Modelo para a gestão de eventos de segurança da informação

Abstract

Com a rápida evolução tecnológica e o aparecimento de dispositivos com o objetivo de fornecer suporte aos sistemas de informação, a gestão de eventos de segurança da informação torna-se fundamental para garantir as propriedades básicas de segurança dos recursos críticos. Um Gestor de Segurança da Informação tem então que lidar com o aumento exponencial dos eventos (associados ao aumento do tamanho dos logs das aplicações), ao mesmo tempo que tem que compreender as diferentes causas subjacentes a cada um dos eventos detetados. Esta tarefa revela-se de uma complexidade enorme, bem para além da capacidade de resposta de um operador humano. Sendo assim, é de extrema importância o desenvolvimento de ferramentas que permitam, a um gestor, tratar os eventos de uma forma inteligente. Atualmente existem algumas soluções para esta área. No entanto, envolvem operações muito complexas de correlação de eventos e colaboração entre diversas entidades, preocupando-se com o foro tecnológico em detrimento do foro de perceção do gestor de segurança da informação, o que é manifestamente insuficiente. O objetivo desta dissertação passa pela descoberta de uma solução que permita, a um gestor, obter a perceção e controlo sobre os eventos de segurança da informação em tempo útil. Os objetivos são atingidos através a realização de um survey a 34 gestores de segurança da informação sendo que, com esse, foi permitido a elaboração de um conjunto de 6 requisitos para serem utilizados em ferramentas avançadas da área da Gestão de Eventos de Segurança da Informação (GESI). Com a apresentação dos 6 requisitos criados e aliando 9 dos 15 já definidos por diversos autores, criou-se um modelo GESI. Este pretende, inclusive, resolver alguns problemas identificados na área GESI como o aumento exponencial dos logs (com os eventos) sem terem a possibilidade de analisá-los devidamente, e a não deteção dos falsos positivos no sistema de segurança da informação criado.

With the rapid technological evolution and the appearance of devices with the goal of providing support to information systems, security information event management (SIEM) becomes critical to ensure the critical resources security. An information security manager must deal with the event exponential increase (associated with the increase of logs applications size), and at the same time it has to understand the different causes that are associated with the detected events. This task is complex well beyond the response capability of a human operator. Therefore, it is extremely important to develop tools that allow a manager to deal with events with a smart way. Currently there are some solutions for this area. However, they involve complex event correlation events and various entities collaboration. This entities are concerned with the technological perception and not to the needs of information security manager. It’s insufficient. The goal of this thesis involves the discovery of a solution that an information security manager use get the perception and control over the information security event in a short timeline. The objectives are achieved through the realization of a survey. 34 information security managers, have replied to the survey. With the information replies, was allowed to elaborate a set of six requirements for advanced tools. With this requirements and with nine of fifteen requirements that was proposed by others authors, was created an information security event management model. The model also aims to solve some problems identified in the information security event area like the logs the exponential increase (with events) without having the possibility to analyze them properly. Also aims to resolve the false positives none detection in the information security system.