SIEM
De acordo com o relatório “State of Open Source” da OpenLogic, 96% das organizações que participaram da pesquisa utilizam soluções de código aberto (OSS). Essas soluções podem ser encontradas em todos os segmentos do mercado de TI, incluindo as ferramentas de segurança da informação. E elas são recomendadas com frequência para o desenvolvimento de sistemas SIEM.
À primeira vista, um OSS parece ser uma ótima escolha. A função principal de um sistema SIEM é a coleta e a correlação sistemáticas de telemetria, que podem ser configuradas utilizando ferramentas conhecidas de armazenamento e processamento de dados. Basta reunir todos os seus dados com o Logstash, conectar o Elasticsearch, criar as visualizações necessárias no Kibana e pronto! Uma pesquisa rápida é até mesmo capaz de fornecer soluções SIEM de código aberto prontas para uso (geralmente criadas nos mesmos componentes). Com relação aos SIEMs, é sempre fundamental adaptar a coleta e o processamento de dados às necessidades específicas da sua organização, e um sistema OSS personalizado oferece possibilidades infinitas para isso. Além disso, a licença é gratuita. No entanto, o sucesso dessa solução depende da equipe de desenvolvimento, das especificidades da organização, de quanto tempo a organização está disposta a esperar pelos resultados e se ela está disposta a investir em suporte contínuo.
Tempo é dinheiro
Uma questão chave (cuja importância é constantemente subestimada) é quanto tempo levará para que o SIEM da sua empresa não apenas entre em operação, mas também comece de fato a entregar valor real. Dados da Gartner mostram que mesmo um SIEM completo e pronto para uso leva, em média, seis meses para ser totalmente implementado, com uma a cada dez empresas levando até um ano no processo. E se você estiver construindo seu próprio SIEM ou adaptando uma OSS, esse período de tempo pode duplicar, ou até mesmo triplicar. Ao fazer o orçamento, multiplique esse tempo pelo valor da hora de trabalho dos desenvolvedores. E é difícil imaginar um SIEM eficiente sendo gerenciado por um único indivíduo talentoso, sua empresa vai precisar de uma equipe inteira para isso.
Uma armadilha psicológica comum é se iludir com a rapidez com que um protótipo é montado. Uma solução OSS pronta para uso pode ser implementada em um ambiente de teste em apenas alguns dias, mas pode levar muitos meses, até mesmo anos, para que ela produza resultados de qualidade.
Escassez de habilidades
Um SIEM precisa coletar, indexar e analisar milhares de eventos por segundo. Projetar um sistema que consiga lidar com um volume alto de dados, ou mesmo adaptar um sistema que já existe, requer habilidades especializadas e sob demanda. Além de desenvolvedores, o projeto precisaria de administradores de TI super qualificados, engenheiros de DevOps, analistas e até mesmo designers de painéis.
Outro obstáculo que os desenvolvedores de SIEM precisam superar é a falta de experiência prática necessária para escrever regras de normalização eficazes, lógica de correlação e outros conteúdos que já vêm prontos para uso nas soluções SIEM comerciais. É claro que a solução pronta para uso também vai precisar de ajustes significativos, mas adaptá-la aos padrões da sua organização é mais rápido e mais fácil.
Conformidade com os regulamentos
Para muitas empresas, ter um sistema SIEM é um requisito regulatório. Aqueles que criam um SIEM ou implementam uma solução OSS precisam fazer um esforço considerável para garantir a conformidade. É necessário mapear os recursos do SIEM por conta própria, ao contrário do que acontece nos sistemas comerciais, que geralmente já vêm com um processo de certificação integrado e todas as ferramentas necessárias para cumprir com os requisitos dos regulamentos.
Às vezes, a empresa pode querer implementar um SIEM apenas para “completar mais uma tarefa da lista”, procurando minimizar os custos. Mas desde a criação do PCI DSS (Padrão de Segurança de Dados da Indústria de Pagamento com Cartão), o Regulamento Geral de Proteção de Dados (GDPR) e outros regulamentos locais passaram a se concentrar na abrangência e profundidade reais da implementação de um SIEM (não apenas na sua mera existência), pois um sistema SIEM de token implementado apenas para exibição não passaria em nenhuma auditoria.
A conformidade com os regulamentos não é algo que deve ser considerado apenas no momento da implementação de uma solução. Se durante a manutenção e operação feitas pela sua equipe, qualquer componente da solução parar de receber atualizações e chegar ao fim da vida útil, suas chances de aprovação em uma auditoria de segurança vão diminuir drasticamente.
