Por João Sequeira (*)

Se há ditado popular que ouvimos com frequência é o célebre “casa roubada, trancas à porta”. Ou o dizemos a nós mesmos, quando somos vítimas de um assalto que podíamos ter evitado se tivéssemos feito algo nesse sentido, ou dizemos a terceiros quando o mesmo lhes acontece. E quantos casos já conhecemos de casas assaltadas através do método mais básico como a utilização de um cartão de plástico ou até mesmo de uma radiografia? E desta forma, básica, se perdem objetos de grande valor monetário mas acima de tudo sentimental. Só depois tomamos medidas que façam com que o mesmo não volte a acontecer. Mas, e se voltarmos a ser vítimas pela utilização de um novo método? Mais uma vez não seremos capazes de antecipar um novo assalto.

Comportamento reativo semelhante têm os SIEM (Security Information and Event Management), sistemas de vigilância e segurança utilizados pela maioria das empresas para salvaguardar os seus sistemas e dados. Ou seja, os SIEM limitam-se a detetar acontecimentos que impliquem um determinado risco de segurança. Voltando ao exemplo inicial, ao receber a informação de que um cartão de plástico na fechadura poderia por em causa a segurança da casa, um SIEM tradicional iria então verificar se existiria algum cartão de plástico na porta, no entanto continuando com o exemplo anterior, um SIEM seria incapaz de detetar o caso de utilizarmos a radiografia para abrir a porta até lhe termos indicado que deverá de procurar por radiografias nas fechaduras.

Contudo, existe ainda outra opção: um sistema inteligente capaz de detetar que uma fechadura com uma radiografia inserida não é algo normal e, sendo um elemento de segurança, a mesma representa um risco.

Podemos então antecipar novas e inesperadas formas de ataque sem as termos já experienciado? Claramente que sim! E podemos tratar de antecipar ataques de ciberdelinquentes de maneira proativa? No caso da cibersegurança e graças ao Big Data e aos avanços da Inteligência Artificial, sim! A resposta está num SIEM+.

Os sistemas de segurança de TI geram um volume de informação que, até há relativamente pouco tempo, não se podia gerir em tempo real. Se por um lado os fabricantes de SIEM foram evoluindo os seus produtos para dar resposta a uma crescente sofisticação dos ataques, o Big Data pressupõe uma alteração importante no paradigma dos sistemas de vigilância com SIEM.

Sair da rotina pode não ser bom

O Normal é não gostarmos da rotina, de repetir as mesmas ações diariamente. Quando falamos de segurança, é precisamente o contrário, uma vez que os problemas surgem quando estamos perante algo diferente. E é aqui que a análise prévia tem um papel fundamental.

A combinação da análise de dados com o Big Data, ou seja, a abundante quantidade de dados e variedade dos mesmos, padrões muitas vezes desconhecidos, juntamente com a necessidade de resposta rápida, obriga a uma mudança radical e disruptiva nos sistemas SIEM tradicionais.

Imaginemos que somos capazes de caracterizar e classificar automaticamente o comportamento dos colaboradores da empresa pela sua navegação na Internet. Sites que acedem, volume de dados, horário de atividade, etc. Podemos eventualmente ser capazes de verificar se têm alguma atividade “anormal” na rede num determinado momento, ou seja saíram da sua rotina.

Para isso podemos classificar automaticamente (sem necessidade de intervenção humana) os utilizadores pelos seus comportamentos de navegação em rede e sistemas de informação (com base na sua atividade durante um determinado período de tempo), e cruzar essa informação, por exemplo, com outras informações como posição na empresa, departamento, posto de trabalho ou participação em projetos. Esta classificação e cruzamento de dados permitem ainda detetar outras situações como por exemplo acesso a contas de utilizadores que já não pertencem à empresa, o que indicia utilização fraudulenta das mesmas.

Importa reforçar que o importante aqui é a segurança. Sabemos que limitar o acesso a alguns conteúdos online pode não ser bem visto e recebido pelos colaboradores mas, importa bastante proteger a segurança da informação e infra-estruturas da empresa.

A título de exemplo recente, na Capital One um lapso na configuração de uma WAF (Web Application Firewall) levou a que fossem extraídos os dados de mais de 100 Milhões de Clientes. Neste caso a WAF foi “enganada” e levada a ligar-se a servidores e extrair dados para os quais nunca deveria ter permissões, algo completamente fora da rotina deste componente/utilizador.

Em suma, quando nos focamos apenas naquilo que nos pedem para monitorizar, corremos o risco de não controlar situações imprevistas e que podem ser fatais para a segurança dos nossos sistemas.

Os avanços das tecnologias de processamento de dados (Big Data e Inteligência Artificial) permitem criar estes NG-SIEM com capacidades analíticas e previsíveis personalizadas, adaptadas às necessidades, ambiente e realidade da empresa.

(*) Diretor de Secure e-Solutions GMV Portugal