[CYBERSECURITY] IDS/IPS, syslog, SIEM e SOAR: ferramentas para monitoramento de redes

Em um contexto corporativo onde se têm diversos dispositivos, usuários e ativos valiosos, uma das etapas mais importantes para a equipe de segurança é o monitoramento da rede e dos sistemas. O monitoramento auxilia na prevenção de ataques, garante a disponibilidade do sistema e dos recursos, serve na manutenção das conformidades regulatórias e na identificação de padrões e tendências de uso e comportamento de usuários. Investir em segurança digital é mais econômico do que lidar com as consequências de um possível ataque. Para isso os profissionais de SOC (Security Operations Center) contam com diversas ferramentas: os sistemas de detecção e prevenção de incidentes (IDS e IPS), syslogs, SIEM e SOAR são grandes aliadas.

Sistema (s.m.) – conjunto de elementos, concretos ou abstratos, intelectualmente organizados.

Quando se trabalha com monitoramento de redes corporativas, há diversos sistemas alternativos e, dentro desses sistemas, existem algumas ferramentas disponíveis para integração. Vamos falar sobre algumas delas.

IDS (Intrusion Detection System)

Como o próprio nome diz, o IDS é o sistema que atua na detecção de uma ameaça ou incidente. Deve ser configurado conforme a necessidade da empresa para monitorar o tráfego de dados na busca de possíveis atividades suspeitas ou anomalias (interações que divergem de um padrão comportamental). Normalmente, o IDS compara pacotes de rede com um banco de dados de incidentes já reconhecidos que chamamos de assinaturas (signatures). Se uma combinação for encontrada, o IDS tem a capacidade de registrar esse evento e criar um alerta à equipe de SOC.

Porém, vale ressaltar que o IDS é responsável somente pela detecção e registro; ele não deve atuar em cima do incidente.

IPS (Intrusion Prevention System)

Enquanto o IDS detecta e gera alerta de atividades suspeitas, o IPS é um sistema configurado para intervir e prevenir intrusões. Por exemplo, o IPS pode ser preparado com regras pré-definidas (playbook) para bloquear e negar tráfego suspeito. Inclusive, IDS e IPS já são funções incluídas nos firewalls de nova geração.

Além de sistemas de monitoramento como IDS e IPS, os SOCs contam com outras ferramentas cruciais que devem ser integradas nas atividades de detecção e prevenção de incidentes. Em um cenário de ataque, possuir os registros detalhados dos eventos pode ser muito útil na investigação e para a equipe de forense. Uma opção é o syslog.

SYSLOG

O syslog é um aplicativo especializado em receber e registrar logs em um servidor centralizado. Os logs são um conjunto de informações e interações dos usuários na rede. O syslog é muito útil no ambiente corporativo por concentrar em um único lugar todos os logs, facilitando a administração dos eventos e análise. No entanto, a ferramenta registra inúmeros eventos, inclusive os que não oferecem perigo por serem interações normais entre usuário e sistema. Vamos ao exemplo: é natural que um usuário esqueça uma senha complexa e precise tentar digitar 3 vezes em um intervalo de 1 minuto até conseguir logar. Mas não é normal um usuário fazer 10 tentativas de senha em 1 segundo. Essa quantidade de tentativas em um período x de tempo é registrada como log para que se inicie a investigação.

Se a verificação manual não é nada prática - para não dizer impossível –, como diferenciar um log suspeito de um log normal? Eis a importância da automação na análise dos registros.

SIEM (Security Information and Event Management)

O SIEM automatiza o processo de leitura dos registros advindos de diversas fontes. A ferramenta é responsável por verificar os logs e gerar alertas para a equipe de SOC no caso de eventos suspeitos ou registros que fogem do padrão, fornecendo uma resposta ao incidente mais rápida e precisa.

SOAR (Security Orchestration, Automation and Response)

Outra ferramenta importante é o SOAR que irá responder de forma inteligente e automatizada através de um comando contra a ameaça. Essa resposta precisa ser pré-definida pela equipe do SOC em um playbook e é neste playbook que o SOAR irá buscar a instrução de resposta para o tipo de ameaça detectada.

Todas essas ferramentas estão inter-relacionadas e fazem parte do ecossistema de segurança cibernética de uma organização. Através de um syslog, um IDS pode alimentar dados ao SIEM, que pode fazer uma correlação dos eventos e acionar uma resposta automática através de uma plataforma SOAR. Estes elementos da rede precisam ter seus logs devidamente configurados e direcionados para o SIEM e SOAR para funcionarem de forma eficaz. Existem diversas empresas no mercado que fornecem soluções SIEM e SOAR e as plataformas devem ser escolhidas conforme a necessidade específica da empresa.