Implementação de sistema SIEM open-source em conformidade com o RGPD

Abstract

É inegável que um dos grandes desafios das Organizações é o de garantir a segurança dos seus dados, sendo que o Regulamento Geral de Proteção de Dados (RGPD) veio aumentar o nível de complexidade da segurança de um sistema informático, pois impõe que sejam aplicados níveis de proteção acrescidos. Os sistemas Security Information and Event Management (SIEM) podem ajudar a ultrapassar os desafios criados pela obrigatoriedade do cumprimento do RGPD, pois permitem a definição de medidas técnicas para a proteção e controlo dos dados pessoais. Com o crescente aumento e a complexidade dos ataques informáticos, a implementação de um SIEM vai permitir mitigar os riscos e contribuir para proteger a informação, muitas vezes sigilosa, que as Organizações possuem, como por exemplo os dados pessoais. No âmbito do presente trabalho foi implementado um sistema SIEM open-source, aplicando medidas técnicas para a proteção e controlo dos dados pessoais, por forma a assegurar a conformidade com o RGPD. Além disso, foi efetuada uma pesquisa documental sobre vários SIEM open source e, tendo em conta os resultados da mesma, selecionaram-se para o estudo comparativo os seguintes SIEM open-source: Graylog e o Alienvault OSSIM. Considerámos importante também incluir no estudo o SIEM Splunk, porque este disponibiliza uma versão freeware e é uma solução líder do mercado, e a solução Elastic Stack, pois é uma solução que é muito utilizada para a gestão de logs e, com recurso a outras ferramentas open-source, pode tornar-se num SIEM. Depois de selecionadas as soluções a analisar, foi realizado um estudo comparativo entre as quatro: Graylog, Alienvault OSSIM, Splunk e Elastic Stack. Além disso, estas soluções foram testadas para aferir a facilidade de utilização e de administração, foram monitorizadas em tempo real para avaliar o seu comportamento relativamente a um ataque de força bruta e foram comparadas em relação a algumas das suas funcionalidades. Como se considerou que seria importante basear a arquitetura do protótipo na rede de uma entidade real, foi efetuado o levantamento dos requisitos da rede informática da empresa XLog, definida a arquitetura e implementado o protótipo tendo como base a solução Elastic Stack, à qual foram adicionados outros componentes: ElastAlert, Slack e o ReadonlyRest. Além disso, foram realizados vários testes ao protótipo, a título de exemplo, simulou-se um ataque com a ferramenta Pupy a uma máquina Microsoft Windows e, em simultâneo, identificaram-se os logs criados no processo. Durante a realização dos testes também se recolheram métricas de forma a mesurar o custo da pseudonimização dos dados sensíveis. Em suma, através da implementação do protótipo SIEM open-source pretendeu-se criar uma ferramenta útil para a análise e deteção de ameaças em tempo real, mas que, em simultâneo, garantisse uma atuação em conformidade com cumprimento do RGPD