Os produtos de gestão de segurança da informação (Security Information Management, SIM) – também referenciados como Security Information and Event Management ou Security Event Management – automatizam o processo manual de recolher dados de eventos específicos de segurança a partir de ficheiros de sistemas, equipamentos de segurança ou outros equipamentos de rede. Estes produtos, que podem ser hardware, software ou serviços, incluem funcionalidades de agregação de dados e correlação de eventos de rede semelhantes aqueles que podem ser encontrados no software de gestão de rede. A informação pode ser recolhida a partir de firewalls, servidores proxy, sistemas de detecção de intrusos, routers e switches, e software anti-spam, antivírus e anti-spyware. Para lá de ter condições para aceder a múltiplas fontes para esta informação, os produtos SIM distinguem-se pela rapidez com que recolhem a informação sobre eventos, como conseguem correlacionar eventos com identidades dos utilizadores e qual a riqueza dos seus relatórios no auxilio aos responsáveis para distinguir um evento legitimo de segurança e um alerta falso.
Mercado da segurança de informação continua a florescer
Start-ups e fabricantes disputam o negócio.
Os produtos de Security Information Management (SIM) começaram a aparecer no início desta década porque os profissionais de segurança necessitavam de uma alternativa à ordenação manual do crescente número de alertas de segurança gerados através das diferentes redes de comunicações e equipamentos de segurança.
As tecnologias SIM foram desenvolvidas para automatizar a recolha de dados de eventos de acesso a equipamentos de segurança e auxiliar os seus utilizadores a compreender estes eventos através de uma consola de gestão. As tecnologias SIM utilizam dados agregados e correlação de eventos semelhantes às aplicações de gestão de redes e aplica-os aos eventos de acesso gerados pelos equipamentos de segurança, como firewalls, servidores proxy, sistemas de detecção de intrusos, e software antivírus. Os produtos SIM podem normalizar os dados – isto é, conseguem traduzir os alertas dos produtos da Cisco e da Check Point Software num formato comum para correlacionar a informação.
Existe uma batalha de marketing na indústria sobre a designação destes produtos. Os mercados de gestão de eventos de segurança (Security Event Management, SEM) e de gestão de segurança da informação (Security information Management, SIM) floresceram em simultâneo, à medida que os fabricantes adoptaram diferentes acrónimos para descrever funcionalidades semelhantes.
“Se analisar os produtos SIM e SEM, são essencialmente idênticos – depende do acrónimo que o fabricante escolheu”, refere Joel Snyder, partner da Opus One.
Outros dirão que as tecnologias SEM apareceram primeiro como uma funcionalidade simples que se expandiu para se tornar um componente dos produtos SIM mais avançados. Por exemplo, SEM recolhe dados de acesso de equipamentos e sistemas, funcionalidades que são essenciais a qualquer produto SIM. Mas os fabricantes SIM argumentam que as suas tecnologias transportam a recolha de dados para o próximo nível.
Por exemplo, as tecnologias SEM emergiram para silenciar o ruído dos eventos provenientes dos múltiplos equipamentos e para assinalar em tempo real quais seriam ameaças. Mais recentemente, e para satisfazer a necessidade de conformidade juntos dos executivos de TI, os produtos SIM adicionaram relatórios históricos, análise de tendências e armazenamento de dados de longo prazo.
Presentemente, estes produtos são desenvolvidos em start-ups e em fabricantes existentes. O número crescente de start-ups que apareceram inclui empresas como a netForensics, a GuardedNet, a e-Security e a Intellitactics. Estas empresas comercializam produtos desenhados para conjugar a recolha de dados, a normalização e as capacidades de correlação do software de gestão com as ferramentas de inteligência de segurança.
Os grandes fabricantes constataram o potencial desta área tecnológica e começaram as aquisições. Por exemplo, a Novell adquiriu a e-Security, a Micromuse adquiriu a GuardedNet e a IBM, mais tarde, adquiriu a Micromuse.
Segundo um estudo recente da Forrester Research, o mercado das tecnologias SIM está a crescer a taxas de 50% e irá continuar a crescer – aproximando-se de receitas de 1,2 mil milhões em 2011. Tendo em conta as pressões relacionadas com o cumprimento das normas regulamentares, cada vez mais empresas necessitam de gestão de acessos e de demonstrar a integridade dos seus processos de negócio — “o que significa que monitorizam aplicações e a infra-estrutura subjacente para detectar comportamentos inadequados”, assinala o estudo da Forrester Research.
