DETECÇÃO E RESPOSTA A AMEAÇAS ORIENTADA POR INTELIGÊNCIA

Transcrição

1 DETECÇÃO E RESPOSTA A AMEAÇAS ORIENTADA POR INTELIGÊNCIA VISÃO GERAL Atualmente, as organizações devem aprender a lidar com infiltração constante. Manter invasores cibernéticos fora dos ambientes de TI da empresa tornou-se extremamente difícil e, em alguns casos, impossível, pois os ataques de elaboração personalizada podem burlar facilmente as ferramentas tradicionais de detecção de ameaças e explorar pontos fracos inerentes em redes modernas. No entanto, a infiltração não precisa resultar em roubo de dados e outras formas de dano aos negócios, principalmente se as organizações se especializarem em detectar e responder aos ataques cedo. A detecção de ataques antes de eles resultarem em prejuízo requer que as equipes de segurança reduzam sua confiança em formas passivas de detecção de ameaças, como alertas de ferramentas de análise baseadas em assinatura. Em vez disso, as organizações devem procurar os invasores ativamente vasculhando de maneira constante o ambiente de TI em busca de sinais sutis de atividade mal-intencionada ou suspeita. Descobrir esses sinais iniciais de problemas requer que as organizações cultivem novos recursos em análise de dados e resposta a incidentes. Porém, o cultivo de novos recursos pode ser excessivamente difícil para equipes de segurança pressionadas pela falta de pessoal e sobrecarregadas pelo escopo de aplicativos, infraestruturas e ameaças em constante expansão. O desafio que a maioria das equipes de segurança enfrenta é como priorizar os problemas que devem ser tratados, considerando suas restrições, ou seja, distinguir as ameaças mais graves dentre várias ameaças incômodas. O desafio é enfrentado pela segurança orientada por inteligência, uma estratégia de segurança das informações que oferece a visibilidade, as percepções analíticas e as ações corretivas necessárias para ajudar as organizações a mitigar o risco de operar em um mundo digital. A segurança orientada por inteligência aumenta a velocidade e a eficácia da detecção e da resposta a ameaças cibernéticas da seguinte maneira: Fornecendo visibilidade da atividade digital em registros, na rede e em pontos periféricos Usando lógica analítica avançada de fontes de dados diversificadas para descobrir ameaças ocultas e orientar decisões sobre a melhor forma de montar uma resposta eficaz e direcionada Utilizando detecção de malware sem assinatura em redes e pontos periféricos Capacitando as equipes de segurança a serem mais eficazes por meio de processos eficientes, automação do workflow, inteligência contra ameaças e treinamento Para alcançar a segurança orientada por inteligência na detecção e resposta a ameaças, as organizações devem avançar seus recursos em quatro áreas: 1. Monitoramento de rede e ponto periférico constante e abrangente, o que inclui recursos como captura total de pacotes e detecção de ameaças baseada em comportamento em hosts 2. Técnicas de lógica analítica avançada que podem examinar enormes volumes de informações, como tráfego de rede, quase em tempo real para detectar comportamentos suspeitos e acelerar as investigações 3. Análise de malware usando métodos que não confiam em assinaturas de arquivo e vão direto para o comportamento real de executáveis, sejam coletados na rede ou em pontos periféricos, para detectar atividade hostil Whitepaper da RSA 4. Práticas de detecção de incidentes e resposta que alinham equipe de segurança, processos e tecnologias para simplificar e acelerar workflows de modo que as equipes de operações de segurança possam gastar menos tempo em tarefas de rotina e mais tempo defendendo ativos de alta prioridade e lidando com as ameaças mais perigosas

2 CONTEÚDO Visão Geral...1 Um estado constante de comprometimento... 3 Detecção e resposta a ameaças orientada por inteligência... 3 Monitoramento de rede e ponto periférico: Veja tudo... 4 Visibilidade abrangente de redes e pontos periféricos... 4 Coleta e análise de dados em tempo real...5 Implementação sempre que o monitoramento for necessário...5 Lógica analítica avançada: Descobrindo ameaças ocultas...5 Plataforma única e integrada para monitoramento de segurança e lógica analítica...5 Análise oportuna de big data... 6 Detecção baseada em comportamentos, não em assinaturas...7 Dimensionável sem penalidades de desempenho...7 Análise de malware: Não confie em nada...7 Detecção de malware com reconhecimento de riscos... 8 Correlação centralizada de atividade suspeita em ponto periférico... 8 Alertas priorizados para acelerar a investigação e correção de malware... 8 Resposta a incidentes: Ação rápida e concentrada... 9 Prática e planejamento para um preparo contra violações eficaz... 9 Resposta a incidentes orientada por dados para resultados melhores e mais rápidos... 9 Contexto consolidado para acelerar investigações...10 Conclusão...10 Soluções de detecção e resposta a ameaças orientada por inteligência da RSA página 2

