O humilde log de segurança, não tão chamativo quanto as ferramentas de segurança, como o gerenciamento de informações e eventos de segurança (SIEM, Security Information and Event Management) e a detecção e resposta estendidas (XDR, Extended Detection and Response), precisa ser eliminado e colocado em ação por mais equipes de segurança. Na verdade, a qualidade dos dados de log pode determinar a resiliência cibernética de uma organização.
Graças ao acesso mais fácil e rápido aos dados, os logs de segurança, os dados brutos que fazem os produtos digitais flashy fazerem sua mágica, podem ser a chave para evitar um ataque cibernético, responder o mais rápido possível a uma violação quando os tempos de breakout estão caindo para apenas 48 minutos e entender detalhes críticos de incidentes de segurança após eles ocorrerem.
Como os logs de segurança podem reforçar a resiliência
Uma solução de análise de logs pode monitorar continuamente logs de segurança para aumentar a conscientização sobre incidentes de segurança, seja sobre acesso não autorizado, uma violação das políticas de segurança, uma alteração nos dados ou configurações do sistema sem as permissões certas ou um ataque direto. Se um indicador de comprometimento (IoC, indicator of compromise) for sinalizado, as soluções de análise de log podem atuar como um sistema de alerta precoce, oferecendo uma oportunidade de impedir o avanço de um invasor. Os recursos de detecção também podem ser usados para testar cenários e hipóteses de segurança e realizar a caça proativa a ameaças.
“Essa infiltração mais rápida deixa as organizações com ainda menos tempo para responder, tornando as defesas automatizadas essenciais para combinar e superar a velocidade dos adversários.” Irene Fuentes McDonnell, pesquisadora de ameaças cibernéticas da ReliaQuest
Forbes.com
Depois de identificar e corrigir um incidente de segurança, é essencial rastrear o evento até o início. Os logs de segurança podem ser usados para identificar a pessoa ou o dispositivo que infiltrou o sistema, ver como eles entraram, saber exatamente o que fizeram e quando, e determinar se a ameaça está em andamento. Essa tarefa forense é uma parte essencial da recuperação após o evento. Sem ele, sua equipe de TI não saberá quais sistemas estão vulneráveis ou como corrigi-los.
A vantagem da velocidade? Visibilidade
Registros rápidos de segurança são importantes, muito. Quando os hackers obtêm acesso a uma rede, eles podem permanecer por dias ou até semanas antes que as pessoas ou a tecnologia detectem sua presença. Embora não sejam detectados, os invasores coletam credenciais de administrador e se preparam para exfiltrar dados ou ativar ransomware. Tomar medidas oportunas depende de ter visibilidade quase em tempo real, e isso requer logs de segurança que sejam ativados e usados corretamente.
1. Escolha uma solução avançada de análise de log.
Em um único dia, os servidores, a rede e os dispositivos do usuário final podem gerar centenas de milhares, até milhões, de entradas de log. Um estudo descobriu que uma empresa média acumulará até 4GB de dados de log todos os dias. Esse acúmulo de dados será inútil sem as ferramentas necessárias para analisá-lo adequadamente.
Concentre-se em colocar a ferramenta de análise certa em cima do registro de segurança em três áreas principais: rede, endpoints e usuários finais. Depois de coletar e analisar os logs, uma ferramenta de orquestração pode enriquecer os dados que são transmitidos aos seus caçadores de ameaças para que eles tenham um conjunto de informações selecionadas para começar a revisão.
2. Registre tudo.
Visibilidade não se trata apenas de profundidade, mas também amplitude. Você não sabe onde ocorrerá uma tentativa de violação, portanto, ter logs em toda a infraestrutura pode economizar tempo no futuro. Também é essencial que sua ferramenta de registro agregue, correlacione e analise dados em todos esses vários tipos e fontes de dados e permita a integração de dados contextuais.
3. Proteja os logs.
Não é de surpreender que os logs de segurança possam ser de grande interesse para os hackers, por isso é importante mantê-los bem protegidos. Para proteger logs de segurança, você pode:
- Criptografe ou proteja-os com senha.
- Faça arquivos de log apenas anexados, o que significa que um usuário pode adicionar aos logs, mas não pode alterar ou apagar o que já existe, ou usar logs de auditoria inalteráveis para garantir precisão.
- Crie cópias de arquivos de log e armazene-as em vários ambientes.
- Armazene arquivos de log em um sistema ou servidor separado.
- Ocultar arquivos de log no sistema.
- Use mídia de gravação única para salvar arquivos de log.
Os recursos necessários para multiplicar o valor dos logs
Os logs de segurança e os sistemas usados para analisá-los, como Splunk e Elastic, precisam desses recursos:
- Processamento em tempo real com desempenho de pesquisa e consulta que é reproduzível, não importa o tamanho do log. Isso exige alta taxa de transferência, baixa latência e desempenho uniforme ajustado para qualquer cenário ou escala.
- Redução de dados integrada e expansão sob demanda para registrar e reter mais dados por mais tempo, para a análise mais rica possível.
- Fácil escalabilidade para várias cargas de trabalho, consultas simultâneas e padrões de dados variáveis para acomodar análise rápida de conjuntos de dados de vários petabytes.
- Vários logs que correlacionam dados entre redes, endpoints e usuários finais.
- Simplicidade de gerenciamento para que você crie facilmente novas consultas e reduza a complexidade.
Alcançar esse nível de desempenho requer uma infraestrutura de back-end que possa suportá-lo. Sem um poderoso back-end de armazenamento de dados, a realidade é que até mesmo consultas de correlação bem-sucedidas podem ser muito lentas para revelar ameaças a tempo de evitar danos.
Quando você está procurando essa agulha sorrateira no palheiro do ambiente de segurança, pense no armazenamento de dados incrivelmente eficiente como um ímã para levar essa agulha até o topo. Ele faz um trabalho rápido de detecção e análise de ameaças. Mas se o armazenamento for lento, o data lake for muito grande ou as consultas forem mal gravadas, pode levar horas ou até dias de pesquisa para identificar um problema ou ameaça potencial.
Como a Pure Storage e nossos parceiros podem ajudar
O FlashBlade® ou o FlashArray (FlashBlade®) da Pure Storage® consolida todos os seus arquivos de log e se integra perfeitamente até mesmo às plataformas de análise de log mais avançadas, incluindo soluções de nossos parceiros, Elastic e Splunk. O FlashBlade e o FlashArray oferecem insights mais rápidos a um custo total de propriedade menor.
O FlashBlade e o FlashArray protegem seus logs de segurança ainda mais. Ao executar a solução em nosso recurso SafeMode .com análise de log Splunk ou Elastic, você garante que seus logs não possam ser excluídos. Dessa forma, você pode se recuperar com confiança após uma violação de segurança e terá as informações necessárias para analisar o evento e tomar medidas para evitar que ele aconteça novamente.
Independentemente de quantas soluções de segurança você implantar, seja controle de acesso à rede, proteção contra perda de dados, firewalls, sistemas de prevenção contra invasões, gerenciamento de acesso à identidade, corretores de segurança de acesso à nuvem, antimalware, detecção de endpoints ou todos os itens acima, é essencial ter um plano de ação para detectar e corrigir uma violação de segurança quando ou se ocorrer.
3 Security Log Mistakes to Avoid
Learn how to tap into this data analytics goldmine.
