H11031 transforming-traditional-security-strategies-so

  • 144 views
Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
144
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
1
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. TRANSFORMANDO O SIEM EM UM SISTEMA DE ADVERTÊNCIA ANTECIPADA PARA AMEAÇAS AVANÇADAS Big data empurra o SIEM para a era da lógica de segurança Setembro de 2012 RESUMO EXECUTIVO Comentário do autor “Hoje a capacidade da maioria dos SOCs de detectar eventos dentro das organizações não faz frente ao estado da ameaça. Normalmente não encontramos as ameaças quando estão a caminho das organizações nem logo após entrarem na rede, mas só depois que a exploração já ocorreu e os dados foram movidos.” Dean Weber, diretor de tecnologia de segurança cibernética, CSC Nos últimos anos, uma impressionante quantidade de órgãos do governo e corporações importantes sofreu ataques cibernéticos ocultos e bem feitos, projetados para explorar vulnerabilidades, interromper as operações e roubar informações valiosas. Claramente, os sistemas de segurança atuais não estão prontos para anular essas ameaças avançadas, pois muitas de suas vítimas tinham sistemas modernos de detecção e prevenção. Esses sistemas falharam em parar ou acusar a presença de um ataque nas redes das vítimas antes que ele causasse danos. Dado o ambiente de ameaças atual, as equipes de segurança agora percebem que devem considerar que seus ambientes de TI estão sujeitos a comprometimento periódico. Foi-se o tempo em que as medidas preventivas para proteger o perímetro ou tentar detectar problemas de malware usando tecnologias de correspondência de assinatura eram suficientes. Novas práticas baseadas na compreensão das fases de um ataque, no monitoramento contínuo de ameaças e na rápida detecção e correção de um ataque são exigidas. A fim de desenvolver a visibilidade, a agilidade e a velocidade para lidar com as ameaças avançadas, os sistemas de SIEM (Security Information and Event Management, gerenciamento de eventos e informações de segurança) precisam se tornar um sistema central de lógica de segurança em grande escala. Especificamente, quatro recursos fundamentais são exigidos: 1. Visibilidade difundida – alcançar a habilidade de saber tudo o que está acontecendo nos ambientes de TI exige a fusão de muitas fontes de dados, inclusive a captura de pacotes de rede e a reconstrução completa da sessão, arquivos de registro da rede e de dispositivos de host e informações externas, como indicadores de ameaças ou outra inteligência de segurança. A coleta centralizada de registro não é mais suficiente. 2. Lógica detalhada – examinar os riscos no contexto e comparar os modelos de comportamento ao longo do tempo em conjuntos de dados diferentes aumenta a proporção entre sinal e ruído na detecção de ameaças avançadas, encurtando assim o tempo de resolução. 3. Dimensionamento em grande escala – as plataformas que coletam dados de segurança devem expandir-se em escala e escopo para lidar com a enorme quantidade de informações que são cada vez mais necessárias para obter conscientização situacional completa. 4. Exibição unificada – a consolidação das informações relacionadas à segurança é essencial à investigação de incidentes no contexto e à agilização da tomada de decisão sobre as ameaças futuras. Resumos de segurança da RSA Os SOCs (Security Operations Centers, centros operacionais de segurança) precisam de ferramentas analíticas avançadas que possam coletar e examinar rapidamente os dados de segurança para apresentar a maioria dos problemas prementes em contexto. Novas plataformas de lógica de segurança estão surgindo para lidar com todas as funções dos sistemas tradicionais de SIEM e muito mais, inclusive aceleração de detecção das ameaças avançadas para que as organizações tenham uma chance de parar os ataques velados.
  • 2. Resumo de segurança da RSA, setembro de 2012 Os resumos de segurança da RSA fornecem aos líderes de segurança e outros executivos orientação essencial sobre os mais prementes riscos e oportunidades de segurança de informações atualmente. Cada resumo é criado por uma seleta equipe de segurança formada por especialistas em tecnologia que se mobilizam em empresas para compartilhar conhecimento especializado sobre um tópico emergente importante. Eles oferecem percepções gerais e conselhos práticos de tecnologia e são artigos de leitura essencial para os inovadores profissionais de segurança de hoje. Índice Resumo executivo ...........................................................................................................1 Os sistemas de segurança de hoje concentram-se nos problemas de ontem ....................3 O SIEM estabelece uma linha de base para o gerenciamento de segurança .....................4 Ameaças avançadas exigem segurança avançada ...........................................................4 Transformação do SIEM em uma plataforma abrangente de lógica de segurança .............5 Visibilidade difundida ................................................................................................5 Lógica mais detalhada e investigações mais rápidas ..................................................6 Dimensionamento em grande escala..........................................................................6 Exibição unificada de informações de segurança essenciais ......................................7 Conclusão.......................................................................................................................8 Sobre os autores.............................................................................................................9 