A REALIDADE SOBRE GERENCIAMENTO DE SEGURANÇA E BIG DATA

Transcrição

1 A REALIDADE SOBRE GERENCIAMENTO DE SEGURANÇA E BIG DATA Um roteiro para big data no Security Analytics PRINCIPAIS BENEFÍCIOS Este documento analisa: O aumento da complexidade do ambiente de gerenciamento de segurança, das ameaças ao ambiente de TI até às exigências de conformidade. Como obter mais significado dos dados já coletados, eliminando o palheiro em vez de procurar agulha nele. A combinação de infraestrutura, ferramentas de lógica e inteligência contra ameaças precisava impulsionar o valor comercial de big data. Esse é um excelente momento, embora desafiador, para ser profissional de segurança. As ameaças à segurança estão se tornando mais agressivas e vorazes. Os governos e os órgãos do setor estão se tornando mais precisos em relação à conformidade. Combinado a ambientes de TI exponencialmente mais complexos, o gerenciamento de segurança está ficando cada vez mais desafiador. Além disso, as novas tecnologias de big data têm como objetivo trazer técnicas de lógica avançadas, como análise preditiva, e técnicas estatísticas avançadas para perto dos profissionais de segurança. Dado o estado dos sistemas de segurança atuais, a maioria das organizações está muito longe do uso desses tipos de tecnologias avançadas para gerenciamento de segurança. Os profissionais de segurança precisam obter mais valor dos dados já coletados e analisados. Eles também precisam de melhor compreensão dos desafios atuais e dos desafios iminentes relacionados aos dados. Começar com recursos básicos de lógica e gerenciamento de conjunto de dados permite que as organizações criem e dimensionem efetivamente o gerenciamento de segurança à medida que a empresa evolui para superar os desafios de big data. O CENÁRIO ATUAL DE SEGURANÇA NÃO DÁ ESPAÇO PARA A SEGURANÇA IMEDIATA Quando se lida com big data, o volume e os tipos de dados sobre TI e negócios também são grandes demais para serem processados de modo assistemático. Além disso, está ficando cada vez mais difícil proteger as informações significativas dos dados que estão sendo coletados. Apesar do investimento significativo em segurança das informações, os invasores parecem ter o controle. De acordo com o relatório 2012 da Verizon sobre investigações de violações de dados, 91% das violações levaram ao comprometimento de dados em dias ou menos, enquanto 79% das violações demoraram semanas ou até mais para serem detectadas. Existem vários fatores que explicam isso: Os invasores estão ficando cada vez mais organizados e melhor financiados. No entanto, enquanto os ataques estão ficando cada vez mais dinâmicos, as defesas permanecem estáticas. Os ataques atuais são projetados para explorar as fraquezas de nossas infraestruturas hiperconectadas e centradas no usuário. As organizações vinculadas à TI continuam a crescer de modo mais complexo. Agora as organizações exigem muito mais sistemas abertos e ágeis, criando novas oportunidades incríveis para colaboração, comunicação e inovação. Isso também resulta em novas vulnerabilidades que cibercriminosos, grupos de hackers e agentes nacionais aprenderam a explorar. A conformidade está muito mais longe de ser alcançada. Reguladores e legisladores estão ficando mais explícitos. As empresas, especialmente aquelas com várias linhas de negócios ou operações internacionais, enfrentam tempos cada vez mais difíceis para rastrear controles atuais que estão em vigor, controles que são necessários e como garantir que esses controles sejam gerenciados de modo adequado.

2 O efeito combinado desses fatores nos ambientes de TI torna o gerenciamento de segurança muito mais complexo, com muito mais interdependência e um escopo mais amplo de responsabilidade. À medida que mais processos de negócios se tornam digitalizados, as equipes de segurança têm a oportunidade e o desafio de coletar e gerenciar mais dados. Os investimentos estão cada vez maiores em ferramentas de gerenciamento de registros, gerenciamento de vulnerabilidade, gerenciamento de identidade e gerenciamento de configuração. Entretanto, as violações continuam acontecendo, causando mais interrupções e gastos do que nunca. OS TRÊS CONCEITOS BÁSICOS DO BIG DATA EM GERENCIAMENTO DE SEGURANÇA Uma estratégia real de big data para o gerenciamento de segurança deve abranger todos estes três aspectos para solucionar adequadamente os problemas à mão: infraestrutura, ferramentas analíticas e inteligência. Figura 1. Os pilares de big data em gerenciamento de segurança Para extrair valor dos dados coletados, obter eficiência das atividades de gerenciamento de ameaças e usar as atividades de conformidade para orientar a tomada de decisões, as equipes de segurança precisam adotar uma abordagem de big data para o gerenciamento de segurança. Isso significa ter: Uma infraestrutura ágil de scale out para responder às mudanças no ambiente de TI e às ameaças em evolução. O gerenciamento de segurança precisa dar suporte a novas iniciativas de negócios que afetam a TI, de novos aplicativos a novos modelos de entrega como mobilidade, virtualização, computação em nuvem e terceirização. A infraestrutura de gerenciamento de segurança deve ser capaz de coletar e gerenciar dados de segurança em escala corporativa e deve ser dimensionada de acordo com as exigências atuais das empresas, física e economicamente. Isso significa fazer scale out em vez de scale up, pois a centralização de todos esses dados será praticamente impossível. Além disso, a infraestrutura precisa se estender com mais facilidade para adaptar-se a novos ambientes e desenvolver-se rapidamente para dar suporte à análise das ameaças em evolução.

