Um teste de penetração pode descobrir vulnerabilidades e exposições ocultas de segurança na sua rede. Também pode ajudá-lo a verificar se seus controles de prevenção e detecção estão funcionando conforme o planejado e a identificar as áreas que talvez você precise fortalecer.

A integração dos resultados de um teste de penetração diretamente no SIEM (Security Information and Event Management) pode ajudar a aumentar o valor do relatório do pen test de várias maneiras.

Há várias razões pelas quais um grupo em sua organização pode realizar um teste de penetração. Alguém pode precisar dele para aprovar um projeto. Pode fazer parte de um requisito regulatório ou de conformidade, ou um grupo de negócios pode realizar um teste de penetração para avaliar o risco associado a um novo serviço.

Os relatórios de teste de penetração são informações caras e as informações normalmente ficam dentro de uma área específica. Mas se o relatório for compartilhado com o centro de operações de segurança (SOC) e integrado ao SIEM, os benefícios poderão ser enormes. Aqui estão os cinco maiores benefícios.

1. Melhora sua triagem.

Um resultado de teste de penetração informa quais hosts são vulneráveis e como eles podem ser comprometidos. Adicionar essas informações ao SIEM pode ajudar quando você estiver verificando uma correlação e fazendo a triagem em um evento.

Você pode olhar para os hosts envolvidos no evento e verificar se os testadores foram capazes de explorar uma vulnerabilidade anteriormente. Os relatórios de teste de penetração fornecem informações que podem ajudá-lo a tomar decisões mais fundamentadas sobre as prioridades a serem aplicadas ao triar um evento.

2. Verifica sua lógica de alerta.

Você pode usar os dados do teste de penetração para verificar se suas regras de correlação estão disparando os alertas como deveriam e se realmente está capturando toda a atividade que deseja capturar.

Se você criar regras que procurem determinadas atividades e se o teste de penetração tiver feito essa atividade e nenhuma das regras for acionada, então você não estará capturando os problemas que deseja capturar.

Digamos, por exemplo, que as pessoas possam entrar pela sua porta da frente, mas precisam atender a certos requisitos para acessar uma área segura no mesmo prédio. Se você não escreveu uma regra para esse caso de uso específico, o alarme não dispara, mesmo que você o tenha configurado.

Como temos nosso relatório de teste de penetração, sabemos que existe um ponto cego para nossa lógica de alerta e que precisamos criar algumas novas regras ou personalizar as existentes para capturar essa atividade. A adição de resultados de teste de penetração ao SIEM permite verificar e confirmar se o que você acha que deveria estar acontecendo está realmente acontecendo.

3. Permite fazer replays de ataque, demonstração e treinamento.

Os SIEMs ajudam as organizações a agregar e analisar dados de log e eventos de segurança de sistemas de hardware e software. Uma de suas principais funções é gerar alertas sobre qualquer atividade que atinja regras de segurança pré-determinadas.

Adicionar resultados de teste de penetração ao SIEM pode ajudar a imitar como seria um ataque real. Você pode reproduzir os eventos no teste de penetração e observá-los em tempo real para ver como suas regras, alertas e processos se comportam.

Isso pode ser útil, especialmente do ponto de vista de treinamento e demonstração. Você pode reproduzir os eventos de um teste de penetração específico offline para verificar se os analistas do SOC estão de olho nos consoles. Você também pode determinar se seus analistas têm as habilidades necessárias para identificar os alertas e eventos.

4. Pode mostrar lacunas nos registros do SIEM.

Os resultados do teste de penetração podem ajudá-lo a confirmar que os registros de dados de log e eventos que você possui no SIEM estão realmente ajudando a rastrear o tipo de atividade que você deve rastrear. Às vezes, você pode ter regras para alertar sobre determinadas atividades. Mas um teste de penetração pode mostrá-los como não sendo disparados, isto porque você não possui os dados de log necessários no SIEM para identificá-los.

Os resultados do teste podem ser usados no gerenciamento de um caso de negócios, para mostrar que você precisa de logs de firewalls adicionais ou que precisa de mais logs de aplicativos para garantir que uma determinada regra seja acionada e que você possa capturar essa atividade novamente no futuro.

5. Oferece melhor gerenciamento de fornecedores.

Adicionar resultados de testes de penetração ao SIEM pode ser útil no gerenciamento de fornecedores. Os testes de penetração são valiosos, mas podem ser caros. Para obter o melhor valor deles, verifique se o fornecedor de testes de penetração não está executando o mesmo conjunto predefinido de explorações em seu ambiente a cada execução.

Você deseja garantir que está aprendendo com cada um deles e que o fornecedor não está reutilizando o mesmo tipo de testes a cada rodada. Quando você identifica as explorações usadas em um teste de penetração – e altera as regras para poder detectá-las na próxima vez – o fornecedor não pode executar o mesmo teste novamente.

Adote uma visão estratégica!
Idealmente, seu testador deve estar fazendo várias coisas. Se o fornecedor não incluir novas explorações desde a última execução, você estará pagando por um teste de penetração que não informa nada sobre como você seria afetado pelas vulnerabilidades mais recentes.

Você também precisa ter certeza de que está obtendo uma visão estratégica das lacunas na sua detecção e de conhecer os lugares onde sua postura de segurança é muito forte.

Você pode perceber todos esses benefícios integrando os resultados dos testes de penetração na sua plataforma SIEM. As opções para importar dados de testes de penetração diretamente para o SIEM geram informações para acionar a sua equipe de segurança para verificar a correlação e triagem em poucas horas, em vez de dias.

Os benefícios são claros. Faça acontecer na sua organização.

Este texto é uma adaptação livre do artigo publicado por Guy Kramer em:
https://techbeacon.com/security/5-benefits-integrating-pen-test-reports-your-siem

Nós podemos te ajudar a implantar um processo de testes completos e eficiente. Clique aqui.