3 UM ESTADO CONSTANTE DE COMPROMETIMENTO A maioria dos ambientes de TI das organizações sofre infiltração por terceiros. Em muitos casos, os invasores estabeleceram uma presença persistente. Isso não é alarmante; é uma realidade criada por uma geração diferente de invasores que aproveita as redes hiperconectadas da atualidade. Os invasores atuais mais perigosos não são ativistas de meio expediente nem fazem bicos para fazer travessuras ou uma afirmação. Eles são profissionais que querem fazer dinheiro. São estados-nações buscando avançar sua agenda estratégica. E eles aproveitam muitas vantagens. O aumento da interconexão entre sistemas e aplicativos de TI trouxe nova eficiência e oportunidades para as organizações. As redes são abertas para mais parceiros e cadeias de fornecimento para facilitar processos de negócios cada vez mais colaborativos. Porém, os invasores também exploram essa abertura objetivando vulnerabilidades na cadeia de valores, fazendo dos pontos fracos de participantes menos protegidos um ponto fraco coletivo. Enquanto isso, a virtualização e a terceirização da infraestrutura e dos aplicativos de TI oferecem vantagens em termos de eficiência que se tornaram impossíveis de ignorar. No entanto, a mudança para a nuvem também muda funções essenciais de TI para fora do local, muitas vezes, em uma variedade de locais com políticas e procedimentos diversos para segurança das informações. Os ambientes de TI interconectados da atualidade são mais difíceis de defender e oferecem mais locais para os invasores ocultarem suas atividades. Combinado ao fato de que muitos invasores modificam malware para escapar da detecção por ferramentas tradicionais de análise baseada em assinatura, como software antivírus, firewalls e sistemas de detecção de invasão, fica claro que a infiltração se tornou o novo padrão. A questão é quão bem as organizações podem se adaptar a esse constante estado de violação. Equipes de segurança estendida não podem mais se concentrar exclusivamente na prevenção da infiltração. Elas devem equilibrar a prevenção contra ataques, uma meta impossível, com competências complementares na detecção de ataques e correção. As organizações de hoje podem estar vulneráveis à infiltração, mas isso não significa que o roubo de dados ou o dano aos negócios seja inevitável. As organizações devem identificar proativamente e neutralizar as ameaças dentro do ambiente de TI antes que os invasores alcancem seus objetivos. A melhor forma de fazer isso é aproveitando a segurança orientada por inteligência, uma estratégia para resolver os desafios de segurança mais graves e delicados da atualidade. Detecção e resposta a ameaças orientada por inteligência A segurança orientada por inteligência ajuda as organizações a neutralizar ameaças cibernéticas antes que elas causem problemas significativos. A estratégia oferece os seguintes recursos: Visibilidade sem precedentes das redes e seus pontos periféricos, capturando e analisando enormes volumes de dados relevantes para a segurança. Lógica analítica sofisticada para examinar dados, identificar anomalias e alertar as organizações sobre possíveis problemas vinculados aos ativos de informações Ativação de processos de resposta a incidentes para tornar a investigação e correção de ameaças muito mais eficiente e eficaz página 3

4 A segurança orientada por inteligência interrompe os ataques cibernéticos antes que o dano seja causado Movimentação lateral livre Transferência e extrusão Persistência? Detecção tardia Necessidade de segurança orientada por inteligência aqui para detecção Ponto típico de detecção ou notificação Cadeia de destruição Determinar alvo Estabelecimento de presença na rede Comprometimento inicial Comprometimento do domínio Aplicar a estratégia de segurança orientada por inteligência à detecção e resposta de incidentes significa que as organizações devem cultivar recursos em quatro áreas interrelacionadas essenciais à descoberta, investigação e resposta a ataques avançados: 1. Monitoramento de rede e ponto periférico 2. Análise avançada de dados relacionados à segurança 3. Identificação e análise de malware 4. Resposta a incidentes e correção de violações MONITORAMENTO DE REDE E PONTO PERIFÉRICO: VEJA TUDO Diante de fluxos constantes de dados movendo-se pela rede, a tentação e até recentemente, a única opção tem sido concentrar a coleta de dados e a lógica analítica em algumas áreas problemáticas. Muitas vezes, as equipes de segurança coletam e analisam registros de sistemas essenciais, mas essa abordagem orientada a registros na detecção de ameaças deixa muitos pontos cegos que adversários sofisticados podem explorar. A segurança orientada por inteligência tem como objetivo eliminar pontos cegos fornecendo visibilidade abrangente na rede e em pontos periféricos, como servidores e computadores de funcionários. Visibilidade abrangente de redes e pontos periféricos As soluções de segurança orientada por inteligência usam registros como uma das muitas fontes de dados, mas elas alcançam muito mais visibilidade incorporando também recursos de captura de pacotes de rede. A captura de pacotes de rede completos significa registrar, analisar, normalizar, verificar e remontar todo tráfego de rede em cada camada do eixo de rede. À medida que o tráfego de rede é capturado, ele é analisado e marcado para facilitar subsequente análise e investigação de ameaças. A captura e marcação de dados de rede permite aos analistas de segurança reconstruir sessões e atividades de usuários para entender não apenas detalhes básicos, como em qual horário ou para qual endereço IP os pacotes de dados foram transferidos, mas também quais informações foram enviadas e recebidas e o dano resultante. A coleta de pacotes completos e a reconstrução de sessão ajudam as organizações a detectar anomalias de segurança e a reconstruir incidentes de segurança com certeza e detalhes; desse modo, elas podem investigar suas perdas e corrigir problemas com mais rapidez e eficiência. página 4

