CRIANDO UM CENTRO DE OPERAÇÕES DE SEGURANÇA ORIENTADO POR INTELIGÊNCIA

Transcrição

1 CRIANDO UM CENTRO DE OPERAÇÕES DE SEGURANÇA ORIENTADO POR INTELIGÊNCIA Fevereiro de 2013 Principais pontos É quase impossível prevenir invasões e ataques cibernéticos, dada a abertura das redes hoje e a sofisticação cada vez maior das ameaças avançadas. Em resposta, a prática de segurança cibernética deve se concentrar em garantir que a invasão e a transgressão não resultem em perda ou danos para os negócios. As organizações precisam mudar mais recursos de segurança da prevenção à invasão para detecção e correção mais rápidas das ameaças. O aprimoramento da detecção e da resposta exige uma abordagem de segurança orientada por inteligência, que ajuda as organizações a usar todas as informações relacionadas à segurança disponíveis em fontes internas e externas para detectar ameaças ocultas e até mesmo prever ameaças futuras. É essencial otimizar o modo como as tecnologias de segurança, as equipes e os processos trabalham juntos para dimensionar os recursos de segurança conforme os riscos crescentes trazidos pelas ameaças cibernéticas avançadas, tudo isso ao mesmo tempo que você fornece eficiência e valor para a organização. A automação da tecnologia pode ajudar os analistas a aproveitar o tempo ao máximo, reduzindo a carga de trabalho para fechar incidentes de rotina e de nível mais baixo. A automação libera os analistas para se concentrarem em riscos com maior prioridade que afetam os ativos mais essenciais da organização. A configuração dos processos de segurança para automatizar tarefas repetitivas e integrar workflows relacionados é possivelmente o passo mais benéfico que os SOCs (Security Operations Centers, centros de operações de segurança) podem dar para impulsionar a produtividade, impor políticas e implementar práticas recomendadas de detecção e resposta às ameaças. Os SOCs precisarão criar equipes colaborativas e interdisciplinares com conjuntos de habilidades altamente especializadas para combater as ameaças cibernéticas avançadas. O setor de segurança, no entanto, enfrenta uma grave redução de habilidades e pessoal qualificado. Aproveitar a tecnologia mais recente para automação com economia de tempo e complementação dos recursos no local com expertise terceirizada pode ajudar as organizações a gerenciar a falta de habilidades e recursos. Resumo técnico da RSA Os resultados das melhores equipes de operações de segurança mostram o impacto de otimizar a influência mútua de pessoas, processos e tecnologias nas operações de segurança. Tendo por trás um programa de segurança orientado por inteligência, as organizações líderes podem alcançar resultados como a redução de até 60% no tempo médio para resolver incidentes.

2 Conteúdo Nivelando o cenário de ameaças com análise lógica de big data...3 Alinhando pessoas, processo e tecnologia para dimensionar a segurança conforme as ameaças...4 Alinhamento de tecnologias: Big data e automação...4 Alinhamento de processos: o melhor impulsionador da produtividade...6 Alinhamento de pessoas: Novas habilidades necessárias...7 Segurança no trabalho orientada por inteligência...8 Organização convergente para gerenciamento de riscos e segurança...8 Infraestrutura convergente para monitoramento e gerenciamento de segurança...8 Automatizando o uso de inteligência e dados de incidentes...9 Automatizando a coleta de big data...11 Automatizando a análise lógica baseada em host...11 Resultados da EMC quanto ao alinhamento por trás da segurança orientada por inteligência...12 Apêndice: Soluções RSA de segurança orientada por inteligência...13 A perfeição em segurança (a meta de eliminar a violação) não é só impossível, é também impraticável. Isso porque os inimigos sofisticados aprenderam a criar técnicas de ataque que burlam medidas preventivas de segurança como antivírus, firewalls e senhas. Os inimigos também têm muito cuidado para encobrir seus ataques e ficam ocultos nos ambientes de TI, às vezes por semanas ou até meses depois que conseguem entrar. A complexidade da maioria dos ambientes de TI corporativos, combinada à superioridade dos serviços móveis e em nuvem e à expansão do fácil acesso às redes corporativas para terceiros externos, dá aos invasores muitos locais para se esconderem e muito mais pontos de possível invasão. Apesar do aumento de ataques e riscos cibernéticos, as equipes de segurança enfrentam limitações persistentes de orçamento e recursos na proteção dos ativos de informações valiosas da organização. Na TI, o gasto percentual com segurança passou de 6% em 2008 para 5,6% em 2012, segundo um relatório da Gartner que faz referência aos gastos e à equipe de segurança. 1 No mesmo relatório, a Gartner relatou uma diminuição no gasto com segurança, de US$ 636 por funcionário em 2008 para US$ 577 por funcionário em Essas tendências indicam que as equipes de segurança devem aprender a fazer mais com menos. A maior parte do gasto com segurança ainda é investida em várias ferramentas baseadas em perímetro e focadas em prevenção que os ataques cibernéticos avançados tornaram ainda mais obsoletas. A meta de segurança cibernética que mais sofre pressão, agora e no futuro, deveria ser a de prevenir danos ou perda de negócios não a de prevenir invasão e comprometimento. A melhor forma de prevenir danos aos negócios é detectar e corrigir ataques cibernéticos rapidamente. Para fazer isso, as organizações devem alocar um grande compartilhamento de seus investimentos em segurança para aprimorar os recursos na detecção e na resposta às ameaças. Primeiro, elas devem obter visibilidade completa sobre o que está acontecendo em seus ambientes de TI. Depois, devem expandir a exibição para incluir inteligência contra ameaças externas. As organizações terão de aprender a usar novos tipos de dados de segurança e muito mais. 1 Gartner Inc., IT Key Metrics Data 2013: Key Information Security Measures: Multiyear (14 de dezembro de 2012), página 7 10

