… softwares, agora chegou a vez da Análise de Dados! Há alguns anos, tenho feito alguns esforços para aperfeiçoar as minhas habilidades em programação, não só com o objetivo de atender aos requisitos de Redes Definidas por Softwares (SDN), mas também para aproveitar estes esforços no aprendizado para explorar novas carreiras e oportunidades. E venho fazendo isto de forma a “unir o útil ao agradável”: me encantei a tal ponto com a linguagem de programação Python, que pretendo me especializar nela à médio e longo prazo…
Mesmo assim, a Infraestrutura de TI continuará sendo a minha principal vocação e foco, para o meu aperfeiçoamento e a obtenção de certificações de TI. Por isto, além de tirar proveito dos recursos oferecidos pelo Python (e do seu gigantesco ecossistema de soluções) e das competências essenciais para realizar as principais atividades em prol da infraestrutura e gestão de redes, me dei conta de que outras habilidades também poderão úteis em segurança da informação, mesmo que de início elas não aparentam ter muita correlação entre si. Este, é o caso de Análise de Dados!
Atualmente, os SOCs (Security Operations Center) utilizam o SIEM (Security Information and Event Management), uma solução designada para centralizar, analisar e correlacionar os dados de logs de toda a infraestrutura de TI em tempo real, juntamente com o SOAR (Security Orchestration, Automation and Response), que por sua vez automatiza uma série de ações a serem executadas, com o objetivo de responder as ameaças de segurança de forma rápida e eficaz, além de reduzir as equipes de TI e direcioná-las para os assuntos mais importantes. Ambas, são ferramentas essenciais e imprescindíveis para a cibersegurança!
Porém, a Inteligência Artificial e a Análise de Dados estão promovendo profundas reformulações nos SOCs e suas ferramentas. Se antes, era necessário realizar uma série procedimentos técnicos de forma manual, como estabelecer a linha de base do tráfego da rede para o monitoramento, definir as regras para a identificação de anomalias (e o disparo de alertas) e a realizar a normalização de dados provenientes de diferentes fontes para as análise, hoje em dia elas podem ser perfeitamente executadas através da combinação destas duas ferramentas. Por isto, um novo termo nasceu: eis, o UEBA (User and Entity Behavior Analytics).
Diferente das metodologias tradicionais, as novas soluções baseadas em UEBA tem como objetivo, automatizar a segurança através da Análises de Dados e da Machine Learning. Elas estabelecem uma linha de base relacionada ao comportamento dos usuários e dos ativos de redes, com base na análise do grande volumes de dados provenientes de várias fontes. Posteriormente, ela é refinada através de aprendizado de máquina para tornar esta linha de base mais fiel e precisa, conforme a realidade das operações da infraestrutura de rede local. A partir daí, esta linha de base se torna a referência para que o SOC possa identificar de forma mais eficiente, os eventos e as anomalias que ocorrem na rede.
As soluções baseadas em UEBA já estão integradas nas principais ferramentas utilizadas pelos SOCs (SIEM/SOAR). Porém, mais do que apenas implementar e usar os produtos e serviços que já se encontram disponíveis no mercado, os especialistas em segurança devem compreender a fundo como elas funcionam, ao invés de se tornarem meros “apertadores de botões”. Tal como já acontece no desenvolvimento de softwares (em que a IA generativa assumiu a função de escrever código e os programadores passaram a exercer outras funções voltadas para a auditoria), a cibersegurança também será profundamente reformulada pela IA e os profissionais deverão estar preparados para estes novos tempos.
Tal como já venho promovendo o desenvolvimento das habilidades em programação, para atender aos requisitos de Redes Definidas por Softwares (e posteriormente tirar proveito delas para outras aplicações), o mesmo devo fazer em relação a Análise de Dados: aplicá-las inicialmente no campo da Segurança da Informação, com ênfase na compreensão e no aperfeiçoamento das técnicas utilizadas, para extrair dados e obter insights dos eventos que ocorrem em uma infraestrutura de rede. Posteriormente, também irei tirar proveito dela para outras aplicações.
E quem sabe, conquistar mais certificações para o portfólio (ganhei o voucher)… &;-D