A procura de produtos SIM por parte das pequenas e médias empresas (PME) é outro dos factores responsáveis pelo crescimento do sector, referem os analistas da Forrester Research. À medida que os produtos se tornam mais fáceis de utilizar e mais affordable, as PME irão começar a investir nestas tecnologias. Presentemente, as empresas com menos de mil empregados representam cerca de 1% do Mercado, mas em 2011 poderão representar 30%. E a tecnologia SIM poderá tornar-se numa ponte entre as TI e as operações de negócio, referem os analistas da Forrester Research, referindo que irá criar maior colaboração à medida que for florescendo nas organizações de todas as dimensões.
“A tecnologia SIM será a ferramenta principal para permitir a colaboração entre equipas das operações e de segurança: transformando politicas de negócio em configurações e requisitos específicos; avaliação do risco dos aspectos de segurança; e coordenando a resposta a incidentes de segurança” assinala o estudo da Forrester Research.
O que deve perguntar
Escalabilidade, interoperacionalidade e gestão de acesso são aspectos essenciais
Os executivos de TI à procura de tecnologias SIM deverão focalizar a sua atenção num conjunto de funcionalidades quando avaliarem os produtos dos fabricantes. Apesar das condições serem variáveis e dependentes do ambiente em que a tecnologia vai ser implementada, a generalidade dos executivos de TI à procura de produtos de gestão de segurança deverão colocar as seguintes questões:
1. Qual a escalabilidade do produto? Os responsáveis de TI devem determinar o número de equipamentos a partir dos quais querem recolher informação e perguntar aos fabricantes como a tecnologia pode acomodar os volumes de dados de acessos. Muitos produtos SIM referem quantos eventos por segundo conseguem capturar, analisar e armazenar apropriadamente. Alguns requerem a instalação de múltiplos serviços, por exemplo, se cada servidor pode gerir 10 mil eventos por Segundo ou 100 equipamentos. Outros podem requerer capacidade adicional de armazenamento do cliente ou disponibilizar opções através de parceiros para compensar o arquivo dos dados de acessos.
“Necessita de saber se o sistema é adaptável à sua rede ” refere Michael Gabriel, CISO da Career Education. Michael Gabriel utiliza uma combinação de software da netForensics e da Rippletech (um parceiro netForensics) para gerir os eventos de segurança gerados pelos firewall, sistemas de prevenção, controladores de domínio e equipamentos Cisco.
2. O produto inclui funcionalidades de gestão de acessos? As regulamentações podem ser vagas ou especificas relativamente à duração do armazenamento dos dados de acessos. Faz sentido que os produtos SIM recolham acessos dos equipamentos disponibilizem também funcionalidades de gestão e arquivo de dados de acessos.
“Alguns regulamentos, como o Payment Card Information Data Security Standard, por exemplo, exigem especificamente o armazenamento de acessos, afirma Paul Stamp, analista da Forrester Research. “Outros, como a Sarbanes-Oxley, são mais opacos, requerendo que as organizações demonstrem a integridade dos processos de negócio, o que significa que tem que mostrar que monitorizam aplicações e a infra-estrutura subjacente para detectar comportamentos impróprios”.
3. Aceita dados de outros produtos de gestão de segurança, bases de dados ou sistemas de outros fabricantes? Os produtos SIM são componentes críticos das estratégias corporativas de gestão de risco e os responsáveis de TI necessitam de conhecer os dados recolhidos pela gestão unificada de ameaças, anti-spyware e produtos de gestão de vulnerabilidades, para nomear apenas alguns, e que podem ser incorporados nos motores de correlação de eventos e de análise SIM. Os clientes devem interpelar os fabricantes sobre o tipo e a quantidade de dados que as ferramentas de segurança conseguem recolher e correlacionar. Os responsáveis de TI devem perguntar quais os produtos de outros fabricantes que são suportados e se possuem kits de desenvolvimento de software para, caso seja necessário, os clientes integrarem os seus produtos.
Por exemplo, “a capacidade para integrar a vulnerabilidade de dados a partir de um motor de ‘scanning’ de vulnerabilidades para auxiliar a definir a severidade dos eventos baseado na vulnerabilidade a ameaças de um determinado equipamento é uma funcionalidade a ter em consideração, salienta Michael Gabriel.
4. O produto gera alertas em tempo real baseado em eventos complexos? É um dado adquirido que os produtos SIM funcionam para recolher e correlacionar múltiplos eventos, mas os responsáveis de TI devem perguntar se a tecnologia pode recolher eventos díspares através de um determinado ambiente e determinar se estão relacionados com uma ameaça comum. Por exemplo, a Symantec define ameaças integradas como instâncias de segurança que “combinam as características de vírus, cavalos de Tróia e código malicioso com vulnerabilidades de servidor ou Internet para iniciar, transmitir e espalhar um ataque”. Os responsáveis de TI deverão saber se a ferramenta SEM/SIM que planeiam adquirir pode identificar estas ameaças.
Segundo Michael Gabriel, os produtos SIM deverão incluir “a capacidade para criar alertas em tempo real baseados em condições complexas”.