3 Nivelando o cenário de ameaças com análise lógica de big data Uma nova geração de ferramentas de segurança usa técnicas inovadoras para coletar e analisar volumes de dados em grande escala: dados de PCs, dispositivos móveis e servidores; dados de redes internas, inclusive a composição e o conteúdo dos pacotes de rede; e o conhecimento de ameaças sobre ataques em outras organizações e as ferramentas e os métodos usados. Além da análise dessas fontes de informações tradicionais, as ferramentas de segurança de big data também podem contribuir com informações de fontes não tradicionais, como scanners do cartão-chave em prédios, registros de pessoal e até mesmo calendários do Microsoft Outlook. Esses dados podem ser usados, por exemplo, para avaliar a legitimidade de log-ins remotos feitos por funcionários. A enorme visibilidade fornecida pelos recursos de big data das novas plataformas de análise lógica de segurança cria oportunidades inigualáveis para identificar anomalias, encontrar evidências de ameaças ocultas ou até mesmo prever ataques específicos e iminentes. Um volume maior de dados cria uma visão mais detalhada e granular: ela apresenta o cenário da ameaça em alta definição, em oposição ao tradicional preto e branco. Os detalhes relacionados à segurança podem ser vistos com foco mais preciso e as irregularidades podem ser encontradas com mais rapidez. Além disso, como as plataformas de análise lógica de segurança integram inteligência de ameaças de fontes externas, as organizações veem o cenário de ameaças como um panorama, e não apenas pelo estreito orifício de seus próprios ambientes internos de TI. A visibilidade aprimorada levará ao aumento dos recursos de segurança, expandindo amplamente as opções de atuação dos SOCs e de resposta às ameaças futuras. Os avanços da tecnologia nos sistemas de big data e análise lógica de segurança estão começando a fornecer os recursos imagine se. Os limites do que é imaginável agora estão sendo explorados pelos profissionais de operações de segurança e pelos líderes de negócios. Para as organizações preocupadas com ameaças cibernéticas avançadas, esses cenários imagine se normalmente se concentram em injetar melhor contexto e inteligência nas práticas de segurança. Por exemplo, se aplicarmos novas abordagens analíticas aos dados históricos, o que poderemos aprender? O que os ataques cibernéticos que encontramos nos dizem sobre os riscos operacionais e comerciais? Se adicionarmos novas fontes de registro ou feeds externos de inteligência a nosso data warehouse, que modelos poderemos procurar que você jamais imaginaria ver? Que tipos de inteligência podem nos ajudar a encontrar ameaças de modo mais rápido? O Security for Business Innovation Council, grupo composto pelos principais executivos de segurança de empresas da lista Global 1000, aconselha as organizações a utilizar uma abordagem chamada Segurança orientada por inteligência, com uso intenso de dados, para proteger informações essenciais e ativos de negócios. 2 As práticas de segurança orientadas por inteligência ajudam as organizações a usar todas as informações relacionadas à segurança disponíveis, interna e externamente, para detectar ameaças ocultas e até mesmo prever ameaças futuras. A segurança orientada por inteligência faz as organizações reduzirem a confiança na defesa de perímetro e nas ferramentas de varredura baseadas em assinatura, que identificam apenas os modos de ataque que foram encontrados no passado. Em vez disso, as organizações devem procurar atividades e padrões suspeitos, atípicos para o ambiente, indicadores sutis mais difíceis de detectar do que a correspondência de uma assinatura de malware. A implementação de segurança orientada por inteligência exigirá que os SOCs analisem suas organizações como um sistema abrangente e alinhem estreitamente as ferramentas, os processos e a equipe de segurança. Alinhando pessoas, processos e tecnologia, um SOC é essencial para dimensionar os recursos de segurança conforme os riscos crescentes trazidos pelas ameaças cibernéticas avançadas e fazê-lo com as constantes limitações de tempo e orçamento. 2 Para obter orientação sobre a implementação de programas de segurança orientados por inteligência, leia o relatório do Security for Business Innovation Council Getting Ahead of Advanced Threats: Achieving Intelligencedriven Information Security (Ficando à frente das ameaças de segurança: alcançando segurança de informações orientada por inteligência) na brazil.emc.com. página 3