Soluções de segurança .................................................................................................11 Serviços de segurança gerenciados da CSC ...............................................................11 RSA® Security Analytics.............................................................................................11 Serviços de segurança gerenciados da Verizon..........................................................11 Autores Brian Girardi, diretor sênior de gerenciamento de produtos, RSA, a divisão de segurança da EMC David Martin, vice-presidente, diretor de segurança, EMC Corp. Jonathan Nguyen-Duy, diretor de serviços globais de segurança, Verizon Business Mario Santana, vice-presidente de serviços de informações seguras, Terremark, uma empresa da Verizon Eddie Schwartz, vice-presidente e CISO, RSA, a divisão de segurança da EMC Dean Weber, diretor de tecnologia de segurança cibernética, CSC Resumos de segurança da RSA
  • 3. Resumo de segurança da RSA, setembro de 2012 OS SISTEMAS DE SEGURANÇA DE HOJE CONCENTRAM-SE NOS PROBLEMAS DE ONTEM O inesperado é a regra de ouro que move os invasores hoje. Os defensores devem ser ágeis na resposta. Comentário do autor “Se você pensa nas ameaças de hoje, não se trata mais de bons garotos lutando contra worms ou vírus de computador em ataques em massa. Agora são os bons garotos contra os maus garotos, humanos tentando atingir um ambiente, e é por isso que todos os métodos clássicos de defesa automatizados falham. Em uma guerra de criatividade, os humanos vencerão as máquinas.” Mario Santana, vice-presidente de serviços de informações seguras, Terremark, uma empresa da Verizon “É preciso criar muitas novas habilidades de segurança e fazer as pessoas pensar de maneiras diferentes. Pare de pensar em ter que bloquear ameaças; em vez disso, descubra como detectar o que provavelmente aconteceu e o que fazer em seguida.” Dave Martin, diretor de segurança, EMC No passado, prevenir as ameaças era um jogo de gato e rato entre fornecedores de segurança e invasores. Uma ameaça podia ser desenvolvida por um invasor e, assim que identificada, os fornecedores liberavam assinaturas para seus clientes para que o malware fosse parado na famosa porta principal. Quando isso acontecia, os invasores faziam uma pequena mudança na ameaça para escapar da detecção, mas isso não durava muito: os analistas de ameaças do fornecedor examinavam o tráfego, identificavam as instâncias da nova variante e a bloqueavam de acordo. As equipes de segurança corporativa tinham que ter certeza de manter seus patches e assinaturas de segurança atualizados e, com exceção da vulnerabilidade ocasional de dia zero, essa abordagem de defesa de perímetro era considerada amplamente eficiente. Hoje, isso mudou, principalmente por causa de APTs e ameaças avançadas semelhantes. O Security for Business Innovation Council (conselho de segurança para inovação nos negócios) define ameaças avançadas como ataques cibernéticos projetados especificamente para violar as defesas de uma organização a fim de roubar informações valiosas como propriedade intelectual, plantar informações falsas, interromper serviços estratégicos, danificar sistemas ou monitorar operações ou ações. Essas ameaças avançadas são o trabalho dos invasores, agentes nacionais, empresas criminosas e outros grupos com forte financiamento e expertise em segurança. Os invasores de hoje não são afetados pelas defesas de perímetro tradicionais e baseadas em assinatura descritas acima. Eles realizam um reconhecimento nos sistemas de segurança, nas equipes e nos processos de uma organização e desenvolvem técnicas para explorá-los. Por meio de engenharia social, aumento de privilégios e outras formas de sondagem, os invasores obtêm acesso aos recursos confidenciais do sistema. Eles se movem pacientemente pela rede da organização, levando dias, semanas ou meses para cumprir seus objetivos, a fim de evitar a detecção. Em seguida, quando é a hora certa, eles executam as fases finais do ataque. As violações de segurança que poderiam indicar um aumento contínuo das ameaças avançadas parecem estar aumentando. O relatório 2012 da Verizon sobre investigações de violações de dados rastreou 855 incidentes de violação em 2011, representando 174 milhões de registros comprometidos. Essa é a segunda maior perda de dados anual desde que a Verizon começou a rastrear as violações em 2004. Além disso, muitas organizações hoje em dia continuam a consolidar a segurança em programas de conformidade. Entretanto, a natureza lenta e estruturada e as expectativas codificadas das atividades de conformidade normalmente fazem pouco para proteger de ataque os ambientes de TI. As empresas devem repensar as prioridades de gerenciamento de riscos para refletir as maiores chances atuais de roubo cibernético. Elas também devem repensar as estratégias de segurança para lidar com o desconhecido ou preparar-se para sofrer as consequências de uma violação. O progresso começa com a admissão da probabilidade de que os ambientes de TI já foram invadidos. Essa mudança na visão de mundo muda o objetivo da segurança: da tentativa primária para proteger o perímetro à detecção das ameaças com antecedência e minimização do dano de uma violação futura. Quando o campo de jogo da segurança muda do perímetro para o centro da organização, os profissionais de segurança podem concentrar seus esforços na obtenção de conscientização situacional para monitorar e proteger os ativos mais importantes da organização. Resumos de segurança da RSA página 3