5 As soluções de segurança orientada por inteligência também fornecem profunda visibilidade de atividades em pontos periféricos, inclusive servidores e laptops. Para detectar atividade suspeita em pontos periféricos que possa indicar malware ou outras ameaças, as soluções devem analisar o que está acontecendo na memória de um computador e o que está armazenado no disco físico. Comparando processos em execução a arquivos no disco sem confiar em sistemas operacionais e hipervisores intermediários, que podem ser manipulados por malware as organizações obtêm informações sobre se os executáveis e os processos em pontos periféricos são legítimos ou foram injetados com código mal-intencionado. Uma visão profunda e detalhada dos pontos periféricos e uma detecção automatizada de atividades suspeitas são fundamentais para identificar e investigar ameaças mais rapidamente. Coleta e análise de dados em tempo real Os dados de segurança como registros, pacotes de rede e atividades em pontos periféricos são coletados de fontes diversificadas, analisados e armazenados de modo que facilite a pesquisa e análise de informações centralmente. Por exemplo, sistemas eficazes de coleta de pacotes de rede analisam e marcam o tráfego de dados à medida que ele é coletado para indexação, armazenamento e análise subsequente. Os dados de segurança interna e visibilidade são enriquecidos ainda mais com inteligência contra ameaças de fontes externas. Os dados de ameaça externa permitem que as organizações aprendam pela experiência de outros a aprimorar seus próprios recursos de detecção de ameaças. Implementação sempre que o monitoramento for necessário Quando a visibilidade é necessária com urgência, como quando uma organização está no meio de uma investigação de incidente real, a facilidade e a velocidade da implementação são essenciais. As ferramentas de monitoramento de rede e ponto periférico geralmente podem estar em execução sempre que são necessárias dentro de poucos dias. Isso inclui a instalação de equipamentos com recursos de captura de pacote completo nos principais pontos de entrada e saída de rede da organização, bem como a captura de tráfego de dados para e de sistemas de TI manipulando propriedade intelectual e outras informações valiosas. Os agentes de software que procuram atividade de malware em pontos periféricos geralmente podem ser impulsionados para eles dentro de horas, dependendo do tamanho e da escala da implementação. LÓGICA ANALÍTICA AVANÇADA: DESCOBRINDO AMEAÇAS OCULTAS A visibilidade sem precedentes criada pela estratégia de segurança orientada por inteligência faz muito mais que capturar os dados forenses necessários para recriar cenários de crime cibernético. Ela cria novas oportunidades para ser bem mais proativo e preditivo na detecção de ameaças, de modo que as organizações possam evitar violações graves e dano aos negócios. Os sistemas de segurança orientada por inteligência permitem abordagens originais à análise e à geração de relatórios sobre comportamentos do usuário, da máquina e de recursos aprendendo quais comportamentos são normais para determinado sistema, usuário ou recurso e encontrando e alertando sobre sinais sutis quando algo está errado. Os sistemas de segurança orientada por inteligência incorporam os seguintes princípios: Plataforma única e integrada para monitoramento e lógica analítica de segurança As operações de segurança orientada por inteligência centralizam o monitoramento, a detecção, a análise, a investigação e a geração de relatórios de anomalias e incidentes. Os analistas podem passar por terabytes de dados de registro, metadados e sessões de rede recriadas com apenas alguns cliques. Como os detalhes sobre ambas as redes e pontos periféricos estão disponíveis através de um sistema centralizado e um só console, os analistas não precisam alternar entre diferentes ferramentas e aplicativos de segurança. As consultas aproveitam essa integração, economizando tempo e esforço consideráveis dos analistas. Isso significa que as investigações que demoravam dias agora podem ser realizadas em questão de minutos. página 5

6 A integração da tecnologia é o que possibilita esse alto grau de eficiência. A plataforma de lógica analítica deve funcionar com uma variedade de ferramentas gerando informações relacionadas à segurança sobre servidores, redes, pontos periféricos e outros sistemas vitais de TI. A análise e o gerenciamento de metadados consolidam eventos, registros e dados de rede de muitas fontes de modo que tudo fique acessível para análise, alertas e emissão de relatórios centralizados. Essa integração vai além de sistemas internos para o consumo de inteligência contra ameaças externas. Os feeds de inteligência que podem ser incluídos diretamente pela plataforma de lógica analítica, inclusive inteligência da comunidade de código aberto, domínios marcados como APT (Advanced Persistent Threat, ameaça persistente avançada), listas negras e proxies suspeitos são essenciais