Um dos principais problemas com o qual as empresas estão tendo que lidar hoje, além da escassez de profissionais qualificados, é como gerenciar de maneira eficaz os ativos de segurança — firewall, endpoint, antivírus, backup e chaves criptográficas, etc. — para garantir uma proteção de ponta a ponta de seu ambiente de TI.
Diante dessa dificuldade, a Network Secure, empresa especializada em cibersegurança, firmou parceria com a IBM para oferta conjunta de soluções de segurança e gerenciamento de eventos para detectar, analisar e responder a ataques cibernéticos avançados e riscos encontrados pelas organizações. Com o acordo, a empresa passou a integrar a tecnologia QRadar SIEM da IBM — que também se integra às plataformas de orquestração de segurança, automação e resposta (SOAR) para resposta a incidentes e remediação — à sua oferta de SOC (centro de operações de segurança) ao mercado.
A incorporação da plataforma QRadar SIEM ao SOC da empresa proporciona o gerenciamento de ponta a ponta, altamente escalável, com dados e visibilidade centralizada em um dashboard, que oferece uma visão única das ameaças que afetam as empresas, salienta Yure Sabino, COO da Network Secure.
Desenvolvido pela empresa e batizado de Eagle, o dashboard é um dos principais diferenciais da oferta conjunta das empresas, já que reduz os erros e aumenta a eficiência do gerenciamento, eliminando a necessidade de a equipe de segurança alternar entre diferentes ferramentas para detectar e responder aos incidentes.
“Hoje, o que se verifica em grande parte das empresas é que cada ferramenta, como firewall ou de endpoint, por exemplo, é gerenciada de forma isolada, o que, devido à quantidade astronômica de logs gerados, torna humanamente impossível a interpretação das informações para detectar um incidente”, observa o executivo.
Ele explica que o SOC com SIEM integrado correlaciona todas as ferramentas de segurança que a empresa possui e, por integrar inteligência de ameaças, proporciona uma análise de dados avançada para a segurança corporativa, permitindo que ataques e ameaças de todos os tipos sejam identificados antecipadamente e combatidos rapidamente, o que diminui custos e a interrupção dos negócios.
Para facilitar o gerenciamento, o IBM QRadar usa regras para monitorar os eventos e fluxos e detectar ameaças à segurança. Quando os eventos e os fluxos atendem aos critérios de teste definidos nas regras, é criada uma ofensa para mostrar a suspeita de um ataque de segurança ou de uma violação de política. A guia ofensa mostra os ataques e as violações de política que estão ocorrendo em uma rede e lista aquelas com a maior gravidade primeiro.
Graças a esse recurso, Sabino conta que ao realizar uma prova de conceito (PoC) em um cliente foram detectadas mais de 115 ofensas em apenas uma semana, sendo que 63 delas eram de nível crítico elevado. “A rede da empresa apresentava forte lentidão em determinado momento do dia, o que gerava inúmeras reclamações à área de TI. Ela já tinha até orçamento aprovado para trocar cabeamento, switches, firewall, etc., e tentar acabar com a lentidão, quando identificamos no SOC que se tratava, nada mais nada menos, de um incidente, em que o hacker havia acessado os servidores e estava fazendo mineração de Bitcoin”, descreve.
No caso relatado por ele, apesar de o firewall e o gerenciador de endpoint já terem alertado sobre o problema de forma isolada, como não havia a correlação de eventos, passou despercebido. O SIEM conseguiu consolidar as informações e fazer a trilha do caminho feito pelo invasor, mostrando que ele conseguiu chegar até os servidores da rede por meio da quebra de uma senha fácil do usuário. Bastou trocar a senha e o problema foi solucionado.
Outro ponto forte da parceria com a IBM, apontado por Sabino, é a integração ao QRadar do Tenable IO (nuvem), Tenable Security Center e o Tenable OT. Segundo ele, a incorporação desses recursos permite que as equipes de segurança aprimorem a tomada de decisões e correlacionem eventos para agir sobre falhas usando as descobertas de TI e OT.
“O novo cenário do crime cibernético exige uma nova geração de serviços gerenciados de segurança que sejam integrados, escaláveis, flexíveis e inteligentes o suficiente para fazer frente às ameaças emergentes e evitar ataques sofisticados”, finaliza o executivo.
