IMPLEMENTANDO UMA ARQUITETURA DO SECURITY ANALYTICS

Transcrição

1 IMPLEMENTANDO UMA ARQUITETURA DO SECURITY ANALYTICS Resumo da solução

2 RESUMO As novas ameaças de segurança exigem uma nova abordagem ao gerenciamento de segurança. As equipes de segurança precisam de uma arquitetura de Security Analytics que possa lidar com um volume muito maior e um escopo mais amplo de dados do que existe agora, sem falar no fornecimento de ferramentas para poderem solucionar com rapidez os problemas mais prementes. Elas precisam de inteligência contra ameaças relacionada a ferramentas, técnicas e procedimentos mais recentes usados pela comunidade de invasores e a habilidade de rastrear e gerenciar respostas resultantes dos problemas que as equipes identificam. 99% das violações levaram ao comprometimento de dados em dias ou menos, enquanto 85% das violações demoraram semanas ou até mais para serem detectadas. Relatório 2012 da Verizon sobre investigação de violações de dados A SEGURANÇA TRADICIONAL NÃO ESTÁ FUNCIONANDO De acordo com o relatório 2012 da Verizon sobre investigações de violações de dados, 99% das violações levaram ao comprometimento de dados em dias ou menos, enquanto 85% das violações demoraram semanas ou até mais para serem detectadas. Isso representa um desafio significativo para as equipes de segurança, pois dá aos invasores períodos extensos no ambiente de uma vítima. Mais tempo disponível leva a mais dados roubados e mais danos digitais. Isso ocorre principalmente porque as medidas de segurança atuais não são projetadas para combater as ameaças mais avançadas de hoje. As medidas de segurança tradicionais são normalmente: Baseadas em assinatura: procurando sequência de dados sabidamente incorreta com base em ataques anteriores idênticos. Orientadas por perímetro: concentrando-se na prevenção ou na detecção de ameaças que entram na organização. Orientadas pela conformidade: projetadas para atender aos requisitos de auditores ou mandatos específicos do governo em vez de solucionar os maiores riscos para a organização. Ao mesmo tempo, as ameaças estão se tornando exponencialmente mais avançadas. As ameaças normalmente vistas hoje são: Ágeis: elas preveem os meios que as organizações usam para se protegerem e usam técnicas adaptadas para escapar dos sistemas de detecção e prevenção mais comuns. Centralizadas: as ameaças de hoje normalmente têm objetivos muito específicos, direcionados talvez a uma classe de organizações ou até mesmo a uma só organização. Inteligentes: elas usam uma ampla gama de técnicas de engenharia social e de exploração para obter uma posição segura nas organizações vítimas e evitar a detecção. Isso significa que as organizações precisam começar a pensar de modo diferente sobre as ferramentas que implementam e as técnicas que usam para se defender. Ameaças que se desenvolvem rapidamente Criminosos Criminosos menores Sem sofisticação Crime organizado Cadeias de fornecimento organizadas e sofisticadas (PII, serviços financeiros, varejo) Agente nacional PII, governo, base setorial de defesa, organizações IP ricas Agente estrangeiro Terroristas PII, governo, infraestrutura crítica Vigilantes contra as instituições Hackers, direcionamento de oportunidade página 2

