IMPLEMENTANDO UMA ARQUITETURA DO SECURITY ANALYTICS



Documentos relacionados
Detecção e investigação de ameaças avançadas. VISÃO GERAL

A REALIDADE SOBRE GERENCIAMENTO DE SEGURANÇA E BIG DATA

Detecção e investigação de ameaças avançadas. INFRAESTRUTURA

Gerencie a força de trabalho móvel, sem a complexidade e o custo de uma instalação on-premise

Forneça a próxima onda de inovações empresariais com o Open Network Environment

CA Mainframe Chorus for Security and Compliance Management Version 2.0

PÚBLICA, PRIVADA OU HÍBRIDA: QUAL É A MELHOR NUVEM PARA SEUS APLICATIVOS?

Resumo da solução SAP SAP Technology SAP Afaria. Gestão da mobilidade empresarial como vantagem competitiva

BANCO CENTRAL DO BRASIL 2009/2010

Aumente sua velocidade e flexibilidade com a implantação da nuvem gerenciada de software da SAP

Bloqueie ameaças avançadas e proteja dados confidenciais para usuários em roaming

Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada

RESUMO DA SOLUÇÃO CA ERwin Modeling. Como eu posso gerenciar a complexidade dos dados e aumentar a agilidade dos negócios?

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

UTILIZAÇÃO DA COMPETÊNCIA DE TI ATRAVÉS DE UM ABRANGENTE PLANEJAMENTO DE CAPACIDADE E MODELAGEM DE CARGAS DE TRABALHO

Requisitos de business intelligence para TI: O que todo gerente de TI deve saber sobre as necessidades reais de usuários comerciais para BI

Project and Portfolio Management [PPM] Sustainable value creation.

PRIMAVERA RISK ANALYSIS

A arte da gestão de negociações

Pós-Graduação em Gerenciamento de Projetos práticas do PMI

MASTER IN PROJECT MANAGEMENT

10 DICAS DE TECNOLOGIA PARA AUMENTAR SUA PRODUTIVIDADE NO TRABALHO

F.1 Gerenciamento da integração do projeto

Como a nuvem mudará as operações de liberação de aplicativos

GOVERNANÇA DE ACESSO E IDENTIDADE ORIENTADA AOS NEGÓCIOS: A IMPORTÂNCIA DE UMA NOVA ABORDAGEM

VERIFIQUE SE SEUS SITES ESTÃO PRONTOS PARA O BLACK FRIDAY 11 MANEIRAS DE ACABAR COM OS PROBLEMAS DE DESEMPENHO

Segurança na Web: Proteja seus dados na nuvem

1. Quem somos nós? A AGI Soluções nasceu em Belo Horizonte (BH), com a simples missão de entregar serviços de TI de forma rápida e com alta qualidade.

SISTEMAS INTEGRADOS DE GESTÃO PAS 99:2006. Especificação de requisitos comuns de sistemas de gestão como estrutura para a integração

UM CAMINHO SIMPLES PARA UMA NUVEM PRIVADA

agility made possible

Ferramentas unificadas de SOA alinham negócios e TI IDG Research aponta grandes ganhos potenciais a partir de uma solução integrada

Fornecendo Inteligência, para todo o mundo, a mais de 20 anos.

CHECK - LIST - ISO 9001:2000

Cinco restrições de desenvolvimento/teste que afetam a velocidade, o custo e a qualidade dos seus aplicativos

TI em Números Como identificar e mostrar o real valor da TI

Glossário Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart.

Adapte. Envolva. Capacite.

gerenciando o desempenho de serviços em uma empresa conectada na nuvem CA Business Service Insight Julho de 2011

Documento técnico de negócios Gerenciamento de nuvens híbridas

15/09/2015. Gestão e Governança de TI. Modelo de Governança em TI. A entrega de valor. A entrega de valor. A entrega de valor. A entrega de valor

Gerenciamento de Problemas

PROJETO RUMOS DA INDÚSTRIA PAULISTA

Symantec Encryption Management Server, com a tecnologia PGP

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda

CA Clarity PPM. Visão geral. Benefícios. agility made possible

CA Mainframe Chorus for Storage Management Versão 2.0

Como fazer um fluxo de nutrição de leads eficaz

RESUMO DA SOLUÇÃO Aperfeiçoando o planejamento de capacidade com o uso do gerenciamento de desempenho de aplicativos

FMC: Alinhando Tradição com Inovação através da Integração de Pessoas e Processos com Soluções de TI

NUVEM HÍBRIDA: DEIXE AS PREOCUPAÇÕES COM SEGURANÇA NO PASSADO.