  • 4. Resumo de segurança da RSA, setembro de 2012 O SIEM ESTABELECE UMA LINHA DE BASE PARA O GERENCIAMENTO DE SEGURANÇA Comentário do autor “Os sistemas de SIEM tradicionais ainda têm de nos alertar quando um modelo problemático é detectado e apresentar às organizações o máximo valor possível dos dados; isso não pode se perder. Mas existe muito mais a ser adicionado ao SIEM para fornecer visibilidade mais ampla e um contexto mais avançado para avaliação das ameaças.” Eddie Schwartz, diretor de segurança, RSA, a divisão de segurança da EMC Os sistemas de SIEM (Security Information and Event Management, gerenciamento de eventos e informações de segurança) foram projetados para oferecer um local central que reúna e armazene dados de segurança (informações de registros e eventos apenas) para simplificar o gerenciamento de incidentes de segurança e a emissão de relatórios de conformidade. Esses sistemas coletam alertas e registros de segurança gerados por aplicativos e sistemas na rede, de dispositivos de rede, armazenamento e bancos de dados até firewalls, sistemas de prevenção de invasão e software antivírus. Os sistemas de SIEM ajudam a reduzir o tempo que os analistas de segurança devem gastar na busca de informações, permitindo que eles realoquem seu tempo em vez de ficar corrigindo incidentes. Atualmente, cerca de um terço das empresas adotaram os sistemas de gerenciamento de informações de segurança, com investigação de incidentes e conformidade como os principais impulsionadores por trás da decisão de adoção, de acordo com um relatório recente da Forrester Research.1 Hoje, os sistemas de SIEM executam efetivamente várias funções essenciais de segurança e conformidade: • Emissão de relatórios sobre a atividade do dispositivo, fornecendo percepções-chave sobre quem, o que, onde e quando as atividades essenciais estão ocorrendo. • Estabelecimento de níveis de atividade normais de linha de base para a operação inteira de TI, facilitando a detecção de níveis e tipos de atividades incomuns. • Correlação de informações de eventos, para que os especialistas não tenham que passar com dificuldades por incontáveis alertas de segurança que são definidos diariamente por meio de muitos dispositivos e aplicativos na rede de uma organização. • Adoção de regras predefinidas por especialistas em segurança para filtrar ameaças possíveis. As regras também podem ser usadas para descartar alertas irrelevantes, aumentando a proporção entre sinal e ruído e reduzindo enormemente o número de eventos que devem ser investigados. • Coleta de dados do registro em um local central onde eles podem ser revisados, relatados e armazenados para fins de conformidade de perícia forense de longo prazo. • Fornecimento de comprovação de conformidade para auditores internos e externos por meio da geração automatizada de relatórios regulares. Essas funções são essenciais para qualquer programa de segurança e conformidade. Na verdade, alguns especialistas dizem que, se uma organização pode adotar apenas uma iniciativa de segurança orientada à detecção, que ela seja para usar os sistemas de SIEM de modo a reunir e correlacionar dados relacionados à segurança, o que pode ajudar a identificar muitos problemas. Infelizmente, para lidar com os riscos elevados oferecidos pelas ameaças avançadas, as abordagens de segurança convencionais baseadas em sistemas de SIEM não são suficientes. Os sistemas de SIEM tradicionais tornaram-se necessários, mas são insuficientes. AMEAÇAS AVANÇADAS EXIGEM SEGURANÇA AVANÇADA Novos recursos de segurança são necessários para complementar novas mentalidades e escolher onde as abordagens de segurança tradicionais podem ser deixadas de lado. Os sistemas de SIEM tradicionais, centrados em registros e eventos, normalmente oferecem uma imagem incompleta dos riscos que as organizações enfrentam. Isso porque as ferramentas de SIEM coletam apenas informações de partes da infraestrutura de TI, deixando pontos cegos essenciais. Os SOCs (Security Operations Centers, centros operacionais de segurança) só contam com registros de dispositivos para obter uma imagem confiável do que está acontecendo. Para identificar as anomalias, um analista do SOC talvez precise verificar outros tipos de dados (por exemplo, o cargo do proprietário de um laptop conectado a um servidor essencial) e ter essas informações em um local central em que elas possam ser associadas aos dados de segurança tradicionais. Os SOCs que veem valor no uso de diversas fontes de informações para detectar ameaças avançadas agora vão enfrentar Resumos de segurança da RSA 1 Forrester Research, Inc., “Dissect Data to Gain Actionable Intel” (Disseque os dados para obter inteligência acionável), agosto de 2012 página 4
  • 5. Resumo de segurança da RSA, setembro de 2012 um problema de big data: como coletar e analisar esses conjuntos de dados que as soluções tradicionais de segurança não levam em consideração? Comentário do autor “As violações não são mais furtos relâmpagos. A vasta maioria dos casos de violação e comprometimento no ano passado ocorreu por um período de meses. Nossa experiência mostra que agrega mais valor obter uma exibição completa do que aconteceu durante um longo percurso e realizar etapas para reduzir isso do que obter uma análise de eventos quase em tempo real.” Jonathan Nguyen-Duy, diretor de serviços globais de segurança, Verizon Business Com os sistemas de SIEM atuais, os analistas do SOC se veem diante de um dilema: eles não têm todos os dados necessários em suas mãos para obter uma imagem completa do ambiente, mas não podem usar todos os dados que têm porque as ferramentas de SIEM não podem lidar com eles do