4 Alinhando pessoas, processo e tecnologia para dimensionar a segurança conforme as ameaças A complexa influência entre pessoas, processos e tecnologias nas operações de segurança torna um desafio ajustar qualquer elemento sem ajustar os outros. A harmonia entre ferramentas, habilidades e metodologia em operações de segurança é essencial para fornecer defesa em profundidade e proteger os ativos de informações essenciais da organização. Além disso, aperfeiçoar a trilogia pessoas-processo-tecnologia pode liberar eficiência operacional, automatizando as tarefas de rotina e simplificando os workflows. O resultado é que os analistas de segurança gastarão muito menos tempo rastreando as informações para uma investigação ou pesquisando o status de um incidente. Em vez disso, eles podem dedicar seu tempo a fontes de inteligência mais valiosas, descobrindo irregularidades sutis nos ambientes de TI que indiquem problemas sérios ou procurando ameaças secretas com mais rapidez. Pode ser desafiador colocar em vigor a combinação certa de tecnologias que funcionem bem juntas, como parte de um programa de segurança orientado por inteligência. Mesmo assim, as tecnologias que estão disponíveis agora para os SOCs podem ser a parte mais madura na trilogia pessoas-processo-tecnologia. Embora novas ferramentas, como as plataformas de análise lógica de segurança, sejam uma grande promessa, elas são tão boas quanto as pessoas que as utilizam e as práticas recomendadas operacionais que ajudam as grandes organizações a trabalhar juntas com eficiência. Reunindo-se com centenas de organizações de clientes, a RSA acredita que as pessoas e os processos são normalmente mais difíceis de alinhar em uma abordagem de segurança orientada por inteligência do que a tecnologia. Isso ocorre porque o desenvolvimento, o teste e a instituição de novos procedimentos de gerenciamento e resposta a incidentes de segurança exigem expertise especializada e tempo. Também leva tempo para a equipe de operações de segurança conhecer os processos comerciais essenciais da organização bem o suficiente para defender-se de ataques. A otimização da influência de pessoas, processo e tecnologia será diferente para cada SOC, dependendo das condições e das necessidades exclusivas das organizações. Independentemente, as diretrizes comuns podem se aplicar à maioria dos SOCs que se esforçam para implementar uma abordagem de segurança orientada por inteligência. Alinhamento de tecnologias: Big data e automação Quando se alinha a tecnologia a um programa de segurança orientado por inteligência, um bom ponto de partida é preparar um inventário das ferramentas de segurança e dos ativos de informação existentes na organização. A organização está utilizando ao máximo o que tem? Qual é a eficiência dos ativos técnicos no desempenho de suas funções? Depois de um inventário inicial de tecnologia, vem uma exploração de como a segurança pode ser aprimorada se novos recursos forem adicionados. Além da aquisição de novas ferramentas, às vezes, novos recursos podem ser derivados usando dados existentes de novas formas. A expansão dos recursos também pode ser uma questão de estender a visibilidade do SOC sobre as redes da organização, internas e externas. Que instrumentação adicional é necessária para monitorar os ambientes remotos ou terceirizados? Como podem ser ajustadas ou adicionadas tecnologias para expandir a visibilidade ou fornecer contexto valioso para avaliação de um incidente? página 4

5 Em geral, à medida que os SOCs consideram o aprimoramento de seus recursos, eles devem priorizar o investimento para atender os seguintes requisitos de tecnologia de um programa de segurança orientada por inteligência: Mecanismos de análise lógica dimensionáveis, capazes de examinar amplos volumes de dados que mudam rapidamente em tempo real, em vetores como geografia, partições de rede e bancos de dados. Warehouse consolidado de dados de segurança para que todas as fontes sejam disponibilizadas para consulta em um só lugar, como um repositório unificado ou, mais provavelmente, como uma série de datastores interindexada. Painel de controle de gerenciamento centralizado para realizar e coordenar investigações de incidentes e gerenciar as respostas a eles (por exemplo, bloqueio de tráfego de rede, sistemas de quarentena ou solicitação de verificação adicional da identidade do usuário). Arquitetura de dados flexível que permita que as informações de várias fontes em muitos formatos diferentes sejam capturadas, indexadas, normalizadas, analisadas e compartilhadas. Normalização de dados automatizada para que os mecanismos de análise lógica possam se integrar e trabalhar com tipos de dados altamente diversificados com o mínimo de intervenção humana. Técnicas de monitoramento baseadas em padrões que analisam continuamente os sistemas de alto valor e os ativos de informações para identificar ameaças com base nos modelos de comportamento e risco, e não apenas em assinaturas de ameaças estáticas. Rica correlação de informações de incidentes para que os dados relevantes às investigações de incidentes sejam preenchidos automaticamente nos consoles de gerenciamento de segurança, minimizando o tempo que os analistas devem gastar coletando informações e avaliando os incidentes. Captura do pacote completo de rede permitindo que os analistas de segurança reconstruam as sessões com detalhes suficientes para se saber o que aconteceu e quais ações corretivas devem ser tomadas. Serviços de inteligência externa de ameaças que agregam informações de várias fontes confiáveis e relevantes e as apresentam em formulários eletrônicos que podem ser correlacionados e analisados juntamente com os dados internos com mínima intervenção humana. Controles e contramedidas ativas como a solicitação de autenticação de usuário adicional, bloqueio de transmissões de dados ou facilitação da tomada de decisão dos analistas quando uma atividade de alto risco é detectada. Processo integrado de gerenciamento de conformidade que arquiva dados de segurança de longo prazo por meio de uma arquitetura de computação distribuída e fornece relatórios de conformidade integrados para uma ampla variedade de regimes regulatórios. página 5

6 Alinhamento de processos: o melhor impulsionador da produtividade O design dos processos de operações de segurança para automatizar tarefas repetitivas e integrar workflows relacionados é possivelmente o passo mais benéfico que os SOCs podem dar para impulsionar a produtividade, impor políticas e implementar as práticas recomendadas para detecção e resposta às ameaças. Isso porque, na experiência da RSA, o processo é normalmente a parte mais imatura e ineficiente da trilogia pessoasprocesso-tecnologia da maioria dos SOCs. A RSA recomenda estreita integração de processos e workflows. Por exemplo, o gerenciamento de incidentes deve estar diretamente ligado à resposta ao incidente, e as fontes de dados devem estar todas em uma plataforma integrada de gerenciamento de segurança e análise lógica para que os analistas possam ver tudo por meio de um só painel e extrair o melhor contexto e inteligência para as investigações de incidentes. A integração de processos elimina muitas etapas rotineiras, como copiar e colar informações do incidente, que acompanham a reunião manual de workflows de operações de segurança. A integração também reduz as oportunidades de erros, porque as atividades de processos complexos, como resposta a incidentes, podem ser programadas para seguir uma sequência determinada de ações com base em práticas recomendadas. Por fim, a integração de processos pode facilitar a cooperação entre diferentes partes da empresa (auditoria, conformidade e segurança das informações, por exemplo) e ajudar as organizações a criar uma exibição unificada de condições e riscos em toda a organização. O alinhamento de processos é uma função de loop fechado. À medida que os SOCs reprojetam, testam e implementam processos, eles aproveitam o que aprenderam para aprimorar as estratégias e as implementações subsequentes. Como as iterações geram aprimoramentos e práticas recomendadas, muitas organizações solicitam a ajuda de consultores externos quando iniciam importantes alterações de processos nas operações de segurança. Inerente à natureza serial do envolvimento da consultoria está o refinamento contínuo das práticas recomendadas, e os SOCs podem beneficiar-se imediatamente das experiências dos consultores no design e na implementação de aprimoramentos no processo de segurança para outras organizações. Segundo a experiência da RSA em consultoria para centenas de empresas, a implementação de uma abordagem de segurança orientada por inteligência envolve a otimização destes processos: Avaliações de preparo de violação para medir o estado atual da segurança da organização e aumentar a maturidade operacional projetando, testando e praticando o gerenciamento e a resposta às violações. Processos de inteligência contra ameaças cibernéticas para modelar as ameaças e desenvolver práticas recomendadas e procedimentos para identificar proativamente os vetores de ameaças e as anomalias em grandes volumes de dados. Workflows de detecção e resposta a incidentes para aprimorar a visibilidade sobre as redes da empresa e reduzir o tempo médio necessário para detectar uma violação. Automação do gerenciamento de violações para refinar processos e procedimentos do programa a fim de obter um processo de manuseio de incidentes de loop fechado, marcado pela aprendizagem e pelo aprimoramento contínuos. Controles de identidade, infraestrutura e informações focados no gerenciamento de contas privilegiadas, comunicações seguras, diretos de informações/classificação de dados e correção pós-violação e segurança. página 6