para fornecer detecção oportuna de questões de segurança. Análise oportuna de big data Os sistemas de segurança orientada por inteligência capturam e analisam enormes volumes de dados dinâmicos de diversas fontes, movimentando terabytes de dados em tempo real. A análise relacionada à segurança é estratificada para permitir diferentes tipos de detecção. Por exemplo, os dados podem ser capturados e analisados à medida que eles atravessam a rede. Esse tipo de análise no "momento da captura" identifica atividades suspeitas procurando ferramentas, serviços, comunicações e técnicas geralmente usadas pelos invasores sem depender de registros, eventos ou assinaturas de outros sistemas de segurança. Exemplos dessa análise no momento da captura incluem a detecção de programas de software não navegador que executam HTTP, protocolos em portas não tradicionais e executáveis incorporados em arquivos PDF. Além disso, essas ferramentas sofisticadas podem detectar sinais sutis de ataque correlacionando eventos que parecem inofensivos isoladamente, mas que são problemáticos quando atuam juntos. As técnicas analíticas fundem entradas internas de várias fontes usando metadados. Esses mecanismos de detecção avançada também atuam como gatilhos que podem fornecer advertência antecipada de uma possível infiltração. O processamento desses fluxos de informações acontece no momento em que eles ocorrem, o que significa que as atividades suspeitas são detectadas enquanto ainda há tempo para que as equipes de segurança interrompam ataques em andamento. Com sistemas de segurança orientada por inteligência, as equipes de operações de segurança podem também realizar análise em lote de grandes volumes de dados de segurança históricos. Esses dados são necessários não só para cumprir a maioria dos requisitos de auditoria e retenção de dados das empresas, como também porque são valiosos na descoberta de táticas adversas que podem ter levado meses para executar e ainda podem estar em andamento. Por exemplo, a análise em lote de arquivos de dados de segurança pode ajudar a descobrir ataques cibernéticos previamente ignorados nos quais dados ilícitos foram transmitidos apenas esporadicamente em fluxos pequenos e ocultos ao longo de semanas ou meses. Esses tipos de técnica de ataque "pequena e lenta" são difíceis de detectar quando estão ocorrendo, pois foram desenvolvidos para parecer inócuos ocultando-se em processos existentes e fluxos de comunicação. Essas técnicas geralmente tornam-se suspeitas somente quando executadas em um padrão particular em uma janela específica de tempo. A análise automatizada e detalhada de arquivos de dados de segurança pode descobrir os invasores enquanto esses tentam estabelecer presença, bem como revelar perdas de informações que as organizações talvez nem saibam ter sofrido. Muitas vezes, a análise em lote de dados de segurança pode revelar tesouros de informações sobre técnicas de invasores e indicadores de comprometimento que as equipes de segurança podem usar no futuro para detectar ataques semelhantes. Talvez o mais importante seja que as técnicas de análise em lote ajudam as organizações a aprender o que é "típico" dentro de um ambiente de TI, de modo que futuros desvios do normal que muitas vezes indicam problemas possam ser identificados e investigados no momento em que surgem. página 6

7 DETECÇÃO DE AMEAÇAS ORIENTADA POR INTELIGÊNCIA EM AÇÃO Quando infiltrações passam despercebidas, os invasores cibernéticos normalmente escalam privilégios, movem-se lateralmente através dos sistemas de TI e disfarçam-se como usuários legítimos depois de obter acesso no nível de domínio. Assim que os invasores atingem esse estado, eles não podem ser detectados e erradicados com ferramentas de segurança convencionais. Em vez disso, as equipes de segurança devem conter a ameaça por meio de busca proativa e persistente. Esses princípios são ilustrados em um relatório de pesquisa de ameaças da RSA sobre o uso cada vez maior de Web shells em ataques cibernéticos. Um Web shell infectado pode ser um arquivo independente que só contém código Web shell ou pode injetar código mal-intencionado em páginas Web legítimas. Como os Web shells desafiam as definições tradicionais de malware, eles são praticamente indetectáveis por software antivírus e outras ferramentas tradicionais de segurança. As explorações com Web shell conferem diversas vantagens em relação a cavalos de Troia e outras formas convencionais de malware: Baixas taxas de detecção por conta da variedade e da personalização de código e porque os invasores podem mascarar suas atividades ilícitas como tráfego normal e arquivos em servidores da Web Permite que os invasores mantenham um baixo nível de persistência no ambiente de TI por meio de vários métodos para atualizar e substituir backdoors mal-intencionados Atinge a entrada inicial através de explorações da estrutura do aplicativo da Web, em vez de através de ataques contra phishing, que são identificáveis mais prontamente A conectividade pode ser iniciada de qualquer endereço de origem, tornando o bloqueio de endereço IP ineficaz Não há necessidade de atividade de beacons indicadora Leia o blog da RSA para obter detalhes sobre como a detecção de ameaças orientada por inteligência ajudou muitas empresas a identificar e corrigir explorações