ponto de vista de desempenho. As ferramentas podem dizer a eles que uma assinatura de malware foi detectada, mas qual é o impacto desse malware nos negócios? Quão essencial é o sistema infectado? Como ele foi infectado? O que mais foi infectado por esse malware? Algum dado confidencial foi movido ou afetado? As ferramentas tradicionais não apresentam informações de segurança de modo significativo e acionável e não têm interfaces e recursos de visualização claros que funcionem como os analistas de segurança acham que deveriam. Por causa disso, as organizações que usam os sistemas de SIEM hoje estão obtendo normalmente apenas uma fração do valor desejado dessas ferramentas. Esse é um problema crítico. Como o SOC é a última linha de defesa contra ataques à organização, os analistas de segurança precisam ter um volume bem maior e mais detalhado de informações acionáveis disponíveis. O SIEM deve ser elevado a um nível mais alto de utilitário para ajudar os analistas de segurança a fazer o trabalho deles de modo mais eficiente. Com muito mais em jogo, as organizações devem avaliar honestamente sua maturidade em segurança e compreender os riscos que enfrentam para determinar se será melhor que os serviços dos SOCs sejam internos, se devem terceirizar para os MSSPs (Managed Security Service Providers, provedores de serviços de segurança gerenciados) ou adotar uma abordagem híbrida. TRANSFORMAÇÃO DO SIEM EM UMA PLATAFORMA ABRANGENTE DE LÓGICA DE SEGURANÇA Comentário do autor “O SIEM hoje não fornece a visibilidade, a extensão e o detalhamento das informações para identificar verdadeiramente as ameaças conforme acontecem. Precisamos de fontes de dados mais completas e visibilidade sobre os dados no sistema de rede, o que significa que o modo de mantermos, gerenciarmos, processarmos e moldarmos os dados deve mudar. Precisamos torná-los mais utilizáveis; não apenas mais dados, mas dados melhores.” Brian Girardi, diretor sênior do gerenciamento de produtos, RSA, a divisão de segurança da EMC Resumos de segurança da RSA Atualmente, os sistemas de SIEM não conseguem acompanhar os volumes e a variedade de informações relacionadas à segurança, especialmente à medida que as organizações adicionam infraestrutura, aplicativos e mesmo os serviços em nuvem a seus ambientes de TI. Para ajudar as organizações a alcançar o objetivo de conscientização situacional completa, as ferramentas de SIEM precisam de lógica de “big data” — a habilidade de trabalhar com conjuntos de dados que são muito maiores em escala, mais diversos e dinâmicos do que as informações de segurança coletadas atualmente pela maioria das organizações. As ferramentas de lógica de dados também precisam integrar inteligência contra ameaças de fontes externas, o que pode fornecer um contexto avançado para ajudar a agilizar a detecção dos ataques. Para desenvolver a inteligência, a visibilidade, a agilidade e a velocidade para lidar com ameaças avançadas, os sistemas de SIEM precisam se tornar um sistema central de lógica de segurança em grande escala. A próxima evolução do SIEM deve fornecer recursos sólidos em quatro áreas principais. Visibilidade difundida Antes que as organizações possam parar ataques cibernéticos ocultos, elas precisam primeiro ser capazes de vê-los. As plataformas de lógica de segurança devem permitir a reconstrução completa da atividade para garantir que os analistas do SOC tenham todas as informações disponíveis para decidir como realizar melhor aos possíveis problemas. A captura do pacote de rede completo, quando combinada a registros, eventos, inteligência de ameaças e outras fontes de dados, permite uma visão mais detalhada das ameaças de segurança: • Identificando malware – as ameaças estão cada vez mais difíceis de serem identificadas porque ficam mascaradas para simular tráfego legítimo navegando pelas redes. A captura do pacote de rede completo coleta e reconstrói arquivos e automatiza grande parte da análise exigida para identificar os sinais reveladores de intenção maliciosa. • Rastreando atividades de invasores no ambiente – depois que entram na rede de uma organização, os invasores normalmente movem-se entre os sistemas para reunir as página 5
  • 6. Resumo de segurança da RSA, setembro de 2012 informações exigidas para montar um ataque. Como normalmente os pontos periféricos não são monitorados, a captura do pacote de rede completo torna-se essencial para identificar os movimentos laterais dos invasores, que atravessam a rede da organização. • Apresentando prova de atividade ilícita – os sistemas capazes de capturar o pacote de rede completo registram sessões completas para mostrar as atividades exatas de um invasor, inclusive qualquer movimentação de dados. Como muitas ameaças avançadas são detectadas apenas depois de causarem danos, os analistas de segurança precisam encontrar uma forma de avaliar esses danos. A reconstrução do ataque é normalmente o modo mais efetivo de realizar análises posteriores ao ataque e investigações de perícia forense. Adicionar a captura do pacote de rede completo e a reconstrução da sessão à última geração de SIEM é essencial para os analistas de segurança investigarem e priorizarem as ameaças. Por exemplo, as ferramentas tradicionais de SIEM podem dizer “Sei que seu PC estava conectado a um servidor malicioso”, mas não podem revelar as informações transmitidas entre eles. A captura do pacote e a reprodução da sessão, quando combinadas a informações baseadas em registro e outras informações, podem fornecer uma percepção detalhada sobre o que publicar, para que os analistas de segurança possam avaliar se a atividade era ou não