3 O SIEM TRADICIONAL FOI UM BOM COMEÇO Há muito tempo, a RSA vem sendo fornecedora das principais soluções de SIEM (Security Information and Event Management, gerenciamento de eventos e informações de segurança) do setor e acredita que os sistemas de SIEM tradicionais foram importantes no fornecimento de: Relatórios sobre a atividade dos dispositivos, fornecendo percepções-chave sobre quem, o que, onde e quando as atividades críticas estão ocorrendo. Alertas básicos sobre sequências conhecidas por meio de regras de correlação, que podem chamar a atenção para os usos mais suspeitos e incomuns dos recursos de computação. Prova de conformidade para auditores internos e externos por meio de relatórios regulares, criados de modo automatizado em vez de serem manualmente gerados para cada auditoria ou avaliação. Exibição central de fontes de eventos distintas sendo coletadas para que as equipes de segurança possam tomar decisões mais rápidas com base em informações coletadas de várias fontes. As equipes de segurança precisam determinar rapidamente como um ataque aconteceu, reduzir o tempo disponível do invasor (o tempo entre a entrada do invasor no sistema e a detecção de invasão na infraestrutura) e adotar medidas para impedir futuros ataques semelhantes. Entretanto, no cenário atual, novos requisitos precisam ser considerados. Agora, os ataques são provenientes não apenas de vândalos ou amadores, mas de empresas criminosas sofisticadas e até mesmo de agentes nacionais. Esses invasores implementam técnicas avançadas, como esconder seus rastros em arquivos de registro e minimizar o número de eventos auditáveis. Sendo assim, o SIEM tradicional prova ser insuficiente. Isso exige que as organizações adotem uma abordagem mais avançada para combater essas ameaças. AS ORGANIZAÇÕES PRECISAM DE SOLUÇÕES DE GERENCIAMENTO DE SEGURANÇA MAIS EFICIENTES Neste mundo de ameaças avançadas, as equipes de segurança precisam determinar rapidamente como um ataque aconteceu, reduzir o tempo disponível do invasor (o tempo entre a entrada do invasor no sistema e a detecção da invasão na infraestrutura) e adotar medidas para impedir futuros ataques semelhantes. Sendo assim, a RSA acredita que as organizações precisam de uma plataforma eficiente que solucione mais problemas de gerenciamento de segurança, pois: As ameaças avançadas exigem que a empresa inteira tenha visibilidade do tráfego de rede e dos dados de evento do registro: nem os dados do tráfego de rede nem os dados de eventos de registro sozinhos fornecem informações suficientes para detectar e investigar esses tipos de ameaças. A segurança agora é um problema de big data para analistas do SOC: os analistas do SOC agora precisam aprofundar-se em um conjunto de dados maior, mais dinâmico e diverso para identificar ameaças avançadas, o que requer a fusão de inteligência interna e externa. O comprometimento é inevitável: o objetivo realista é não resistir a todos os ataques, mas reagir rápido para reduzir o dano e, assim, o impacto nos negócios. RSA Security Management and Compliance página 3

4 Com esse objetivo, profissionais de segurança experientes estão pedindo a ajuda da RSA para: Coletar tudo o que está acontecendo na infraestrutura. As abordagens anteriores à segurança dependiam do uso das informações sobre ameaças conhecidas para a tomada de decisão quanto a quais dados sobre o que está acontecendo no ambiente devem ser coletados. Com ameaças mais ágeis e avançadas, fazer essas suposições antecipadamente faz com que, provavelmente, quando essas ameaças surgirem, as equipes de segurança não tenham todas as informações necessárias para responder adequadamente. Isso significa que, no ambiente atual, as equipes de segurança querem coletar tudo sobre o que está acontecendo. Ajudar a identificar os principais destinos e ameaças. Em uma infraestrutura de TI grande e complexa, é difícil rastrear o que cada sistema faz e de que modo ele pode ser atacado. As equipes de segurança precisam de comunicação com a empresa para identificar as informações, os processos de negócios e os ativos de suporte mais essenciais para avaliar melhor as ameaças que a organização enfrenta. Permitir a investigação e a priorização dos incidentes. Além disso, em uma infraestrutura de TI grande e complexa, existem normalmente tantos problemas a serem solucionados que as equipes de segurança precisam de mais orientação sobre a identificação dos problemas mais prementes e dos que têm maior impacto nos negócios. Isso significa ter mais informações sobre o contexto de negócios dos incidentes e a importância dos sistemas e processos afetados. Permitir o gerenciamento desses incidentes. Responder aos incidentes pode ser uma tarefa complicada, da avaliação do dano, à comunicação, correção e limpeza, exigindo a coordenação dos recursos das várias equipes de TI e de negócios. As equipes de segurança precisam encontrar um modo de iniciar e coordenar essas atividades para minimizar o impacto adverso nos negócios. A VISIBILIDADE TOTAL SOBRE A REDE É IMPRESCINDÍVEL As ameaças mais avançadas podem ser extremamente difíceis de detectar. Com frequência, a área afetada mais visível está na rede, à medida que elas entram no ambiente de TI, propagam-se por toda parte e movem os dados para o destino pretendido. Dessa forma, é necessária a captura do pacote de rede completo para: Identificar a entrada de malware no ambiente e priorizar as ações relacionadas a ele. O malware moderno se parece muito com qualquer outro arquivo navegando na rede, mas a captura do pacote completo permite que as organizações isolem e reconstruam arquivos executáveis e automatizem grande parte da análise necessária para identificar sinais reveladores de intenção maliciosa. Isso ajuda os analistas de malware a priorizar os problemas que eles devem responder primeiro. Rastrear o movimento lateral de um ataque depois que ele entrar na organização. Depois que um invasor obtém uma posição segura dentro de uma organização, ele normalmente se move lateralmente de um ponto periférico a outro, reunindo as informações necessárias para iniciar a próxima fase do ataque. Como esses pontos periféricos raramente são monitorados, a captura do pacote de rede completo é necessária para obter visibilidade sobre essa movimentação lateral em uma organização. Demonstrar exatamente o que aconteceu e quais dados foram movidos. Muitas ameaças avançadas não serão detectadas até que o ataque esteja em andamento ou nem mesmo depois de ele ser concluído. Nesse momento, as equipes de segurança precisam ser capazes de avaliar o dano reconstruindo o ataque e determinando quais dados, se for o caso, saíram da organização e se eles estavam criptografados ou não. A RSA FORNECE UMA ABORDAGEM COMPLETA DE GERENCIAMENTO DE SEGURANÇA A abordagem da RSA ao gerenciamento de segurança baseia-se em quatro elementos principais (consulte a figura). Uma abordagem de big data ao gerenciamento de segurança. A arquitetura de dados distribuída da RSA permite que os clientes coletem e analisem dados de segurança em uma escala e uma taxa de mudanças sem precedentes. página 4

