Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais
Blog Segurança de Dados

Conheça cinco armadilhas da análise de dados e saiba como evitá-las

A análise de segurança combina a coleta inteligente de dados, análise e enriquecimento com aprendizado de máquina para reduzir alertas de segurança
Emilia Bertolli
3 minuto de leitura
Ultima atualização 11 de Fevereiro de 2022

Conteúdo

    Muitas empresas consideram implementar análises de segurança para ajudar a reforçar seus recursos de detecção de brechas, falhas ou intrusos. Aquelas que iniciam a exploração das tecnologias de segurança e coleta de logs geralmente pensam que podem detectar violações simplesmente enviando esses logs para um servidor central de análise. Os logs são necessários, mas é preciso muito mais esforço para compreendê-los do que a maioria das pessoas pensa.

    Aqui estão cinco armadilhas que as empresas encontram quando tentam extrair proativamente seus logs e investigar incidentes de segurança:

    1. Existem muitos logs e a maioria das empresas precisam armazenar centenas de milhões de eventos todos os dias. Dispositivos de rede, terminais, sistemas de segurança, aplicativos, dispositivos de armazenamento, proxies. Todos eles criam eventos e cada tipo de dispositivo e fornecedor grava logs à sua maneira.

    2. Esses logs não são utilizáveis em sua forma bruta. É preciso analisá-los ou reconhecer os objetos que eles descrevem – se é um dispositivo, um usuário, um evento de logon, etc. Até que os logs sejam analisados, não há como relacionar os objetos em um log com os objetos em outro – que pode ser necessários  para análises forenses e proativas. Isso é mais difícil porque os logs não são padronizados e, por isso, cada formato deve ser analisado. Além disso, alguns logs usam algumas várias linhas para descrever um único evento e outros são gravados fora de ordem.

    3. Mesmo após a análise adequada dos logs, eles ainda não têm contexto. Quem é o usuário e o que ele está fazendo? Qual a máquina utilizada? Em que local ele está? Os analistas gastam muito tempo procurando esse tipo de informação para determinar a natureza do evento ou se ele se qualifica como um evento de segurança.

    4. Como esses logs não têm contexto, não mostram conexões com eventos que aconteceram antes ou em diferentes sistemas. Eles não indicam se algum dado acessado é sensível ou se há algo incomum no evento. Os analistas frequentemente revisam milhares de eventos para criar contexto suficiente para entender e responder a um único incidente.
    5. A trilha geralmente fica fria quando se trata da pergunta mais crítica: nossos dados estão seguros? Isso ocorre porque as atividades de acesso a dados frequentemente não são capturadas, armazenadas ou analisadas. Por exemplo, muitas organizações não capturam nem armazenam informações sobre como os usuários interagem com arquivos ou e-mails – um dos maiores focos de violação de dados.

    Essas armadilhas ajudam a explicar por que os logs brutos produzem relativamente poucos alertas significativos e a sua investigação exige muita habilidade e tempo.

    Coleta inteligente

    Embora um servidor syslog possa coletar com satisfação todos os logs brutos, eles ocupam muito espaço em disco, exigem muito poder de processamento e acabam não sendo muito bons. É mais eficiente e vantajoso fazer um trabalho de processamento, remoção e análise a montante. Soluções de análise de segurança podem remover os logs brutos no ponto de coleta, reduzindo potencialmente a quantidade de dados em até 80%. Analisando e resolvendo alguns dos logs (um usuário fazendo login, por exemplo), esses logs são preparados para uma rápida análise central e que pode até executar alguns diagnósticos e alertas no ponto de coleta.

    Por exemplo, um coletor inteligente pode gerar um alerta em quase tempo real quando um usuário específico tenta fazer login em uma VPN (em vez de esperar que os logs sejam revisados e analisados por um servidor central).

    Uma análise eficaz requer um contexto sobre usuários, sistemas e dados. Sem esse contexto, é muito difícil diferenciar algo importante. Não apenas os eventos precisam ser enriquecidos para um processamento eficiente, mas o contexto deve ser construído e refinado ao longo do tempo. Usuários acessam diferentes dados, em diferentes estações de trabalho, em diferentes horários e locais. É aqui que o aprendizado de máquina pode ser realmente eficaz, criando e mantendo linhas de base do comportamento normal para as interações entre todos os usuários, sistemas e dados.

    O uso correto dos dados

    A análise de segurança combina a coleta inteligente dos dados, análise e enriquecimento com aprendizado de máquinas. Assim reduz o número geral de alertas e reduz o tempo necessário para investigá-los. Com menos alertas, os analistas têm uma chance maior de detectar incidentes reais de segurança de forma mais rápida.

    Se a empresa precisa consolidar um log, ou percebe que a solução utilizada é muito lenta, investir em uma solução de análise de segurança pode aumentar a chance de capturar eventos importantes de segurança.

    Proteja seus dados onde quer que eles estejam. Dados não estruturados são seus maiores e mais vulneráveis bens e podem estar espalhados por todos os lados.  Com a solução Varonis DatAdvantage é possível monitorar e analisar cada toque em cada arquivo. Faça um teste gratuito.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Emilia Bertolli
    Emilia Bertolli
    Try Varonis free.
    Get a detailed data risk report based on your company’s data.
    Deploys in minutes.
    Get started View sample
    Keep reading
    por-trás-do-rebranding-da-varonis
    Por trás do rebranding da Varonis
    por-trás-do-rebranding-da-varonis
    Courtney Bernard
    20 de Fevereiro de 2024
    Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    O que é uma avaliação de risco de dados e por que você deve fazer
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    Lexi Croisdale
    12 de Janeiro de 2024
    A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Shane Waterford
    19 de Dezembro de 2023
    Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Guia de migração de dados: sucesso estratégico e práticas recomendadas
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Michael Buckbee
    15 de Dezembro de 2023
    A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento