Este documento introduce RSA enVision, una plataforma SIEM que integra la gestión de logs, detección de incidentes y cumplimiento normativo. RSA enVision mejora la visibilidad de seguridad, cumplimiento y operaciones mediante la conversión de datos de logs en información útil. Automatiza reportes de cumplimiento y mejora el proceso de manejo de incidentes de seguridad para reducir costos operativos.

1. Introducción a RSA enVision
Gerardo Chovet,
Product Manager

2. Log (Event) Management: Definiciones
Log: Registro de un evento o actividad ocurrido dentro
de los sistemas o redes de una organización*
Log Management: La recolección, análisis (tiempo real
e histórico), almacenamiento, y gestión de logs
provenientes de diversas fuentes del ámbito
informático.
– Sistemas de Seguridad
– Dispositivos de Redes
– Sistemas Operativos
– Aplicativos
– Almacenamiento, etc.

3. Rol de los Logs en Seguridad y Cumplimiento
Incompetencia en Gestión de Logs es mayor causa de robo
de data:
– Falta de monitoreo de seguridad en tiempo real entre 5 principales razones por la
que comercios son hackeados (MasterCard)
– Insuficientes métodos de detección de accesos no autorizados es una causa mayor
de data sea comrometida (U.S. FTC)
Y entre principales razones por la que empresas no pasan
auditorías de normatividad:
– La inadecuada revisión de logs de auditoría entre 5 principales deficiencias en
Control de IT descubiertas en auditoría de Sarbanes Oxley (SOX auditors)
– Falta de Logueo adecuado entre 3 principales áreas de deficiencia en PCI DSS (PCI
auditors)
Logs son pilar central en programas de Seguridad y de Cumplimiento
Normativo.
Logs son el único método para monitorear, corroborar, reportar y
mantener un registro de enforzamiento de políticas.

4. Más Amenazas y Más Regulación
Ataques externos Amenaza interna: Robo
de info financiera
Usuarios pierden
propiedad intelectual por
R&D descuido
Data Center
Costosos DMZ
requerimientos de
auditoría Executive
Financial
Nuevas tecnologías
Requerimientos del
Web 2.0 y P2P
negocio continuamente
evolucionando

5. Preocupaciones del Personal de T.I.
Procesar grandes
Equipo de Seguridad carece
volúmenes de logs y
de visibilidad a los sistemas y
eventos es abrumador
redes
Postura de Seguridad en
Cumplimiento es costoso Tiempo Real es difícil de
e intensivo en recursos determinar

6. Problemas y Requerimientos
Equipo de Seguridad carece Recolección de logs no intrusivo
de visibilidad al ámbito T.I. para accesar toda fuente de eventos
Procesar grandes volúmenes Gestión del completo ciclo de
de logs y eventos es vida de la información.
abrumador
Postura de Seguridad en Prioritación de eventos en tiempo
Tiempo Real es difícil de real y basado en riesgo.
determinar.
Cumplimiento es costoso e Reportes de Cumplimiento en
intensivo en recursos minutos, no semanas.

7. RSA enVision: Plataforma SIEM 3-en-1
Simplifica Mejora Operaciones Optimiza Operaciones
Cumplimiento De Seguridad de Redes y T.I.
Reportes de Alertas y análisis de Monitoreo de
Cumplimiento para Seguridad en Tiempo Infraestructura T.I.
regulaciones y Real
políticas internas.
Reportes Auditoría Info Correlació Baseline de Visibilidad
Forense n/Alertas Redes
Base de Datos
idónea para Logs RSA enVision: Plataforma de Gestión de Logs
(IPDB)
Dispositivos Dispositivos aplicativos/ servidores storage
de Seguridad de Redes databases

8. SIEM 3 en 1:Simplifica el Cumplimiento
Alertas & Reportes
1400+ reportes incluídos
Fácilmente customizables
Agrupados de acuerdo a standards, e.g.
Leyes Nacionales (SOX, Basel II, JSOX),
Regulaciones de Industria (PCI), Mejores
Prácticas & Standards (ISO 27002, ITIL)

9. RSA enVision y el ciclo de vida del
Cumplimiento :
La información recolectada por enVision ayuda su
organización a entender:
– Si cumple con regulaciones y
leyes.
– Qué necesita para cumplir.
– Demostrar y/o comprobar a los
auditores que se esta cumpliendo
– Proveer evidencia de cumplimiento
que puede ser usada ante la Ley.
(evidence grade)