significativa. Esses recursos de perícia forense detalhados podem ajudar os SOCs a mover a detecção de ameaças para além da “cadeia de destruição” e reduzir o dano das ameaças avançadas. Lógica mais detalhada e investigações mais rápidas Os sistemas de lógica de segurança devem ter sofisticação para combinar dados diversos de modo a detectar indicadores de ataques avançados. Por exemplo, os sistemas de lógica de segurança devem procurar modelos de comportamento e fatores de risco, não apenas regras estáticas e assinaturas conhecidas. Os sistemas de lógica de segurança também devem considerar o valor relativo dos ativos corporativos em risco, sinalizando os eventos associados a ativos de grande valor. Aplicando uma abordagem baseada em risco que aproveita o big data, as plataformas de lógica de segurança podem eliminar as atividades “reconhecidamente boas” e aumentar a proporção entre sinal e ruído, reduzindo o volume de informações que os analistas de segurança devem revisar em sua busca por novas ameaças à empresa. A lógica mais detalhada e automatizada apresenta itens de interesse para analistas de segurança, relatando se “isso acontece muito” ou se “isso raramente acontece”. Fazendo isso, os sistemas de lógica de segurança podem realizar uma triagem para os analistas de segurança, destacando os eventos que exigem uma análise mais detalhada. Embora a lógica automatizada e inteligente seja um componente importante das novas plataformas de lógica de segurança, ela não substitui o julgamento humano; em vez disso, ela realça as áreas em que o julgamento humano deve ser aplicado, com sua exclusiva expertise organizacional e de domínio. Os sistemas de lógica de segurança ajudam principalmente os SOCs a dimensionar seus recursos de detecção de ameaças de uma forma que não era possível antes, ajudando os analistas a compreender os incidentes a tempo de fazer a diferença no resultado de um ataque avançado. Dimensionamento em grande escala Como os sistemas de SIEM evoluem para se tornarem plataformas de lógica de segurança, eles devem expandir-se em escala e escopo para lidar com a enorme variedade e volume de dados relacionados à segurança de dentro e fora da organização. A análise mais detalhada do tráfego de muitos tipos de dispositivos e na rede multiplica o volume de dados com os quais as plataformas de lógica de segurança devem lidar. Além disso, embora a fusão da inteligência contra ameaças atual de fontes externas transforme um console de segurança em um centro de inteligência de segurança, ela também combina desafios de dimensionamento de dados. Para lidar com as ameaças de hoje, as plataformas de lógica de segurança devem incluir recursos como uma arquitetura de armazenamento distribuída, com n níveis e um mecanismo de lógica que normalize e processe grandes e diversificados conjuntos de dados a uma velocidade muito alta. A lógica e o armazenamento de dados devem crescer juntos e de modo linear. Resumos de segurança da RSA página 6
  • 7. Resumo de segurança da RSA, setembro de 2012 Exibição unificada de informações de segurança essenciais Para ficar totalmente informado e exibir os eventos em contexto, os analistas de segurança precisam de todas as informações disponíveis em qualquer momento. Além da coleta de dados da rede, as plataformas de lógica de segurança devem integrar automaticamente a inteligência atual de ameaças de fornecedores, órgãos federais, associações do setor, empresas de inteligência de código aberto e outras fontes. Fornecendo todas as informações possivelmente relevantes para os analistas de segurança, a plataforma impede que eles coletem essas informações manualmente, uma tarefa que demora muito tempo. Centralizar a riqueza da inteligência aplicável em uma plataforma de lógica unificada é essencial no fornecimento de uma exibição oportuna do ambiente de TI, colocando os eventos em contexto e agilizando os processos de tomada de decisão dos analistas. PONTOS FORTES TRADICIONAIS DO SIEM LIMITAÇÕES DO SIEM Automatiza a coleta, o arquivamento e a emissão de relatórios de dados do registro e de eventos de várias fontes diferentes, desde dispositivos e servidores de rede até firewalls e software antivírus. A arquitetura de dados dos sistemas de SIEM tradicionais não foi criada para lidar com a enorme variedade e os volumes de informações de segurança disponíveis agora e que são necessários para alcançar visibilidade corporativa suficiente. Fornece uma arquitetura de dados distribuída para coletar dados de segurança em escala de “big data” (centenas de terabytes e muito mais). Essas plataformas também normalizam e analisam esses conjuntos de dados enormes e diversificados a uma velocidade muito alta. Cria um repositório unificado para dados relacionados à segurança, dando aos analistas do SOC acesso centralizado aos dados necessários para as investigações. Embora os sistemas de SIEM coletem registros e eventos de uma ampla variedade de sistemas, sua visibilidade está confinada aos dados contidos nos registros coletados, que normalmente abrangem apenas uma pequena fração de atividades possivelmente relevantes. Captura o tráfego de rede, com algumas plataformas avançadas de lógica de segurança, oferecendo ainda captura do pacote de rede completo e reconstrução de sessão para detectar e investigar como os invasores se infiltraram no ambiente de TI e o que eles fizeram assim que entraram. Além disso, as plataformas avançadas de lógica de segurança incorporam automaticamente inteligência contra ameaças de fontes externas, fornecendo valiosas exibições do ambiente de ameaças fora da empresa. Unifica os dados do registro para