Blue team
Os SIEMs têm vindo a evoluir e atualmente já processam eventos de qualquer tipo de dispositivo que se ligue à organização, sejam eles dispositivos IT, dispositivos móveis (smartphones), Internet das Coisas (IoT) ou tecnologia industrial (OT)
Por João Ferro, SOC Manager and Cybersecurity Specialist, Noesis . 02/06/2023
Analisam comportamentos de dispositivos e utilizadores, detetam comportamentos de risco ou desvios no comportamento habitual dos utilizadores e dependendo do nivel de maturidade das regras implementadas no SIEM respondem de forma automática a eventos de segurança, possuem ainda ferramentas de investigação e gestão de incidentes e elaboram relatórios com KPI`s de avaliação de performance do SOC. As plataformas mais avançadas incorporam também algoritmos de inteligência artificial (IA) e aprendizagem de máquina (ML) para analisar logs e tendências de forma a identificar proativamente novos alertas, ameaças e gerir riscos. Machine Learning que é a aprendizagem de máquina (ML), e a inteligência artificial (IA) surgiram como ferramentas críticas para lidar com o volume e a complexidade cada vez maior de ameaças à segurança cibernética. As máquinas conseguem reconhecer padrões que levam à deteção de malware e de atividades incomuns melhor do que os seres humanos e os softwares clássicos. Esta tecnologia tem também a possibilidade de prever possíveis ataques e responder automáticamente às ameaças identificando tendências e ciclos específicos. É comum ter incidentes ou alertas semelhantes que exigem a mesma resposta. Em vez de repetir o mesmo procedimento, às vezes manualmente, o sistema pode detetar o evento, identificar e categorizar o incidente e, em seguida, aplicar a correção automáticamente. A análise comportamental, designada por UEBA, que faz a análise do comportamento de utilizadores e entidades, é uma das aplicações de segurança mais promissoras do Machine Learning. As ferramentas UEBA procuram atividades novas ou inesperadas na rede para detetar ameaças. Estas ferramentas podem ser particularmente úteis para a defesa contra ameaças de dia zero (zero day) ou ameaças préviamente desconhecidas. O cenário das ameaças cibernéticas está em constante evolução e cada vez mais os cibercriminosos usam também a IA para criar ataques sofisticados, de forma tentar evitar a sua detecção e ultrapassar as defesas clássicas, enganando os algoritmos e até a usando tecnologia semelhante para comprometer os sistemas. O ChatGPT pode já ter sido usado como ferramenta para hackers criarem ransomware, ofuscar malware e outras explorações, e ainda utilizar habilidades de engenharia social que permitem criar e-mails e conteúdos de phishing sofisticados e de difícil deteção. Este é o novo paradigma na corrida à segurança cibernética, com novos desafios para atacantes e defensores a tentarem adaptar-se às inovações de ambos os lados na tentativa de ganhar vantagem no cenário cibernético. Na perspectiva de quem a ataca, a IA permite agilizar e tornar as técnicas, táticas e procedimentos de ataque mais eficázes e sofisticados. Do lado de quem defende é importante garantir que a tecnologia tem capacidade de identificar técnicas de dissimulação que possam desvirtuar os acontecimentos reais e que ofusquem os modelos usados na deteção de comportamentos anómalos. Em ambientes de SOC com maturidade e tecnológicamente atualizados, a 1ª linha de defesa é muito suportada pela componente de ML, ou seja, numa fase inicial foca-se em analisar comportamentos atípicos, olhando para os restantes eventos apenas para ter um enquadramento global e desenhar a linha temporal num ataque, podendo acionar respostas automáticas a eventos conhecidos sem recurso à intervenção humana. Os SIEMs são ferramentas muito úteis, flexíveis, poderosas e podem oferecer informações críticas sobre o status da infraestrutura de uma organização. Na conjuntura atual, os atacantes exploram com alguma naturalidade as capacidades da inteligência artificial na criação de código malicioso, desse modo é imperativo que as equipas de ciber defesa disponham de SIEMs com IA/ML e algoritmos avançados de deteção e análise de eventos maliciosos, visto ser consensual que esta abordagem oferece um tipo de deteção mais competente das ameaças cibernéticas nas organizações.
Conteúdo co-produzido pela MediaNext e pela Noesis |