Entendendo as siglas que garantem a segurança de sua empresa

O crescimento das ameaças digitais trazido pela aceleração dos processos de transformação digital das empresas trouxe uma série de novos desafios. Um deles tem sido conhecer as diferentes soluções existentes no mercado e identificar qual delas se adequa melhor às necessidades de cada empresa.

“Existem diferentes soluções disponíveis hoje com níveis de sofisticação distintos. Só que nem sempre uma empresa precisa da solução mais sofisticada, e cara, para minimizar seus problemas de segurança”, explica Yuliya Andreeva, gerente sênior da Kaspersky. A executiva lembra que três siglas têm se tornado bastante comuns – SIEM, SOAR e XDR – e também causado muitas dúvidas sobre serem complementares ou excludentes, daí a necessidade de conhecer cada uma delas.

SIEM

Sigla para System Information and Event Management, ou gerenciamento de informações e eventos de segurança, o SIEM é um conjunto de ferramentas e serviços que combinam o  gerenciamento de eventos de segurança com o gerenciamento de informações de segurança em uma única plataforma. Desta forma, o SIEM coleta, agrega, analisa e armazena dados de log da infraestrutura de TI para vários casos de uso, incluindo governança, conformidade e correspondência de correlação baseada em regras para atividades suspeitas.

Yuliya lembra que os primeiros serviços SIEM foram desenvolvidos em 2005 com o propósito original de agregar e armazenar logs e eventos de toda a infraestrutura de TI de uma organização — incluindo endpoints, aplicativos e dispositivos de rede — para relatórios de conformidade. “Assim, ele executa correlações neste conjunto de dados, procurando por quaisquer padrões ou  eventos que possam indicar comportamento suspeito e gerar um alerta para o centro de operações de segurança”, explica, lembrando que, com isso, analistas de segurança logo viram a possibilidade de usar esses alertas não apenas para fins de conformidade e governança, mas para identificar proativamente e interromper qualquer atividade maliciosa.

A questão é que os serviços SIEM não foram projetados para o propósito específico de

detectar e responder a incidentes e isso os tornou mais complexos, por razões como:

• Muitos alertas — o enorme conjunto de dados fornecido pelo SIEM precisa ser manualmente filtrado, processado e analisado, o que não é conveniente para que analistas de segurança evitem ataques em um cenário de ameaças acelerado.
• Sem contexto — para lidar com ataques novos, complexos e sofisticados, analistas de segurança precisam de uma imagem contextualizada e coerente do cenário de ameaças da organização ao invés dos fluxos de dados desconectados fornecidos pelo SIEM.
• Passivo — como o SIEM é basicamente uma ferramenta analítica passiva, não está em sua competência bloquear processos suspeitos ou coloca-los em quarentena.

“Alguns profissionais de segurança tentaram resolver esses problemas colocando camadas adicionais de ferramentas em cima do SIEM ou desenvolvendo novas gerações com aprendizado de máquina e plugins de análise comportamental. Mas isso não eliminou a demanda por uma ferramenta que dê melhor qualidade aos alertas e tenha processos automatizados”, diz.

SOAR

As ferramentas SOAR (Security Orchestration & Automated Response) surgiram em 2015 para resolver algumas das falhas existentes nos sistemas SIEM. Para isso, as plataformas SOAR absorvem dados de diversas fontes da infraestrutura, incluindo sistemas de gerenciamento e plataformas inteligentes de detecção de ameaças, fornecendo análises prioritárias. As equipes de segurança podem então configurar respostas automatizadas para as ameaças recebidas, usando a integração da plataforma SOAR para integrar APIs a um ecossistema de ferramentas de segurança.

“Embora muito mais conhecidas por sua capacidade de automatizar processos de resposta a incidentes, essas ferramentas podem automatizar uma ampla gama de workflows, incluindo verificação de vulnerabilidades, análise de logs, gerenciamento de acesso de usuários, triagem de ameaças e muito mais”, explica Yuliya. A executiva lembra que elas fazem isso usando conjuntos de regras pré-configuradas acionadas por eventos específicos, que informam ao sistema quais etapas devem ser seguidas em um workflow específico.

Para que isso aconteça, a maioria das soluções SOAR contam com centenas de playbooks prontos para uso, cobrindo as tarefas mais comuns das equipes de segurança. Estas equipes podem então configurar seus próprios playbooks para automatizar outros processos repetitivos. Mais que isso, as ferramentas podem orquestrar ou coordenar várias ferramentas e processos díspares em um workflow maior, reunindo todos os dados relevantes em uma única plataforma para informações consolidadas e acionáveis.

