Estudo de caso O HPE Cyber Defense Center protege recursos globais a cada minuto, todos os dias. Objetivo Abordagem Questões de TI

Transcrição

1 Objetivo Proteger recursos de empresas globais ao mesmo tempo que serve de modelo de boas práticas operacionais para inovação em segurança empresarial. Abordagem Implementar produtos da HPE ArcSight e integrar os feeds de dados do HPE TippingPoint Intrusion Prevention System e de fontes de terceiros. Analisar fontes de Big Data para conduzir análises e alertas avançados com a HPE Vertica Analytics Platform. O protege recursos globais a cada minuto, todos os dias. O maior mostruário de implementação de tecnologias de segurança da HPE e de sua excelência operacional Questões de TI Produtos ArcSight monitoram cerca de um bilhão de eventos por dia, reduzindo o fluxo de eventos a um volume que pode ser gerenciado por alguns analistas o que necessitaria um exército de mais de analistas para ser feito manualmente. Os eventos são correlacionados a partir de aproximadamente 600 plataformas do IPS TippingPoint e dezenas de outras fontes para detectar ameaças de forma proativa. O IPS TippingPoint detecta e bloqueia cerca de cinco milhões de ataques por dia. A plataforma de análise Vertica permite que o CDC (Centro de defesa digital) correlacione mais de dois bilhões de registros todos os dias e permite que a equipe faça análises de 50 a vezes mais rapidamente que o possível em bancos de dados tradicionais, usando uma fração do hardware. Questões comerciais Os dados empresariais da HPE são protegidos em escala global por cerca de funcionários com uma equipe de apenas 22 profissionais da segurança. O CDC é uma estrutura de segurança empresarial global que mantém as melhores práticas de segurança da HPE sempre atualizadas e altamente eficazes. Inovações nas práticas de segurança do CDC são transferidas para produtos e serviços de segurança da HPE para que clientes estejam um passo à frente de ameaças digitais. O oferece recursos de nível global em operações, engenharia, inteligência e gestão de acidentes para toda a Hewlett Packard Enterprise. O CDC implementou grande parte dos produtos da família HPE ArcSight e entregou feeds de dados de cerca de 600 plataformas do HPE TippingPoint Intrusion Prevention System e conduziu análises complexas de volumes enormes de dados da Web e de syslog com a HPE Vertica Analytics Platform para análises avançadas e alertas. Esse campo de testes real não apenas protege a infraestrutura global de TI da HPE, mas também fornece uma estrutura para ajudar os clientes da HPE a se proteger de ataques digitais e a conduzir seus negócios facilmente. Após analisar mais de 90 SOCs (Centros de operações de segurança) em todo o mundo e acumular o maior banco de dados da área, a HPE utiliza as melhores práticas e lições para aprender e aplicá-las ao seu próprio centro de defesa digital. O CDC demonstra, não apenas a capacidade da HPE de obter uma visão 3D coletiva de toda a empresa, mas também é uma demonstração da inovação de segurança da empresa, protegendo um dos ativos mais importantes da empresa: os dados. O CDC, que foi inaugurado no outono de 2013, utiliza as lições que a HPE aprendeu com mais de 10 anos de implementações de operações de segurança. Ele já é um dos maiores SOC (Centros de operações de segurança) do mundo, protegendo a infraestrutura de TI global da HPE contra ataques digitais, ao mesmo tempo que fornece um fórum para demonstrar sua experiência em segurança a clientes e parceiros. O CDC já protegeu a HPE de ataques como o Heartbleed e o Shellshock, malwares que podem resultar em vulnerabilidades extremas e exploração se não forem detectados e corrigidos.

