Entenda as diferenças entre SIEM e NTA e veja como investir corretamente em tecnologias de segurança cibernética.

SIEM ou NTA?

Se você está pensando em implementar uma solução para rastreabilidade de eventos de segurança e investigação de incidentes, deve ter essa dúvida. Para começar, Security Information & Event Management (SIEM) e Network Traffic Analysis (NTA) não são ferramentas concorrentes. Na verdade, elas trabalham muito bem juntas.

A questão é: “qual delas devo implementar primeiro?”.

O SIEM, sistema de gerenciamento de eventos e informações de segurança, é excelente para correlacionar informações e gerar alertas. Já o NTA, como o próprio nome indica, é especializado na análise profunda do tráfego de rede, outra forma de monitorar a segurança do ambiente digital e identificar ameaças.

Ambas as soluções podem incluir e executar funcionalidades de Inteligência Artificial, como User & Entities Behavior Analytics (UEBA), e atuar de forma integrada à fontes de Threat Intelligence e Security Orchestration Automation and Response (SOAR). E ambas são excelentes para investigar os ataques cibernéticos mais avançados, sendo essenciais em qualquer estratégia moderna de Segurança da Informação.

Mas afinal, quais são as diferenças fundamentais entre elas que gestores de TI e segurança devem levar em conta? Custo e facilidade de implementação. Veja os detalhes.

Security Information and Event Management (SIEM)

Pergunte ao Gartner. Ou pergunte a outras empresas que já possuem SIEM. O esforço de implementação desse tipo de ferramenta é contínuo. Buscar todos os logs e fazer sentido deles é uma tarefa constante. Lembre-se que os logs não seguem um padrão, um protocolo. Depende da implementação do fabricante. Trocou de IPS ou Firewall? Trocou de logs. Adicionou servidores? Mais logs para buscar.

E o custo também assusta: muitos fabricantes de SIEM cobram pela quantidade de dados inseridos. Isso gera uma confusão antes da aquisição em si, pois geralmente não se sabe a quantidade de logs que existem até o momento em que eles precisam ser armazenados de fato. Assim os custos tendem a crescer rapidamente – ou se opta por deixar “buracos” na monitoração.

A sua equipe de cybersecurity tem poucas pessoas? Implementar e manter a estratégia de SIEM será complexo. Você precisará de mais analistas, e terá custos maiores.

Network Traffic Analysis (NTA)

Soluções de NTA têm a vantagem de observar os eventos primariamente pela rede, de forma passiva, sem requerer a importação de informações de forma distribuída.

Isso permite que existam soluções Plug & Play, de implementação super simples. As informações da rede também têm a vantagem de fornecer maior rastreabilidade: nem todo ataque é detectado pelos dispositivos de segurança – e se não foi detectado, não tem log!

Com o conteúdo da rede é possível analisar o payload (o conteúdo das transações em rede) usado pelo invasor e investigar sua atividade pela presença de assinaturas complexas. Também é possível treinar modelos de Deep Learning para detectar com precisão anomalias em comportamentos de máquinas e usuários (com algoritmos de UEBA, por exemplo).

Portanto, se você não tem SIEM, avalie bem se a sua empresa já possui maturidade e recursos financeiros/humanos suficientes para implementar e manter uma solução desse tipo. Vários projetos de SIEM falharam, mesmo em grandes empresas.

E caso você já possua o SIEM, saiba que o NTA pode agregar muito valor e reduzir custos com a monitoração a partir da rede, agregando um nível de visibilidade sem precedentes à sua operação.

Conheça a solução de NTA da Zerum e solicite uma prova de conceito.

Sobre a Zerum

A Zerum é uma empresa de Data Science líder em inovação que fornece visibilidade e entendimento em tempo real sobre fluxos de dados complexos. Nossos produtos, serviços e tecnologias ajudam grandes organizações a reduzir gargalos operacionais, combater ameaças cibernéticas avançadas, detectar fraudes e manter comunidades seguras.

Para saber mais, entre em contato.