7 Alinhamento de pessoas: Novas habilidades necessárias Em uma pesquisa realizada pelo Enterprise Strategy Group, mais da metade (55%) das organizações disseram que planejavam aumentar o número de funcionários de segurança em 2012, embora 83% delas dissessem que foi difícil recrutar e contratar esses profissionais. 3 Uma das formas de lidar com a redução de habilidades no clima financeiro atual do faça mais com menos é alinhar o processo e a tecnologia para reduzir as cargas de trabalho de rotina dos analistas de modo que possam se concentrar em tarefas mais avançadas. De acordo com a experiência da RSA, o uso de ferramentas e a automação de processos podem reduzir a carga de trabalho e os requisitos de tempo para que os analistas examinem as ameaças de rotina e de nível mais baixo. Na prática, a RSA tem visto SOCs com cinco analistas superarem os SOCs com 25 analistas por meio da otimização de ferramentas e processos. As técnicas usadas em APTs e em outros ataques cibernéticos avançados podem ser tão complexas que precisem de equipes interdisciplinares com habilidades de segurança altamente especializadas para detectar, analisar e desabilitar a ameaça. Para combater ameaças cibernéticas avançadas, os SOCs precisarão criar equipes colaborativas compostas por pessoas com as seguintes habilidades, cultivando a expertise no local ou complementando com especialistas terceirizados: Conhecimento de perícia forense, especialmente em metodologias de coleta, manutenção, análise e reutilização de grandes repositórios de dados de redes e hosts/endpoints. Proficiência em codificação, scripting e protocolos para ajudar a analisar vulnerabilidades, depurar sistemas e reverter o malware. Gerenciamento de inteligência de ameaças, preservando e rastreando especialmente as várias fontes de inteligência externas e trazendo a pesquisa sobre ameaças relevantes de volta para a organização de uma forma útil. Gerenciamento de violações, o que inclui a coordenação de respostas da organização à crise e a divulgação de descobertas a terceiros externos. Teste de penetração para detectar possíveis vulnerabilidades no ambiente de TI resultantes de configuração incorreta do sistema, falhas de hardware ou software ou ineficiência operacional. Analistas de dados que entendem os riscos de negócios e as técnicas de ataques cibernéticos o suficiente para desenvolver modelos analíticos que detectem ameaças ocultas e até mesmo prevejam ataques cibernéticos. A equipe de segurança precisará desenvolver uma mentalidade investigativa: vendo os ativos e as vulnerabilidades da organização como seus inimigos fazem, para antecipar as técnicas de ataque e planejar contramedidas. Os analistas também terão que aguçar seus instintos de caça: seguindo os inimigos no ambiente de TI, fornecendo instrumentos para detectar a presença de invasores e configurando armadilhas como potes de mel para pegá-los. Além da criação de recursos técnicos e investigativos do SOC, as equipes de operações de segurança também devem cultivar habilidades de comunicação de seu pessoal. O desenvolvimento de habilidades indiretas na equipe pode ajudar o SOC a criar vínculos úteis com outras organizações, caso haja uma parceria de compartilhamento de informações informal com outros SOCs ou o estímulo do suporte de altos executivos aos programas de operações de segurança. 3 Enterprise Strategy Group, Security Management and Operations: Changes on the Horizon (Gerenciamento e operações de segurança: mudanças no horizonte), julho de 2012), pp página 7