2 Página 2 Em conformidade com a visão HPE on HPE, a TI da HPE deve ser o principal mostruário da empresa, a equipe de CDC implementou a maioria dos produtos da família de produtos HPE ArcSight e integrou feeds de dados de cerca de 600 plataformas de HPE TippingPoint Intrusion Prevention System implementadas pelo mundo. A HPE também coleta dados de registro de servidores da Web e de outras fontes, conduzindo análises avançadas e enviando alertas por meio da HPE Vertica Analytics Platform. Esse campo de testes real permite que a HPE proteja sua própria infraestrutura de TI e também que analise ameaças digitais, ao mesmo tempo que traduz conhecimentos para futuros avanços em seus produtos de segurança e serviços de consulta. Isso representa uma conquista importante em inteligência de segurança em grande escala, considerando que a HPE tem atualmente: dispositivos de rede servidores funcionários pontos de extremidade gerenciados Correlação de dados em dezenas de plataformas A plataforma IPS TippingPoint está sendo implantada em estabelecimentos da HPE ao redor do mundo e é gerenciada localmente, sendo que o CDC é um cliente primário dos eventos de prevenção de intrusão. O IPS TippingPoint fornece proteção em linha, em tempo real, ao fornecer uma rede de segurança proativa para o tráfego de rede e centros de dados da HPE. As soluções ArcSight correlacionam logs do TippingPoint e de outras fontes, então o CDC pode detectar ameaças de forma proativa. Todas as plataformas do TippingPoint dependem do serviço de assinatura de vacina digital Thread (ThreadDV), que fornece um pacote semanal de filtro de malware para ajudar empresas a se protegerem contra as mais novas ameaças, para prevenir e corromper atividades de malware, protegendo dados importantes e melhorando o desempenho da rede. De acordo com Marcel Hoffmann, gerente sênior do, Na HPE, o TippingPoint detecta e bloqueia ativamente cerca de cinco milhões de ataques por dia. O nosso CDC opera a terceira maior instalação de IPS TippingPoint do mundo, e quando uma ameaça grave é detectada, removemos o tráfego e bloqueamos esses ataques. Apesar do tamanho da implantação, o CDC recebe poucos alertas do Tipping Point. Recebemos altos volumes de alertas de firewalls, mas muitos deles são irrelevantes, explicou Hoffmann. O IPS TippingPoint fornece feeds com baixo volume e com alertas utilizáveis e de alta confiança, e esses são investigados ativamente. As plataformas do ESM (Software de gerenciamento de segurança empresarial) HPE ArcSight, do HPE Logger e do IPS TippingPoint trabalham juntas para criar um sistema de defesa digital robusto e abrangente. Cada elemento tem um papel importante para manter a segurança dos ativos de informações valiosos da HPE, que incluem aplicações corporativas, sistemas de informações de clientes, ativos de propriedade intelectual e todos os recursos de informações críticas disponíveis na rede empresarial da HPE. O IPS TippingPoint monitora e detecta atividades na rede, bloqueia atividades maliciosas na camada de aplicativo e alimenta dados de eventos no ArcSight ESM. O ArcSight Logger categoriza e armazena as informações do evento do TippingPoint e de outras fontes. O ArcSight permite o monitoramento de logs de dezenas de plataformas de um único console e faz a correlação avançada de eventos de diferentes fontes. Além da inclusão de dados de log de plataformas do IPS TippingPoint, o ArcSight também recebe logs de firewalls, do diretório do servidor da Microsoft Windows, do HPE-UX, do VMware, da Microsoft.net, de VPNs, de dispositivos e comutadores de rede e de banco de dados. Conseguimos capturar logs da maioria das fontes, usando os conectores distintos do ArcSight e usamos a plataforma HPE FlexConnector para montar uma lógica de coleta e contextualizar logs para outros, disse Jorge Alzati, Gerente sênior da ArcSight engenharia e gestão da produção.

3 Página 3 O CDC já detectou e bloqueou milhares de ataques potenciais em menos de um ano. Nosso programa de segurança digital fornece dados de segurança precisos para ajudar a gerência a tomar decisões baseadas em fatos, ao mesmo tempo que nos ajuda a continuar a implementar uma estratégia de segurança previsível. Marcel Hoffmann, Gerente sênior,, Hewlett Packard Enterprise O ArcSight ESM filtra e correlaciona os dados coletados pelo IPS TippingPoint e por outras fontes, armando analistas com informações importantes de alta qualidade de que eles precisam para conduzir análises de inteligência de segurança efetivas. A implementação de produtos de segurança da HPE seguiu a metodologia de implementação dos softwares de serviços profissionais da HPE e incorporou a grande disponibilidade, recuperação de desastres, tolerância a defeitos e propriedades de balanceamento de carga. Detecção e bloqueio de ataques Uma empresa do tamanho da HPE tem investigações de vulnerabilidades e tentativas de exploração de vulnerabilidades centenas de vezes por segundo. A solução do HPE ArcSight processa uma média de um bilhão de eventos por