A análise de segurança realizada por Big Data é uma necessidade crescente para as empresas com dificuldade em identificar ataques previamente não identificados, contudo, de acordo com um trio de CISO’s (Chief of Information Security Officer), que participaram de uma mesa redonda na Conferência RSA 2014, as empresas devem evitar a utilização de produtos tradicionais SIEM para lidar com enormes quantidades de informação. Também presente no painel, Neil Macdonald, vice-presidente da Gartner, destacou a importância do Big Data e do monitoramento contínuo para ataques direcionados, já que malwares criados especificamente para determinada empresa tendem a passar indetectados pelo perímetro de proteção.

De acordo com Golan Ben-Oni, CISO da IDT Corporation, empresa americana de telecomunicações e energia, a empresa percebeu há vários anos que a habilidade de coletar e correlacionar dados da rede e dos endpoints era vital para a manutenção da segurança. A companhia então passou a investigar todo o fluxo que ia para cada endpoint, viu 40GB diários de dados de segurança se tornarem enormes 400GB. Na tentativa de melhorar a visualização dessa grande massa de dados, a IDT optou por testar alguns produtos de dois diferentes vendedores de SIEM. Segundo o CISO, o resultado foi que o SIEM tradicional não possui uma série de ferramentas de análise de Big Data necessárias para a empresa, incluindo uma simples falta de velocidade de processamento. Ainda mais importante, nos produtos SIEM utilizados, qualquer detecção requer uma ação manual, tomando por volta de 15 a 20 minutos de programação de um analista de segurança.

O próximo passo da empresa foi buscar a ferramenta de Big Data Splunk para processar a massa de dados. Segundo Ben-Oni, a IDT pôde agir imediatamente “na informação”. A utilização do Splunk possibilitou a automação de diversos processos e a redução do que antes demorava cerca de 20 minutos para alguns segundos.

Experiências semelhantes foram relatadas por Ramin Safai, CISO do banco de investimentos Jefferies & Company e por Carter Lee, CISO do revendedor de ações online Overstock, que acabaram migrando definitivamente para o Splunk a fim de solucionar o problema de Big Data. Os CISO’s destacaram a capacidade de automatização do Splunk, que diminui o tempo gasto com cada processo e libera os analistas para outras tarefas mais complexas e menos manuais. Eles ainda alertaram que encontrar a tecnologia ideal para realizar a análise de Big Data é apenas um dos desafios, ter uma equipe preparada e qualificada para realizar o monitoramento e análise dos dados é fundamental para que o sistema funcione como previsto.

Segundo o consultor de segurança da Real Protect, Dany Hel Figurello, muitos analistas de TI ainda acreditam erroneamente que essa é uma realidade que não chegou ao Brasil. “A Real Protect também passou pelo processo de crescimento massivo de dados coletados. A busca por uma tecnologia que atendesse a demanda da empresa foi inevitável, batalhamos durante muito tempo com aquisição de novos hardwares e soluções baseadas em bancos de dados que não suportavam o crescimento do volume e a necessidade de correlacionamento dos logs, encontramos no Splunk a solução definitiva. A ferramenta possibilitou o crescimento da inteligência operacional em nosso SOC. A capacidade de automatização do Splunk liberaram os nossos analistas de tarefas mais manuais para outras que exigiam maior análise, melhorando a eficiência de todos os processos.” completa Dany Hel.

Para mais informações veja em: http://searchsecurity.techtarget.com/news/2240215122/CISOs-say-SIEM-not-a-good-choice-for-big-data-security-analytics