Os benefícios da integração de produtos de segurança com um SIEM

[tiagotoledo]

Os benefícios da integração de produtos de segurança com um SIEM

http://tiagobigode.com.br/os-beneficios ... m-um-siem/

Introdução

Esta é uma série de várias partes para ajudar os clientes a explorar uma tecnologia para detectar automaticamente atividades específicas em seus sistemas habilitados para Centrify. A Parte 1 concentra-se no problema comercial de porque as organizações desejam correlacionar as informações de auditoria do Centrify. A parte 2 mostra como integrar o Centrify Server Suíte a um SIEM.

Isenções de responsabilidade

Esta publicação é fornecida “COMO ESTÁ” sem garantias e não confere direitos.

Splunk é uma marca registrada de seus respectivos proprietários.

As versões do software usadas neste guia funcionam juntas. Não há garantia de que versões futuras do software lançado pelos fornecedores sejam compatíveis para essa integração. É sempre uma prática recomendada testar novas versões de software.

O problema do negócio
O atual cenário de ameaças cibernéticas obrigou as empresas a mudarem seu comportamento e a gastar mais recursos para evitar ataques cibernéticos. Eles devem concluir auditorias de segurança rotineiramente (ou seja, PCI DSS, SOX, HIPPA e mais), e não passar em uma auditoria pode resultar em multas. Uma violação de dados pode ser devastadora e a má publicidade resultante de um incidente de segurança pode reduzir significativamente o valor de mercado de uma empresa. Existem muitas organizações que sofreram uma violação de dados e tiveram que lidar com custos de correção de violações, redução no preço das ações, perda de confiança do cliente e danos à sua marca. Para essas organizações, a perda financeira total resultante de uma violação é enorme e continua por um longo período. Hoje, as salas de diretoria concentram-se, mais do que nunca, em como suas organizações podem melhorar sua postura de segurança. Seus objetivos são implementar controles que evitem violações de dados e passar por auditorias de segurança para proteger os dados de clientes e funcionários. Recentemente, tive inúmeras discussões sobre segurança, onde o único fator para a discussão foi que o conselho não queria ver o nome da empresa no jornal.

Uma violação dentro de uma grande organização pode ter impactos de longo alcance na economia e na sociedade. Um método que a indústria e o governo criaram para forçar as organizações a permanecer vigilantes é uma auditoria de segurança. Existem auditorias de segurança para ajudar a reforçar as práticas recomendadas de segurança. Quanto maior o risco da empresa ou organização, mais rigorosos são os requisitos de auditoria e conformidade. A maioria das auditorias de segurança está validando uma ampla variedade de controles de segurança. Aqui está um bom resumo de todos os controles da estrutura de auditoria criados pelo instituto SANS: https://www.sans.org/security-resources ... 5/download

Em geral, existem alguns recursos importantes que são solicitados como denominador comum. O primeiro está centrado na prevenção e no forte controle de acesso. Muitos dos controles críticos de segurança fornecem orientações para o controle de acesso, seja para o dispositivo, rede, software/hardware, privilégios de administrador, etc. Isso ocorre porque a prevenção é o método mais direto para garantir que alguém sem acesso explícito não obtenha acesso a um sistema crítico. Atualmente, existem muitos produtos de segurança no mercado que fornecem segurança baseada em prevenção. O Centrify possui diversos recursos nessa área, desde controle de acesso privilegiado, gerenciamento de dispositivos/aplicativos móveis até autenticação multifatorial para aplicativos locais e baseados na Web. No entanto, no mundo real, medidas preventivas não podem ser usadas sozinhas porque políticas preventivas rigorosas podem impedir o acesso legítimo e isso pode afetar negativamente os resultados da empresa e sufocar a inovação e o crescimento. Por exemplo, se os administradores do sistema não tiverem acesso para corrigir um aplicativo Web que gera receita durante um período crítico (temporada de festas), pode haver uma receita significativamente menor. Ou, se a segurança no local for muito difícil de usar, as pessoas encontrarão uma maneira de contorná-la (ou seja, post-it, câmeras em telefones, senhas de compartilhamento etc.) ou parar de tentar usar o recurso inteiramente. Isso leva ao segundo controle de chave, que é a capacidade de detectar eventos específicos em sistemas de interesse. Se você não pode impedir que atividades indesejadas ocorram, você deve ser capaz de detectar essas atividades para que a organização possa agir rapidamente sobre elas. Muitas organizações descobrem uma violação de terceiros, que geralmente é o pior cenário.

A detecção envolve examinar os logs de auditoria periodicamente e garantir que nada de nefasto ocorra. A maioria dos produtos fornece log de auditoria de segurança que pode ser revisado pelos administradores de segurança para “detectar” algo de interesse ocorrido. Essas são informações valiosas para os profissionais de segurança. No entanto, a maioria dos clientes com quem converso não tem tempo e recursos para revisar/detectar esses logs de auditoria. Por exemplo, o Centrify fornece uma trilha de auditoria completa nos sistemas * nix e Windows, bem como gravações de vídeo com base em sessão, mostrando o contexto completo do que um usuário faz em um sistema. Isso não é suficiente para a maioria dos clientes, porque eles precisam de algumas ferramentas adicionais para notificá-los automaticamente quando vão ver os vídeos de auditoria. Existem inúmeras maneiras de fazer isso especificamente com o Centrify, mas o setor precisa de um método comum para agregar logs de auditoria de todas as suas ferramentas de segurança em um local onde eles possam ser monitorados automaticamente. Sem essa capacidade, as organizações são vulneráveis ​​a atos nefastos porque não estão impedindo ou detectando tudo o que poderiam ser.