5. O produto disponibiliza funcionalidades de “resposta activa”? Resposta activa é uma funcionalidade avançada SIM – significa que a tecnologia adopta acções baseadas nos dados recolhidos. Por exemplo, se um individuo que trabalha remotamente tenta aceder repetidamente a um servidor Web – utilizando uma senha de acesso incorrecta – o produto de gestão de segurança pode bloquear o tráfego para esse servidor.
Na medida em que as acções automatizadas adoptadas para prevenir a difusão da ameaça de segurança podem desligar os servidores e provocar um incorrecto desempenho na rede. Em caso de um ataque externo, a tecnologia necessita de saber onde bloquear o tráfego. No caso de um ataque interno, os produtos SIM devem saber onde bloquear o tráfego e durante quanto tempo. “Mesmo se gostar desta funcionalidade, a resposta activa é mais trabalhosa do que parece”, refere Joel Snyder.
Boas práticas de implementação
Identificar sistemas de segurança alvo e definir politicas são medidas imperativas.
As tecnologias de Security Information Management (SIM) são um imperativo da segurança corporativa. Mas os executivos de TI não terão condições de recolher os benefícios sem seguirem algumas boas práticas na implementação destas tecnologias.
“As ferramentas SIM estão rapidamente a tornar-se indispensáveis Para as equipas de segurança que pretendem uma maior visibilidade das actividades de TI”, refere Paul Stamp, analista da Forrester Research. Segundo os analistas, o mercado de produtos SIM está a crescer 50% anualmente e a a tecnologia irá continuar a ser parte integrante das infra-estruturas de segurança e planos de gestão. “As ferramentas SIM costumavam ser usadas como domínio dos analistas de segurança que trabalhavam em questões operacionais. Presentemente, a informação disponibilizada pelas ferramentas SIM acaba na secretária do Chief Informationn Security Officer (CISO), ou mesmo do Chief Information Officer (CIO)”, salienta Paul Stamp.
Os observadores e os gestores de TI referem que as tecnologias SIM não protegem os ambientes de todas as ameaças, mas a tecnologia can go a long way toward identifying the risk present in any environment.
Paul Stamp refere que, “à medida que as ameaças se tornam mais sofisticadas e direccionadas, não existe uma única ferramenta que possa detectar os sinais de ataque. Muitos dos ataques mais recentes manifestam-se em violações de politicas como abuso de privilégios ou alterações em ficheiros críticos em lugar de exploração de vulnerabilidades ou descarga de malware.
Michael Gabriel, CISO da Career Education, utiliza o produto SIM da netForensics para recolher dados de equipamentos de segurança e de rede, assim como bases de dados e controladores de domínio Microsoft. Construir uma imagem completa do ambiente de segurança pode ser uma garantia de sucesso, refere.
“Identificar os equipamentos críticos de onde quer recolher os eventos de acesso e assegure-se de que inclui o perímetro, o sistema operativo e as aplicações e bases de dados para obter uma imagem completa da sua posture de segurança,” refere Michael Gabriel.
Criar as politicas apropriadas para que a ferramenta SIM pode reforçar é outra das boas práticas a contemplar. A tecnologia vai funcionar de acordo com as politicas de segurança definidas, segundo Joel Snyder, partner da Opus One, pelo que antes de adquirir produtos, assegure-se que tem as politicas definidas.
“Simplesmente não pode implementar a tecnologia e ficar à espera que ela lhe vá contar aquilo que necessita de saber sobre a segurança ou do estado da rede” afirma Joel Snyder. “Tem que analisar profundamente aquilo que o preocupa e escrever ou activar as regras que façam o produto SIM funcionar”.
Michael Gabriel concorda afirmando que os utilizadores das tecnologias SIM devem estar prontos para afinar o produto antes da sua implementação e no decorrer do seu funcionamento para manter o funcionamento efectivo e reduzir o ruído e identificar os eventos que são críticos para a segurança do ambiente, refere.
Quando implementar a tecnologia SIM, esteja pronto para negociar politicas interdepartamentais. Os produtos são difíceis de implementar porque requerem que os responsáveis de TI distribuam agentes de software ou modificar configurações dos equipamentos em departamentos que provavelmente não estão sob a sua alçada.
“A tecnologia SIM, à semelhança da gestão de identidade e de acesso, é pela sua natureza um produto heterogéneo, e as implementações SIM envolvem uma complexa integração técnica e negociações politicas”, afirma o analista da Forrester Research.
Após a tecnologia SIM ter sido implementada, não subavalie a sua utilidade para lá do domínio da segurança. À medida que as disciplinas de TI em redor da gestão das operações e da monitorização da segurança continuam a convergir, os responsáveis de TI podem obter mais dos seus investimentos através da sua utilização para obter ganhos de eficiência noutros locais. Por exemplo, a tecnologia SIM tem condições de monitorizar quais os membros da equipa e utilizadores seguem as politicas COBIT implementadas por razões de conformidade e de auditoria.
