A Identidade, os Carros e a Lei: Por que a Gestão de Logs Volta a Ser Uma Questão Crítica

Andre Facciolli
Andre Facciolli

Um dos grandes desafios de segurança hoje diz respeito à melhoria das condições de detecção e monitoração dos eventos de segurança e das incontáveis espécies de ameaças cibernéticas que afluem de todos os lados e nos mais diferentes formatos. Uma problemática que se agiganta em face do crescente e exponencial volume de dados e do embaralhamento de diferentes devices e inúmeras tipologias de usuários, padrões de identidades, modelos de acesso e sistemas operacionais difíceis de demarcar.

Tudo isto sem falar na multiplicidade de aplicações e linguagens de dados fora dos padrões de estruturação tradicionais.

Por isto, vai se tornando cada vez mais crucial olharmos com a devida atenção para a gestão centralizada de logs, uma disciplina técnica sem dúvida até antiga, mas cujo adequado domínio ainda deixa bastante a desejar diante da evolução dos cenários da TI, múltiplos devices IoT e da sociedade conectada. É nesse contexto que podemos e devemos vislumbrar a importância que formadores de conceito na área – como é o caso do Gartner – começam a atribuir às soluções de CLM (Centralized Log Management).

O fato é que a gestão de logs nem sempre tem levado em conta as mudanças objetivas em suas próprias atribuições e em seus formatos operacionais. Por estar, em muitos casos, submetido a uma visão estanque, o gerenciamento de logs se torna incompleto e obsoleto, incapaz de abarcar de modo efetivo a totalidade dimensional daquelas informações (hoje dinâmicas e multifacetadas) que são essenciais para se conhecer e mapear os acontecimentos de acesso ao longo do ciclo de dados e de serviços.

Informações parciais e fragmentadas compõem a receita ideal para garantir o fracasso da necessária análise de múltiplas fontes de dados (sejam eles convencionais ou não estruturados). E a falta de metodologias compatíveis com os novos ambientes operacionais são os ingredientes para arruinar qualquer tentativa de se montar um processamento ágil, rápido e confiável.

Como deve ser uma boa Gestão de Logs hoje em dia

Quando se fala em boa gestão de logs, o paradigma hoje exigido pelos requisitos de compliance, boa governança e rastreabilidade forense é o de uma caixa preta de avião: o modelo necessita ser inviolável, robusto, autoexplicativo e virtualmente indestrutível.

E estes requerimentos necessitam estar presentes onde quer que a visualização do log se faça pertinente. E aí entram os dispositivos de redes, servidores e todas as formas de incidentes abordados, o que torna a questão bastante ampla.

Para os mais rigorosos regimes de compliance (a exemplo do PCI ou Sarbox) a rastreabilidade e a monitoração absolutamente vigilante de todos os acessos às redes de transações e bases de dados financeiros, ou dados de clientes, são o elemento crucial da história.

O mesmo se pode dizer em relação às novas diretivas globais de custódia de dados de empresas, tais como as que compõem o arcabouço do GDPR (General Data Protection Regulation), hoje já em vigor na Europa; e tido como padrão de fato para o mercado mundial, incluindo-se aí o Brasil e a exigência do Artigo 13 do nosso Marco Civil da Internet, que exige a guarda documental por um ano dos registros de conexões.

BMW, Amazon Kindle e a Gestão de Logs

Já desperta para a questão extremamente estratégica da documentação de logs, a indústria internacional mais avançada já transfere a compreensão do problema para a tecnologia embarcada em seus produtos de ponta, presentes em nosso dia-a-dia.

Exemplos disto sãos os novos carros da BMW (serie i3), que trazem como item de fábrica uma espécie de “caixa preta” com os registros históricos de logs de navegação capazes de reconstituir toda a sorte de ações pertinentes ao ciclo de vida do veículo, seus deslocamentos, manutenções e regime de uso de recursos como freios, limpadores de para-brisa, faróis, abertura de portas e centenas de variáveis. Outro exemplo interessante é dado pela central de gerenciamento de logs dos dispositivos Amazon Kyndle, que – assim como o os citados carros da BMW – ambos sistemas incorporam uma aplicação do sistema de gerenciamento opensource da Balabit Syslog-ng.

O que mostra o quanto o mundo IoT está, em alguns casos, até mesmo um passo à frente das visão de gestores de TI que continuam reticentes quanto ao avanço da tecnologia de gestão de logs e sua importância crucial para a segurança dos sistemas e para as melhores práticas em governança de TI e de negócios.

E, para além da segurança e das exigências de conformidade, encontra-se hoje em voga a ampla exploração dos mapas de acesso (login/logout/tarefas, relacionados a pessoas e a identidades) às aplicações, sistemas, servidores e dispositivos da rede, para a identificação e perfilação do comportamento de usuários.

São, portanto, bastante diversificados os casos de uso de centralizadores do log, nos quais a sua salvaguarda e manejo inteligentes são fatores críticos e estratégicos da operação, garantindo a mitigação de riscos, segurança jurídica das empresas e, para além das exigências, a extração de dados competitivos até pouco tempo inimagináveis.

A morte iminente do SIEM e a ascensão de novas plataformas de inteligência

Por certo tempo, o mercado de TI direcionou a solução destas questões através de ferramentas de SIEM, mas não são poucas as soluções consolidadas no passado que simplesmente sumiram do mapa, tais como NetForensic e, Intellitatic’s, enquanto outras foram absorvidas por grandes players mais ou menos generalistas, como HP, IBM, McAfee e RSA. É um dado que mostra a fricção e a frustração do uso do SIEM para tais finalidades evidenciando, talvez, as consequências indesejáveis de suas altas exigências de expertise, treinamento e suporte, além de elevado custo e da avaliação de retorno comprometida pelas restrições de orçamento incompatíveis com tais implementações.

Justamente por essas questões, são vários os artigos de analistas a apontar, nos últimos tempos, a morte iminente do SIEM. E, em seu lugar, a ascensão de plataformas, de inteligência tais como SIP (Security Intelligence Platform), SOAPA (Security Operation Analytic Platform) e UEBA (User Entity Behaviour Analysis). O mesmo vale para inúmeras outras novas gerações de soluções de inteligência artificial e de algoritmos complexos para processamento de big data, análise cognitiva e visão preditiva de ações a partir de perfis de comportamento.

Para qualquer dessas novas tecnologias, o fundamento da centralização de logs é fator crítico de sucesso, já que ele é pré-requisito para a garantia de total consistência dos dados.

Segundo um estudo recente do Gartner em seus clientes (Outubro de 2016), os principais casos de uso de soluções CLM (Central Log Management) são aplicados para as funções de negócio: 1) processos de melhoria no tratamento de resposta a incidente e detecção de ameaças e; 2) a maximização do retorno de investimentos realizados e pouco evidenciados em ferramentas de SIEM.

Claramente, o papel de ferramentas de Centralização de Logs, apesar de sua antiga concepção e inserção (já no cenário pioneiro dos mainframes) renova-se agora para resolver questões críticas de coleta, agregação e retenção de dados de segurança e operação de todas as variáveis já mencionadas (identidades, dispositivos de conexões e coisas conectadas). Uma renovação que lhe promete dar o status de uma ferramenta indispensável nas políticas de gestão e, em adição a isto, oferecer um reaproveitamento bastante mensurável dos investimentos realizados em SIEM e, até, quem sabe, garantir a sobrevida para o SIEM como plataforma voltada também para seu papel principal: inteligência no tratamento de resposta a incidente e detecção de ameaças.

André Facciolli – CEO da Netbr 

E então, quer bater um papo e compartilhar nossos casos de uso?