8 Segurança no trabalho orientada por inteligência O GSO (Global Security Organization) da EMC Corporation ilustra o impacto da otimização da influência de pessoas, processos e tecnologias no gerenciamento de riscos de segurança. A EMC aprimora continuamente as ferramentas, as habilidades e os processos que compõem suas operações de segurança. A empresa tem como objetivo alcançar uma visão corporativa abrangente, física e digital, para compreender melhor as tendências de risco e as ameaças em toda a empresa. Organização convergente para gerenciamento de riscos e segurança A EMC criou um departamento de segurança convergente caracterizado pela colaboração fechada entre os grupos de Segurança das informações, Gerenciamento de riscos, Gerenciamento de segurança do cliente, Proteção corporativa e Investigação. Combinando esses departamentos em um só lugar, a EMC pode analisar medidas e tendências para alcançar a visualização do risco na organização como um todo. Por exemplo, se a equipe de Investigação e proteção corporativas identificar instâncias repetidas de roubo de IP (Intellectual Property, propriedade intelectual), o grupo Segurança das informações pode estudar essas instâncias para criar controles para prevenir futuras perdas de IP. Infraestrutura convergente para monitoramento e gerenciamento de segurança Para apoiar essa estratégia convergente de segurança e risco, a EMC criou um CIRC (Critical Incident Response Center, centro de resposta a incidentes críticos). O EMC CIRC combina workflow e dados da organização global e cria um ponto central para monitoramento e fortalecimento da segurança e da integridade dos ativos de informações da empresa. O EMC CIRC agrega registros de mais de dispositivos de segurança e nós distribuídos globalmente em 500 locais físicos. No CIRC, uma equipe de analistas altamente capacitados monitora continuamente os ambientes globais de TI e segurança da EMC, respondendo a ameaças e vulnerabilidades, como malware e perda de dados, e a incidentes de segurança físicos, como ameaças de violência e roubo de equipamentos. Com essa visão única e integrada da empresa como um todo, os analistas de segurança podem fornecer conselhos e orientações para a gerência da EMC, oferecendo um loop de feedback crítico para aprimorar continuamente a postura de segurança da empresa. O EMC CIRC é criado predominantemente com base em tecnologias e práticas recomendadas desenvolvidas pela RSA. Embora muitas ferramentas de tecnologia sejam usadas no CIRC, no centro estão a plataforma de RSA Archer GRC e a solução RSA Security Analytics. Esses dois sistemas integram os dados de várias outras ferramentas, fornecendo à equipe do CIRC um repositório único de big data e um console de gerenciamento centralizado para análise lógica de segurança. (Consulte a Figura 1.) A integração da plataforma RSA Archer GRC com o RSA Security Analytics simplifica muitos workflows de operações de segurança, ajudando o EMC CIRC a agilizar as investigações e a reduzir o tempo necessário para fechar os incidentes. página 8

9 Figura 1: Plataforma unificada para análise lógica de dados e gerenciamento de segurança Fontes de dados Contatos (Active Directory) Instalações (Gerenciamento de endereço IP) Dispositivos (Banco de dados de ativos) SOC analyst RSA Archer Gere alertas Fornece dados encontrados complementares por meio de fontes do decorrelações Archer para e análises o incidente Compile dados detalhados do incidente para apresentá-los aoanalista Apresenta alertas com dados detalhados do incidente Consolida todos os dados de incidentes Gerencie o processo de investigação, criando e controlando solicitações relacionadas a incidentes Controle a resolução de incidentes Mantenha o histórico detalhado do incidente e a trilha de auditoria Realize avaliações de impacto/risco de incidentes RSA Security Analytics Captura volume em grande escala de dados diversos e que mudam rapidamente relacionados à segurança Realiza análise contextual e correlações, girando em terabytes de dados em tempo real Combine inteligência externa de ameaças e dados internos, reduzindo os pontos cegos Arquivar imensos volumes de dados para conformidade e análise de perícia forense Feeds internos Fontes de dados internas Firewalls Sensores de detecção de invasão Sistemas de prevenção de invasão Proxies Firewalls de aplicativos da Web Active Directory Exchange Servidores AAA Controladores de WLAN Roteadores Antivírus DLP (Data Loss Prevention, prevenção contra perda de dados) Pacotes completos de rede Dados de usuários do RH Dados de log-on (Active Directory) Dados do endpoint IPS Registros da Web Feeds externos de inteligência Feeds externos de ameaças Portal de indicadores de ameaças (para IoCs internos) Feed do RSA FraudAction Feeds do RSA NetWitness Live RSA CCIS Dados geográficos do IP Automatizando o uso de inteligência e dados de incidentes Centenas de alertas são gerados a cada dia para serem revisados pelo EMC CIRC. Antes de um alerta ser apresentado para investigação dos analistas de segurança, a tecnologia RSA Archer e o RSA Security Analytics coletam e correlacionam automaticamente uma valiosa coleção de dados relacionados ao incidente. Vários processos e tecnologias foram criados para integrar inteligência e dados contextuais aos processos de detecção e resposta às ameaças. página 9

