SIEM como uma ferramenta de Inteligência!

Primeiro Post real!

Bem, gostaria de mostrar algumas funções legais neste mundo "SIEM", porem, muito pouco exploradas.

Sim, analise geografica, temporal e principalmente associando entidades a eventos populados externamente podem transformar o seu SIEM que atualmente relaciona suas informações de infra estrutura básica em uma ferramenta realmente POWER, onde tu pode transforma-lo facilmente em uma ferramenta de inteligência, para governos isto é o supra-sumo, pois mediante fontes externas e informações de infra crítica como ferramentas de DPI (Deep Packet Inspection), com os devidos protocolos de "Interceptação Legal" sendo seguidos, e requeridos a terceiros (geralmente, provedores de redes/telcos), juntamente com informações de triangulação obtendo latitude e longitude, seja via redes moveis/GPSs/HAM/etc, dos "atores", facilmente um BOM SIEM pode ligar os pontos e salvaguarda questões políticas/legais/privacidade resguardada pelos procedimentos legais de "IL".

Comercialmente, fujindo do mundo "Cyber Espionage", isto pode ser deveras util como por exemplo, monitoração de pessoas chaves para organização, não apenas o que fazem no dia a dia, mas onde estão e quais suas ligações pessoais com terceiros. Hoje em dia investe-se muito em ferramentas de DLP, mas muita gente esquece que o simples fato de um encontro casual com um concorrente, mesmo em uma entrevista, a pessoa acaba muitas vezes involuntariamente deixando vazar informações classificadas.

Não é tão complicado assim obter esse tipo de informação, desde que você tenha uma conta jurídica, muitas empresas de telco moveis hoje em dia já disponibilizam a informação de latitude/longitude.

O mesmo pode ser utilizado para monitoração de cargas ou mesmo para mapear infraestrutura física e relacionar os eventos ao local de sua origem, não somente o que e como, mas o ONDE.

Em uma situação de incidente mais grave, ataques complexos e planejados principalmente com objetivo de espionagem industrial, isso faz toda diferença, e um mapa como os colocados acima ajudam muito no processo de investigação.

Veja o exemplo abaixo, um mapa estrutural pode ser completamente mapeado no sentido de classificar regioões sensiveis do complexo como DataCenters, Salas Cofres, Laboratorios, Gerencia, etc...
Com informações como estas mapeadas e devidamente categorizadas, tu poderá extrair resultados muito bons, como por exemplo, pessoas que não deveriam estar em determinadas salas, acessando dados destas, ou mesmo fora do complexo utilizando redes wireless amplificando com antenas simples (como a antiga antena de Pringles).

Com relação a privacidade, esqueçam, principalmente quando integramos a eventos oriundos de fontes de identificação facial como IDS físicos.

Muito se fala em monitoração de pessoas/paises e todos estes medos que se tornam cada vez mais possíveis com a tecnologia atual, e tendem a piorar. Fato é que, isso hoje já e possível sem que se tenha informações mais apuradas como de satelites dedicados a vigilança e outras fontes como grandes "projetos secretos e colaborativos".

Bem, fica a dica, use seu SIEM de verdade e monte uma mini-CIA dentro da empresa desde que você tenha acesso aos dados no qual são necessários para tal, como:

- Triangulação de Antenas (Telco Movel), extraido das CDRs;
- GPS (Satelites);
- DPI em BackBones;
- SIEM que seja possua correlação neural e aceite latitude/longitude em seu "schema", tratando de fato lat/log como tal, não como uma string comum (senão pode jogar o seu SIEM no lixo);
- etc... :)

É isso ai galera.