LISTA DE VERIFICAÇAO DO SISTEMA DE GESTAO DA QUALIDADE

CHECK LIST DE AVALIAÇÃO DE FORNECEDORES Divisão:

Gerenciamento de Projetos Modulo II Ciclo de Vida e Organização do Projeto

Uma nova perspectiva sobre a experiência digital do cliente

Administração de Sistemas de Informação Gerenciais

Sistemas de Informação CEA460 - Gestão da Informação


Exame de Fundamentos da ITIL

ENGENHARIA DE SOFTWARE I

SAM GERENCIAMENTO DE ATIVOS DE SOFTWARE

Política de privacidade do Norton Community Watch

Pesquisa Etnográfica

Gestão da Qualidade Políticas. Elementos chaves da Qualidade 19/04/2009

PRIAD: GESTÃO DE RELACIONAMENTO COM CLIENTES

agility made possible

Aplicativos de análise de vídeo

CA Mainframe Chorus for DB2 Database Management Version 2.0

Requisitos de controlo de fornecedor externo

whitepaper Os benefícios da integração do File Integrity Monitoring com o SIEM

CONCURSO PÚBLICO ANALISTA DE SISTEMA ÊNFASE GOVERNANÇA DE TI ANALISTA DE GESTÃO RESPOSTAS ESPERADAS PRELIMINARES

Aumente o valor do ciclo de vida de cada cliente

O link entre software pirateado e violações da segurança cibernética

Abordagem de Processo: conceitos e diretrizes para sua implementação

17/02/2009. Curso Superior de Tecnologia: Redes de Computadores. Disciplina: Gestão de Projetos de TI Prof.: Fernando Hadad Zaidan. Unidade 2.

ARCO - Associação Recreativa dos Correios. Sistema para Gerenciamento de Associações Recreativas Plano de Desenvolvimento de Software Versão <1.

Lista de verificação (Check list) para planejamento e execução de Projetos

UM RESUMO EXECUTIVO. Organizado para empresas:construindo um modelo operacional contemporâneo de TI

Transcrição:

IMPLEMENTANDO UMA ARQUITETURA DO SECURITY ANALYTICS Resumo da solução

RESUMO As novas ameaças de segurança exigem uma nova abordagem ao gerenciamento de segurança. As equipes de segurança precisam de uma arquitetura de Security Analytics que possa lidar com um volume muito maior e um escopo mais amplo de dados do que existe agora, sem falar no fornecimento de ferramentas para poderem solucionar com rapidez os problemas mais prementes. Elas precisam de inteligência contra ameaças relacionada a ferramentas, técnicas e procedimentos mais recentes usados pela comunidade de invasores e a habilidade de rastrear e gerenciar respostas resultantes dos problemas que as equipes identificam. 99% das violações levaram ao comprometimento de dados em dias ou menos, enquanto 85% das violações demoraram semanas ou até mais para serem detectadas. Relatório 2012 da Verizon sobre investigação de violações de dados A SEGURANÇA TRADICIONAL NÃO ESTÁ FUNCIONANDO De acordo com o relatório 2012 da Verizon sobre investigações de violações de dados, 99% das violações levaram ao comprometimento de dados em dias ou menos, enquanto 85% das violações demoraram semanas ou até mais para serem detectadas. Isso representa um desafio significativo para as equipes de segurança, pois dá aos invasores períodos extensos no ambiente de uma vítima. Mais tempo disponível leva a mais dados roubados e mais danos digitais. Isso ocorre principalmente porque as medidas de segurança atuais não são projetadas para combater as ameaças mais avançadas de hoje. As medidas de segurança tradicionais são normalmente: Baseadas em assinatura: procurando sequência de dados sabidamente incorreta com base em ataques anteriores idênticos. Orientadas por perímetro: concentrando-se na prevenção ou na detecção de ameaças que entram na organização. Orientadas pela conformidade: projetadas para atender aos requisitos de auditores ou mandatos específicos do governo em vez de solucionar os maiores riscos para a organização. Ao mesmo tempo, as ameaças estão se tornando exponencialmente mais avançadas. As ameaças normalmente vistas hoje são: Ágeis: elas preveem os meios que as organizações usam para se protegerem e usam técnicas adaptadas para escapar dos sistemas de detecção e prevenção mais comuns. Centralizadas: as ameaças de hoje normalmente têm objetivos muito específicos, direcionados talvez a uma classe de organizações ou até mesmo a uma só organização. Inteligentes: elas usam uma ampla gama de técnicas de engenharia social e de exploração para obter uma posição segura nas organizações vítimas e evitar a detecção. Isso significa que as organizações precisam começar a pensar de modo diferente sobre as ferramentas que implementam e as técnicas que usam para se defender. Ameaças que se desenvolvem rapidamente Criminosos Criminosos menores Sem sofisticação Crime organizado Cadeias de fornecimento organizadas e sofisticadas (PII, serviços financeiros, varejo) Agente nacional PII, governo, base setorial de defesa, organizações IP ricas Agente estrangeiro Terroristas PII, governo, infraestrutura crítica Vigilantes contra as instituições Hackers, direcionamento de oportunidade página 2