10. Reportes de Compliance de RSA enVision
Requerimiento 10 de PCI DSS: “Rastrear y monitorear
todo acceso a las redes y data del cuenta habiente..”
Solución líder del mercado para reporteo en múltiples
standards, e.g.:
Leyes Regulaciones Mejores Prácticas
Nacionales Por Industria & Standards
Sarbanes-Oxley PCI ISO 27002

11. Regulaciones alrededor del mundo
International
Basel II
Information Security Forum
OECD guidelines
ISO
EU
LSF (France) EU Convention of Human
Americas KonTraG (Germany) Rights
SOX (US) BDSG (Germany) EU Privacy Directive
HIPPA (US) SigG (Germany) EU Signature Directive
GLBA (US) RIP (UK) WEE Directive
USA Patriot Act (US) Tumbull Report (UK) RoHS Directive
Tax Act (US) HRA and DPA (UK) Antitrust Rule
NASD rules (US) NERC (Ukraine) Asia
FDA 21 CFR 11 (US)
Protection for Personal
SEC Rule 17a-3 & 17a-4 (US)
Information Act
CAN-SPAM Act (US)
JSOX
FTC Do-Not-Call List (US)
COPPA (US)
NIIPA (US)
SB 1386 (California) Australia
PIPEDA (Canada) Federal Privacy Act
FATF (Latin America) South Africa Privacy Amendment Act
King II Report Spam Bill
PSM
ACSI 33

12. Lo que un sistema SIEM debe hacer para Simplificar
el Cumplimiento Normativo
1 Recolectar TODA data de Logs, TODO el tiempo!
Almacenar la data de toda la organización en un repositorio
2 común y seguro para un análisis global.
Asegurar que la data no sea filtrada,editada, o cambiada
3 de manera alguna.
4 Asegurar que la data sea verificable y auténtica.
5 Mantener un rastro de auditoría de toda actividad.

13. Detección de Incidentes en Tiempo Real
Comprehensive
Reglas de Correlación, filtros correlation rules
y watchlists delivered out-of-the-box
– enVision provee habilidad para CRL-00011 Several Failed Logins Followed By A
Successful Login / Possible Successful Brute
definir reglas de correlación, Force Attack Detected
watchlists de información
dinámica.
Información de Amenazas
– RSA enVision provee
actualizaciones de
vulnerabilidades, firmas de
IDS, conocimiento sobre
eventos y reglas de correlación Detailed library of
background information

14. Gestión de Incidentes para SOC con enVision
Prioritació Info
Notificación Análisis Rastreo Remediaci
n Forense
ón
Receive Automatically Examine all Gather, Track or trace Track incident
message sort, available document and intruder entry, resolution
indicating categorize & information & preserve access,
potential prioritize supporting information origination and
incident incoming evidence and analysis of systems
incidents evidence involved
Framework developed by Carnegie Mellon University

15. Monitoreo y Gestión
Métricas clave & Dashboards
Network
Activity by
Category
IDS Top
Threats
Incident
rate
Most
Vulnerable
Assets by
Severity

16. Cómo SIEM ayuda a la gerencia de TI &
Redes
– Optimiza performance de las redes identificando problemas y
1 equipos deficientes
–
2 Ayuda a la Gerencia de TI Operaciones de Helpdesk:
• Ayuda a descubrir lo que esta pasando en las redes.
• Provee visión global de toda actividad
• Alerta sobre problemas en las redes
• Dashboards con informacion esencial
–
3 Ganar visibilidad al comportamiento de individuos o grupos de
usuarios.
16

17. RESUMEN: Beneficios claves de RSA
enVision
Convierte data de logs en información inteligente y
accionable.
Incrementa la visibilidad hacia temas de Seguridad,
Cumplimiento y Operaciones.
Ahorra tiempo automatizando reportes de
Cumplimiento Normativo.
Mejora el proceso del manejo de incidentes de
Seguridad.
Baja los costos operacionales.

18. SIEM Gartner Magic Quadrant – May 2008
RSA enVision leads for its
ability to execute on current
product functions, continued
investment, track record and
customer experience,
including
ease of deployment

19. RSA enVision 1,600+ customers
50% of Fortune 10
Líderazgo comprobado 40% of top Global Banks
30% of top US Banks
Energy & Utility Retail & Hospitality
MSSP
Healthcare
Fortune 500
Financial Services