SIEM ou NTA? Entenda quando vale a pena investir em cada ferramenta

Veja as diferenças entre SIEM e NTA e entenda em qual ferramenta de Cybersecurity vale a pena investir para proteger o seu negócio.

SIEM ou NTA? Se você está pensando em implementar uma solução para rastreabilidade de eventos de segurança e investigação de incidentes, deve ter essa dúvida. SIEM e Network Traffic Analysis (NTA) não são ferramentas concorrentes. Na verdade, elas trabalham muito bem juntas.

A questão então é: qual delas devo implementar primeiro?

O SIEM (Security Information and Event Management ou “gerenciamento de eventos e informações de segurança”, em português) é uma ferramenta excelente para correlacionar informações e gerar alertas. Já o NTA (Network Traffic Analysis ou “análise de tráfego de rede”, em português) faz a análise profunda do tráfego de rede, como o próprio nome indica.

Ambas as soluções podem incluir e executar funcionalidades de User & Entities Behavior Analytics (UEBA) e atuar de forma integrada à fontes de Threat Intelligence e Security Orchestration Automation and Response (SOAR). Ambas são excelentes para investigar os ataques cibernéticos mais avançados e são essenciais em qualquer estratégia moderna de Segurança da Informação.

Mas afinal, quais são as diferenças fundamentais entre elas? Custo e facilidade de implementação. Veja os detalhes.

Security Information and Event Management (SIEM)

Pergunte ao Gartner. Ou pergunte a outras empresas que já possuem SIEM. O esforço de implementação desse tipo de ferramenta é contínuo. Buscar todos os logs e fazer sentido deles é uma tarefa constante. Lembre-se que os logs não seguem um padrão, um protocolo. Depende da implementação do fabricante. Trocou de IPS ou Firewall? Trocou de logs. Adicionou servidores? Mais logs para buscar.

E o custo também assusta: muitos fabricantes de SIEM cobram pela quantidade de dados inseridos. Isso gera uma confusão antes da aquisição em si, pois geralmente não se sabe a quantidade de logs que existem até o momento em que eles precisam ser armazenados de fato. Assim os custos tendem a crescer rapidamente – ou se opta por deixar “buracos” na monitoração. A sua equipe de cybersecurity tem poucas pessoas? Implementar e manter a estratégia de SIEM será complexo. Você precisará de mais analistas, e terá custos maiores.

Network Traffic Analysis (NTA)

Soluções de NTA têm a vantagem de observar os eventos primariamente pela rede, de forma passiva, sem requerer a importação de informações de forma distribuída. Isso permite que existam soluções Plug & Play, de implementação super simples. As informações da rede também têm a vantagem de fornecer maior rastreabilidade: nem todo ataque é detectado pelos dispositivos de segurança – e se não foi detectado, não tem log! Com o conteúdo da rede também é possível ver o payload usado pelo invasor e investigar sua atividade pela presença de assinaturas complexas. Também é possível treinar modelos de Deep Learning para detectar com precisão anomalias em comportamentos de máquinas e usuários (com UEBA).

Portanto, se você não tem SIEM, avalie bem se a sua empresa já possui maturidade e recursos financeiros/humanos suficientes para implementar e manter uma solução desse tipo. Vários projetos de SIEM falharam, mesmo em grandes empresas.

E caso você já possua o SIEM, saiba que o NTA pode agregar muito valor e reduzir custos com a monitoração a partir da rede, agregando um nível de visibilidade sem precedentes à sua operação.

Confira as soluções de NTA da Zerum e solicite uma prova de conceito.

Sobre a Zerum

A Zerum é uma empresa de Data Science líder em inovação que fornece visibilidade e entendimento em tempo real sobre fluxos de dados complexos. Nossos produtos, serviços e tecnologias ajudam grandes organizações a reduzir gargalos operacionais, combater ameaças cibernéticas avançadas, detectar fraudes e manter comunidades seguras.