5 Uma abordagem unificada a Security Analytics. A RSA tem como objetivo fornecer um conjunto de ferramentas comuns para análise dos dados de segurança, de modo a dar suporte às principais atividades analíticas, da emissão de alertas e relatórios até a lógica de malware. Uma camada de governança que vincula Security Analytics aos negócios. O portfólio exclusivo da RSA ajuda os clientes a simplificar o processo de obtenção de informações sobre processos e sistemas de negócios essenciais, e as necessidades da empresa para protegê-los. Inteligência contra ameaças que fornece aos clientes conhecimento atualizado. A RSA distribui inteligência atual e acionável sobre o ambiente de ameaça aos produtos, permitindo que as organizações relacionem a inteligência especificamente a seus ambientes. Lógica e emissão de relatórios RSA Security Analytics Coleta de dados Coleta de dados do pacote completo Arquivamento Registros e pacotes de arquivamento de curto prazo Investigações Emissão de relatórios e alertas de segurança Lógica de malware Coleta de dados de registro Registros de arquivamento de longo prazo Emissão de relatórios de conformidade e análise de perícia forense Inteligência contra ameaças A abordagem da RSA fornece aos clientes: Visibilidade abrangente. O portfólio da RSA permite visibilidade inigualável sobre o que está acontecendo na infraestrutura. Infraestrutura para dar suporte à coleta sem limitações: a capacidade de coletar muitos tipos de dados de segurança, em escala e de muitos tipos de fontes de dados. Visibilidade unificada sobre a rede e os dados de registro: um só lugar para exibir dados sobre ameaças avançadas e a atividade do usuário a partir de dados obtidos diretamente na rede ou em sistemas-chave. Ciência analítica ágil. A RSA fornece ferramentas que disponibilizam informações detalhadas aos investigadores do modo mais simples possível. Plataforma para execução de investigações rápidas: ferramentas intuitivas para investigação apresentadas para rápida análise, com detalhes e incorporação do contexto de negócios para elaborar melhor o processo de tomada de decisão. Lógica gratuita de reprodução de sessão e assinatura: ferramentas para apurar os usuários e os pontos periféricos mais suspeitos conectados a sua infraestrutura e aos sinais reveladores de atividade maliciosa. Ela também fornece a capacidade de recriar e reproduzir exatamente o que aconteceu. Inteligência acionável. A inteligência contra ameaças fornecida pela RSA ajuda os analistas de segurança a obter maior valor dos produtos da RSA incorporando feeds de informações atuais sobre ameaças. Inteligência contra ameaças atual correlacionada aos dados coletados: inteligência de propriedade específica de uma comunidade de especialistas em segurança, integrada a nossas ferramentas e utilizada por meio de regras, relatórios e listas de observação para obter percepções de ameaças a partir dos dados coletados da empresa. página 5