3 Ferramentas de lógica e visualização que dão suporte a especialidades de analistas de segurança. Os profissionais de segurança exigem ferramentas analíticas especializadas para dar suporte a seu trabalho. Alguns analistas exigem ferramentas para facilitar a identificação básica de eventos com alguns detalhes do suporte. Os gerentes podem exigir visualização de alto nível e análise de tendências de medidas-chave. Os analistas de malware precisam de arquivos suspeitos reconstruídos e ferramentas para automatizar o teste desses arquivos. Os analistas de perícia forense de rede precisam da reconstrução completa de todas as informações de rede e registro sobre uma sessão para determinar precisamente o que aconteceu. Inteligência contra ameaças para aplicar técnicas analíticas de dados às informações coletadas. As organizações exigem uma exibição do ambiente atual de ameaças externas para correlação com as informações reunidas da própria organização. Essa correlação é importante para os analistas obterem uma compreensão clara dos indicadores de ameaças atuais e sobre o que procurar. O big data não significa simplesmente muitos dados. Ele exige significativamente mais lógica inteligente para identificar as ameaças de segurança mais cedo, com a infraestrutura para coletar e processar dados em escala. BIG DATA IMPULSIONA UMA SEGURANÇA PRODUTIVA E EFICIENTE O gerenciamento bem-sucedido de segurança para big data exige um sistema que possa extrair e apresentar dados-chave para analistas de modo mais rápido e eficiente. Figura 2. Requisitos para um sistema de big data de gerenciamento de segurança As organizações de segurança hoje precisam adotar uma abordagem de big data, inclusive a compreensão dos adversários, a determinação de quais dados são necessários para dar suporte às decisões e operacionalizar um modelo para dar suporte a essas atividades. Quando se fala de big data neste contexto, trata-se da criação de uma base para lógica útil, em vez da execução precipitada de um projeto avançado de ciência de dados. Sistemas bem-sucedidos de big data para organizações de segurança precisam:

4 Eliminar tarefas manuais entediantes em atividades rotineiras de resposta ou avaliação. O sistema precisa reduzir o número de tarefas manuais e repetitivas associadas à investigação de um problema, como alternar entre consoles e executar a mesma pesquisa em cinco ferramentas diferentes. Embora essas tarefas não sejam eliminadas da noite para o dia, o sistema deve reduzir consistentemente o número de etapas por incidentes. Usar o contexto de negócios para direcionar os analistas para os problemas que causam maior impacto. As equipes de segurança precisam ser capazes de associar os sistemas que monitoram e gerenciam aos aplicativos essenciais e aos processos de negócios suportados por eles. Elas precisam entender as dependências entre esses sistemas e terceiros, como provedores de serviços, e compreender o estado atual de seu ambiente do ponto de vista de vulnerabilidade e conformidade. Apresentar apenas os dados mais relevantes aos analistas. Os profissionais de segurança normalmente referem-se à redução dos falsos positivos. Na realidade, os problemas são geralmente mais sutis do que falso versus verdadeiro. Em vez disso, o sistema precisa eliminar o ruído e fornecer indicadores para os analistas apurarem os problemas que causam maior impacto. O sistema também precisa fornecer dados de suporte que destaquem os maiores problemas prováveis e o motivo para ocorrerem. Aumentar o conhecimento humano. O sistema pode ajudar o analista a gastar seu tempo analisando os itens mais críticos. Isso inclui fornecer técnicas integradas para identificação dos problemas com prioridade mais alta, bem como inteligência contra ameaças atuais que usa essas técnicas para identificar ferramentas, técnicas e procedimentos mais recentes sendo usados pela comunidade de invasores. Veja além do horizonte. A defesa contra ameaças modernas é também uma corrida contra o tempo. O sistema precisa fornecer um modelo de advertência antecipado e finalmente preditivo, combinando inteligência contra ameaças externas à conscientização situacional interna para mover a equipe de segurança de uma defesa passiva para a defesa ativa e a prevenção. SECURITY ANALYTICS: UMA ABORDAGEM EM FASES PARA BIG DATA Embora as técnicas avançadas, como lógica preditiva e inferência estatística, sejam provavelmente importantes no futuro, é importante que as equipes de segurança comecem a se concentrar em abordagens básicas e em fases. Comece pela implementação de uma infraestrutura de dados de segurança que possa crescer com você. Isso envolve a implementação de uma arquitetura que seja capaz de coletar informações detalhadas sobre registros, sessões de rede, vulnerabilidades, configurações e identidades, e também inteligência humana sobre o que os sistemas fazem e como eles funcionam. Embora você possa começar pequeno, o sistema precisa basear-se em uma arquitetura sólida e distribuída para garantir o dimensionamento à medida que seus requisitos evoluem. O sistema deve dar suporte aos domínios lógicos de confiança, inclusive jurisdições legais, bem como dados para unidades de negócios ou diferentes projetos. O sistema precisa ser capaz de manipular e aproveitar esses dados com rapidez e facilidade (por exemplo, mostrar todos os registros, sessões de rede e resultados de verificação de determinado endereço IP e sua comunicação com um sistema financeiro de produção).