ajudar a criar um repositório abrangente para dados-chave orientados à segurança. Embora os sistemas de SIEM sejam ricos em dados, eles são normalmente pobres em utilização. A maioria é fraca quanto à habilidade de dar suporte aos analistas em investigações de incidentes sensíveis a tempo. Fornece o alto desempenho necessário para investigações específicas, bem como uma interface do usuário integrada para complementar o modo de os analistas de segurança realizarem investigações. Fornece relatórios de controle integrados, que podem ser importantes contribuições para fornecer conformidade com as normas do governo e do setor. Comprovar a conformidade, embora Fornece prova de conformidade como resultado de um necessário, não controla os riscos de programa voltado para segurança. segurança nem aumenta a posição de segurança da organização. Fornece emissão básica de alertas sobre sequências conhecidas por meio de regras de correlação. A detecção depende de ter assinaturas de ataque ou métodos conhecidos de ataque antecipadamente. Com as ameaças avançadas, normalmente não existe nenhuma assinatura e o comportamento exato do invasor é difícil de ser previsto com antecedência. Resumos de segurança da RSA A LÓGICA DE SEGURANÇA EXPANDE OS PONTOS FORTES SIEM E SOLUCIONA AS LIMITAÇÕES DO Cria uma plataforma unificada para coletar dados de segurança do ambiente. A detecção não se baseia em assinaturas nem em regras de correlação estáticas, mas em comparações dinâmicas em relação aos comportamentos normais da linha de base e a atividades suspeitas que podem ser indicativas de invasores. Isso acelera a identificação de ameaças ativas para as quais não existe assinatura e reduz o número de incidentes que os analistas devem investigar. página 7
  • 8. Resumo de segurança da RSA, setembro de 2012 CONCLUSÃO Os líderes de segurança bem-sucedidos sabem que precisam trabalhar com a hipótese de seus ambientes de TI já terem sido invadidos. O desafio está em saber onde os maiores perigos estão escondidos. As ferramentas de segurança tradicionais são adeptas de seguir regras definidas pela equipe de segurança (“procurar isso e não aquilo”). Em contrapartida, as plataformas de lógica de segurança encontram anomalias que os analistas nem podiam imaginar. O envolvimento humano sempre será exigido, mas os sistemas de lógica de segurança expandem o campo de visão, enquanto restringem o campo das ameaças, para impulsionar a tomada de decisão rápida e precisa. Os sistemas de lógica de segurança dão às organizações conscientização situacional e recursos para apoiar as decisões, exigidos para impedir que as ameaças avançadas causem prejuízos e para conceder benefícios de negócios significativos além da mera proteção. Integrando esses recursos a uma solução de segurança unificada, o custo total de propriedade diminui enquanto a utilidade da plataforma aumenta. Investindo em lógica de segurança em vez de soluções de SIEM tradicionais, as organizações fortalecem suas plataformas para o ambiente cada vez maior de ameaças, obtendo ao mesmo tempo um repositório de informações altamente dimensionável que pode servir para muitas funções e unidades de negócios diferentes. Automatizando as tarefas e fornecendo o contexto, as plataformas de lógica de segurança tornam os analistas de SOCs mais produtivos. Além disso, concentrando os esforços na defesa dos ativos mais valiosos da organização, a segurança se torna mais estratégica para ela. Resumos de segurança da RSA página 8
  • 9. Resumo de segurança da RSA, setembro de 2012 SOBRE OS AUTORES Brian Girardi, diretor sênior do gerenciamento de produtos, RSA, a divisão de segurança da EMC Brian Girardi administra o desenvolvimento de soluções avançadas de gerenciamento e lógica de segurança na RSA, a divisão de segurança da EMC. Ele entrou na empresa quando a EMC adquiriu a NetWitness em 2011. Como funcionário fundador da NetWitness, Girardi foi responsável por muitos dos conceitos e métodos analíticos que hoje compõem a plataforma de tecnologia da NetWitness. Na NetWitness, ele foi responsável pelo marketing e pelo posicionamento estratégico do produto, pela estratégia de tecnologia, definindo a funcionalidade e comandando os lançamentos dos produtos. Girardi passou mais de 13 anos trabalhando em segurança das informações, fornecendo soluções e serviços inovadores a órgãos federais, à comunidade de inteligência dos EUA e a empresas comerciais. Criador de inventos patenteados no campo de segurança das informações, Girardi é bacharel em engenharia mecânica e mestre em engenharia elétrica pela Virginia Tech. David Martin, vice-presidente, diretor de segurança, EMC Corp. David Martin gerencia a Organização global de segurança da EMC, líder de setor, focada na proteção dos ativos e da receita de vários bilhões de dólares da empresa. Como executivo de segurança mais experiente da EMC, ele é responsável por estabelecer a marca de confiança da EMC com seus clientes e por fornecer operações de proteção de negócios no mundo todo. Martin é um profissional certificado em segurança de sistemas de informações e traz para a EMC muito conhecimento em segurança e gerenciamento de informações, desenvolvido em mais de uma década de experiência em proteção de negócios profissionais em várias funções nos setores de auditoria interna, desenvolvimento e consultoria de serviços de segurança. Antes de entrar na EMC, Martin criou e dirigiu organizações de consultoria de segurança, concentrando-se nos setores de infraestrutura essencial, tecnologia, bancos e saúde, onde desenvolveu e forneceu programas de segurança corporativa, resposta a