“Não negligencie a procura de oportunidades para alavancar a capacidade do sistema relatar eventos operacionais que não estão relacionados com a segurança”, refere Michael Gabriel. “A sua equipa operacional irá apreciar a informação e estará mais disponível para participar nas iniciativas de segurança quando vêem um benefício”.
Factos simples
A correlação de eventos de segurança deriva da linhagem dos produtos de gestão de redes
Os produtos de Security Information Management (SIM)– também conhecidos como SEM, ESM e SEIM – encontram as suas raízes nas tecnologias de gestão de redes de comunicações.
O software SIM software, algumas vezes embrulhados pelos fabricantes como equipamentos optimizados, utilizam arquitecturas de produto semelhantes às encontradas nas ferramentas tradicionais de gestão de redes mas incorporam inteligência de segurança, conhecimento de ameaças e competências de conformidade para auxiliar os executivos de TI a gerirem melhor a sua infra-estrutura de segurança e o risco potencial da organização. O mercado de gestão de segurança apareceu no início desta década para reduzir o esforço manual de recolher dados de acessos de equipamentos de segurança e de redes.
“Os profissionais de segurança florescem com a informação. Mas infra-estruturas de segurança mais complexas significam que as equipas de segurança possuem resmas de dados para analisar e retirar as peças de informação de que necessitam, quer seja informação para identificar uma ameaça, investigar um incidente, responder a um pedido de auditoria ou apenas para demonstrar à gestão que estão a realizar um bom trabalho” refere Paul Stamp, analista da Forrester Research.
As ferramentas actuais recolhem eventos syslog e dados de aplicações relacionadas com segurança de computadores pessoais, servidores e outros equipamentos de rede para auxiliar os executivos de TI estar a par das ameaças. Os produtos incluem agregação de eventos e funcionalidades de correlação para auxiliar a automatizar o processo de recolha e análise de dados contidos nos acessos dos servidores. Muitos fabricantes disponibilizam ainda software de relatórios específico para as normas reguladoras.
O desenho do produto é uma das semelhanças entre as ferramentas SIM e as ferramentas de gestão de redes e de sistemas. Por exemplo, tipicamente, os produtos de gestão de segurança consistem num software servidor, num agente de software instalado em servidores próximos dos equipamentos que estão a monitorizar ou nos próprios equipamentos e uma consola centralizada de gestão baseada na Web, a partir da qual os responsáveis de TI configuram e administram o produto e visualizam relatórios. Tendo em conta os dados necessários para a conformidade regulamentar, muitos dos produtos SIM incluem capacidade adicional de armazenamento e de repositório de dados.
Para auxiliar os responsáveis de TI a compreender as ameaças através do seu ambiente, as tecnologias recolhem dados de acesso, aplicam agregação de dados e funcionalidades de correlação de eventos aos acessos gerados pró firewalls, servidores proxy, sistemas de prevenção e detecção de intrusões e software de antivírus. Os fabricantes SIM tem vindo a trabalhar para suportar produtos específicos de outros fabricantes, como routers da Cisco Systems, firewalls da Check Point ou controladores de domínios da Microsoft para que a recolha de dados de acessos dos seus sistemas seja mais fácil.
Os responsáveis de TI podem trabalhar em conjunto com o seu fabricante para requerer suporte para determinados acessos de rede ou de segurança, mas mesmo com este suporte os responsáveis de TI quando implementarem esta tecnologia devem configurar os equipamentos e os sistemas para expor os dados de acesso ao produto SIM. A seguir o software normaliza, ou traduz, os formatos dos dados de acesso da Cisco, Microsoft ou Check Point e outras fontes de dados para uma linguagem comum para que possam ser correlacionados.
Muitas das suites SIM incluem múltiplas aplicações para endereçar diferentes questões relacionadas com gestão de eventos e ameaças de segurança. Por exemplo, uma suite pode incluir um gestor de eventos desenhado para recolher os eventos de rede e de segurança e visualizar dados relacionados numa consola de gestão. As suites podem ainda incluir componentes de detecção de intrusos que realizam o scan dos acessos recolhidos para identificar ameaças conhecidas ou comportamentos anómalos que possam colocar em risco o ambiente. Um crescente numero de produtos SIM incluem gestão de acessos para to manipular o armazenamento e arquivar os acessos capturados através dos múltiplos equipamentos e sistemas.
“Os produtos SIM tem que ser produtos de ciclo de vida. Um conjunto alargado de fabricantes SIM designam a gestão de acessos como complementar; tal significa que não completaram os seus produtos “, afirma Joel Snyder, partner da Opus One.
