SegInfocast #73 – Octopus SIEM – Security Information and Event Management

 
Compartilhar
 

Manage episode 262839347 series 29687
Por SegInfocast – SegInfo – Portal and Evento de Segurança da Informação descoberto pelo Player FM e nossa comunidade - Os direitos autorais são de propriedade do editor, não do Player FM, e o áudio é transmitido diretamente de seus servidores. Toque no botão Assinar para acompanhar as atualizações no Player FM, ou copie a feed URL em outros aplicativos de podcast.

SegInfocast #73 – Faça o download aqui. (38:25 min, 46,1 MB)

seginfocast-150x150

Neste episódio do SegInfocast, apresentamos o áudio do Webinar Octopus SIEM apresentado por Victor Santos.

octopus-v2

O SIEM permitem que os eventos gerados por diversas fontes de dados sejam coletados, normalizados e armazenados de forma centralizada; fornecendo assim uma visão ampla sobre o seu parque tecnológico e maior agilidade na identificação de ameaças através de técnicas de agregação e correlacionamento de dados.

As tecnologias de SIEM foram amadurecendo ao longo dos últimos anos e novas técnicas de detecção de ameaças foram sendo adicionadas, como algoritmos de Machine Learning, Análise de Comportamento de Usuário e integrações com Fontes de Inteligências públicas.
Entretanto durante muito tempo as tecnologias de SIEM ficaram restritas a um nicho muito pequeno do mercado, devido ao alto valor de investimento, complexidade de implementação e dificuldade na usabilidade. E visando resolver estes desafios e atender uma demanda reprimida de mercado, que nasceu o Octopus SIEM.

Uma Breve História

O Octopus SIEM nasceu em 2015 para atender uma demanda bem específica, a necessidade de centralizar logs de segurança da informação para extração de inteligência. Entretanto todos os clientes possuíam algumas características em comum: Orçamento limitado, um time de tecnologia enxuto e a necessidade de resultados rápidos. Cenário bastante comum até os dias de hoje.

Em 2016, a Clavis recebeu o investimento do Fundo Aeroespacial, destinado a empresas com grande potencial de crescimento, independência tecnológica e capacidade técnica. Esse aporte financeiro nos deu a oportunidade de viabilizarmos investimentos em pesquisa e no desenvolvimento dos nosso produtos.

Desde o início, sempre tivemos como base do Octopus SIEM a Elastic Stack e em 2017 nos tornamos o 1º parceira OEM (Original Equipment Manufacturer) da Elastic na América Latina e o primeiro caso de uso em Segurança da Informação.

Já em 2018 o Octopus SIEM foi homologado pelo Ministério da Defesa como Produto de Defesa, um reconhecimento para soluções que possuem tecnologias e conhecimento imprescindíveis para a soberania nacional. Uma grande conquista para a Clavis!

Com a expansão das nossas operações e evolução do Octopus SIEM, em 2019 ele se tornou a principal plataforma de inteligência do Centro de Operações de Segurança (SOC) da Clavis, presente em 75% dos nossos clientes. Traduzindo em números, atualmente temos 18 grandes clientes do Octopus SIEM, sendo 5 listados na bolsa de valores, com um volume de mais de 1 trilhão de eventos/logs processados diariamente.

Em 2020, a Clavis entrou no programa de aconselhamento do Gartner, com o Octopus SIEM, para continuarmos a evoluir ainda mais os nossos serviços e soluções alinhados tendências e necessidades do mercado.

Catálogo de Serviços

Atualmente o Octopus SIEM é o coração do Centro de Operações de Segurança da Clavis. Ele agrega e unifica os nossos principais serviços e soluções, o que possibilita a Clavis fornecer aos nossos clientes uma arquitetura de segurança adaptativa alinhada os pilares de Governança, Risco e Compliance.

Ecossistema do Octopus SIEM

O Octopus SIEM realiza a integração de diversas fontes de dados relevantes à segurança para a identificação de ameaças. Estejam elas em um ambiente on premise, como Active Direct, Bancos de dados, dispositivos de rede e antivírus ou em ambientes de nuvem como AWS, Azure ou Google Cloud Platform.
O principal objetivo do Octopus é dar visibilidade e fornecer inteligência de segurança, através de alertas, relatórios e dashboads. Tudo isso com dados contextualizados com o seu negócio e enriquecido com fontes de inteligência internas e externas.

Uma Visão Holística da Solução

O Octopus SIEM trás uma visão unificada de dispositivos e tecnologias em um só lugar. E através do monitoramento dinâmico e da combinação com fontes de inteligência, o Octopus fornece tudo o que você precisa para uma tomada de decisão rápida e estratégica.
Além disso a implantação do Octopus SIEM é um dos nossos principais diferenciais, totalmente não intrusiva, de fácil integração ao seu ambiente e com uma arquitetura expansível para suportar o crescimento vegetativo e orgânico dos seus dados.

Tratamento de Dados

A abordagem para o tratamento de dados do Octopus SIEM se baseia na centralização e integração de diversas fontes de dados, através de coleta ativa ou passiva, realizada pelos nossos coletores de dados.