5 Implemente ferramentas analíticas básicas para automatizar as interações humanas repetitivas. Normalmente, um objetivo de curto prazo é criar um modelo que correlacione informações visualmente a fim de reduzir o número de etapas necessárias para reunir todas essas informações em uma exibição (por exemplo, mostrar todos os registros e sessões de rede que envolvem sistemas que dão suporte ao processamento de transações de cartão de crédito e que sejam vulneráveis a um ataque já verificado em outras partes da empresa). Crie visualizações e resultados que deem suporte às principais funções de segurança. Alguns analistas precisarão ver apenas os eventos mais suspeitos com algum detalhe de suporte. Os analistas de malware precisarão de uma lista priorizada de arquivos suspeitos e dos motivos pelos quais eles são suspeitos. Os analistas de perícia forense de rede precisarão de resultados detalhados de consultas complexas. Outros precisarão revisar relatórios de conformidade agendados ou relatórios gerais usados para identificar tendências ou áreas para aprimoramento no sistema. O sistema também precisa ser aberto para permitir que outro sistema acesse os dados e use-os para agir contra um invasor, como colocar em quarentena ou intensificar o monitoramento sobre o que eles estão fazendo. Figura 3. Etapas para a implementação de big data no gerenciamento de segurança Adicione mais métodos analíticos inteligentes. Só nesse ponto é que a lógica mais complexa pode ser aplicada aos dados para dar suporte a essas funções. Essa lógica pode incluir uma combinação de técnicas analíticas, como regras definidas para identificar um comportamento provavelmente ruim ou conhecido como bom. Ela também pode incorporar técnicas avançadas de linha de base e criação de perfil comportamental que implementam técnicas estatísticas mais avançadas, como a inferência bayesiana ou a modelagem preditiva. Essas técnicas analíticas podem ser usadas juntas para criar um modelo de influência (um modelo que combina indicadores diferentes para classificar os problemas que o sistema identificou, a fim de levar o analista às áreas que exigem atenção mais urgente). Aprimore o modelo continuamente. Depois que o sistema estiver em funcionamento, ele precisará ser ajustado continuamente para responder aos vetores de ameaças em desenvolvimento e às alterações para a organização. O sistema precisará ter habilidade para ajustar regras e modelos para eliminar o ruído, consumir dados adicionais dentro e fora da organização e incorporar funções de autoaprendizagem para aumentar o sucesso geral do sistema.

