As dificuldades na análise e visualização de Eventos de Segurança

Um dos grandes desafios para as empresas é a análise de eventos de segurança, seja pela falta de pessoal qualificado ou apenas pelo volume enorme de informações a serem analisadas. Isso sem falar em alguns produtos que simplesmente não subsidiam os analistas com informações de qualidade.

A apresentação de resultados para a área gestora comumente falha por excesso de "tecnês". Na grande maioria das vezes, o gestor não está muito preocupado se houve ataques de "Unicode cnontra o servidor IIS", ou se alguém tentou derrubar o servidor Apache através do "Apache Killer". Na prática, o que importa é se aquelas ferramentas de segurança, que custaram uma boa parte do orçamento (ou o total), atingiram o seu principal objetivo: o de impedir a interrupção do negócio ou o vazamento de informações.

É importante a utilização de formas alternativas de visualização de dados extraídos dessas ferramentas. Uma excelente fonte de consulta a respeito deste tema é o livro "Applied Security Visualization", de Raffael Marty, editora Addison-Wesley. O material aborda de forma bem didática, e através de ótimos exemplos, a arte de apresentar os dados de segurança da informação. Recomendo fortemente essa obra a todos aqueles que têm a responsabilidade de mostrar os resultados para a alta gerência, especialmente aos que querem mostrar o retorno sobre o investimento, e também querem fugir dos convencionais gráficos de pizza e ba rras.

Outra abordagem interessante, e que cada vez mais tem se integrado ao mundo da Segurança da Informação é o conceito de "Big Data". Esse conceito se refere à grande quantidade de dados (volume), originados a partir de diversos dispositivos diferentes (variedade) e muito rapidamente (velocidade). Este foi, inclusive, um tema recorrente na última RSA Conference - que aconteceu no final de fevereiro, em São Francisco. Um exemplo da utilização desse conceito em ferramentas de segurança é o FireAMP, solução anti-malware lançada recentemente pela Sourcefire. A f igura abaixo mostra a facilidade em visualizar os maiores grupos de máquinas (tamanho dos retângulos), bem como aqueles que estão com maior incidência de malwares (em vermelho).

Para ampliar a imagem, clique sobre ela.

É inegável o desafio de analisar e apresentar corretamente os eventos de segurança, principalmente porque precisamos responder rapidamente às ameaças. Fica cada vez mais claro que relatórios estáticos, baseados somente em tabelas e textos, torna o processo de análise muito maçante e que, na maioria das vezes, não produz o efeito necessário que é mostrar o valor dos investimentos feitos em Segurança da Informação e responder corretamente às ameaças.

. Por: Paulo Braga, engenheiro de segurança da Sourcefire e possui mais de 20 anos de experiência em tecnologia da informação, sendo sendo 12 anos dedicados ao tema Segurança da Informação.