Segundo pesquisa do Gartner, o Gerenciamento e Correlação de Eventos de Segurança (SIEM) vai estar entre os “subsegmentos” de segurança de crescimento mais rápido em 2018, com consequente aumento da demanda por proteção de infraestrutura e de serviços de segurança.
Neste cenário, vemos o SIEM como uma parte importante do ecossistema de segurança de dados, mas que necessita de uma solução integrada para ter uma operação eficiente. Isso porque o principal questionamento que ouvimos dos clientes que utilizam o SIEM é sobre a dificuldade de diagnosticar eventos de segurança de forma contextual.
Exatamente para solucionar essa questão, a Varonis fornece a integração adequada com os dados que um SIEM coleta, gerando mais valor para um contexto aprofundado em investigações de segurança.
Essa integração é necessária porque, sozinho, o SIEM fornece informações bastante limitadas sobre os eventos nativos. Por exemplo, você pode ver um aumento na atividade de rede de um endereço IP, mas não pode saber qual foi o usuário que criou esse tráfego ou quais arquivos foram acessados.
Neste caso, o contexto pode ser tudo.
O que parece uma transferência volumosa de dados pode ser um comportamento completamente benigno e justificado, ou, pelo contrário, pode ser um roubo de petabytes de dados sensíveis e críticos. A falta de contexto em alertas de segurança pode fazer com que a segurança da empresa deixe de ter a sensibilidade adequada aos toques de alarme, os quais se desligam sempre que um evento é desencadeado.
Tudo isso porque o SIEM não é capaz de classificar os dados como sensíveis ou não sensíveis e, consequentemente, não consegue distinguir entre a atividade normal e a atividade suspeita, o que pode ser prejudicial aos dados do cliente ou à segurança da empresa.
A partir da captura de dados armazenados em diversos locais (servidores físicos ou na nuvem), a Varonis gera ao SIEM o contexto necessário sobre quem, o quê, quando e de onde cada arquivo é acessado na rede. Assim, é possível correlacionar a atividade da rede com a atividade do armazenamento de dados para ter a visão completa de um possível ataque por meio de acesso indevido a arquivos.
A Varonis classifica os arquivos desestruturados com base em centenas de correspondências de padrões possíveis, incluindo Informações de Identificação Pessoal (PIIs – Personally Identifiable Information), números de cartão de crédito, endereços e muito mais. Essa classificação pode ser estendida para buscar propriedade intelectual específica da empresa, descobrir informações vulneráveis e sensíveis para ajudar no comprimento da conformidade dos dados regulamentados.
A integração da Varonis com o SIEM tem quatro características de destaque: análise “out of the box”, alertas para uma investigação simplificada, alertas para investigação mais específica e fornecimento de insights sobre o nível de criticidade das informações armanzenadas.
Se a sua empresa já utiliza SIEM, é simples promover a integração da Varonis e obter mais retorno sobre o investimento. Se a sua empresa está prestes a dar início a uma estratégia de segurança de dados, o caminho deve ser inverso (iniciar com a Varonis e depois adicionar o SIEM).
Deseja saber mais? Clique aqui para ter uma demonstração personalizada sobre como Varonis e SIEM trabalham juntos.