A Teoria e a Realidade do ROI do SIEM

Muitas coisas são escritas sobre SIEM, mas minha experiência pessoal com essas ferramentas maravilhosas começou em 2007. Hoje, a tecnologia tem mais de 18 anos e o SIEM é, sem dúvida, um mercado maduro. Junto com clientes, equipe e parceiros, tive o privilégio de participar ativamente de mais de cem projetos de SIEM em todo o mundo. Juntos construímos o SOC do zero, implementamos fontes de log críticas para SOX para cumprir prazos de auditoria rigorosos, ressuscitamos uma instalação de SIEM abandonada em meio dia para localizar pistas forenses e realizamos ajustes finos nas regras de correlação antifraude… e simplesmente tomamos uma boa quantidade de cerveja com empresas de todas as indústrias e partes do mundo enquanto discutíamos a história de vitórias e derrotas de projetos de SIEM. Sabe-se que mais de 40 mil organizações no mundo têm sistemas SIEM, portanto, esta é uma comunidade bastante grande e, claro, um mercado. O que é certo é que a história está longe de terminar, já que o próprio conceito de SIEM continua sua evolução. A maioria das organizações que não são indiferentes à cibersegurança já possui um SIEM de alguma forma. As fronteiras entre as tecnologias de SIEM estão borradas: há primeiras, segundas e terceiras gerações da plataforma, embora afirmar que IBM QRadar ou Micro Focus ArcSight são tecnologias de primeira geração e LogRhythm de segunda não seja totalmente correto, pois as tecnologias estão em constante evolução. Além disso, as afirmações de que Splunk e Elastic não são SIEM estão incorretas, já que possuem muitas propriedades e funcionalidades de SIEM.

Então, como SIEM e ROI se unem? Se olharmos para o ROI através dos olhos de qualquer negócio, isso significaria ou um lucro adicional ou uma redução de custos. Pode-se dar muitos exemplos sobre o retorno do investimento em segurança da informação, o suficiente para escrever um artigo separado, então, por ora, vamos nos concentrar no SIEM. É difícil acreditar que alguém invista nesses sistemas para ganhar dinheiro, então ficamos com o fator de redução de custos. Vamos tentar entender.

Como o SIEM aparece em nossas vidas?
5 motivadores básicos de ROI

1. Conformidade
2. Repositório central de logs
3. Forense
4. Centro de Operações de Segurança (SOC)
5. Herança

SIEM para Conformidade com PCI, SOX e HIPAA

Muito frequentemente, os SIEMs são comprados por instituições financeiras e bancos, uma vez que diferentes regulamentações de conformidade exigem a coleta e o processamento de dados de log. O PCI DSS exige a coleta centralizada de dados de log, armazená-los e retê-los em forma não modificada, fornecer trilha de auditoria de sua integridade (um requisito muito importante que nem todos os SIEMs podem cumprir até hoje) e, claro, monitorar eventos diariamente. Se precisamos cumprir com SOX, é necessário rastrear e lidar com incidentes de todos os sistemas críticos SOX e, dependendo disso, os auditores confiam ou não nos dados comerciais nos sistemas processados. Se os incidentes não foram tratados, a auditoria se torna muito mais cara. Outro exemplo é a conformidade HIPAA com a exigência de manter uma trilha de auditoria no acesso aos dados de pacientes por até 5 anos. Isso afeta principalmente a arquitetura de processamento de dados do SIEM: a flexibilidade das capacidades de integração de sistemas de terceiros, a eficiência e a estabilidade da agregação, algoritmos de compressão de dados, bem como o controle de integridade.

Então, que tipo de ROI o SIEM pode gerar para a Conformidade? O mais claro é a ausência de multas e penalidades devido a não apenas seguir, mas exceder os requisitos das regulamentações. Isso faz com que o retorno sobre o investimento do SIEM seja excelente, já que o investimento no projeto provavelmente será pelo menos 10 vezes menor do que a multa por violação de conformidade. É aconselhável criar um modelo de TCO de 5 anos, incluindo todas as despesas, como suporte, hardware, custo de software, custo da equipe, treinamento e programa de retenção. Então, combine o TCO com as possíveis economias em violações de Conformidade com base nos riscos que você enfrenta. Isso tornaria o ROI comprovado, não apenas no papel, e ajudaria a evitar erros de cálculo.

Repositório central de logs

A melhor maneira de calcular o ROI do uso do SIEM como repositório central de logs é bastante direta: determinar quais dados de log precisamos coletar e armazenar, quanto espaço eles ocuparão, especificações de hardware e carga de trabalho para essa tarefa. É necessário levar em conta todos os parâmetros, desde o espaço no HDD até o custo de 1 núcleo de CPU (especialmente implantações baseadas em nuvem e virtualização). Todos os sistemas de gerenciamento de logs e SIEM são muito bons em compactar os dados de log com eficiência de 2X a >10X, o que leva a economias diretas no armazenamento, mesmo se o enriquecimento e a normalização de dados forem realizados. A capacidade de determinado SIEM de ajustar granularmente a agregação e o filtro de dados de log melhorará diretamente a eficiência do armazenamento e o ROI. A agregação está presente em qualquer plataforma SIEM madura, basicamente todos os sistemas que você vê no Gartner têm algum tipo de agregação. As capacidades variam de fornecedor para fornecedor: muitas vezes é apenas um botão ligado/desligado, enquanto em outras tecnologias temos mais de 9000 parâmetros que podem ser configurados para se ajustar a qualquer infraestrutura.

Os SIEMs são construídos para suportar busca rápida e fornecimento oportuno de informações. Além disso, usamos a tecnologia para simplificar o backup e a gestão dos dados de log. Surpreendentemente, é muito mais fácil gerenciar um sistema centralizado de armazenamento de logs do que cuidar individualmente de cada fonte de log. Os arquivos criados pelo SIEM frequentemente têm controle de integridade embutido e são difíceis de adulterar: eles são ou criptografados ou criados como um único contêiner, onde romper a integridade do contêiner não passará despercebido. Todos os SIEMs maduros controlam a integridade de tais contêineres e a retenção de logs.

Frequentemente vemos como os projetos de SIEM surgem tanto como iniciativas de TI quanto de segurança, principalmente devido ao motivo de economias no armazenamento de dados de log. Isso é especialmente verdadeiro para as plataformas Splunk e Elasticsearch, pois ambas são mais adequadas para essa tarefa. Um cenário típico aqui é quando o departamento de TI recebe apoio da gestão e financiamento para o projeto, adquire a plataforma e depois a equipe de segurança obtém uma licença adicional como uma atualização, já que a integração das tecnologias do mesmo fornecedor reduz o TCO e simplifica o suporte.

ROI em operações proativas de Forense

Ter um armazenamento seguro centralizado de todos os dados de log abre caminho para o ROI em Forense: logs são armazenados em formato não modificado à prova de adulteração, suportam busca rápida, pivotagem e tudo isso é viável em tempo razoável se fizermos nossa implementação de SIEM corretamente. Assim, nossa investigação de incidentes pode ser realizada mais rapidamente e obter as evidências se torna mais simples. Quando realmente precisamos disso? Bem, se nossa experiência em segurança da informação nos ensinou algo, é que quando um incidente ocorre, a maioria das organizações não tem especialistas em tempo integral para conduzir uma investigação e essa responsabilidade recai sobre o departamento de segurança da informação (ou cibernética) de uma forma ou de outra. Apenas grandes empresas e organizações do setor público podem se dar ao luxo de alocar um funcionário para esses fins. E aos olhos do negócio, a forense é um custo significativo para a empresa que não pode ser evitado. Se o SIEM tiver todos os dados necessários, então um especialista CHFI conduzirá uma investigação muito mais rapidamente e se concentrará no principal objetivo – encontrar o adversário e a evidência. É muito mais fácil conduzir uma investigação quando os dados de log estão disponíveis em formato original, os relatórios predefinidos e exportações realmente existem e não demoram dias para serem recuperados, dumps de tráfego (PCAPs) estão disponíveis e podemos até mesmo ter eventos de segurança suspeitos, também conhecidos como estatísticas de incidentes, para construir melhor o quadro completo. Na situação oposta, o especialista forense terá que investigar profundamente e provavelmente viajar para o local e coletar pessoalmente os dados necessários dos servidores bit-a-bit. Na última situação, o tempo para realizar uma investigação adequada aumenta, o que aumenta diretamente os custos forenses ou diminui a qualidade a um ponto em que o resultado final pode ser decepcionante. Se o incidente nunca ocorreu, é praticamente impossível calcular o ROI em forense proativa. Porém, se olharmos para a tendência crescente de violações de dados, ataques APT e estatísticas de incidentes cibernéticos e abraçarmos a realidade, percebemos que mais cedo ou mais tarde qualquer organização será hackeada. E sofrer uma violação inevitavelmente leva a lidar com investigações forenses direta ou indiretamente para qualquer CISO.

