Renato Bezerra da Tempest fala sobre a parceria com a IBM a importância do SIEM em soluções de cibersegurança
7 de julho de 2021Conversamos com Renato Bezerra, diretor de Serviços de Segurança e Integração da Tempest sobre a parceria entre Tempest e IBM em torno da solução IBM QRadar® SIEM e aproveitamos para entender como está o mercado brasileiro em relação a cibersegurança. A entrevista está muito boa, acompanhe!
Tempest incorpora a solução SIEM da IBM as suas soluções contra ameaças digitais
A Tempest Security Intelligence, empresa brasileira especializada em cibersegurança, anunciou em junho, a parceria com a IBM e seus planos em incorporar a solução IBM QRadar® Security Information and Event Management (SIEM) em suas soluções.
SIEM – Security information and event management – Informação de segurança e gestão de eventos
As ferramentas SIEM geralmente fornecem dois resultados principais: relatórios e alertas.
“O gerenciamento de segurança de informações e eventos – SIEM, é um campo dentro da área de segurança de computadores, onde produtos e serviços de software combinam gerenciamento de informações de segurança – SIM e gerenciamento de eventos de segurança – SEM. Eles fornecem análise em tempo real de alertas de segurança gerados por aplicativos e hardware de rede”. *
A solução QRadar SIEM da IBM já está sendo usada em uma das ferramentas da Tempest que é o Intelligence Driven SOC, produto recém-lançado pela Tempest no mercado como um aliado no combate aos crimes cibernéticos. Com esta parceria, a Tempest se tornou um Silver Business Partner da IBM.
Acompanhe a entrevista!
Crypto ID: Qual foi a demanda que ocasionou a parceria entre Tempest e IBM? Imaginamos que um dos motivos para a integração das soluções seria a busca por mais eficiência de gerencialmente de ameaças e o controle dos acessos. Isso faz sentido?
Renato Bezerra: Faz total sentido. Estabelecer parceria com a IBM, que possui produtos que tem aderência com os nossos serviços, é fundamental para preencher o pilar da tecnologia em produtos ofertados pela Tempest ao mercado de cibersegurança do Brasil. E após o lançamento do produto Intelligence Driven SOC para o mercado, entendemos que fortalecemos ainda mais o leque de opções para nossos clientes, colocando a IBM como uma das opções de SIEM operando junto ao nosso serviço.
Crypto ID: Então, quais são as principais funcionalidades que resultam da integração do Intelligence Driven com o IBM Security QRadar SIEM?
Renato Bezerra: É importante pontuar os 3 grandes pilares que sustentam o Intelligence Driven SOC: 1) Threat Tracker onde enxergamos e compreendemos as TTPs (Técnicas, Táticas e Procedimentos) utilizadas habitualmente pelas ameaças, permitindo uma identificação de padrões; 2) Use Case Builder é responsável pela governança baseada em cenários de ameaças onde não criamos apenas regras, mas criamos casos de uso de detecção; e, por fim, 3) Automated Response que é uma peça fundamental na detecção e na realização de uma eventual resposta fornecendo uma capacidade em automatizá-la com o apoio de uma plataforma de SOAR.
Utilizar o QRadar SIEM no contexto do Use Case Builder, portanto, nos ajuda na concretização e tangibilização de toda a inteligência que produzimos para a criação de casos de uso de detecção. Por fim, esses casos de uso são derivados na construção de regras e customizações que a ferramenta de SIEM da IBM viabiliza para nossos analistas.
Crypto ID: Divulgamos recentemente uma pesquisa da Trend Micro que revela que 70% dos entrevistados – profissionais TI e SOC – são emocionalmente impactados no trabalho em função do gerenciamento de alertas de ameaças de TI. Como essa solução auxilia a rotina de trabalho desses profissionais?
Renato Bezerra: Esse é um dos grandes motivos que a contração de uma ferramenta, seja ela qual for, não resolve as questões mais fundamentais de segurança e, ainda por cima, gera essa ansiedade e desconforto emocional, sem falar nos resultados e impacto para o negócio.
Ter uma grande quantidade de alertas é, tão somente, ter uma quantidade de trabalho aumentada exponencialmente para o time de segurança. É totalmente contra produtivo. Além disso, tipicamente os inúmeros e bravos esforços que os times de segurança das empresas precisam fazer para detectar, conter ou remediar alertas e/ou incidentes ficam restritos e focados num problema específico.