10 O EMC CIRC desenvolveu um sistema de gerenciamento de indicadores de ameaças para assimilar artefatos da inteligência de ameaças avançadas derivados de fontes de inteligência públicas e privadas, parcerias de compartilhamento de inteligência e as próprias funções de Análise avançada e Inteligência de ameaças cibernéticas do CIRC. OsIOCs (Indicators of Compromise, indicadores de comprometimento) nesse sistema são executados em uma gama de domínios hostis e endereços IP desconhecidos para obter características de comunicação como strings e elementos de mensagens de hostis, inclusive cabeçalhos de s. Os IOCs são classificados por severidade e integrados automaticamente à plataforma RSA Security Analytics como um feed de captura, gerando tags de metadados específicas. Por exemplo, um domínio de ameaças avançadas conhecido e marcado no sistema de gerenciamento de ameaças gerará uma tag de metadados de Severidade 1 (a classificação de prioridade mais alta) para qualquer atividade naquele domínio encontrada pelo RSA Security Analytics. Os alertas para essas tags de metadados sãoprojetados para serem transmitidos por meio do console de gerenciamento de segurança do RSA Archer para facilitar uma resposta quase em tempo real do CIRC. Entretanto, ainda antes de o alerta ser apresentado aos analistas de segurança, elementos de dados adicionais que podem fornecer contexto valioso sobre a ameaça são recuperados do banco centralizado de dados de segurança do CIRC. Isso fornece ao analista todos os artefatos relacionados ao incidente e aos endpoints de origem e destino. O exemplo na Figura 2 ilustra como esse processo de detalhamento de dados e a abordagem integrada ao alerta fornecem ao EMC CIRC os detalhes necessários para analisar e responder rapidamente aos incidentes críticos. Figura 2: Aprimoramento dos detalhes de dados dos eventos Detalhes de dados externos Informações básicas do evento (detalhes dos dados coordenados com o RSA Security Analytics) Incidente Data: 01 fevereiro 2012 Alerta: Tentativa de conexão SSL com intervalo de IP suspeito IP de origem: IP de destino: Domínio: badsite.info Detalhes de dados internos Consultar domínio/ ferramentas de busca de IP Evento gerado para IP de destino Evento gerado para IP de origem Consultar DHCP* para obter nome do host Solicitante: Mobel Sergei Data de registro: 12-out-2012 Local: Hac, Sérvia Consultar serviços de reputação e buscas a sites maliciosos Dados do evento IP de origem: Nome do host: smithj_pc Nome do host igual a smithj_pc Event Data Destination IP: Location: Hac, Serbia Domain: Registrant: Mobel Sergei Register Date: 12-Oct-2012 Domínio: Site vinculado a atividades maliciosas anteriores Consulta para último usuário conectado como "smithj_pc" Dados do evento IP de origem: Nome do host: smithj_pc Nome de usuário: jsmith Proprietário: John Smith SO: Windows 7 Último log-in: 01 fev 2013, 10:05:05 Dados do evento IP de origem: Nome do host: smithj_pc Nome de usuário: jsmith Proprietário: John Smith SO: Windows 7 Último log-in: 01 fev 2013, 10:05:05 Local: Atlanta Departamento: Finança Consultar banco de dados de funcionários para obter detalhes de jsmith Informações detalhadas do evento (apresentadas por meio do console do RSA Archer) Incidente Data: 01 fevereiro 2012 Severidade: 1 C2 hostil conhecido IP de origem: Local da rede: Atlanta Hora de log-in: 01 fevereiro :05:05 Nome do host: smithj_pc Proprietário: John Smith Sistema operacional: Ativo essencial do Windows 7: SIM Departamento: Finanças IP de destino: Local: Hac, Sérvia Domínio: Solicitante do domínio: Mobel Sergei Data de registro:12-out-2012 Alerta: Tentativa de conexão SSL com intervalo de IP suspeito * Outras fontes também podem ser aplicáveis. página 10

11 Os recursos de integração de inteligência e detalhes de dados do EMC CIRC ajudam os analistas a concentrar esforços em responder mais rapidamente às ameaças, reduzindo o tempo de exposição a ataques e eliminando a coleta manual de elementos de dados adicionais correlacionados aos incidentes. Automatizando a coleta de big data Os aplicativos tradicionais de SIEM e monitoramento são limitados em seus recursos de consulta específica e análise avançada, devido à arquitetura e a problemas de desempenho. O EMC CIRC supera esse desafio fazendo um espelhamento de todos os eventos de registro para um repositório de big data que coleta aproximadamente 1 bilhão de registros por dia em 25 tipos de dispositivo mais de 900 GB de dados por dia. Os dados nesse depósito centralizado podem ser consultados por analistas para correlacionar atividades às ameaças. Por exemplo, o EMC CIRC usa recursos de big data para análise comportamental básica, como detecção de possíveis modelos de beaconing em registros de eventos de web proxy e firewall. Além disso, como o EMC CIRC recebe nova inteligência de segurança, a atividade histórica possivelmente relacionada a ameaças descobertas recentemente pode ser analisada para determinar qual dano foi causado, se tiver havido algum. O poder de processamento da plataforma EMC de big data reduziu de várias horas para minutos o tempo de coleta e organização das informações de segurança relacionadas a uma ameaça, diminuindo o tempo de exposição de modo significativo. Automatizando a análise lógica baseada em host Os produtos tradicionais de antivírus e IDS/IPS baseados em host contam principalmente por assinaturas que identificam o malware. Acontece que as técnicas baseadas em assinatura foram subjugadas pelo aumento de malware e inteiramente ultrapassadas por ataques direcionados, como APTs e outras ameaças avançadas. Embora as tecnologias tradicionais de varredura de malware continuem a ter uma função de rotina como uma camada de defesa profunda, elas sozinhas não são simplesmente iguais no combate às ameaças mais sofisticadas de hoje. A integração de inteligência baseada em comportamento à análise e à correção de host ajuda a preencher as lacunas deixadas pelas ferramentas baseadas em assinatura como AV e IDS/IPS. O EMC CIRC implementou a RSA Enterprise Compromise Assessment Tool (ECAT) para ajudar a monitorar e a proteger os endpoints que o monitoramento de rede e outros recursos de inteligência identificaram como possível comprometimento. A abordagem da RSA ECAT à detecção de malware é altamente diferenciada. O malware normalmente modifica as estruturas internas do sistema operacional para ocultar sua atividade. Validando estruturas importantes de aplicativos e kernel internos, a RSA ECAT identifica anomalias que são normalmente geradas por malware, como ações forçadas, modificação de objeto kernel, ocultação de arquivos/processos/registros/comunicações etc. página 11

