Segurança para o setor público: quatro considerações para implementar um SIEM moderno

Se você trabalha em uma organização do setor público, sabe que a segurança vem em primeiro lugar. Uma das melhores maneiras de proteger seus dados e sistemas é por meio de uma plataforma de SIEM moderna, que muitas agências governamentais e instituições educacionais estão usando como uma peça crucial de sua arquitetura de segurança cibernética Zero Trust.

A tecnologia e a estratégia de SIEM estão em constante mudança, e acompanhar as atualizações e os requisitos mais recentes pode ser um desafio. Se você está começando agora a trabalhar com SIEM ou está pensando em ampliar seu SIEM atual, aqui estão algumas considerações a ter em mente o setor público.

Voltando ao básico: o que é o SIEM?

Para quem não conhece, o SIEM, ou gerenciamento de eventos e informações de segurança, é um sistema de gerenciamento de segurança que analisa de forma holística os dados de várias fontes, detecta problemas e toma medidas. A tecnologia de SIEM combina SIM (gerenciamento de informações de segurança) e SEM (gerenciamento de eventos de segurança) e tem o logging como elemento central de sua funcionalidade.

Dependendo do tamanho e escopo da sua organização, você pode já ter um SIEM ou ter um e precisar reavaliar — 47% das organizações do setor público no mundo inteiro dizem que substituirão ou ampliarão seu SIEM.

De acordo com a FedTech Magazine, a adoção de tecnologias de SIEM avançadas está aumentando nas agências federais dos EUA, devido à orientação do NIST e aos requisitos de logging atualizados. No Reino Unido, as funcionalidades de SIEM são tão cruciais que o National Cyber Security Center (NCSC) publicou orientações sobre como as organizações podem configurar funções básicas de logging para fins de segurança cibernética, como um primeiro passo antes mesmo de ter um SIEM, observando que o logging é “crucial se você quer detectar e capturar invasores cibernéticos”.

Por que o SIEM é importante para o setor público agora? 

As ameaças cibernéticas estão aumentando e se tornando mais direcionadas. Há uma expectativa de que o crime cibernético cresça 15% ano a ano até 2025, de acordo com a Cybercrime Magazine. E o custo médio global de uma violação de dados é de US$ 4,35 milhões e ainda mais alto nos EUA, com US$ 9,44 milhões. O setor público continua sendo um alvo para crimes cibernéticos, devido ao uso de dados altamente sensíveis, como registros de saúde, identidades de cidadãos e muitos outros. Globalmente, o setor educacional sofre o maior número de ataques cibernéticos, seguido pelo governo.

Os dados estão se multiplicando e os SIEMs podem ser ampliados. Atualmente, não é incomum que as conversas sobre dados se concentrem na palavra “petabytes”. O uso de dados certamente não diminuirá tão cedo. A tecnologia de SIEM pode agregar todas essas informações de qualquer fonte e permitir que as equipes de TI encontrem anomalias em tempo real, contendo as ameaças de forma proativa, antes que tenham tempo de se infiltrar em sua organização ou afetar seus eleitores. E como os dados vêm em várias formas (como estruturados e não estruturados), um SIEM capaz de filtrar ambos os tipos vale seu peso em ouro.

O SIEM otimiza as ferramentas para equipes de TI e segurança. Equipes do setor público estão competindo com organizações do setor privado por talentos de TI e segurança, e frequentemente saem perdendo. As equipes com poucos recursos têm muitos dados para explorar por conta própria, tornando a automação e a consolidação de dados em escala absolutamente essenciais, juntamente com a capacidade de agregar em uma única visualização. Além disso, as soluções baseadas em nuvem ajudam a colocar as ferramentas de SIEM dentro de um intervalo de acessibilidade para agências e organizações menores que podiam antes não ter tido recursos para uma solução no local.

O SIEM capacita as equipes a tomar decisões de missão crítica rapidamente. Com um único agente unificado, você pode aprofundar a visibilidade do host, bloquear ransomware e malware, simplificar a inspeção e invocar ações de resposta remota. Isso é crucial em um ambiente de segurança cibernética no qual cada segundo conta e de onde os dados podem vir ou ir para ambientes críticos, como o campo de batalha.

Quais são algumas das principais considerações para uma implementação bem-sucedida de SIEM no setor público?

Há uma série de considerações a observar ao escolher sua solução de SIEM — como a frequência com que você adiciona fontes de dados, o tamanho da sua equipe e como são seus processos atuais. Além dos fatores mais comuns, especificamente para o setor público, recomendamos ter o seguinte em mente: 

1) Capacidade de fazer buscas em logs anteriores 

Diretivas recentes, como a M-21-31 nos EUA, concentram-se na capacidade de investigar o verdadeiro histórico de ataques de longa permanência e exigem que as agências retenham logs de períodos mais longos (para a M-21-31, desde 72 horas para dados de captura de pacote completo a 12 meses para armazenamento ativo e 18 meses para dados de armazenamento cold). Esses requisitos implicam prazos significativamente mais longos do que os estipulados anteriormente, portanto, devem ter prioridade na sua busca pela solução de SIEM certa. Muitos SIEMs legados mantêm apenas 30 dias de dados e forçam os dados mais antigos a ir para o armazenamento cold, o que se torna muito caro e complicado de gerenciar.

2) Velocidade em escala 

Conforme sua organização for aumentando o uso de dados, como inevitavelmente acontecerá, você não poderá abrir mão da velocidade. Quando se trata de dados de missão crítica, cada milissegundo faz diferença. Considere não apenas a velocidade de uma solução de SIEM agora, com as fontes de dados que você usa atualmente, mas projete quantos dados você pode consumir no futuro e se a velocidade será afetada pelo aumento. Além disso, se você não conseguir fazer buscas nesses dados rapidamente, sua agência estará desperdiçando recursos da equipe. A maioriadas equipes de segurança do setor público simplesmente não podem se dar ao luxo de restaurar arquivos para o SIEM. Nesse caso, é essencial ter uma camada frozen na qual se possam fazer buscas.

3) Requisitos e custos de armazenamento de log 

Preste atenção em como o provedor de SIEM estrutura suas taxas. Muitas plataformas de SIEM legadas baseiam o custo de licenciamento na quantidade de armazenamento diário que você está usando. Esse modelo de preços rapidamente se tornará incontrolável para muitas agências do setor público que estão experimentando um aumento significativo nas coletas de log devido a recentes mandatos de segurança cibernética. Procure uma solução flexível que se adapte à sua organização.

4) No local ou na nuvem 

É importante saber quanta flexibilidade os provedores de soluções estão oferecendo na nuvem e no local. Algumas soluções de SIEM estão disponíveis apenas na nuvem, o que pode ser um obstáculo para organizações do setor público que precisam de uma solução local ou, pelo menos, a possibilidade de optar por ela. Se você tem interesse na nuvem, certifique-se de que todas as soluções de SIEM baseadas em nuvem estejam alinhadas com quaisquer exigências e regulamentos de conformidade relevantes do governo, como o FedRAMP. 

Saiba mais sobre o SIEM para o setor público

• Leia a lista de verificação “Cinco sinais de que você precisa ampliar seu SIEM”
• Baixe o SIEM Buyer’s Guide (Guia do comprador de SIEM)