O BIG DATA corporativo da Segurança da Informação. Logs, o que fazer com eles?


Não bastasse a preocupação com o Big Data de toda a organização com os dados negociais, administrativos, estatísticos e sociais, as áreas de Tecnologia da Informação e Gestão da Segurança da Informação tem de se preocupar também com o Big Data interno, aquele que acontece dentro da operação das áreas de Tecnologia da Informação, o acumulo de Logs ou registros de acesso e transação.


Todas as aplicações e sistemas de suporte geram arquivos de registro, só o fato de um usuário fazer o Login pela manhã em seu notebook e na rede, já gera dados nos arquivos de Log, ler uma determinada informação no banco de dados, gera Log de acesso e de leitura, acessou a internet para ver uma notícia gera Log no proxy, fez uma chamada telefônica gera Log de registro, respondeu um e-mail, pronto gerou Log.


O que fazer com todos estes arquivos de registro ou simplesmente Logs?



VAMOS ENTENDER O CONCEITO DE BIG DATA


Considerando a definição de "BIG DATA" proposta pelo Gartner (www.gartner.com), BIG DATA é um conjunto de informações de comportamento definido por Volume, Velocidade e Variedade.


  • Volume: bytes e mais bytes de informações geradas todos os dias nas empresas, trazendo os desafios de armazenagem de dados, processamento e transmissão no tempo do negócio.

  • Velocidade: com o volume crescente das informações e a agressividade na velocidade dos negócios, o principal desafio é suportar as demandas em tempo real.

  • Variedade: uma infinidade de contextos e tipos de informação, não só os e-mails, mídias sociais, pedidos de compra, folha de pagamento, temos também os Logs de Segurança da Informação, sendo gerado a cada acesso, cada click, cada envio de dados.


Como processar, analisar e armazenar tudo isto, é o ponto focal tratado pelo conceito de BIG DATA, na verdade o termo define toda a problemática de como tratar todas estas informações, mas não traz soluções específicas para cada caso, por isto cuidado, não existem ferramentas para BIG DATA, cada modelo, cada segmento, cada solução deverá ser tratada de forma específica.



OS LOGs E O BIG DATA

Usamos o termo Log de dados não só para descrever o processo de registro de eventos importantes em sistemas computacionais, acessos, ou identificar problemas, também usamos estas informações contidas nos Logs para restabelecer o estado original de um sistema ou para que um administrador conheça o seu comportamento no passado e restabelecer o ambiente para o modo operacional o mais rápido possível sem afetar a rentabilidade dos negócios das organizações.


Nosso foco é no BIG DATA que vem acontecendo internamente na área de TI há muito tempo, ou seja, é sobre o armazenamento, análise e descarte dos dados de controle das informações, os Logs.


É uma versão menor do problema do BIG DATA na própria TI, fora todo cuidado e manuseio das informações de negócio e corporativas, ainda temos os Logs, os arquivos de controle gerados de forma tão massiva e tão rápida quanto os dados gerados pelas informações de negócio, administrativas e históricas.


Estes Logs têm de ser analisados em tempo de negócio, ou seja, tão rápido quanto os dados corporativos, pois são nestes dados que podemos encontrar os problemas de compliance, vulnerabilidades e violações ao código de conduta, pondo em risco toda a organização, a continuidade dos negócios da empresa e empregabilidade de muitos trabalhadores.



SOLUÇÕES PARA ANÁLISE DE LOGs E MONITORAÇÃO (SIEM)


Há 5 anos os institutos de pesquisa já falavam na utilização e benefícios de soluções SIEM - Security Information and Event Management Applications , porém muitas empresas ainda não usam essas soluções ou somente uma delas.


Para entender um pouco, vamos explicar a diferença entre SIM e SEM:

  • SIM - Security information management: Soluções para gerenciamento e relatórios de conformidade com as políticas (compliance)

  • SEM - Security event management: Soluções para monitoramento em tempo real e Gestão de Incidente para eventos de rede, dispositivos, sistemas e aplicações

As tecnologias baseadas no conceito de SIEM devem suportar três pontos principais:


- Conformidade (Compliance): Gestão de Log e relatórios de conformidade às políticas (compliance)