12 Figura 3: O RSA ECAT automatiza a detecção de ameaças baseadas no host Depois que um alerta de rede é emitido, o RSA ECAT é instalado em hosts suspeitos.! Realiza um inventário de cada executável, DLL e driver na máquina. Verifica as estruturas e o sistema internos quanto a anomalias que indiquem atividade de malware. Envia as informações coletadas para o servidor central para processamento, comparando os resultados com um sistema de linha de base limpo. Identifica bons arquivos conhecidos usando a validação de assinatura digitale o Bit9 GSR. Envia arquivos desconhecidos para um servidor para varredura usando o OPSWAT Metascan Antivirus. Sinaliza comportamentos anormais e os correlaciona ao ambiente inteiro. Gera uma pontuação Nível suspeito de máquina resumindo a probabilidade de comprometimento dos hosts afetados. Como é implementada no EMC CIRC, a ECAT fornece os recursos de detecção de ameaças mostrados na Figura 3, RSA ECAT em ação. Depois da confirmação de hosts e processos comprometidos, os analistas da EMC podem definir o escopo da ameaça com uma ação em um painel só, pois a RSA ECAT identifica todos os outros hosts que abrigam o mesmo arquivo ou processo mal-intencionado. Os analistas de segurança podem usar rapidamente a pontuação Machine Suspect Level (nível suspeito de máquina) da ECAT para avaliar a probabilidade de comprometimento: uma pontuação alta indica problemas, enquanto uma pontuação baixa indica que provavelmente o host está limpo. Embora uma pontuação baixa não garanta uma máquina limpa, o sistema de pontuação ajuda a priorizar os workflows investigativos, resultando na contenção e na correção mais rápidas de ameaças mais graves e de maior escala. A RSA ECAT permite que o EMC CIRC reduza significativamente o tempo de análise do host e contenha grande parte da carga de trabalho para análise e validação do malware no estágio inicial de triagem do processo EMC de detecção de ameaças, o que é feito pelos analistas de segurança júnior da EMC. A EMC estima que a RSA ECAT economiza cerca de 30 horas do analista por incidente de alta prioridade para o CIRC. Resultados da EMC quanto ao alinhamento por trás da segurança orientada por inteligência Alinhando pessoas, processo e tecnologia em um programa de segurança orientada por inteligência, o EMC CIRC estima reduzir em até 60% o tempo médio para fechamento de incidentes. A integração de tecnologias e processos conta muito para o ganho de eficiência. Ela elimina muitas das tarefas demoradas de reunião manual de informações relacionadas a incidentes e automatiza os aspectos da detecção de ameaças, como visto no uso do RSA Security Analytics e da RSA ECAT que a EMC faz. A automação criada pela integração de tecnologias e processos ajudou a dimensionar os recursos de detecção e resposta a ameaças do CIRC, liberando os analistas para que se dediquem a incidentes com prioridade mais alta. Os analistas podem analisar todos os dados disponíveis em possíveis ameaças por meio do console centralizado de gerenciamento de segurança do RSA Archer, acelerando a análise e a tomada de decisões. A integração de tecnologias e workflows de segurança, combinada à convergência feita pela EMC de várias funções relacionadas a risco e segurança em um só setor organizacional, ajudou a EMC montar uma resposta mais rápida, eficiente e completa aos ataques. Isso, por sua vez, reduziu drasticamente o tempo de exposição da EMC a ameaças e permitiu que a EMC, com funcionários, operasse com confiança no mundo digital. A RSA agradece a Mike Gagne, Chris Harrington, Jim Lugabihl, Jeff Hale, Jason Rader, Garrett Schubert e Peter Tran pela contribuição de seu tempo e expertise no desenvolvimento deste resumo técnico. página 12

13 Apêndice: Soluções RSA de segurança orientada por inteligência O RSA Advanced Cyber Defense Practice fornece uma variedade abrangente de soluções para ajudar os clientes a proteger a missão de sua organização, impulsionar a eficiência operacional e desenvolver um ambiente de ameaças dinâmico. Os ataques direcionados normalmente se concentram no roubo de ativos e dados essenciais e utilizam técnicas que ignoram as defesas tradicionais. A RSA ajuda as organizações a aprimorar os recursos de segurança existentes e a implementar contramedidas projetadas para impedir que os inimigos cibernéticos alcancem seus objetivos. Os serviços oferecidos pela RSA incluem análise de gap, modelagem de maturidade, inteligência de ameaças cibernéticas, inflexibilidade da infraestrutura e desenvolvimento e automação de operações de segurança. A solução SOC de última geração, da RSA, foi projetada para ajudar as organizações a fazer seus recursos técnicos e operacionais convergirem para um programa de segurança unificado que alinha as prioridades do gerenciamento de riscos e os objetivos dos negócios. A RSA enfatiza as medidas preventivas exigidas para proteger a organização, fornecendo ao mesmo tempo serviços de resposta e correção de incidentes para reduzir o tempo de exposição a violações e atenuar os ataques. O RSA Archer GRC Suite é uma solução líder de mercado para o gerenciamento de egrc (Enterprise Governance, Risk and Compliance; governança, risco e conformidade corporativa). Ele fornece uma plataforma flexível e colaborativa para gerenciar riscos corporativos, automatizar processos de negócios, demonstrar conformidade e obter visibilidade da exposição e das lacunas em toda a organização. A plataforma RSA Archer GRC é projetada para extrair dados de uma ampla variedade de sistemas para atuar como um repositório central de informações relacionadas a risco, conformidade e segurança. A solução RSA Archer Threat Management é um sistema de advertência antecipado para rastreamento de ameaças. A solução RSA Archer Incident Management ajuda as organizações a escalonar problemas, rastrear o progresso das investigações e coordenar a resolução de problemas. A capacidade da plataforma de integrar informações sobre alertas e segurança e ameaças, reunir e apresentar medidas sobre a eficiência de controles e processos de segurança e analisar informações contextuais sobre o ambiente de negócios e de segurança ajuda a criar inteligência aplicada e em tempo real em toda a empresa. O RSA Cybercrime Intelligence (CCI) é um serviço que fornece informações sobre os ativos corporativos comprometidos por malware, inclusive máquinas corporativas, recursos de rede, credenciais de acesso, dados de negócios e correspondência de . O CCI monitora crimes cibernéticos escondidos para encontrar dados corporativos comprometidos que foram perdidos. O serviço relata aos clientes quaisquer dados relacionados às organizações recuperados diretamente dos arquivos de registro do malware, inclusive credenciais de funcionários, contas de , endereços IP de máquinas infectadas e domínios comprometidos. Indo além do malware, o CCI analisa a OSINT (Open Source Intelligence, inteligência de código aberto), relatando as informações de volta para os clientes sobre credenciais de funcionários, endereços de corporativos e dados de d0xing que foram rastreados no espaço e comprometidos ou hackers ou fraudadores. O CCI também relata detalhes sobre conteúdo de , endereços IP e números de cartão de crédito comprometidos que pertencem à corporação ou a seus funcionários e estão sendo compartilhados e/ou vendidos por criminosos cibernéticos em comunidades da web fechadas e ocultas. Além disso, o CCI oferece às organizações, por meio de feeds diários de listas negras, informações sobre recursos on-line infectados por malware. Esses feeds expõem endereços IP e recursos que estejam hospedando no momento ou temporariamente o conteúdo mal-intencionado, permitindo que a equipe de segurança das informações tome medidas preventivas para atenuar os riscos. página 13