incidentes, investigações, política e práticas de avaliação. Martin é bacharel em engenharia de sistemas de produção e fornece declarações frequentes no Congresso Americano e em órgãos governamentais como testemunha especialista em problemas de proteção corporativa. Jonathan Nguyen-Duy, diretor de serviços globais de segurança, Verizon Business Jonathan Nguyen-Duy chefia o gerenciamento de produtos e serviços de segurança gerenciados na Verizon Business. Ele é responsável pelo desenvolvimento de soluções de segurança que combatem uma ampla gama de ameaças e atendem a vários requisitos de conformidade. Nos últimos três anos, sua equipe desenvolveu o anti-DDoS, a correlação de inteligência relativa à reputação e uma nova geração de serviços de segurança baseados em nuvem. Durante esse tempo, a Verizon foi reconhecida como líder do setor em segurança e o maior provedor de serviços de segurança gerenciados do mundo. Antes de sua função atual, Nguyen-Duy foi responsável pelo desenvolvimento da prática de continuidade de negócios da Verizon, das soluções de segurança físicas, do armazenamento gerenciado e de serviços de hospedagem. Antes de entrar na Verizon, ele atuou como diretor regional de operações para a América Central junto ao U.S. Foreign Service. Nguyen-Duy tem mais de 15 anos de experiência em gerenciamento de riscos e segurança de informações, ajudando as empresas e os órgãos do governo a solucionar problemas que envolvem conflitos armados, guerras civis, greves de trabalhadores, desastres naturais, ataques terroristas, interrupções de energia, pandemias e uma grande variedade de ameaças de segurança cibernéticas. Especialista reconhecido em segurança e continuidade de operações, ele é palestrante regular em eventos do setor e atua em várias forças-tarefas de segurança. Nguyen-Duy é mestre em marketing de TI e negócios internacionais e é bacharel em economia internacional pela George Washington University. Resumos de segurança da RSA página 9
  • 10. Resumo de segurança da RSA, setembro de 2012 Mario Santana, vice-presidente de serviços de informações seguras, Terremark, uma empresa da Verizon Mario Santana entrou no grupo de SIS (Secure Information Services, serviços de informações protegidos) na Terremark Worldwide em janeiro de 2006. Lá, ele gerencia a equipe de lógica e atuou como consultor dos clientes da Terremark no que se refere a segurança, tecnologia e gerenciamento de riscos. Após a fusão da Terremark com a Verizon em 2011, Santana trabalhou para criar e integrar uma nova organização de segurança de alto desempenho, reprojetou estratégias, simplificou os processos operacionais e manteve a equipe de elite. Anteriormente, Santana havia fundado uma empresa de tecnologia de gerenciamento de identidade, deu consultoria à SteelCloud, Inc., e trabalhou em TI por mais de 25 anos. Santana trabalhou com várias organizações listadas na Fortune 1000 no mundo todo, inclusive instituições financeiras, de saúde e educação, segurança em aeroportos e linhas aéreas, conglomerados de varejo, empresas de tecnologia e escritórios de advocacia. Ele tem liderado projetos e ações relacionados a preocupações de gerenciamento de segurança e risco como governança corporativa, perícia forense e detecção eletrônica, resposta a incidentes, fraude em propriedade intelectual, incidentes internos e avaliação de redes, sistemas e aplicativos. Sua especialidade inclui conscientização de ameaças, avaliação e redução, instrumentação de rede, administração de segurança e conformidade. Eddie Schwartz, vice-presidente e CISO, RSA, a divisão de segurança da EMC Eddie Schwartz é CISO (Chief Information Security Officer, diretor de segurança das informações) da RSA e tem 25 anos de experiência no campo de segurança das informações. Anteriormente, foi cofundador e diretor de segurança da NetWitness (adquirida pela EMC), CTO da ManTech, EVP e gerente geral da Global Integrity (adquirida pela INS), SVP de operações da Guardent (adquirida pela VeriSign), CISO da Nationwide Insurance, cientista da computação sênior da CSC e diretor do Foreign Service do Departamento de Estado Americano. Schwartz é conselheiro de várias empresas de segurança em estágios iniciais e atua no Comitê Executivo do BITS (Banking Information Technology Secretariat). Schwartz é bacharel em gerenciamento de segurança das informações e mestre em gerenciamento de tecnologia da informação pela George Mason University School of Management. Dean Weber, diretor de tecnologia de segurança cibernética, CSC Dean Weber é diretor de tecnologia de segurança cibernética na CSC, onde forneceu visão e orientação para o desenvolvimento e suporte das soluções para iniciativas estratégicas de segurança cibernética. Com mais de 30 anos de experiência em segurança de informações e física, Weber uniu-se à CSC depois de atuar como diretor de tecnologia na Applied Identity, que foi recentemente vendida para a Citrix. Anteriormente, foi arquiteto de segurança na Teros, fabricante líder de gateways de segurança de aplicativos, também adquirida pela Citrix. Foi responsável pelo desenvolvimento e implementação de soluções, inclusive a união de avaliação e inteligência nos TruSecure/ICSA Labs (agora Verizon Business Security Solutions). Weber ajudou a fundar um grande integrador de revendedores do meio oeste, especializado em design de arquitetura seguro e implementação para clientes dos setores público e privado e atou nele por muitos anos como vice-presidente técnico. Além disso, ele passou vários anos na Marinha Americana trabalhando em segurança eletrônica e física. Weber é palestrante frequente em eventos de segurança da informação, como InfoWorld, ITEC, InfoSec Europe, InfraGard, Secret Service Security Roundtable, ISSA e vários outros. Resumos de segurança da RSA página 10