Dependência de fornecedores versus dependência de funcionários
O segundo motivo mais relevante para as organizações optarem por uma solução de código aberto sempre foi a flexibilidade em adaptá-la às suas necessidades específicas, além de evitar depender de um fornecedor de software para criar o roteiro de desenvolvimento e decidir sobre o licenciamento.
Ambos são argumentos convincentes, e em organizações grandes, podem até mesmo superar outros fatores. No entanto, é crucial fazer essa escolha com uma compreensão clara de seus prós e contras:
- Os SIEMs OSS podem ser mais simples de ajustar às entradas de dados exclusivas.
- Com um SIEM OSS, é possível manter controle total sobre como os dados são armazenados e processados.
- O custo de expansão de um SIEM OSS consiste principalmente na compra de hardware adicional e no desenvolvimento dos recursos necessários.
- Tanto a configuração inicial quanto a evolução contínua de um SIEM OSS exigem o suporte de profissionais experientes que sejam capacitados com relação às práticas de desenvolvimento e ao Centro de Operações de Segurança (SOC). Se os membros da equipe mais capacitados para lidar com o sistema deixarem a empresa ou mudarem de função, a evolução do sistema poderá ser comprometida. Ou, pior ainda, poderá se tornar menos funcional aos poucos.
- Embora o custo inicial de implementação de um SIEM OSS possa ser menor devido ao fato de não haver taxas de licença, isso não compensa os custos da fase de manutenção. Isso ocorre devido aos gastos contínuos e adicionais com pessoal qualificado que vai precisar se dedicar exclusivamente ao desenvolvimento do SIEM. Muitas vezes, o custo total de propriedade (TCO) de um SIEM OSS acaba sendo mais alto a longo prazo.
Qualidade do conteúdo
A relevância do conteúdo de detecção e resposta é um fator chave para a eficácia de um SIEM. Para soluções comerciais, as atualizações das regras de correlação, manuais e feeds de inteligência de ameaças normalmente são recursos fornecidos ao comprar a solução. Eles são desenvolvidos por equipes compostas por muitos pesquisadores, passam por testes rigorosos e geralmente exigem um esforço mínimo da sua equipe de segurança interna para serem implementados. Com um SIEM OSS, você só fica sabendo sobre atualizações se procurar por elas: você mesmo precisa pesquisar fóruns da comunidade, repositórios GitHub e feeds gratuitos. As regras, então, exigem verificação e adaptação detalhadas à sua infraestrutura específica, e o risco de falsos positivos acaba sendo maior. Como resultado, a implementação de atualizações em um SIEM de código aberto dá muito mais trabalho para a sua equipe interna.
O elefante na sala: hardware
Para desenvolver um SIEM, é necessário adquirir ou arrendar hardware e, dependendo da arquitetura do sistema, esse gasto pode variar drasticamente. Não faz muita diferença se o sistema é uma solução de código aberto ou uma solução comercial proprietária. No entanto, ao implementar um SIEM de código aberto por conta própria, há um risco maior de tomar decisões envolvendo a arquitetura do sistema que não são ideais. A longo prazo, isso significa custos operacionais que só vão aumentar.
Falamos sobre como avaliar em detalhes as necessidades de hardware de um SIEM em outra postagem.
O último desafio
Embora a ideia de uma plataforma totalmente personalizável, adaptável e sem taxas de licenciamento seja muito atraente, há um risco significativo de que esse projeto exija muito mais tempo e esforço da sua equipe de desenvolvimento interna em comparação com uma solução comercial pronta para uso. Isso também pode prejudicar a sua capacidade de adotar inovações rápido e fazer com que o foco principal da equipe de segurança da organização seja lidar com problemas operacionais ao invés de desenvolver lógica de detecção e cenários de resposta. É por isso que uma solução comercial gerenciada e supervisionada por especialistas muitas vezes está mais alinhada com os objetivos típicos de uma organização no que diz respeito à redução eficaz de riscos e a um orçamento previsível.
Os SIEMs comerciais permitem que a sua equipe faça proveito de regras pré-criadas, manuais e programas que analisam telemetria, permitindo que a equipe se concentre em projetos específicos da organização, como a identificação proativa de ameaças ou a melhora da visibilidade na infraestrutura de nuvem. Ao invés de ter que reinventar e refinar recursos básicos de SIEM ou ter dificuldades para que o sistema desenvolvido internamente seja aprovado em auditorias regulatórias.
Dicas