14 O RSA Data Loss Prevention (DLP) Suite é projetado para alertar as organizações sobre uma atividade suspeita envolvendo dados confidenciais ou que viole a política organizacional. O DLP também executa funções iniciais de correção, como bloqueio de transmissão de dados confidenciais, quarentena, mudança ou aplicação do gerenciamento de direitos a documentos que contêm dados pessoais. O RSA DLP Suite é fácil de ser integrado ao console de gerenciamento de segurança do RSA Archer e à plataforma RSA Security Analytics, fornecendo às organizações um feed de dados valiosos para alerta e defesa aprimorada em camadas. O RSA Education Services fornece cursos de treinamento sobre segurança das informações destinados à equipe de TI, a desenvolvedores de software, a profissionais de segurança e aos funcionários de uma organização em geral. Os cursos combinam teoria, tecnologia e exercícios baseados em cenários para envolver os participantes em um aprendizado interativo. O currículo atual abrange assuntos como análise de malware e inteligência de ameaças cibernéticas. O RSA Education Services também oferece um workshop sobre como enfrentar as ameaças avançadas como APTs. Os cursos são elaborados para fornecer o máximo de informações possível em um período muito curto, a fim de reduzir o tempo de inatividade da equipe. A RSA Enterprise Compromise Assessment Tool (ECAT) é uma solução corporativa de detecção e resposta a ameaças, projetada para monitorar e proteger os ambientes de TI contra software indesejável e contra o malware mais enganoso, inclusive rootkits profundamente ocultos, APTs (Advanced Persistent Threats, ameaças avançadas persistentes) e vírus não identificados. A RSA ECAT automatiza a detecção de anomalias nos aplicativos e na memória do computador sem confiar em assinaturas de vírus. Em vez de analisar amostras de malware para criar assinaturas, a RSA ECAT estabelece a linha de base de anomalias em aplicativos considerados bons, filtrando o ruído de fundo para encontrar atividade malintencionada em máquinas comprometidas. O console da RSA ECAT apresenta uma visualização centralizada das atividades que estão ocorrendo na memória do computador, que podem ser usadas para identificar rapidamente o malware, independentemente de existir uma assinatura ou de o malware já ter sido identificado anteriormente. Quando uma anomalia mal-intencionada é identificada, a RSA ECAT pode analisar milhares de máquinas para identificar outros endpoints que foram comprometidos ou estão em risco. O RSA Security Analytics é projetado para fornecer aos departamentos de segurança a conscientização situacional da qual precisam para lidar com os problemas de segurança que mais pressionam a empresa. Analisando o tráfego de rede e os dados dos eventos de registro, o sistema RSA Security Analytics ajuda as organizações a obter uma visualização abrangente de seu ambiente de TI, permitindo que os analistas de segurança detectem as ameaças rapidamente, investiguem, tomem decisões de correção, assumam o controle e gerem relatórios automaticamente. A arquitetura de dados distribuída da solução RSA Security Analytics coleta, analisa e arquiva volumes de dados em grande escala, normalmente centenas de terabytes ou mais, a uma velocidade muito alta, usando vários modos de análise. A plataforma RSA Security Analytics também traz inteligência de ameaças sobre ferramentas, técnicas e procedimentos mais recentes sendo usados pela comunidade de invasores para alertar as organizações sobre possíveis ameaças que estão ativas na empresa. página 14

15 Esta página está intencionalmente em branco. página 15

16 Sobre a RSA A RSA, a divisão de segurança da EMC, é a principal fornecedora de soluções de gerenciamento de segurança, risco e conformidade para aceleração dos negócios. A RSA ajuda as organizações líderes mundiais a resolver seus desafios de segurança mais complexos e confidenciais. Esses desafios incluem o gerenciamento do risco organizacional, a proteção do acesso e da colaboração móvel, o fornecimento de conformidade e a proteção de ambientes virtuais e em nuvem. Combinando os controles essenciais aos negócios para garantia de identificação, gerenciamento de criptografia e chave, SIEM, prevenção contra perda de dados, monitoramento contínuo de rede e proteção contra fraude com os recursos de GRC líderes do setor e serviços sólidos de consultoria, a RSA traz visibilidade e confiança para milhões de identidades de usuários, para as transações que eles executam e os dados que são gerados. Para obter mais informações, visite brazil.rsa.com e brazil.emc.com. brazil.emc.com/rsa EMC 2, EMC, o logotipo da EMC, RSA, Archer, FraudAction, NetWitness e o logotipo da RSA são marcas comerciais ou registradas da EMC Corporation nos Estados Unidos e em outros países. Microsoft e Outlook são marcas registrada da Microsoft. Todos os outros produtos ou serviços mencionados são marcas comerciais de suas respectivas empresas. Copyright 2013 EMC Corporation. Todos os direitos reservados h11533-ASOC_BRF_0213