com Web shell. Detecção baseada em comportamentos, não em assinaturas Os sistemas de segurança orientada por inteligência monitoram o ambiente de TI quanto a sinais de comportamentos incomuns de pessoas, aplicativos, infraestrutura e comunicações não apenas quanto a indicadores explícitos, como assinaturas de malware previamente identificadas ou endereços IP ou domínios na lista negra. Os invasores sofisticados podem burlar essas abordagens de monitoramento estático reveladoras modificando linhas de código, provisionando uma nova máquina virtual em uma nuvem pública ou registrando um novo domínio de Internet como um comando e controle ou drop site. Porém, é muito mais difícil para os invasores burlar sistemas de monitoramento de segurança que observam padrões e comportamentos incomuns. Mais cedo ou mais tarde, o malware ou os usuários hostis precisam fazer algo que viola os padrões do sistema, e é nesse momento que os sistemas de lógica analítica orientada por inteligência vão encontrá-los. Por exemplo, quando se trata de detectar malware, as soluções de detecção de ameaças no ponto periférico não procuram arquivos com má reputação; elas procuram comportamentos suspeitos. Comparando o que está realmente em execução na memória com o que deveria estar em execução com base nos arquivos residentes no disco local, as ferramentas de detecção de malware têm melhor capacidade de identificar discrepâncias e obter uma visão direta e mais confiável da presença ou não de código ilícito. Os sistemas de segurança orientada por inteligência estabelecem como é o comportamento "adequado" dentro de um ambiente de TI monitorando e aprendendo uma variedade de atividades realizadas pela máquina e por humanos, desde quais portas nos servidores são geralmente usadas para comunicações externas aos locais de log-in e hábitos individuais dos funcionários. As atividades vistas como fora do padrão são marcadas para investigação pelos analistas de segurança. Se os analistas dispensarem um evento como um falso positivo, as ferramentas de segurança podem "aprender" a partir dessa experiência e têm menor probabilidade de marcar futuras recorrências. Dimensionável sem penalidades de desempenho A coleta e análise de dados são tratadas por uma arquitetura de computação distribuída, não por um banco de dados centralizado e monolítico. Disseminando a carga de trabalho entre muitos nós de computação, as organizações obtêm resultados mais rápidos e um sistema altamente modular e dimensionável. Para habilitar a coleta e análise de dados em um novo segmento da rede ou em uma filial, as organizações simplesmente adicionam um novo nó. Esse sistema distribuído e modular pode ser dimensionado linearmente à medida que aumentam os requisitos de lógica analítica de dados da organização, sem uma penalidade de desempenho nem um grande salto no custo. ANÁLISE DE MALWARE: NÃO CONFIE EM NADA O software hostil que os pesquisadores de antivírus já marcaram como mal-intencionado em geral não é o malware usado em ataques cibernéticos direcionados. No entanto, algumas ferramentas de segurança ainda têm como objetivo proteger as organizações examinando seus ambientes de TI usando as assinaturas de malware facilmente alterado. Os sistemas de segurança orientada por inteligência renunciam à varredura baseada em assinatura por conta de sua ineficácia evidente. Em vez disso, eles usam a abordagem "não confie em nada" na detecção de malware que presumem que todos os programas são hostis, todas as comunicações são suspeitas, todas as máquina estão contaminadas e todos os sistemas operacionais estão corrompidos. página 7

8 Detecção de malware com reconhecimento de riscos As ferramentas de detecção de ameaça avançada examinam o comportamento de máquinas, redes e processos para determinar se eles estão ou foram comprometidos por malware. Essas ferramentas fazem mais do que detectar incidentes; elas avaliam o risco e priorizam alertas para correção. Os arquivos considerados como mal-intencionados podem justificar uma pontuação de priorização mais baixa caso sejam considerados malware comum que causa mais um transtorno que uma ameaça verdadeira. Por outro lado, os arquivos que não demonstram nenhum sinal externo de adulteração podem conter um executável de compilação personalizada desenvolvido para entrar em execução somente ao atingir determinados sistemas ou ao receber um comando secreto. Para descobrir esse tipo de malware personalizado e perigoso, os sistemas avançados de detecção de ameaça usam uma série de técnicas analíticas para classificar os níveis de risco de arquivos suspeitos. Por exemplo, uma organização pode estabelecer uma regra exigindo que o sistema de segurança analise cada novo executável que chegue às suas redes. O sistema de detecção de malware colocaria os novos executáveis na sandbox (modo seguro) executando-os em um ambiente em quarentena, registrando tudo o que fazem e elevando sua pontuação de risco se forem observados comportamentos suspeitos, como mudança nas configurações do registro ou substituição das DLLs do sistema operacional. É claro que o software legítimo também poderia executar essas ações: para integrar funções com o software existente ou instalar um patch, por exemplo. Porém, se o novo executável demonstrar um desses comportamentos junto com o início