O SIEM TRADICIONAL FOI UM BOM COMEÇO Há muito tempo, a RSA vem sendo fornecedora das principais soluções de SIEM (Security Information and Event Management, gerenciamento de eventos e informações de segurança) do setor e acredita que os sistemas de SIEM tradicionais foram importantes no fornecimento de: Relatórios sobre a atividade dos dispositivos, fornecendo percepções-chave sobre quem, o que, onde e quando as atividades críticas estão ocorrendo. Alertas básicos sobre sequências conhecidas por meio de regras de correlação, que podem chamar a atenção para os usos mais suspeitos e incomuns dos recursos de computação. Prova de conformidade para auditores internos e externos por meio de relatórios regulares, criados de modo automatizado em vez de serem manualmente gerados para cada auditoria ou avaliação. Exibição central de fontes de eventos distintas sendo coletadas para que as equipes de segurança possam tomar decisões mais rápidas com base em informações coletadas de várias fontes. As equipes de segurança precisam determinar rapidamente como um ataque aconteceu, reduzir o tempo disponível do invasor (o tempo entre a entrada do invasor no sistema e a detecção de invasão na infraestrutura) e adotar medidas para impedir futuros ataques semelhantes. Entretanto, no cenário atual, novos requisitos precisam ser considerados. Agora, os ataques são provenientes não apenas de vândalos ou amadores, mas de empresas criminosas sofisticadas e até mesmo de agentes nacionais. Esses invasores implementam técnicas avançadas, como esconder seus rastros em arquivos de registro e minimizar o número de eventos auditáveis. Sendo assim, o SIEM tradicional prova ser insuficiente. Isso exige que as organizações adotem uma abordagem mais avançada para combater essas ameaças. AS ORGANIZAÇÕES PRECISAM DE SOLUÇÕES DE GERENCIAMENTO DE SEGURANÇA MAIS EFICIENTES Neste mundo de ameaças avançadas, as equipes de segurança precisam determinar rapidamente como um ataque aconteceu, reduzir o tempo disponível do invasor (o tempo entre a entrada do invasor no sistema e a detecção da invasão na infraestrutura) e adotar medidas para impedir futuros ataques semelhantes. Sendo assim, a RSA acredita que as organizações precisam de uma plataforma eficiente que solucione mais problemas de gerenciamento de segurança, pois: As ameaças avançadas exigem que a empresa inteira tenha visibilidade do tráfego de rede e dos dados de evento do registro: nem os dados do tráfego de rede nem os dados de eventos de registro sozinhos fornecem informações suficientes para detectar e investigar esses tipos de ameaças. A segurança agora é um problema de big data para analistas do SOC: os analistas do SOC agora precisam aprofundar-se em um conjunto de dados maior, mais dinâmico e diverso para identificar ameaças avançadas, o que requer a fusão de inteligência interna e externa. O comprometimento é inevitável: o objetivo realista é não resistir a todos os ataques, mas reagir rápido para reduzir o dano e, assim, o impacto nos negócios. RSA Security Management and Compliance página 3

