Como fazer o SIEM com um orçamento limitado

Um manual sobre eventos de segurança e gerenciamento de informações para empresas de pequeno e médio portes e outros departamentos de TI com recursos restritos.

Um software de gerenciamento de informações e eventos de segurança (SIEM) pode parecer a solução perfeita para oficinas de TI menores, em que os recursos são escassos e os profissionais de TI são constantemente solicitados a fazer mais com menos. Entretanto, a realidade que elas encontram é outra.

É certo que aquele 1% das organizações que tem dinheiro para torrar pode achar que o SIEM tradicional atende às suas necessidades, mas estamos falando dos outros 99%. A opinião desses profissionais de TI sobre a maioria das soluções de SIEM geralmente começa com a palavra “caro” e termina com “demorado e difícil de usar”.

Então, o que um profissional de TI médio deve fazer? Como encontrar um SIEM adequado às massas? Apresentamos aqui algumas dicas que podem ajudar. Pode-se dizer que se trata de um guia do comprador de SIEM para aqueles 99%.

Ainda não descarte o SIEM —Primeiro e mais importante, os profissionais de TI não devem desistir do SIEM com base nas histórias de terror que ouviram ou por terem tido uma experiência ruim. É verdade que o SIEM tradicional pode ser caro e demorado, mas isso se aplica, em grande parte, somente a produtos de SIEM empresariais. Hoje, existem opções de SIEM disponíveis para organizações de todos os portes.

Compreenda as necessidades —É importante para todos os profissionais de TI reconhecer que, ao explorarem as opções de SIEM, encontrarão distrações na forma de confusão induzida pelo fornecedor. Os profissionais de TI devem precaver-se com relação a isso identificando seus objetivos para a adoção de um SIEM. Provavelmente estarão entre eles: criação de relatórios de conformidade, monitoramento interno, maior capacidade de reconhecimento de ataques, validação de alertas do IPS e gerenciamento de respostas a incidentes.

Além disso, é provável que aqueles 99% queiram configurar o SIEM como um centro de operações de segurança (SOC) virtual – fazendo com que ele revolva os dados enquanto identifica e prioriza questões de segurança para acompanhamento. Se for essa a intenção, os profissionais de TI devem enfatizar uma funcionalidade simples e pronta para uso com menos foco na personalização.

Encontre a solução adequada —A maioria dos fornecedores de SIEM concentra seu foco em organizações de nível empresarial, o que costuma tornar seus produtos e soluções de SIEM muito caros ou difíceis de gerenciar para departamentos de segurança de TI de menor porte. Como as empresas de pequeno e médio portes e outros profissionais de TI com recursos restritos podem detectar uma solução inadequada antes de avançarem muito com o parceiro errado?

Devem consultar os sites dos fornecedores potenciais. Se a maior parte de seus materiais e mensagens de marketing girar em torno de big data, operações de SOC, mecanismos altamente personalizáveis de gerenciamento de riscos ou qualquer coisa “empresarial”, provavelmente não se trata de uma boa escolha. Em vez disso, esses profissionais de TI devem se concentrar em implantações de SOCs virtuais para programas de segurança menores.

Retorne aos princípios fundamentais —Evitar distrações por casos de uso periféricos está estreitamente relacionado com entender as necessidades específicas. Os produtos de SIEM têm muitos recursos atrativos. As possibilidades de configuração e os casos de uso do SIEM são infinitos. Não há dúvidas de que um sistema altamente personalizável pode ser útil em algum momento, mas também é importante ser realista quanto ao nível de personalização e ao subsequente comprometimento de tempo necessário.

Se um profissional de TI estiver tendo dificuldade apenas para manter os níveis mínimos de segurança de que precisa com os recursos atuais, deve concentrar seu foco nas noções básicas ao avaliar um SIEM. Com isso, conseguirá o que precisa sem ir além de suas possibilidades.

Priorize a capacidade de agir —Acima de tudo, os profissionais de TI precisam se dar conta de que em algum momento deverão perguntar-se “OK, temos um problema de segurança. E agora? O que fazer?” – se é que já não se perguntaram isso muitas vezes. A maioria das tecnologias de SIEM aponta os problemas de tal maneira que somente SOCs totalmente equipados que seguem processos bem planejados de resposta a incidentes em várias etapas podem responder. Por isso, além da inteligência, eficiência e automação que quase todas as ferramentas de SIEM podem proporcionar, um SIEM com capacidade de agir pode ser uma bênção para a TI de empresas de pequeno e médio portes. Os profissionais de TI devem priorizar funções que agreguem valor, como bloqueio, quarentena e outras proteções ativas, tanto automatizadas quanto por demanda.

Afinal de contas, a segurança torna-se cada vez mais importante, enquanto os orçamentos permanecem iguais. O SIEM pode contribuir muito para compensar esse fato, mas somente se feito da maneira correta. Profissionais de TI com recursos restritos devem enfatizar a usabilidade, a facilidade de implantação e o valor pronto para uso, ao mesmo tempo que evitam a complexidade pela priorização dos recursos e funções de que realmente precisam.

. Por: Mav Turner, diretor de marketing de produto, estratégia de negócio e segurança da SolarWinds.