de conexões de rede incomuns, então a pontuação geral do risco aumenta vertiginosamente. A detecção de malware orientada por inteligência correlaciona vários fatores para tomar decisões probabilísticas sobre o risco e apresenta alertas priorizados aos analistas de segurança humanos. Em última análise, cabe aos analistas decidirem a gravidade de uma ameaça, mas suas decisões são enormemente aceleradas e mais precisas por conta do trabalho em segundo plano realizado por suas ferramentas de segurança orientada por inteligência. Correlação centralizada de atividade suspeita em ponto periférico Os resultados das varreduras de pontos periféricos são enviados para um servidor central onde arquivos conhecidos e desconhecidos são identificados e a atividade suspeita é marcada. Os arquivos (inclusive processos, drivers, DLLs, etc.) são analisados, os níveis de suspeita são atribuídos com base no comportamento observado. O comportamento do arquivo pode ser correlacionado em um nível global na empresa para mostrar se o possível malware está ativo em uma máquina e inativo em outra. As organizações também obtêm informações sobre a prevalência de determinado arquivo no ambiente. Por exemplo, se um determinado arquivo encontra-se em milhares de máquinas na empresa, ele pode ser um aplicativo de TI padrão que pode ser filtrado do campo de visão dos analistas de segurança durante uma investigação. Por outro lado, se um arquivo mal-intencionado for identificado, as organizações podem rapidamente medir o escopo da infecção mostrando instantaneamente todas as outras máquinas com o mesmo arquivo mal-intencionado. Alertas priorizados para acelerar a investigação e correção de malware Para minimizar a carga dos analistas de segurança, uma abordagem orientada por inteligência para detecção de malware aprende com resultados de varreduras prévias e com uma linha de base do ambiente para marcar automaticamente arquivos suspeitos e desconhecidos. Antes de os resultados da varredura serem apresentados a analistas, eles são verificados em relação a um repositório global de itens que os analistas já investigaram e adicionaram à lista branca anteriormente, o que significa que se pode confiar nos arquivos. Os arquivos confiáveis são removidos dos resultados da varredura para eliminar rapidamente a desordem para os analistas de segurança. página 8

9 Os consoles de detecção de ameaças no ponto periférico não apresentam apenas uma lista de resultados de varredura; eles também priorizam problemas potenciais de modo que os analistas possam identificar quais devem ser investigados primeiro. Para acelerar as investigações, o console de detecção de ameaças no ponto periférico fornece detalhes sobre os problemas potenciais. Por exemplo, ele correlaciona comportamentos suspeitos sobre um arquivo (como um driver, um processo, uma DLL) e revela o que se sabe sobre o arquivo (como tamanho do arquivo, atributos do arquivo, hash de arquivo MD5) por meio de análise estática e heurística. Os analistas de segurança usam as ferramentas e informações no console para determinar se o arquivo é mal-intencionado e deve ser adicionado à lista negra, ou não representa risco e deve ser adicionado à lista branca. Se um item for considerado mal-intencionado, todas as ocorrências do problema no ambiente inteiro de TI poderão ser identificadas instantaneamente. Assim, quando uma correção for determinada, a equipe de operações de segurança poderá realizar quaisquer investigações forenses necessária e/ou limpar todos os pontos periféricos afetados. RESPOSTA A INCIDENTES: AÇÃO RÁPIDA E CONCENTRADA O tamanho e a complexidade crescentes dos ambientes de TI aumentaram o escopo de vulnerabilidades, mas isso não significa que todos os possíveis pontos de entrada apresentam um risco igual. Quando há suspeita de um ataque ou incidente real, as equipes de segurança devem agir rápido para retirar os invasores do ambiente de TI e mitigar o dano. Isso exige planejamento, treinamento da equipe e, às vezes, assistência externa. Prática e planejamento para um preparo contra violações eficaz As equipes de segurança bem preparadas sabem quais são os ativos de informação valiosos da organização e quais sistemas, aplicativos e usuários têm acesso a eles. O reconhecimento desses parâmetros ajuda os analistas de segurança a restringir o campo de investigação durante uma violação. Desse modo, eles podem lidar com problemas de maneira mais rápida e com maior confiança. As equipes de operações de segurança devem conduzir avaliações do preparo contra violações e exercícios de correção para aumentar a velocidade e a eficácia de suas reações a ataques cibernéticos. Como parte dessas avaliações, as equipes de segurança fazem um inventário dos ativos de TI de alto valor que devem ser protegidos, analisam workflows para investigação e correção de incidentes e avaliam áreas para melhoria. A prática e o planejamento proativo forçam as organizações a associar suas políticas de segurança a suas prioridades de negócios e requisitos normativos. Isso permite que as organizações melhorem cada vez mais seus recursos na detecção, no gerenciamento e na resposta a ameaças. Otimiza as equipes e as habilidades da equipe de operações de segurança, de modo que recursos escassos sejam implementados para proporcionar o máximo efeito. Além