Situação (antes da nossa atuação)
A Ravena conta com um ambiente computacional amplo, bem distribuído e em constante crescimento. Sempre atenta às questões de segurança, a empresa buscou alternativas que fornecessem observabilidade centralizada do panorama de segurança cibernética, além de incrementar ainda mais os níveis de adequação e compliance de segurança.
Com o crescimento do parque tecnológico e o objetivo constante de manter a companhia com altos níveis de segurança cibernética, a análise e o monitoramento da segurança dos ativos começaram a se tornar um trabalho que consumia bastante tempo da equipe de tecnologia da Ravena. Uma solução de SIEM foi colocada em análise e a EximiaCo foi contatada para fazer a configuração da ferramenta.
Implicações
Antes da implementação de uma ferramenta de SIEM, a análise de logs provenientes dos ativos corporativos necessitava de bastante tempo e energia. O cruzamento das muitas fontes de logs e a extração de insights era bastante demorado. O próprio processo de obtenção de logs era um passo extra no baseline de segurança dos ativos.
O que fizemos
A plataforma Wazuh foi escolhida para a implementação. A estratégia adotada em conjunto com a equipe técnica da Ravena levou em consideração as particularidades e a cultura corporativa da empresa, além das melhores práticas em termos de monitoramento de ameaças, gestão de logs e segurança cibernética. Foi realizada uma avaliação cuidadosa das coletas de logs para cada tipo de ativo e a escolha correta das ações reativas, resultando em uma implementação de baixíssimo consumo computacional e pouca alocação de espaço para armazenamento de logs. Em termos de reação automatizada, o EDR (Endpoint Detection and Response) se soma a demais camadas protetivas de endpoint, trazendo à realidade o conceito de segurança em camadas.
Entregáveis
- Plataforma de SIEM implementada
- Scripts customizados para cada categoria de ativos
- Dashboards de monitoramento
- Scripts de resposta automática a ameaças
- Conjunto de alarmes sobre ameaças