dia, reduzindo o fluxo de eventos a um volume que pode ser administrado por poucos analistas que trabalham durante cada turno do CDC. Esses analistas reduzem ainda mais os alertas para 15 ou 20 acidentes que são mandados para revisão ou para ações remediadoras. Levaria um exército de mais de analistas para conduzir uma função equivalente manualmente. Sem o ArcSight, essa análise não seria feita e esses eventos não seriam examinados, deixando que ataques passassem despercebidos. A solução ArcSight detecta padrões de atividade, correlaciona-os e cria alertas baseados em regras de caso de uso. A HPE administra grandes quantidades de dados importantes que precisam ser protegidos, incluindo dados de sistemas, funcionários e clientes. O ArcSight ESM fornece ao CDC o ponto centralizado para que o monitoramento de segurança seja feito. O CDC usa o ArcSight para detectar ameaças em tempo real e para que possam ser atenuadas rapidamente e usam o ArcSight para coletar e correlacionar grandes quantidades de dados de segurança, que melhoram consideravelmente a habilidade dos analistas do CDC de encontrar e impedir ameaças. A solução ArcSight fornece uma visão única do panorama das ameaças e nos ajuda a maximizar nossos recursos de segurança, disse Hoffmann. O tempo e o esforços dos analistas podem ser focados em eventos de segurança filtrados que indicam ameaças reais, em vez de analisarem grandes quantidades de dados brutos de sistemas de monitoramento separados. A análise de dados do ArcSight suporta mitigações mais rápidas e efetivas, e apresente um caso forte para proprietários de ativos afetados, o que é essencial para remediações rápidas e efetivas. Quando um ataque é detectado, o ArcSight ajuda os analistas da CDC a documentar os fatos e fornecer provas necessárias para trabalhar efetivamente com proprietários de ativos e ganhar a aprovação da solução. Feeds de dados são correlacionados por unidades de negócios e geografias, dando ao CDC visões únicas de ameaças digitais.

4 Página 4 Grandes empresas precisam ter a habilidade de fazer a relação cruzada de ataques de dados rapidamente e em diversos planos, para que possam identificar ameaças potenciais que ocorrem na empresa e que unidades ou regiões de negócios individuais possam não reconhecer, explica Alzati. Hoffmann comenta, o ArcSight é uma ferramenta de correlação altamente sofisticada que enriquece dados do evento para fazer a análise de contexto mais rapidamente. Isso permite que nossos analistas sejam mais eficientes e efetivos, acarretando ações mais rápidas para mitigar ameaças. O ArcSight também permite a detecção de atividades de reconhecimento quando invasores procuram pontos fracos no sistema e, dessa forma, conseguimos bloquear potenciais ataques antes que ocorram. O CDC utiliza essas experiências com frequência para desenvolver casos de uso e filtrar os feeds de dados, além de melhorar o processo de alertas. O desenvolvimento de casos de uso é importante para garantir que a equipe do CDC receba os alertas automáticos corretos, disse Alzati. A equipe de operações revisa os relatórios diariamente para assegurar que os controles corretos e a instrumentação estejam funcionando, mas quando tem os casos de uso corretos, o ArcSight funciona como um único painel de controle que ajuda a equipe a entender as informações de log e compreender o status de segurança da organização. A combinação das soluções do ArcSight ESM e do IPS TippingPoint ajudou os analistas do CDC a detectar e bloquear milhares de ataques potenciais. O CDC preveniu, por exemplo, ataques do Poodle (Padding Oracle On Downgraded Legacy Encryption). De acordo com Hoffmann, Quando soubemos da vulnerabilidade do Poodle, criamos uma regra de caso de uso no ArcSight para detectar tentativas de atividades que tentem explorar essa vulnerabilidade. Colocamos 250 endereços de IP na lista negra, baseando-nos nos alertas do ArcSight, resultantes da nova regra, que acabou impedindo os invasores de explorarem as vulnerabilidades. Depois de pouco tempo do lançamento do Shellshock, em setembro de 2014, o TippingPoint informou os analistas do CDC que invasores estavam analisando os sistemas da HPE à procura de vulnerabilidades por meio de alertas mostrados no painel do ESM ArcSight. O ArcSight mostrou, em tempo real, de onde os escaneamentos vinham e o que queriam, disse Hoffmann. Em um curto período, conseguimos relatar as vulnerabilidades da HPE para com o Shellshock e priorizar correções de sistema para remediá-las. Análise e correlação de Big data Em parceria com os laboratórios da HPE, o CDC implementou as ferramentas de gestão de log do DNS (sistema de nome de domínios) para coletar logs dos seis grupos de nomes de servidores de DNS internos, que são enviados para a HPE Vertica Analytics Platform para a realização análises avançadas e envio de alertas. HPE Vertica Analytics Platform administra grandes quantidades de dados de forma rápida e confiável, dando ao CDC inteligência de negócios para a análise avançada de big data.