6 Ações priorizadas com base no contexto de negócios: incorporação de informações de negócios que mostram a relação entre os sistemas envolvidos e as funções de negócios aceitas. Gerenciamento otimizado de processos. Os produtos da RSA ajudam as equipes de segurança a simplificar o conjunto diversificado de atividades relacionadas à preparação e à resposta. Tecnologia e serviços para o ciclo de vida completo de segurança e conformidade: um sistema de workflow para definir e ativar os processos de resposta, além de ferramentas para rastrear os problemas abertos no momento, as tendências e as lições aprendidas. Ele fornece também serviços líderes do setor para ajudar a preparar, detectar e responder aos incidentes. Integrado ao sistema de gerenciamento de segurança e conformidade: integração com o portfólio da RSA e as ferramentas de terceiros para trocar informações com uma ampla gama de ferramentas necessárias para identificar e lidar com incidentes e simplificar o gerenciamento de conformidade. SOBRE A RSA RSA, a divisão de segurança da EMC, é o primeiro provedor de soluções de gerenciamento de segurança, risco e conformidade para acelerar os negócios. A RSA ajuda as principais empresas do mundo a solucionar seus mais complexos e confidenciais desafios de segurança. Entre esses desafios estão o gerenciamento do risco organizacional, a proteção da colaboração e do acesso móvel, a comprovação de conformidade e a proteção de ambientes virtuais e em nuvem. Combinando controles essenciais aos negócios para garantia de identidade, gerenciamento de chaves e criptografia, SIEM, prevenção contra perda de dados, monitoramento contínuo da rede e proteção contra fraudes com recursos de egrc líderes do setor e sólidos serviços de consultoria, a RSA proporciona confiança e visibilidade para milhões de identidades de usuários, para as transações que eles realizam e os dados que são gerados. Para obter mais informações, visite brazil.rsa.com e brazil.emc.com. POR QUE A RSA PARA GERENCIAMENTO DE SEGURANÇA? A RSA está posicionada exclusivamente para ajudar os clientes a atender seus objetivos das seguintes formas: A RSA fornece um portfólio exclusivo de produtos para solucionar os problemas mais críticos relacionados a ameaças avançadas Com o monitoramento de rede do RSA NetWitness, a RSA tem a única plataforma que fornece visibilidade sobre uma sessão completa da rede e os dados do registro da empresa. Com o monitoramento do RSA NetWitness, a RSA tem a única plataforma unificada para perícia forense em tempo real que inclui análise automatizada de ameaça avançadas e malware de dia zero. A RSA tem uma plataforma comprovada e dimensionável que fornece conscientização situacional para toda empresa a sete integrantes da Fortune 10 e 70% dos órgãos federais dos EUA. A RSA integra em nossos produtos inteligência acionável e exclusiva contra ameaças A RSA é um fornecedor líder de pesquisa sobre ameaças monitora a atividade secreta do invasor real. A equipe de pesquisa do RSA NetWitness Live rastreia mais de cinco milhões de IPs e domínios e centenas de fontes exclusivas de feeds de ameaças. A RSA atualiza e distribui dinamicamente sua biblioteca de conteúdo de ameaças a cada hora por meio do RSA NetWitness Live. A RSA supera os desafios de pessoas, processos e tecnologias relacionados à segurança e conformidade A RSA é fornecedora líder de serviços para ajudar na preparação contra incidentes, além de resposta a incidentes e limpeza. A RSA tem a única solução que dá suporte aos aspectos de TI e negócios do gerenciamento de segurança, por meio de sua integração com a plataforma RSA Archer egrc. A RSA tem a plataforma unificada para dar suporte a gerenciamento de conformidade, gerenciamento de ameaças à segurança, gerenciamento de incidentes e gerenciamento de continuidade de negócios. brazil.rsa.com EMC 2, EMC, o logotipo da EMC, RSA, NetWitness e o logotipo da RSA são marcas registradas ou comerciais da EMC Corporation nos Estados Unidos e em outros países. Todos os outros produtos ou serviços mencionados nestedocumento são marcas comerciais de suas respectivas empresas. Copyright 2012 EMC Corporation. Todos os direitos reservados. h9093 impsa sb 0412