SIEM e Forense na vida real

Há algum tempo, trabalhamos de perto com nosso parceiro na investigação de um possível ataque interno. Quando chegamos no local, não havia SIEM ou mesmo gerenciamento central de logs implantado e, assim como nos clássicos, alguém havia deletado logs onde quer que pudesse, backups não foram realizados, ACLs não estavam lá, não havia arquivos PCAP disponíveis. Analisamos imagens alvo, enviamos dados para o laboratório para recuperação, realizamos algumas explorações no darknet e cavamos… Como resultado, a gerência do cliente pagou por 5 dias de forense + tempo para relatório e apresentação, o que provou os rastros e danos do ataque interno, mas como a empresa não tinha gerenciamento de logs e SIEM, era impossível vincular esse ataque a uma pessoa específica, então a atribuição foi a melhor forma de finalizarmos a investigação. A empresa poderia ter investido mais recursos na recuperação de dados, mas a estimativa era de mais 30 dias, o que é, por todos os meios, uma empreitada bastante cara, então realmente não recomendamos isso. O cliente ficou satisfeito com o resultado, considerando que de fato não encontramos nada? Sim, eles obtiveram resultados de investigação oficial utilizáveis em tribunal. Embora, na minha opinião pessoal, esta seja uma razão muito cara para verificar se um sistema SIEM é necessário na empresa.

Há também um pequeno exemplo da história de sucesso do ROI do SIEM na investigação de um ataque APT em 2015-2016, quando atuamos como consultores na investigação de incidentes que… Ataque APT BlackEnergy. A empresa-alvo do APT estava realizando uma implementação de PoC de SIEM (neste caso, era o arcsight) que essencialmente ajudou a encontrar os códigos de log do Evento Microsoft que mostraram a sequência de instalação do novo serviço e descobrimos como os drivers maliciosos foram injetados no sistema. Como todos os logs de auditoria foram deletados nos sistemas atacados (BlackEnergy e KillDisk), o SIEM estava rodando em Unix e no segmento isolado, então o BlackEnergy não o alcançou (KillDisk para Unix não existia/não existe). Portanto, neste caso, o SIEM ajudou a preservar os rastros do ataque e foi a primeira pista para iniciar a investigação forense completa.

Medindo o ROI do SOC

O motivo mais comum para a implementação de SIEM é construir um centro de monitoramento proativo de incidentes de segurança para identificá-los a tempo e reduzir preventivamente os riscos. Então, basicamente, construir um SOC é um motivo comum para comprar SIEM. A principal tarefa do sistema SIEM em um SOC é realizar todos os tipos de correlação de eventos e encontrar o que o humano fisicamente não pode devido aos volumes de dados que precisam ser analisados. Hoje em dia, os SIEMs são capazes de processar bilhões de eventos por dia, centenas de milhares ou mesmo mais de um milhão de EPS e fornecer informações de forma adequada para análise rápida e com todas as ferramentas de investigação necessárias. Atender a esses requisitos une Conformidade, Forense e Repositório Central de Logs em torno do SOC e os eleva a um nível completamente novo.

Determinar o ROI do SOC é um grande assunto, porém, em sua essência, é necessário monitorar e contar todos os incidentes detectados e modelar os danos prevenidos em estágio inicial. É necessário construir e manter continuamente um modelo de ativos e rede da empresa, custo e valor dos ativos de TI, riscos aplicáveis, idealmente construir um modelo CVSS também. Com base no custo dos incidentes nesses ativos, será possível determinar o dano potencial prevenido. O próprio SIEM também economiza tempo para os analistas e ajuda a encontrar aquelas horas extras necessárias para outras tarefas de segurança, como responder a solicitações de auditoria e gerenciamento de riscos, realizar análises de causas raízes e investigações.

Casos de Uso de SIEM fazem uma herança valiosa

O último caso que frequentemente vemos é uma situação em que alguém herda o SIEM. Ninguém sabe por que o sistema foi adquirido em primeiro lugar porque os funcionários iniciais se foram, novos chegaram e essa situação se expande para todos os níveis, desde gerentes até especialistas de campo. Imagine isso: você chega para trabalhar em uma nova organização que tem um SIEM. A gestão diz: “Integrámos todos os logs de auditoria e isso custou à empresa várias dezenas / milhões de dólares… Claro que você pode fazer algo com isso? Quero dizer, a tarefa em questão é bem simples, temos documentos, a tecnologia é madura e tudo está funcionando quase perfeitamente! Apenas alguns ajustes são necessários aqui e ali e obteremos total conscientização de segurança e visibilidade de rede. Isso seria muito útil!” Um projeto ambicioso de SIEM ou até mesmo SOC deve ser iniciado com algo simples. Este é na verdade o ROI em sua forma mais pura. Aqui precisamos focar em vitórias rápidas para mostrar que a tecnologia foi comprada por uma boa razão. Para ter sucesso nesta tarefa, é melhor selecionar Casos de Uso que já foram construídos e testados para as tecnologias que você tem na sua organização e selecionar soluções específicas para ameaças e riscos que são mais ativos no ambiente externo, como Ransomware, APT, Monitoramento do Windows, VPN, segurança SSL. E então precisaríamos rapidamente ajustá-los para corresponder aos motivadores de ROI.

