Conheça cinco armadilhas da análise de dados e saiba como evitá-las

análise de segurança

Muitas empresas consideram implementar análises de segurança para ajudar a reforçar seus recursos de detecção de brechas, falhas ou intrusos. Aquelas que iniciam a exploração das tecnologias de segurança e coleta de logs geralmente pensam que podem detectar violações simplesmente enviando esses logs para um servidor central de análise. Os logs são necessários, mas é preciso muito mais esforço para compreendê-los do que a maioria das pessoas pensa.

Aqui estão cinco armadilhas que as empresas encontram quando tentam extrair proativamente seus logs e investigar incidentes de segurança:

  1. Existem muitos logs e a maioria das empresas precisam armazenar centenas de milhões de eventos todos os dias. Dispositivos de rede, terminais, sistemas de segurança, aplicativos, dispositivos de armazenamento, proxies. Todos eles criam eventos e cada tipo de dispositivo e fornecedor grava logs à sua maneira.

  2. Esses logs não são utilizáveis em sua forma bruta. É preciso analisá-los ou reconhecer os objetos que eles descrevem – se é um dispositivo, um usuário, um evento de logon, etc. Até que os logs sejam analisados, não há como relacionar os objetos em um log com os objetos em outro – que pode ser necessários  para análises forenses e proativas. Isso é mais difícil porque os logs não são padronizados e, por isso, cada formato deve ser analisado. Além disso, alguns logs usam algumas várias linhas para descrever um único evento e outros são gravados fora de ordem.

  3. Mesmo após a análise adequada dos logs, eles ainda não têm contexto. Quem é o usuário e o que ele está fazendo? Qual a máquina utilizada? Em que local ele está? Os analistas gastam muito tempo procurando esse tipo de informação para determinar a natureza do evento ou se ele se qualifica como um evento de segurança.

  4. Como esses logs não têm contexto, não mostram conexões com eventos que aconteceram antes ou em diferentes sistemas. Eles não indicam se algum dado acessado é sensível ou se há algo incomum no evento. Os analistas frequentemente revisam milhares de eventos para criar contexto suficiente para entender e responder a um único incidente.
  5. A trilha geralmente fica fria quando se trata da pergunta mais crítica: nossos dados estão seguros? Isso ocorre porque as atividades de acesso a dados frequentemente não são capturadas, armazenadas ou analisadas. Por exemplo, muitas organizações não capturam nem armazenam informações sobre como os usuários interagem com arquivos ou e-mails – um dos maiores focos de violação de dados.

Essas armadilhas ajudam a explicar por que os logs brutos produzem relativamente poucos alertas significativos e a sua investigação exige muita habilidade e tempo.

Coleta inteligente

Embora um servidor syslog possa coletar com satisfação todos os logs brutos, eles ocupam muito espaço em disco, exigem muito poder de processamento e acabam não sendo muito bons. É mais eficiente e vantajoso fazer um trabalho de processamento, remoção e análise a montante. Soluções de análise de segurança podem remover os logs brutos no ponto de coleta, reduzindo potencialmente a quantidade de dados em até 80%. Analisando e resolvendo alguns dos logs (um usuário fazendo login, por exemplo), esses logs são preparados para uma rápida análise central e que pode até executar alguns diagnósticos e alertas no ponto de coleta.

Por exemplo, um coletor inteligente pode gerar um alerta em quase tempo real quando um usuário específico tenta fazer login em uma VPN (em vez de esperar que os logs sejam revisados e analisados por um servidor central).

Uma análise eficaz requer um contexto sobre usuários, sistemas e dados. Sem esse contexto, é muito difícil diferenciar algo importante. Não apenas os eventos precisam ser enriquecidos para um processamento eficiente, mas o contexto deve ser construído e refinado ao longo do tempo. Usuários acessam diferentes dados, em diferentes estações de trabalho, em diferentes horários e locais. É aqui que o aprendizado de máquina pode ser realmente eficaz, criando e mantendo linhas de base do comportamento normal para as interações entre todos os usuários, sistemas e dados.

O uso correto dos dados

A análise de segurança combina a coleta inteligente dos dados, análise e enriquecimento com aprendizado de máquinas. Assim reduz o número geral de alertas e reduz o tempo necessário para investigá-los. Com menos alertas, os analistas têm uma chance maior de detectar incidentes reais de segurança de forma mais rápida.

Se a empresa precisa consolidar um log, ou percebe que a solução utilizada é muito lenta, investir em uma solução de análise de segurança pode aumentar a chance de capturar eventos importantes de segurança.

Proteja seus dados onde quer que eles estejam. Dados não estruturados são seus maiores e mais vulneráveis bens e podem estar espalhados por todos os lados.  Com a solução Varonis DatAdvantage é possível monitorar e analisar cada toque em cada arquivo. Faça um teste gratuito.