5 Visão rápida do cliente Soluções de segurança da HPE HPE ArcSight Enterprise Security Manager HPE ArcSight Logger HPE TippingPoint Intrusion Prevention System HPE TippingPoint Threat Digital Vaccine HPE Vertica Analytics Platform Com a Vertica, o CDC é capaz de conduzir investigações de 50 a vezes mais rapidamente do que o possível com bancos de dados tradicionais, usando uma fração do hardware. Diferentemente de bancos de dados relacionais, feitos para processar dados empresariais, a Vertica foi desenvolvida unicamente para trabalhos de análise complexos e pode, tranquilamente, lidar com a velocidade e o volume de dados coletados em um SOC. O CDC precisa de uma plataforma de análise de big data, porque a tecnologia tradicional não alcança a velocidade e as demandas de dados necessárias para a análise rápida de big data, disse Lin Li, arquiteto de segurança digital da HPE. Por exemplo, o CDC analisa arquivos de log de mais de 130 servidores internos da Web. Com a Vertica, podemos armazenar e inserir esses arquivos a cada hora, processando-os para que a equipe do CDC possa analisá-los. Os logs correlacionados do ArcSight também são importados pela Vertica, permitindo que o CDC faça análises sofisticadas de big data para mitigar ameaças e prevenir futuros ataques. A Vertica permite que o CDC correlacione mais de 2 bilhões de relatórios por dia, com arquivos de log em vários formatos, explicou Lin. Com a Vertica, o CDC pode normalizar e limpar dados, além de correlacioná-los com outros dados de referência. Isso permite que o CDC tenha uma visão geral, para que a equipe possa entender o tráfego em direção à rede global da HPE e possam manter os recursos empresariais em segurança. Lin continua, como a Vertica é fácil de ser usada e comprime bem os dados, ela permite que o CDC armazene dados e faça análises do histórico de eventos. Na Vertica, a maioria das investigações detalhadas com mais de 100 bilhões de registros de log recebe um resultado em um minuto. Isso era impossível na antiga arquitetura, porque esse tipo de taxa de transferência seria impossível com um DBMS de escala comparável. Esse nível de análise do histórico permite que o CDC veja se os usuários serão expostos a um malware anteriormente desconhecido e façam melhorias proativas de segurança. Preparação para o futuro O CDC é a primeira de uma estratégia de implementação de três fases. A fase inicial foca na segurança do perímetro ao usar inteligência de pesquisa de ameaças e reduzir a superfície de ataque. A fase 2 se concentrará na segurança do aplicativo, enquanto a fase 3 assegurará os negócios. O roteiro do CDC terá implementação completa em toda a empresa até 2017 e a HPE continua a desenvolver as melhores práticas que podem ser usadas por outras grandes empresas. Comece pequeno, não dê um passo maior que a perna, aconselha Hoffmann. É melhor implementar a segurança empresarial em fases, especialmente em grandes empresas com muitas divisões. Antes da implementação, identifique os ativos mais críticos, treine os funcionários para usar os produtos e desenvolva um processo de remediação sólido. O CDC também tem planejamento para ameaças de segurança de emergência para estar bem preparado para lidar hoje com esses desafios do futuro. Com o foco na melhoria contínua, o CDC não para de evoluir, enquanto usa um campo de testes real para produtos e serviços da HPE e uma plataforma para operar um SOC com uma equipe relativamente pequena de apenas 22 profissionais de segurança. Ao operar um dos maiores SOCs do mundo, a HPE está aprendendo a extrair ainda mais valor de cada dólar investido em segurança, para que isso seja repassado aos seus clientes. Saiba mais em hpenterprisesecurity.com/ Inscreva-se para receber atualizações Avaliar este documento Copyright 2015 Hewlett Packard Enterprise Development LP. Essas informações estão sujeitas a alteração sem aviso prévio. As únicas garantias dos produtos e serviços da Hewlett Packard Enterprise são estabelecidas nas declarações expressas de garantia que acompanham esses produtos e serviços. Nada que estiver neste documento deve ser interpretado como uma garantia adicional. A Hewlett Packard Enterprise não deve ser considerada responsável por erros técnicos ou editoriais ou omissões aqui contidos. Microsoft e Windows são marcas registradas da Microsoft Corporation dos EUA. 4AA5-8767PTL, dezembro de 2015, Rev. 1