disso, oferece treinamento para melhorar as habilidades de resposta a incidentes da equipe de segurança. Resposta a incidentes orientada por dados para resultados melhores e mais rápidos As equipes de operações de segurança muitas vezes encontram possível evidência de una infiltração ou violação, mas devem iniciar uma investigação para entender a causa. Frequentemente, as organizações exploram as possíveis causas sem êxito por semanas ou até meses. Quando essa situação acontece, ela ajuda a reunir pessoas com ferramentas e expertise especializada em IR (Incident Response, resposta a incidentes). Os especialistas em IR podem implementar tecnologias que capturam atividade em redes e pontos periféricos em segmentos importantes do ambiente de TI. Com base nas varreduras, análises e informações complementares que essas tecnologias geram, os profissionais de IR experientes geralmente podem indicar onde e como as violações de segurança estão ocorrendo, e interromper ataques cibernéticos muito mais rápido do que as organizações podem fazer por conta própria. página 9

10 Contexto consolidado para acelerar investigações As soluções de segurança orientada por inteligência coletam uma grande variedade de detalhes de suporte e histórico para auxiliar nas investigações de incidentes. Alertas de vários sistemas de monitoramento de segurança são agregados em um só console de gerenciamento de segurança, a partir do qual os analistas podem se aprofundar para ver fontes de dados, máquinas afetadas e outras informações relacionadas a incidentes com apenas alguns cliques no mouse. O console de gerenciamento de segurança também se integra com o software corporativo de gerenciamento de riscos para especificar informações contextuais sobre a gravidade comercial de incidentes identificados e sistemas afetados. As classificações de prioridade são atribuídas a cada incidente com base nos ativos de informações em risco, nos riscos oferecidos à organização e na gravidade do problema de segurança. Juntas, essas informações complementares ajudam os analistas a investigar incidentes de modo mais abrangente, preciso e rápido. Além disso, os sistemas de segurança orientada por inteligência incluem informações de fontes externas para enriquecer os dados de segurança interna da organização. A plataforma de lógica analítica de segurança e o painel de gerenciamento identificam, agregam e operacionalizam as melhores fontes de inteligência e contexto de dentro e fora da organização para acelerar a tomada de decisões dos analistas e os workflows. CONCLUSÃO A detecção e a resposta a ameaças orientada por inteligência ajuda as organizações a alcançar altos padrões de segurança apesar do atual ambiente de ameaças imprevisível e de rápido crescimento. A detecção de ameaças orientada por inteligência conta com o ganho de visibilidade completa de redes e pontos periféricos e a aplicação de técnicas avançadas de análise de dados para descobrir malware sem usar hashes ou assinaturas de modo exclusivo. A resposta a ameaças orientada por inteligência é conduzida por uma equipe de segurança experiente que é auxiliada no trabalho por ferramentas avançadas de gerenciamento e lógica analítica de segurança. Essas ferramentas melhoram muito a velocidade e precisão das investigações de segurança, fornecendo contexto completo sobre incidentes a partir de um só console de gerenciamento e priorizando possíveis problemas para avaliação adicional. A segurança orientada por inteligência permite eficácia sem precedentes na detecção e reposta a ameaças, pois otimiza o modo de a equipe de segurança, os processos e as tecnologias de uma organização trabalharem juntos como um todo. As ferramentas são integradas para aumentar a visibilidade e o entendimento dos analistas de segurança e para permitir análise e geração de relatórios centralizados. As ferramentas também orientam workflows investigativos e processos de correção com base em procedimentos comprovados e nas políticas da organização. Dando suporte às equipes de segurança com um conjunto harmonizado de ferramentas e processos, as organizações podem minimizar o tempo que os analistas de segurança precisam gastar em processos de rotina e liberá-los para se concentrar na neutralização de ameaças de alta prioridade. O resultado final é uma segurança mais ágil e mais sólida, que ajuda as organizações não só a superar suas principais ameaças de segurança, como também a operar no mundo digital com maior confiança. página 10

11 SOLUÇÕES DE DETECÇÃO E RESPOSTA A AMEAÇAS ORIENTADA POR INTELIGÊNCIA DA RSA O RSA Advanced Cyber Defense Practice fornece uma abrangente gama de soluções para ajudar os clientes a proteger sua missão organizacional, impulsionar a eficiência operacional e evoluir com um ambiente de ameaças dinâmico. Os ataques direcionados geralmente concentram-se no roubo de ativos e dados essenciais e utilizam técnicas que ignoram defesas tradicionais. A RSA ajuda as organizações a aprimorar seus recursos de segurança existentes e a implementar contramedidas desenvolvidas para evitar que adversários cibernéticos alcancem seus objetivos. Os serviços oferecidos pela RSA incluem análise de lacunas, modelagem de maturidade, inteligência de ataques cibernéticos, reforço da infraestrutura, além de desenvolvimento e automação de operações