6 O sistema precisará desenvolver-se e expandir-se para responder às mudanças no ambiente de TI à medida que novos serviços e aplicativos de TI são disponibilizados on-line, criando um ciclo de evolução e aprimoramento constantes. Em cada ponto, o sistema precisará aproveitar a inteligência externa como informações para o modelo. Isso significa que o sistema precisará ter um modo automatizado de consumir feeds externos de fontes de inteligência contra ameaças; informações estruturadas, inclusive listas negras, regras ou consultas; inteligência não estruturada (inclusive pastebins, feeds do Twitter ou conversas de IRC); e inteligência de painéis de mensagens ou anotações internas de ligações ou reuniões internas. O sistema também deve ser capaz de facilitar a colaboração acerca do conhecimento compartilhado. O sistema deve compartilhar resultados de consulta ou inteligência não estruturada publicamente, ou em um modelo controlado com comunidades de interesse confiáveis ou com base em quem precisa saber. A INFRAESTRUTURA BÁSICA FORMA O CAMINHO PARA TÉCNICAS MAIS SOFISTICADAS As equipes de segurança aumentarão bastante a probabilidade de sucesso na implementação de big data na segurança se se concentrarem primeiro em criar uma arquitetura dimensionável e implementar ferramentas para eliminar tarefas sem valor agregado. Isso dará vitórias rápidas, fornecerá uma plataforma sólida e liberará a equipe para se concentrar na implementação e no gerenciamento de ferramentas analíticas mais complexas. Fazer isso de modo adequado: Aumentará a eficiência dos analistas de segurança. O número de problemas por turno que os analistas podem verificar pode aumentar de alguns para uma dezena ou até mais. Reduzirá o tempo disponível dos invasores e, assim, o impacto das ameaças nos negócios. Os analistas se sentirão mais atraídos automaticamente por aquelas ações que têm maior probabilidade de causar problemas e as solucionarão antes que afetem negativamente os negócios. Sem essa base ou um objetivo claro e concreto em mente, uma iniciativa de big data poderia ter dificuldades e não trazer nenhum dos ganhos esperados. RSA SECURITY MANAGEMENT: UMA BASE SÓLIDA PARA INFRAESTRUTURA, LÓGICA E INTELIGÊNCIA.

7 O portfólio do RSA Security Management fornece aos clientes: Visibilidade abrangente da infraestrutura. A RSA fornece uma infraestrutura comprovada com a capacidade de coletar todos os tipos de dados de segurança, em escala e de todos os tipos de fontes de dados. Isso fornece aos analistas um só lugar para ver dados sobre ameaças avançadas e a atividade do usuário a partir de dados obtidos diretamente da rede ou de sistemas-chave. A infraestrutura da RSA também fornece uma arquitetura unificada para lógica em tempo real, bem como consulta histórica e atual. Isso fornece uma abordagem completa à criação de alertas em tempo real, análise investigativa, medidas e análise de tendências e retenção e arquivamento históricos. Lógica ágil. A plataforma da RSA fornece aos analistas as ferramentas para execução de investigações rápidas, inclusive ferramentas intuitivas para investigação apresentadas para rápida análise, com pesquisa detalhada e incorporação de contexto de negócios para elaborar melhor o processo de tomada de decisão. A abordagem da RSA fornece a habilidade de apurar os usuários e pontos periféricos mais suspeitos conectados à sua infraestrutura e os sinais relevantes de atividade maliciosa por meio da lógica livre de assinatura. A substituição completa da sessão fornece a habilidade de recriar e reproduzir exatamente o que aconteceu. Inteligência acionável. A inteligência contra ameaças fornecida pela RSA ajuda os analistas de segurança a obter maior valor dos produtos da RSA incorporando feeds de informações atuais sobre ameaças. A equipe de pesquisa de ameaças da RSA fornece inteligência de propriedade particular de uma comunidade de especialistas em segurança, incorporada automaticamente em nossas ferramentas por meio de regras, relatórios, analisadores e listas de observação. Isso permite que os analistas obtenham percepções das ameaças de dados coletados na empresa e priorizem as ações de resposta incorporando informações de negócios que mostram a relação entre os sistemas envolvidos e as funções de negócios sob suporte. Gerenciamento otimizado de incidentes. Os produtos da RSA ajudam as equipes de segurança a simplificar o variado conjunto de atividades relacionadas à preparação e à resposta, fornecendo um sistema de workflow para definir e ativar processos de resposta, além de ferramentas para rastrear problemas abertos atuais, tendências e lições aprendidas. Serviços líderes do setor para ajudar a preparar, detectar e responder aos incidentes. A plataforma integra-se ao portfólio da RSA e a ferramentas de terceiros para trocar informações com uma ampla gama de ferramentas necessárias para identificar e lidar com incidentes e simplificar o gerenciamento de conformidade. FALE CONOSCO Para saber mais sobre como produtos, serviços e soluções EMC ajudam a superar seus desafios de negócios e de TI, entre em contato com seu representante local ou revendedor autorizado ou visite nosso site brazil.emc.com/rsa. EMC 2, EMC, o logotipo da EMC, [adicione outras marcas comerciais de produtos aplicáveis em ordem alfabética] são marcas registradas ou comerciais da EMC Corporation nos Estados Unidos e em outros países. VMware [adicione outras conforme descrito acima, se necessário] é[são] marca[s] registrada[s] ou comercial[comerciais] da VMware, Inc. nos Estados Unidos e em outras jurisdições. Copyright 2012 EMC Corporation. Todos os direitos reservados Visão geral da solução HSMCBD0812 A EMC assegura que as informações apresentadas neste documento estão corretas. As informações estão sujeitas a alterações sem prévio aviso.