Introduzido em 2005, o Security Information & Event Management — SIEM analisa alertas de segurança em tempo real. Fundamentalmente, ele faz três coisas:
Um: coleta, normaliza e armazena eventos de log e alertas da rede da organização e dispositivos de segurança, servidores, bancos de dados, aplicativos e terminais em um local seguro e central.
Dois: executa análises avançadas nos dados, tanto em tempo real quanto em dados históricos, para identificar possíveis incidentes de segurança que devem ser investigados por um humano. Os incidentes potenciais são priorizados por risco, gravidade e impacto. Com o tempo, essas análises de segurança passaram do emprego de regras simples de correlação cruzada para o monitoramento de anomalias comportamentais do usuário, observando indicadores conhecidos de comprometimento (loC) e aplicando modelos sofisticados de aprendizado de máquina.
Três: Prova que todos os controles de segurança sob a alçada do SIEM estão em vigor e são eficazes. Embora manter a segurança por si só deva conduzir os requisitos de segurança e o nível apropriado de investimento, para muitas organizações, o principal fator para a compra do SIEM é conformidade regulatória.
As duas primeiras décadas do século XXI viram uma enxurrada de novos requisitos de conformidade, tanto legislativos quanto patrocinados pela indústria. Alguns exemplos são o padrão Payment Card Industry (PCI), o Sarbanes-Oxley Act de 2002, o Health Insurance Portability and Accountability Act (HIPAA) e o General Data Protection Regulation (GDPR) em 2018. Empresas, hospitais e outras organizações ignore a conformidade por sua conta e risco, e os infratores podem incorrer em multas punitivas.
À medida que os ataques cibernéticos se tornaram mais sofisticados e furtivos, as demandas por informações sobre um ataque cibernético — suas características, propósito e extensão da penetração na rede — tornaram-se mais urgentes. O fato mais alarmante era que as equipes de segurança muitas vezes não descobriam violações até muitos meses depois de terem ocorrido, e então era mais frequentemente descoberto por terceiros do que pela segurança interna. A segurança de TI precisava de uma imagem holística da atividade da rede, e os dados em tempo real coletados pelo SIEM preenchiam essa necessidade. No segundo estágio de desenvolvimento, os fornecedores de SIEM adicionaram recursos de detecção de ameaças com inteligência de ameaças integrada, análise histórica e em tempo real e análise de comportamento de usuários e entidades.
Uma questão que dificultou a adoção do SIEM pelas organizações foi o esforço envolvido para instalá-lo, integrá-lo e utilizá-lo. A tecnologia era complexa e complicada para ajustar, era difícil identificar ataques e exigia um alto nível de habilidade por parte do usuário para saber o que procurava.
A escassez sistêmica de pessoal treinado foi o impulso para mais automação e aprendizado de máquina em dispositivos SIEM posteriores. A Inteligência Artificial detecta tendências e padrões em enormes cargas de dados mais rapidamente do que até mesmo o mais inteligente humano. Além disso, o tempo e a precisão são obtidos configurando o SIEM para responder e corrigir automaticamente. Desenvolvimentos recentes em SIEM também integraram NOC e SOC, estabelecendo assim o SIEM como o centro nervoso de todas as operações de rede e segurança.
O SIEM simplifica a implantação e a integração por meio de um mecanismo de autoaprendizagem, descoberta de ativos em tempo real e configuração de dispositivos. Essa ferramenta estabelece um inventário de dispositivos de rede, aplicativos, usuários e serviços de negócios. Ele cria uma topologia mostrando como cada objeto está interconectado, estabelecendo assim uma linha de base do comportamento normal da rede. Ao determinar a normalidade e com a ajuda do aprendizado de máquina, o comportamento anormal pode alertar os analistas sobre um ataque cibernético, que pode ser interrompido antes que ocorra uma violação.
Em algumas décadas, o SIEM evoluiu de uma plataforma de informações para um centro de inteligência de ameaças e para um centro totalmente integrado e automatizado para segurança e operações de rede.