top of page

O BIG DATA corporativo da Segurança da Informação. Logs, o que fazer com eles?


Não bastasse a preocupação com o Big Data de toda a organização com os dados negociais, administrativos, estatísticos e sociais, as áreas de Tecnologia da Informação e Gestão da Segurança da Informação tem de se preocupar também com o Big Data interno, aquele que acontece dentro da operação das áreas de Tecnologia da Informação, o acumulo de Logs ou registros de acesso e transação.


Todas as aplicações e sistemas de suporte geram arquivos de registro, só o fato de um usuário fazer o Login pela manhã em seu notebook e na rede, já gera dados nos arquivos de Log, ler uma determinada informação no banco de dados, gera Log de acesso e de leitura, acessou a internet para ver uma notícia gera Log no proxy, fez uma chamada telefônica gera Log de registro, respondeu um e-mail, pronto gerou Log.


O que fazer com todos estes arquivos de registro ou simplesmente Logs?



VAMOS ENTENDER O CONCEITO DE BIG DATA


Considerando a definição de "BIG DATA" proposta pelo Gartner (www.gartner.com), BIG DATA é um conjunto de informações de comportamento definido por Volume, Velocidade e Variedade.


  • Volume: bytes e mais bytes de informações geradas todos os dias nas empresas, trazendo os desafios de armazenagem de dados, processamento e transmissão no tempo do negócio.

  • Velocidade: com o volume crescente das informações e a agressividade na velocidade dos negócios, o principal desafio é suportar as demandas em tempo real.

  • Variedade: uma infinidade de contextos e tipos de informação, não só os e-mails, mídias sociais, pedidos de compra, folha de pagamento, temos também os Logs de Segurança da Informação, sendo gerado a cada acesso, cada click, cada envio de dados.


Como processar, analisar e armazenar tudo isto, é o ponto focal tratado pelo conceito de BIG DATA, na verdade o termo define toda a problemática de como tratar todas estas informações, mas não traz soluções específicas para cada caso, por isto cuidado, não existem ferramentas para BIG DATA, cada modelo, cada segmento, cada solução deverá ser tratada de forma específica.



OS LOGs E O BIG DATA

Usamos o termo Log de dados não só para descrever o processo de registro de eventos importantes em sistemas computacionais, acessos, ou identificar problemas, também usamos estas informações contidas nos Logs para restabelecer o estado original de um sistema ou para que um administrador conheça o seu comportamento no passado e restabelecer o ambiente para o modo operacional o mais rápido possível sem afetar a rentabilidade dos negócios das organizações.


Nosso foco é no BIG DATA que vem acontecendo internamente na área de TI há muito tempo, ou seja, é sobre o armazenamento, análise e descarte dos dados de controle das informações, os Logs.


É uma versão menor do problema do BIG DATA na própria TI, fora todo cuidado e manuseio das informações de negócio e corporativas, ainda temos os Logs, os arquivos de controle gerados de forma tão massiva e tão rápida quanto os dados gerados pelas informações de negócio, administrativas e históricas.


Estes Logs têm de ser analisados em tempo de negócio, ou seja, tão rápido quanto os dados corporativos, pois são nestes dados que podemos encontrar os problemas de compliance, vulnerabilidades e violações ao código de conduta, pondo em risco toda a organização, a continuidade dos negócios da empresa e empregabilidade de muitos trabalhadores.



SOLUÇÕES PARA ANÁLISE DE LOGs E MONITORAÇÃO (SIEM)


Há 5 anos os institutos de pesquisa já falavam na utilização e benefícios de soluções SIEM - Security Information and Event Management Applications , porém muitas empresas ainda não usam essas soluções ou somente uma delas.


Para entender um pouco, vamos explicar a diferença entre SIM e SEM:

  • SIM - Security information management: Soluções para gerenciamento e relatórios de conformidade com as políticas (compliance)

  • SEM - Security event management: Soluções para monitoramento em tempo real e Gestão de Incidente para eventos de rede, dispositivos, sistemas e aplicações

As tecnologias baseadas no conceito de SIEM devem suportar três pontos principais:


- Conformidade (Compliance): Gestão de Log e relatórios de conformidade às políticas (compliance)


- Gestão das Ameaças (Threat management): Monitoramento em tempo-real das atividades internas dos sistemas, acessos aos dados e atividades das aplicações, realizando ainda a Gestão dos Incidentes


- Implementação customizada : possibilidade de customização das conformidades e capacidades de gerenciamento de ameaças.


Uma solução completa e eficaz de SIEM deve atender a estas 7 características ou funcionalidades:

  • Monitoração da atividade dos usuários

  • Monitoração do acesso aos dados

  • Monitoração das atividades da aplicação

  • Detecção de anomalias

  • Monitoração da integridade dos arquivos

  • Avaliação de vulnerabilidades (scan)

  • Avaliação de configuração de segurança



O QUE FAZER COM O BIG DATA DE LOGs DA SEGURANÇA DA INFORMAÇÃO ?

Primeiro temos de ter em mente que quando se fala em Logs, estamos falando de um material precioso para ajudar as organizações na continuidade dos negócios.

Precisamos alinhar e focar em 3 pontos principais para que toda essa informação faça realmente sentido e compense os investimentos:


- Armazenamento dos Logs : Analisar cada serviço e entender as necessidades de negócio e como a segurança da informação pode usar estes dados e investir em armazenamento específico para este tipo de dado.


- Políticas de retenção e descarte dos Logs: Realizar um levantamento junto os departamentos da empresa que geram as informações de negócio, transformar em políticas de retenção e procedimentos, para que os dados de Logs estejam lá quando precisar dentro do tempo correto para se tomar alguma ação e descarta-los de forma apropriada quando não mais fizerem sentido.


- Escolha de ferramentas de análise de Logs adequadas ao tipo de negócio e tamanho das organizações: Definir e usar soluções para monitoração de eventos e/ou “leitura” desses arquivos de Logs é vital, pois muitas vezes a quantidade de informação de acesso a um banco de dados de pentabytes de informações com milhares de usuários acessando é sobre-humano e sem ferramental apropriado, podemos levar dias até encontrar o evento.


Nos dias de hoje, esses Logs podem ajudar a combater os vícios que nem mesmo os gestores de vendas ou de compras por exemplo, podem imaginar que estejam acontecendo em suas áreas, podem evitar a perda de dinheiro, imagem ou problemas jurídicos.


Esse é o BIG DATA particular das áreas de TI, nosso primeiro desafio a ser superado frente a problemática do conceito de BIG DATA.


Carlos Macedo

_____________________________________________________________________________________________

Carlos Macedo

carlos.macedo@innovativa.com.br | Fone: 11 96176 4008

32 anos de carreira em empresas do segmento de serviços e consultoria como executivo em áreas de governança estratégica, processos, negócios, risco e segurança da Informação, em toda a América Latina e Central. Pós-Graduado em Gestão da Segurança da Informação pelo IPEN/USP.

Auditor Líder em Sistema de Gestão de Continuidade de Negócios (BS25999-2:2007) | ITIL - Foundation in IT Service Management (#60.318)

Tags:

Posts Em Destaque
Posts Recentes
Arquivo
Siga
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square
bottom of page