Após a coleta, os dados são filtrados de acordo com a relevância e são analisados de acordo com o nosso modelo de informação, onde os dados são normalizados, contextualizados e enriquecidos. Só após essa transformação que os dados são armazenados e ingeridos na nossa
E aí que entra em ação os nossos motores de inteligência, com as nossa regras de correlacionamento de dados (que identificam padrões de ataques e violações a políticas internas das companhias, como por exemplo ataques de força bruta, movimentações laterais e acessos não autorizados) com os nossos algoritmos de machine learning baseados em padrões e detecções de anomalias e das nossas técnicas de análise de comportamento.

Uma vez identificado, o evento ou conjunto de eventos que desencadeou uma ação maliciosa é enviado para o fluxo de trabalho que pode ser um alerta por e-mail, uma abertura de chamado ou até mesmo uma integração com uma API. Agilizando assim todo o processo de tratamento e resposta a incidentes.
O Octopus SIEM trabalha com milhões de eventos processados diariamente para extrair somente o que for relevante para segurança da informação. Reduzindo o ruído e amplificando o sinal da suas informações. Este é um dos nossos principais objetivos, sermos cada vez mais cirúrgicos nas taxas de detecção e nas taxas de resposta a ameaças.

Módulos do Octopus

Toda a inteligência do Octopus SIEM é composta por 8 módulos de detecção de ameaças ou como chamados internamente na Clavis, tentáculos do Octopus. Esses módulos nada mais são do que playbooks desenvolvidos pela Clavis desde a coleta do evento (normalização, contextualização e ingestão) até os insights de segurança gerados pelo produto.

Diferenciais

Onboarding com resultados rápidos: Nosso processo de implantação assistida é em média 4x mais rápido que os nosso principais concorrentes. Nosso escopo de implantação focado na integração de tecnologias step-by-step com resultados e entregáveis nas primeiras semanas.

Dashboards, alertas e correlações personalizáveis: Nossos dashboards, alertas e correlações são totalmente personalizáveis para o seu negócio. Desde os templates até as condições de acionamento, tudo para que a Clavis possa lhe oferecer a melhor experiência possível com o Octopus SIEM sem impacto na cultura da sua companhia.
Licenciamento: Atualmente 80% dos SIEMs de mercado são baseados em armazenamento (quantidade de gigabytes armazenados por dia) e velocidade (quantidade de eventos por segundo processados por dia ). E essa forma de licenciamento limita bastante o escopo do SIEM nas empresas devido ao alto valor do investimento. Sempre que expandir o monitoramento, você tem que pagar a mais por isso. O Octopus SIEM não possui essa barreira. Nosso licenciamento é totalmente diferenciado, adequado ao mercado regional e com a melhor relação custo x benefício.
Desenvolvimento e criação de novos coletores: A Clavis possui um time de engenheiros especializados e dedicados para o desenvolvimento de novos coletores sem custo adicional. Muitas empresas possuem fábricas de software com aplicações desenvolvidas internamente. Então o nosso time auxilia os nossos clientes não só na criação de coletores, mas também na especificação do o formato de eventos/logs que devem ser gerados. Um trabalho fantástico do nosso time de engenharia.
Foco no Sucesso do Cliente: Garantir o sucesso do cliente é mais do que um diferencial da Clavis é a cultura e missão da empresa. Clientes sempre em primeiro lugar. Nosso time de atendimento e relacionamento com o cliente estão sempre presentes e participativos para auxiliar os nossos clientes a alcançarem os melhores resultados em toda a sua jornada.

CIS

Importante mencionar que os serviços e soluções da Clavis seguem o Framework do CIS, que são diretrizes e práticas recomendadas de segurança cibernética reconhecidas internacionalmente para defesa contra ameaças. Um dos benefícios na utilização do Framework CIS é que ele prega o menor número de ações com maior valor efetivo para segurança da informação. E que por ser mantido por um comitê de profissionais de segurança, se mantém constantemente atualizado.
O CIS serve de referência e faz o mapeamento para diversas normas e padrões de segurança. Como a família da ISO 27000 e também do PCI DSS.

Normas – ISO 27001, LGPD (ISO 27701), PCS DSS e BACEN 4658

Falando em normas, o Octopus SIEM atende os requisitos de monitoramento, auditoria e controle das principais normas e padrões de mercado. Como a ISO 27001 e 27002, a Lei Geral de Proteção de dados, o PCI-DSS, e mais recentemente a BACEN 4658 – que tem como objetivo mitigar os riscos cibernéticos e garantir a segurança das instituições financeiras.

Crescimento

Devido ao constante crescimento, a Clavis precisa novamente de bons reforços! Aproveite para conferir aqui algumas das vagas abertas recentemente pela empresa – inclusive para o time de SOC/MSS.

Sobre o apresentador

VS_3x4_redondaVictor Santos é Chief Product Officer da Clavis Segurança da Informação. Possui mais de 16 anos de experiência na área de segurança da informação e é certificado Auditor Líder da ISO 27001, Certified Ethical Hacker (C|EH), Certified CompTIA Security+, MSCO, ITIL e COBIT. Palestrou em diversos eventos nacionais e internacionais, entre eles: SegInfo, Mind The Sec RJ, RoadSec, GTS – Nic.br, Elastic Seminar, LatinoWare, entre outros.

E veja mais informações sobre o Octopus SIEM aqui. (=

75 episódios