O resultado é que, quando há um incidente de segurança, a organização não sabe até semanas ou meses após a ocorrência e, em alguns casos, a organização nunca descobre ou é notificada por uma parte externa. Isso resulta em sérias consequências para os negócios, para os clientes e, em alguns casos, para a sociedade em geral.

Uma abordagem alternativa
Então, como podemos abordar esse problema. Uma solução que está se tornando muito popular é uma ferramenta de Gerenciamento de eventos de incidentes de segurança ou um SIEM. Os produtos SIEM fornecem muitos dos recursos necessários para o gerenciamento de logs, mas adicionam recursos de redução de eventos, alertas e análise em tempo real. Eles fornecem a camada de tecnologia que permite dizer com confiança que não apenas os logs estão sendo coletados, mas também estão sendo revisados. Um SIEM também permite a importação de dados que não são necessariamente orientados a eventos (como relatórios de verificação de vulnerabilidades) – daí a parte “Informações” do SIEM.

Se implementado corretamente, um SIEM pode coletar os “eventos” relevantes em todo o ambiente de TI e exibi-los em um único painel de vidro para que você possa tomar melhores decisões e entender quando seu ambiente está sob estresse ou sob ataque. Com as análises de redução de eventos, alertas e tempo real fornecidas por um SIEM, é muito mais viável detectar atividades indesejadas em seu ambiente. Usando esse recurso, as organizações podem usar seu SIEM para alertá-los automaticamente sobre um evento e informar exatamente onde procurar informações adicionais (contexto) do log de auditoria naquele local. Em vez de usar o tempo de pessoas qualificadas para concluir a tarefa entorpecente de revisar as trilhas de segurança/auditoria a cada 2 semanas (ou seja, procurando uma agulha no palheiro), as organizações podem configurar seu SIEM para informar aos engenheiros de segurança exatamente onde ir investigar um problema. Em seguida, eles podem fazer uso de todos os registros úteis da trilha de auditoria e gravações de vídeo baseadas em sessão para resposta a incidentes. Isso libera mais tempo para responder rapidamente a um incidente e distribui indivíduos qualificados para os lugares certos para determinar como as ameaças podem ser evitadas no futuro, para que você não precise confiar na detecção. É um modelo muito mais eficiente.

O Centrify facilita para os clientes a integração de eventos importantes do Centrify em um SIEM, para que os eventos possam ser normalizados para análise e usados ​​para alertas automatizados. Existem inúmeras integrações SIEM suportadas e as auditorias baseadas em sessão do Centrify oferecem um vídeo e um registro de auditoria detalhado para que você possa ver o contexto completo do que aconteceu em um sistema de interesse. Um resumo em vídeo do recurso pode ser encontrado aqui. Com essas informações, as equipes de segurança podem facilmente relatar coisas específicas sobre seu ambiente ao CIO/CISO. Por exemplo, “Sr. / Sra. CISO, aqui está uma lista de todos os usuários que se autenticaram através do Centrify no meu sistema de RH; parece normal, exceto que houve um pico no sábado. Nós investigamos isso mais a fundo e foi por causa da inscrição dos benefícios. ”Ou“ Sr. / Sra. CISO, aqui estão as contas mais privilegiadas em nosso maior aplicativo de geração de receita. Precisamos adicionar autenticação multifator a essas contas devido ao alto risco. Podemos colocar isso no orçamento? ”Insights como esses são mais fáceis de encontrar com um SIEM e a integração com outras ferramentas de segurança ajuda os CIOs e CISOs a dormir melhor à noite, sabendo que serão alertados se necessário. Isso também pode permitir mais financiamento para a equipe de segurança, porque a integração do SIEM fornece dados relevantes para fazer backup dos riscos com os quais a equipe está preocupada.

Os SIEMs são uma área em rápido crescimento do mercado de segurança cibernética e agregam valor, ajudando os clientes a automatizar o processo de observação dos logs de auditoria e alertas. Na próxima parte deste blog, mostrarei como você pode configurar a integração do SIEM com o Centrify Server Suite. O Centrify Server Suite é um produto de gerenciamento de identidade privilegiado que aplica menos privilégios e controle de acesso privilegiado para acesso no nível do servidor e comandos privilegiados nos sistemas * nix e Windows. Ser capaz de enviar eventos de trilha de auditoria do Centrify Server Suite e gravações de sessão correspondentes para um SIEM e alavancar esses eventos para alertar é fundamental para contas privilegiadas, pois elas representam um grande risco para as empresas.

Post original Centrify: https://centrify.force.com/support/Arti ... SIEM-28454

Palavras chaves: centrify, siem, logs, auditoria