“Normalmente, um SIEM é usado em conjunto com ferramentas SOAR em algo como um relacionamento assistente-gerente: o SIEM coleta todos os logs, correlaciona-os aos alertas encontrados e fornece essas informações ao SOAR, que pode, então, liderar as ações de resposta”, diz. Mas isso não ocorre sem limitações. Para Yuliya, manter uma plataforma SOAR bem configurada e integrada às ferramentas de parceiros requer o esforço contínuo de um SOC qualificado e maduro — um recurso que muitas organizações não têm. Sem essa manutenção, os analistas podem receber muitos alertas de baixa prioridade, falsos positivos e um conjunto de dados geralmente incoerente como resultado de várias ferramentas em silos alimentando a plataforma – exatamente o que eles tentam evitar.

XDR

Por fim, há o XDR (Extended Detection and Response), que é uma solução de segurança que pode ser implementada em nuvem ou on-premises nos modelos Native ou Hybrid. O Native XDR é um conjunto unificado de ferramentas de um único fornecedor, enquanto o Hybrid XDR integra soluções de terceiros em seu ecossistema. O termo “XDR” foi usado pela primeira vez em 2018, com o “X” significando “eXtended”, já que ele vai além das ferramentas tradicionais de detecção, resposta e proteção de endpoints (EDR e EPP), coletando e correlacionando dados de várias camadas de segurança, incluindo e-mail, nuvem e rede, para fornecer proteção abrangente em toda a infraestrutura de TI.

“Portanto, é uma plataforma única que coordena uma variedade de ferramentas e usa aprendizado de máquina e automação para ajudar as equipes de segurança a proteger todo o ecossistema de segurança”, afirma Yuliya. Ela reconhece as similaridades com as soluções SOAR, mas destaca diferenças como:

• As soluções XDR são ancoradas em dados de endpoint e otimização – isso significa que detecção e resposta a incidentes são recursos centrais de design, oferecendo capacidades de análise que as ferramentas SOAR normalmente não possuem. As ferramentas XDR são mestres na detecção de ameaças desconhecidas e de dia zero, aproveitando a poderosa inteligência artificial, algoritmos de aprendizado de máquina e inteligência de ameaças para proteger uma organização além seus limites. Por outro lado, as ferramentas SOAR podem oferecer uma variedade muito maior de casos de uso, já que podem orquestrar e automatizar quaisquer processos em toda a infraestrutura.
• O XDR pode ser considerado algo um SOAR-lite, ou uma interface simplificada que oferece respostas automatizadas com um clique para ameaças e alertas recebidos. Isso pode ser muito mais conveniente para uma organização que não tem recursos para manter a complexidade de uma plataforma SOAR bem configurada.
• O XDR permite uma integração suave entre ferramentas. Seja de um único fornecedor ou com produtos de terceiros, ele se destaca pela interoperabilidade. As soluções SOAR geralmente enfrentam dificuldades ao tentar integrar todas as ferramentas díspares e isoladas, enquanto o XDR divide esses silos para uma resposta a ameaças eficiente e completa.

Apesar das vantagens, Yuliya não acredita que as soluções XDR devem substituir as SOAR. “O XDR é uma tecnologia relativamente nova que está sendo continuamente desenvolvida. Atualmente, a maioria dos especialistas recomenda uma abordagem integrada, já que cada solução oferece vantagens complementares”, afirma. Desta forma, a executiva destaca que cada uma das diferentes soluções podem ser utilizadas em casos específicos, tais como:

• SIEM — o SIEM tem casos de uso fora da detecção de ameaças, como gerenciamento de logs, conformidade e análise de dados não relacionados a ameaças.
• SOAR — a grande capacidade de personalização dos playbooks SOAR é útil para orquestrar

e automatizar processos em toda a infraestrutura da organização.

• XDR — quando se trata de detectar e responder a ameaças, a análise avançada

de uma solução XDR com proteção aprimorada inigualável.

De todo modo, as soluções de segurança de nível empresarial da Kaspersky trabalham em conjunto fornecendo recursos de XDR aos especialistas em segurança cibernética de seus clientes. Graças à interoperabilidade perfeita, estes produtos permitem que a organização controle todos os principais pontos de entrada da infraestrutura, aumente a visibilidade e forneça defesa centralizada. Quer saber mais? Visite Se você quiser saber mais, visite a página da Web do Kaspersky Expert Security.

POR  KASPERSKY

https://itforum.com.br/posts/brandspaces/entendendo-as-siglas-que-g...

Para participar de nossa Rede Têxtil e do Vestuário - CLIQUE AQUI