No momento em que você usa uma solução cujo foco de trabalho é holístico, ou seja, envolve diferentes perfis e capacidades da área de segurança (desde a modelagem da ameaça, até a detecção e resposta), o que acontece de bom no final das contas?
O time de segurança do cliente se concentra muito mais no apoio e bem menos na execução. Se concentra em demandar novas estratégias, levantar novos riscos de negócio e de ambiente, fica mais atento e sensível ao big picture em detrimento do micro.
E é nisso que o Intelligence Driven SOC vai auxiliar nosso cliente. Levamos nossa experiência de 20 anos de mercado, implantamos nossa metodologia na execução do serviço de SOC, envolvemos diferentes perfis profissionais (ofensivos, defensivos, plataforma, advisory, blue consulting, threat intelligence, entre outros).
Dessa forma, o time de segurança do cliente – que atuará junto ao time da Tempest – se torna peça-chave na evolução da maturidade de segurança de sua empresa.
Crypto ID: A Tempest tem entre clientes empresas públicas e privadas de grande porte. Essa solução ficará restrita às grandes empresas? Poderia falar sobre o perfil de empresas que podem adquirir a solução? E qual é o modelo de contratação?
Renato Bezerra: A verdade é que o Intelligence Driven SOC está disponível para clientes de todos os portes e empresas de qualquer setor no mercado (financeiro, saúde, varejo, entre muitos outros). Todos conseguem se beneficiar com a contratação da solução.
O que é importante destacar é a questão da maturidade do cliente quando o assunto é segurança da informação. E quando eu me refiro a maturidade não é, necessariamente, ter a ferramenta A ou B instalada em seu ambiente. Vai muito além. O nível de conhecimento técnico, planejamento tático e estratégico da área são insumos importantíssimos para que possamos posicionar o Intelligence Driven SOC da melhor forma possível junto à estrutura do cliente.
Nesse sentido, nosso modelo conta com a contratação do serviço completo considerando os pilares mencionados anteriormente (Threat Tracker, Use Case Builder e Automated Response) e, mediante a necessidade e maturidade do cliente, podemos acrescentar pacotes (add-ons) pontuais intimamente relacionados com o serviço base. De tal forma que aumentamos não só nossa abrangência em novos itens do catálogo, mas também acrescentamos profundidade na execução.
Crypto ID: Sabemos que a busca por soluções de identificação digital cresceu muito em função dos incidentes envolvendo ransomware ter aumentado consideravelmente, somando-se a ampliação do perímetro de segurança a ser controlado e ao extraordinário aumento dos acessos remotos em função do home-office. Você poderia nos falar das soluções da Tempest para atender esse cenário e quais dessas soluções também utilizarão o produto QRadar SIEM da IBM para gerenciamento de segurança de informações e eventos?
Renato Bezerra: A transformação digital nos leva a contextos e formas de fazermos negócios, vivenciar realidades de pressões regulatórias, além, é claro, de enfrentar cenários de ameaças que vêm se desenvolvendo exponencialmente e fazendo uso de técnicas cada vez mais elaboradas. Tudo isso traz, de forma inequívoca, uma necessidade de revisão de práticas, métodos, processos e de capacidade humana envolvidas na gestão de Segurança da Informação como um todo.
No que compete, em particular ao SOC, ele continua sendo o “centro nervoso” dentro das corporações. Um SOC precisa ser modularizado, contar com um bastidor poderoso de APIs e uma extensa plataforma de tecnologias de infraestrutura de Segurança da Informação para que ele seja capaz de executar seu objetivo em qualquer que seja o lugar das empresas e de seus usuários.
É nesse contexto que o Intelligence Driven SOC está imerso. Ele passa a ser o “centro nervoso” da estrutura de segurança da informação nas empresas, utilizando-se de um SIEM, que exerce um papel de uma espécie de “neurotransmissor”. O SIEM, portanto, passa a ser fundamental para que possamos conectar tudo e comandar as ações em uma plataforma como, por exemplo, QRadar que é um ponto somatório de grande destaque especialmente devido às suas características técnicas.
Crypto ID: As empresas atualmente estão mais empenhadas em mitigar os riscos em relação a segurança cibernética? Indo direto ao ponto, vocês estão sendo mais procurados antes ou depois da empresa sofrer uma invasão crítica?
