentes. Tudo isso , associado ao cenário real de ataques constantes e tempos longos para recuperação de ambientes, contribuem para o surgimento da necessidade cada vez maior de ferramentas que possam fornecer a real visibilidade, telemetria do ambiente e inteligência para correlação de eventos e resposta a incidentes, as chamadas ferramentas de EDR e XDR.
Tais termos já são bem conhecidos pois caem como uma luva para endereçar exatamente problemas de tempo de análise manual, falta de recurso e equipe para fornecimento de respostas, inteligência e correlação de eventos, mostrando exatamente o necessário com que o time deve se preocupar, com a rastreabilidade completa de uma possível ameaça no ambiente, ajudando em grandes casos de ataques ou crises.
Imagine sofrer um ataque e precisar responder uma série de perguntas: como o atacante entrou na rede? Quais dados foram acessados? Quais suas ações? Como se propaga? Até onde foi? E o que conseguiu como resultado?
Essas perguntas só são respondidas quando se sabe o que aconteceu de maneira cronológica ou sequencial, e é isso que o EDR fornece com detalhes telemétricos de endpoint, apontando tudo que acontece dentro daquela máquina, incluindo atividades e comportamentos avançados que geralmente não são detectados por soluções comuns que acabam deixando um ataque passar despercebido. Conseguir todas essas informações em um curto período e analisando manualmente planilhas de logs ou tentando deduzir o que houve não cabe a uma situação de crise que requer urgência para resolução, e o EDR fornece os dados de maneira completa e rápida.
Estes recursos ganham mais valor e aumentam ainda mais a capacidade de visibilidade e inteligência quando podemos ter toda essa gama de informações não só partindo da camada de endpoint, mas sim de todas as camadas de segurança do ambiente incluindo redes, servidores, serviços de e-mails e mobile, além de aceitar alimentação por ferramentas de outros fabricantes. É exatamente isso que o XDR faz, expande o conceito telemétrico de informações de endpoint para ”X”, representando as multicamadas de segurança e com tomadas de ações para remediações urgentes.
Ferramentas como XDR agregam real valor ao ambiente resolvendo problemas de inteligência e visibilidade, além de mostrar apenas informações relevantes que já foram correlacionadas e direcionadas para um único evento, reduzindo e automatizando o tempo de análise e investigação da equipe de segurança.
Aliado aos serviços gerenciados de segurança da informação, o XDR automatiza as defesas de um ecossistema cada vez mais disperso e ajuda as equipes de TI a focar em ações estratégicas para levar segurança as empresas e para vida digital de seus usuários finais.
(*) É engenheiro de sistemas da NetSecurity