  • 11. Resumo de segurança da RSA, setembro de 2012 SOLUÇÕES DE SEGURANÇA Os produtos e serviços descritos abaixo estão alinhados à orientação descrita neste Resumo de segurança de RSA. Esta não é uma lista abrangente de soluções aplicáveis. Em vez disso, este resumo é um ponto de partida para os profissionais de gerenciamento de segurança e risco interessados em aprender mais sobre algumas das opções de solução e serviços disponíveis. Serviços de segurança gerenciados da CSC Os serviços de segurança gerenciados da CSC são fornecidos por meio de centros de operações de segurança integrados no mundo todo e oferecem uma alternativa atraente ao autogerenciamento das funções de segurança. Os serviços de segurança gerenciados da CSC permitem que as organizações cumpram de modo mais eficiente suas obrigações de segurança em um ambiente de orçamentos limitados, recursos com habilidades limitadas, obrigações regulatórias rígidas e um cenário de ameaças em ascensão. Um conjunto abrangente de ofertas que fornece proteção cibernética ajustada e abrange desde o monitoramento e o gerenciamento principais até a lógica mais sofisticada e a proteção de segurança cibernética mais moderna por meio de detecção de ameaças avançadas, inteligência de ameaças globais, conscientização situacional e recursos de GRC (Governance, Risk and Compliance; governança, risco e conformidade). Hoje, a CSC é um dos poucos provedores de serviços de segurança de gerenciamento independente de fornecedor para empresas de médio e grande portes, integrando as melhores ferramentas disponíveis a partir de um amplo espectro de fornecedores líderes com propriedade intelectual da CSC. RSA® Security Analytics A solução RSA® Security Analytics é projetada para fornecer às organizações a conscientização situacional necessária para lidar com seus problemas de segurança mais prementes. Oferecendo visibilidade sobre o tráfego de rede e os dados de evento de registro de toda a empresa, o sistema RSA Security Analytics pode ajudar as organizações a obter uma exibição abrangente do ambiente de TI, permitindo que os analistas de segurança priorizem rapidamente as ameaças, investiguem-nas, tomem decisões de correção e ajam. A arquitetura de dados distribuída da solução RSA Security Analytics é projetada para coletar e analisar volumes de informações em grande escala, centenas de terabytes e muito mais, a uma velocidade muito alta e usando vários modos de análise. A solução também é capaz de integrar a inteligência de ameaças externas sobre as ferramentas, as técnicas e os procedimentos mais recentes usados pela comunidade de invasores e de ajudar as organizações a rastrear e gerenciar respostas a problemas de segurança identificados por meio da solução. A plataforma RSA Security Analytics deve ser liberada comercialmente no final de 2012. Serviços de segurança gerenciados da Verizon A Verizon é parceira global de TI, segurança e comunicações de empresas e do governo e tem uma das redes IP públicas mais conectadas do mundo. A Verizon oferece o conjunto mais abrangente de serviços de segurança, com o apoio de mais de 1.200 especialistas em 30 países. A Verizon utiliza sua própria tecnologia de correlação e classificação, SEAM (State and Event Analysis Machine), para filtrar milhões de eventos de segurança benignos e escalar apenas os incidentes que oferecem provavelmente mais risco de representar ameaça. Essa tecnologia, combinada a um enorme volume de inteligência contra ameaças e vulnerabilidades gerado pela rede global expansiva da Verizon, permite que a empresa combata uma ampla quantidade de ameaças e atenda a vários requisitos de conformidade. É por isso que a Verizon é considerada líder de segurança por empresas de analistas como Gartner, Forrester, Frost & Sullivan e outras. É por isso também que milhares de empresas e órgãos governamentais contam com a Verizon para ajudar a proteger os dados e a infraestrutura de negócios que fornecem esses dados, os padrões e regulamentações de segurança. Resumos de segurança da RSA página 11
  • 12. Resumo de segurança da RSA, outubro de 2011 SOBRE A RSA RSA, a divisão de segurança da EMC, é o primeiro provedor de soluções de gerenciamento de segurança, risco e conformidade para acelerar os negócios. A RSA ajuda as principais empresas do mundo a ser bem-sucedidas solucionando seus mais complexos e confidenciais desafios de segurança. Entre esses desafios estão o gerenciamento do risco organizacional, a proteção da colaboração e do acesso móvel, a comprovação de conformidade e a proteção de ambientes virtuais e em nuvem. Combinando controles essenciais aos negócios em garantia de identidade, criptografia e gerenciamento de chaves, SIEM, prevenção contra perda de dados e proteção contra fraudes com recursos de eGRC (Enterprise Governance, Risk and Compliance) líderes do setor e sólidos serviços de consultoria, a RSA proporciona confiança e visibilidade para milhões de identidades de usuário, para as transações que eles realizam e para os dados que são gerados. Para obter mais informações, visite brazil.RSA.com e brazil.emc.com. EMC2, EMC, o logotipo da EMC, RSA, enVision, Archer e o logotipo da RSA são marcas registradas ou comerciais da EMC Corporation nos Estados Unidos e em outros países. Todos os outros produtos ou serviços mencionados neste documento são marcas comerciais de suas respectivas empresas. © Copyright 2012 EMC Corporation. Todos os direitos reservados. brazil.rsa.com h11031-SIEM_BRF_0912