Renato Bezerra: Certamente que as empresas estão mais empenhadas. A segurança cibernética saiu dos silos e chegou com força, inclusive, nos noticiários. Quer ver um exemplo super rápido? Se você fizer uma pesquisa com “the economist ransomware” ou “the economist cyber-attack” e algumas outras variações você conseguirá constatar a quantidade (quase que diária) de eventos envolvendo cybercrimes no contexto mundial.
E esse empenho das empresas não poderia ser diferente, dado que a preocupação com o seu negócio implica, cada vez mais, na realização de ações preventivas no tocante a segurança. A exposição que ocorre na mídia sobre ataques cibernéticos e fraudes faz com que, no final das contas, os gestores fiquem permanentemente atentos não só a sua empresa, mas também as empresas em seu setor, incluindo seus concorrentes.
Nesse sentido, somos procurados permanentemente por diversas empresas no mercado. Muito embora um grande número de empresas do Brasil já esteja no nosso portfólio de clientes, afinal temos 20 anos de atuação no país, ainda assim elas nos procuram para acessar serviços que, até então, não tinham contratado ou mesmo contratar novos produtos lançados no mercado.
Crypto ID: E por parte das empresas que os procuram e ainda não sofreram uma invasão crítica, qual é a maior motivação? Blindar a empresa dos ataques cibernéticos por si só ou estão mais preocupadas com as sanções em relação a LGPD – Lei Geral de Proteção de Dados?
Renato Bezerra: É importante entender que uma empresa, como organismo vivo e com várias divisões, departamentos e verticais, terá sempre inúmeras razões para se precaver ou mesmo estar aderente às regulamentações e padrões de mercado. A rigor não existe uma fonte principal motivadora. Existe, entretanto, um caminho que precisa ser percorrido alinhado aos objetivos estratégicos da empresa. Enveredar no âmbito da segurança é um meio, cujo fim precisa estar associado aos riscos inerentes ao negócio da organização.
Nesse sentido é importante salientar que as ações de proteção, seja qual for sua motivação, precisam acontecer o quanto antes. Esperar um evento (crítico ou não) ou exigências de mercado faz com que tenhamos que correr atrás do prejuízo tomando ações num modelo reativo, quando deveríamos estar nos antecipando. Não deveríamos esperar arrombar o portão da nossa casa para colocar um cadeado, por exemplo. É como um seguro, temos um risco inerente de impacto a um bem (ou ao negócio) e nos antecipamos com medidas de proteção. E é assim que nos posicionamos junto aos atuais e futuros clientes.
Com esta parceria, a Tempest se tornou um Silver Business Partner da IBM e visa atender o dinamismo cada vez maior do mercado de cibersegurança
Na ocasião do anúncio da parceria Cristiano Lincoln Mattos, CEO e sócio fundador da Tempest declarou:
“A utilização do QRadar tem grande sinergia com o nosso portfólio e com o nosso mapa estratégico, ajudando a aumentar nossa competitividade e a consolidar nossa atuação em segmentos importantes para a companhia”.
O IBM Security QRadar® SIEM fornece insights inteligentes que permitem responder de forma rápida e ágil, com o objetivo de reduzir o impacto de um possível incidente.
Um dos mecanismos da solução é a consolidação de eventos de log (passos dos usuários nos sistemas das empresas, visualizando logins, alterações, registros entre outras ações) e dados de fluxo de rede de milhares de dispositivos, terminais e aplicativos distribuídos por toda a rede das empresas, correlacionando essas informações de forma automatizada e agregando eventos relacionados a alertas únicos.
Sobre a Tempest
A Tempest Security Intelligence é a maior empresa brasileira especializada em cibersegurança e prevenção a fraudes digitais. Hoje contamos com um time de mais de 400 profissionais e escritórios em Recife, São Paulo e Londres; nos últimos anos a Tempest ajudou a proteger mais de 500 empresas de todos os portes e em setores como serviços financeiros, varejo e e-commerce.
Pesquisando e criando novas soluções de proteção digital, a Tempest alia expertise técnica, sólida metodologia e alta tecnologia para entregar um portfólio com mais de 70 soluções, envolvendo Consultorias, Digital Identity, Managed Security Services e Integração.
*descrição Wikipédia.
Tempest alerta sobre golpes virtuais que requerem cuidados durante Dia dos Namorados
Embraer anuncia investimento na Tempest, especializada em cibersegurança
Tempest marca presença no evento “As fronteiras do Cybersecurity”, promovido pelo Experience Club