Por que o ROI do SIEM é tão bom na teoria e ainda assim tão distante da realidade?

Uma lição de observar mais de cem implementações: só porque um sistema SIEM é implementado na organização, não significa que ele coleta todos os dados que foram planejados e conectados durante a fase inicial de integração. A integração é um processo, chame-o de contínuo, se quiser. E a falta de dados = ausência de ROI. E não se trata apenas de aquisição: como qualquer sistema analítico, o SIEM segue o princípio “lixo entra = lixo sai”. Simplificando, ele não produzirá bons resultados se os desafios de dados forem ignorados e, em um caso de auditoria de conformidade, os dados exigidos podem não estar disponíveis se a Qualidade dos Dados e a Aquisição de Dados não forem monitoradas. Também sabemos que a infraestrutura de TI de qualquer empresa não é estática, a arquitetura está mudando constantemente à medida que novos serviços são introduzidos e desativados, o formato e o transporte dos dados de log mudam, as configurações de firmware e OS mudam e isso torna a análise de eventos para garantir a Qualidade dos Dados um processo que precisa ser continuamente refinado. Se a qualidade não for controlada com pelo menos 0,25 FTE para a tarefa, então a utilidade dos dados estará constantemente diminuindo e no momento de, digamos, uma auditoria PCI, a empresa pode não passar. Problemas de desempenho também podem levar a uma situação onde os relatórios falham exatamente quando você precisa deles e geralmente é quando auditores ou gerência os solicitam “para ontem”. Isso é especialmente crítico para o SOX.

O SIEM não é autossuficiente: independentemente de ser software em premissas ou um SaaS, ele precisa de pessoal treinado que seja parte da equipe interna ou parte de um serviço terceirizado. O cálculo incorreto do investimento acontece com bastante frequência em projetos de SIEM. Os investimentos na tecnologia SIEM durante os primeiros 5 anos devem representar apenas 20-30% do orçamento total do projeto. É preciso investir em equipamentos e na equipe, especialmente em treinamento, retenção de pessoal e escalonamento das operações. Outro erro é assumir que a compra de SIEM reduzirá significativamente a carga de trabalho, pelo contrário, isso na verdade trará uma série de novas tarefas e habilidades requeridas. Seus especialistas simplesmente recebem uma oportunidade de trabalhar com grandes quantidades de dados de segurança, analisá-los e dar-lhes significado para reduzir riscos, algo que antes era impossível. Assim, o planejamento inadequado de recursos é outro motivo pelo qual não é possível obter um ROI do SIEM.

Finalmente, uma abordagem para a implementação de Casos de Uso para SIEM requer a compreensão de que os casos de uso não são implementados como uma coisa única, e sua qualidade se degradará rapidamente se não forem melhorados e ajustados continuamente. A solução mais eficaz e ao mesmo tempo simples aqui é usar casos de uso já disponíveis e não reinventar a roda (casos para monitoramento do Windows, Cisco, antivírus, etc.). É necessário concentrar os esforços da equipe no desenvolvimento de casos de uso específicos para sua organização. Para verificar se você está construindo casos de uso necessários: se o caso de uso puder ser copiado para o SIEM de outra empresa e funcionar lá com o mesmo valor, isso significa que é universal. E há uma alta probabilidade de que já esteja disponível como pacote freemium ou comercial que requer pouca ou nenhuma configuração para produzir valor de segurança.

Assim, podemos definir 5 processos que garantem um ROI positivo do SIEM

1. Monitorar e manter a Aquisição de Dados e a Qualidade dos Dados
2. Monitorar, manter e continuamente melhorar os Casos de Uso SIEM
3. Planejamento técnico adequado do projeto e arquitetura
4. Planejar e ajustar FTE antecipadamente para prevenir sobrecarga da equipe
5. Um plano claro de investimento na equipe: treinamento, retenção e desenvolvimento

Então, aqui temos as principais maneiras de obter ROI do SIEM e algumas razões pelas quais elas nem sempre funcionam como pretendido. Qual é a sua experiência em obter ROI de um SIEM?