Segurança com ELK -- Como vê-lo todo e não morrer na tentativa

O estado atual da cibersegurança requer que os analistas estejam a par de tudo o que ocorre nos seus sistemas: qualquer pequena pista pode ser indicadora de que a rede empresarial está a ser atacada por um APT, infetada por uma campanha de ransomware ou explorada por um empregado interno para extrair dados sensíveis. As soluções SIEM são as ferramentas mais adequadas para gerir todo este volume de informações, mas a sua implementação pode ser um desafio. Neste contexto, José Pedro Mayo, Responsável pela Arquitetura e Conceção de Soluções na GMV, deu uma conferência em «Elastic{ON{00213}} Tour Madrid», sobre a experiência da GMV com estas soluções para mostrar quais são os pontos-chave a procurar num SIEM e como o ELK os pode cobrir.

Gerir corretamente os dados é um problema atual de cibersegurança. É necessário recolher o mínimo indício dos sistemas, utilizar ferramentas eficazes que poupem trabalho e que possam ter transparência de tudo o que possuímos. Para isso, a ferramenta mais adequada é um SIEM (Security Information Events Manager) já que nos permite gerir de forma unificada os eventos, ajuda a cumprir as normas, aumenta a visibilidade e reduz o volume de eventos a atender.

O ELK é também um conjunto de ferramentas de grande potencial de código aberto que se combinam para criar uma ferramenta de administração de registos que permite a monitorização, consolidação e análise de registos gerados em múltiplos servidores. Estas ferramentas que compõem um cluster ELK são:ElasticSearch (motor de busca e análise), Logstash (recolha de dados) e Kibana (plataforma de análise e visualização).

Qualquer equipa de resposta a incidentes necessita destas capacidades de armazenar dados centralizados, pesquisar nesses dados, utilizá-los para a deteção e gerar alertas específicos para a organização. De acordo com a experiência da GMV, utilizar Elastic como solução SIEM permite cobrir estas diferentes fases na gestão de eventos de segurança: recolher registos dos ativos de interesse, normalizar as informações desestruturadas possibilitando a sua indexação, enriquecer com dados adicionais (geolocalização, resolução DNS, etc.), correlacionar e detetar anomalias (agrupando, categorizando e filtrando eventos) e apresentar relatórios e alertas de múltiplas formas.