de segurança. Os serviços foram desenvolvidos para ajudar as organizações a convergir seus recursos técnicos e operacionais em um programa de segurança unificado que se alinha às prioridades de gerenciamento de riscos e aos objetivos dos negócios. A RSA enfatiza as medidas preventivas necessárias para proteger a organização enquanto fornece resposta a incidentes e serviços de correção para reduzir o tempo de exposição a violações e mitigar ataques. O RSA Education Services oferece cursos de treinamento sobre segurança das informações voltados à equipe de TI, aos desenvolvedores de software, profissionais de segurança e funcionários gerais da organização. Os cursos são ministrados por especialistas em segurança da RSA Advanced Cyber Defense Practice e combinam teoria, tecnologia e exercícios baseados em cenário para envolver os participantes no aprendizado ativo. O currículo atual abrange tópicos como análise de malware e inteligência contra ameaça cibernética. O RSA Education Services também oferece um workshop sobre como lidar com ameaças avançadas, como APTs (Advanced Persistent Threats, ameaças avançadas persistentes). Os cursos são desenvolvidos para oferecer o máximo de informações no menor período para minimizar o tempo de inatividade da equipe. O RSA Enterprise Compromise Assessment Tool (ECAT) é uma solução empresarial de detecção e resposta a ameaças desenvolvida para monitorar e proteger os ambientes de TI contra software indesejável e contra o malware mais esquivo, inclusive rootkits profundamente ocultos, ameaças avançadas persistentes (APTs) e vírus não identificados. O RSA ECAT automatiza a detecção de anomalias nos aplicativos e na memória do computador sem depender de assinaturas de vírus. Em vez de analisar amostras de malware para criar assinaturas, a RSA ECAT estabelece uma linha de base de anomalias a partir de aplicativos com boa reputação, filtrando o ruído de fundo para descobrir atividade mal-intencionada em máquinas comprometidas. O console do RSA ECAT apresenta uma visão centralizada de atividades que ocorrem na memória de um computador, que podem ser usadas para identificar rapidamente o malware, independentemente de existir uma assinatura ou de o malware ter sido visto antes. Assim que uma anomalia mal-intencionada é identificada, o RSA ECAT pode examinar milhares de máquinas para identificar outros pontos periféricos que foram comprometidos ou estão em risco. página 11

12 Adotando a segurança orientada por inteligência O RSA Security Analytics é projetado para fornecer às organizações de segurança a conscientização situacional necessária para lidar com seus problemas de segurança mais urgentes. Analisando o tráfego de rede e os dados de evento de registro, a solução RSA Security Analytics pode ajudar as organizações a obter uma visão abrangente do ambiente de TI, permitindo aos analistas de segurança detectar ameaças rapidamente, investigar e priorizá-las, tomar decisões de correção, agir e gerar relatórios automaticamente. A arquitetura de dados distribuída da solução RSA Security Analytics coleta e analisa e arquiva volumes de dados em grande escala, normalmente centenas de terabytes ou mais, a uma velocidade muito alta e usando vários modos de análise. A solução também inclui inteligência contra ameaças via RSA Live sobre as ferramentas, as técnicas e os procedimentos mais recentes em uso pela comunidade de invasores para alertar as organizações sobre possíveis ameaças ativas na empresa. O RSA Security Operations Management ajuda os analistas a detectar e responder a incidentes de segurança e violações de dados com mais eficiência, fornecendo uma camada de organização centralizada para investigações de segurança que integra pessoas, processos e tecnologia. A solução agrega e conecta sistemas e processos de segurança para fornecer um contexto integrado para reposta a incidentes. Ela também ajuda as equipes de segurança a rastrear e gerar relatórios sobre seus indicadores-chave de desempenho. A estrutura do RSA Security Operations Management foi criada com base nas práticas recomendadas do setor para resposta a incidentes e gerenciamento de violações. SOBRE A RSA A RSA, a divisão de segurança da EMC, é a principal fornecedora de soluções de segurança orientada por inteligência. A RSA ajuda as organizações líderes mundiais a resolver seus desafios de segurança mais complexos e confidenciais: gerenciamento do risco organizacional, proteção do acesso e da colaboração móveis, prevenção de fraudes on-line e defesa contra ameaças avançadas. A RSA oferece controles ágeis para a garantia de identidade, a detecção de fraudes e a proteção de dados, um lógica analítica de segurança robusta, recursos de GRC (Governance, Risk and Compliance; governança, risco e conformidade) líderes no setor, além de serviços especializados de consultoria. Para obter mais informações, visite brazil.rsa.com EMC 2, EMC, o logotipo da EMC, RSA, Archer, FraudAction, NetWitness e o logotipo da RSA são marcas registradas ou comerciais da EMC Corporation nos Estados Unidos e em outros países. Microsoft e Outlook são marcas registradas da Microsoft. Todos os outros produtos ou serviços mencionados neste documento são marcas comerciais de suas respectivas empresas. Copyright 2014 EMC Corporation. Todos os direitos reservados. H13402