Com esse objetivo, profissionais de segurança experientes estão pedindo a ajuda da RSA para: Coletar tudo o que está acontecendo na infraestrutura. As abordagens anteriores à segurança dependiam do uso das informações sobre ameaças conhecidas para a tomada de decisão quanto a quais dados sobre o que está acontecendo no ambiente devem ser coletados. Com ameaças mais ágeis e avançadas, fazer essas suposições antecipadamente faz com que, provavelmente, quando essas ameaças surgirem, as equipes de segurança não tenham todas as informações necessárias para responder adequadamente. Isso significa que, no ambiente atual, as equipes de segurança querem coletar tudo sobre o que está acontecendo. Ajudar a identificar os principais destinos e ameaças. Em uma infraestrutura de TI grande e complexa, é difícil rastrear o que cada sistema faz e de que modo ele pode ser atacado. As equipes de segurança precisam de comunicação com a empresa para identificar as informações, os processos de negócios e os ativos de suporte mais essenciais para avaliar melhor as ameaças que a organização enfrenta. Permitir a investigação e a priorização dos incidentes. Além disso, em uma infraestrutura de TI grande e complexa, existem normalmente tantos problemas a serem solucionados que as equipes de segurança precisam de mais orientação sobre a identificação dos problemas mais prementes e dos que têm maior impacto nos negócios. Isso significa ter mais informações sobre o contexto de negócios dos incidentes e a importância dos sistemas e processos afetados. Permitir o gerenciamento desses incidentes. Responder aos incidentes pode ser uma tarefa complicada, da avaliação do dano, à comunicação, correção e limpeza, exigindo a coordenação dos recursos das várias equipes de TI e de negócios. As equipes de segurança precisam encontrar um modo de iniciar e coordenar essas atividades para minimizar o impacto adverso nos negócios. A VISIBILIDADE TOTAL SOBRE A REDE É IMPRESCINDÍVEL As ameaças mais avançadas podem ser extremamente difíceis de detectar. Com frequência, a área afetada mais visível está na rede, à medida que elas entram no ambiente de TI, propagam-se por toda parte e movem os dados para o destino pretendido. Dessa forma, é necessária a captura do pacote de rede completo para: Identificar a entrada de malware no ambiente e priorizar as ações relacionadas a ele. O malware moderno se parece muito com qualquer outro arquivo navegando na rede, mas a captura do pacote completo permite que as organizações isolem e reconstruam arquivos executáveis e automatizem grande parte da análise necessária para identificar sinais reveladores de intenção maliciosa. Isso ajuda os analistas de malware a priorizar os problemas que eles devem responder primeiro. Rastrear o movimento lateral de um ataque depois que ele entrar na organização. Depois que um invasor obtém uma posição segura dentro de uma organização, ele normalmente se move lateralmente de um ponto periférico a outro, reunindo as informações necessárias para iniciar a próxima fase do ataque. Como esses pontos periféricos raramente são monitorados, a captura do pacote de rede completo é necessária para obter visibilidade sobre essa movimentação lateral em uma organização. Demonstrar exatamente o que aconteceu e quais dados foram movidos. Muitas ameaças avançadas não serão detectadas até que o ataque esteja em andamento ou nem mesmo depois de ele ser concluído. Nesse momento, as equipes de segurança precisam ser capazes de avaliar o dano reconstruindo o ataque e determinando quais dados, se for o caso, saíram da organização e se eles estavam criptografados ou não. A RSA FORNECE UMA ABORDAGEM COMPLETA DE GERENCIAMENTO DE SEGURANÇA A abordagem da RSA ao gerenciamento de segurança baseia-se em quatro elementos principais (consulte a figura). Uma abordagem de big data ao gerenciamento de segurança. A arquitetura de dados distribuída da RSA permite que os clientes coletem e analisem dados de segurança em uma escala e uma taxa de mudanças sem precedentes. página 4

Uma abordagem unificada a Security Analytics. A RSA tem como objetivo fornecer um conjunto de ferramentas comuns para análise dos dados de segurança, de modo a dar suporte às principais atividades analíticas, da emissão de alertas e relatórios até a lógica de malware. Uma camada de governança que vincula Security Analytics aos negócios. O portfólio exclusivo da RSA ajuda os clientes a simplificar o processo de obtenção de informações sobre processos e sistemas de negócios essenciais, e as necessidades da empresa para protegê-los. Inteligência contra ameaças que fornece aos clientes conhecimento atualizado. A RSA distribui inteligência atual e acionável sobre o ambiente de ameaça aos produtos, permitindo que as organizações relacionem a inteligência especificamente a seus ambientes. Lógica e emissão de relatórios RSA Security Analytics Coleta de dados Coleta de dados do pacote completo Arquivamento Registros e pacotes de arquivamento de curto prazo Investigações Emissão de relatórios e alertas de segurança Lógica de malware Coleta de dados de registro Registros de arquivamento de longo prazo Emissão de relatórios de conformidade e análise de perícia forense Inteligência contra ameaças A abordagem da RSA fornece aos clientes: Visibilidade abrangente. O portfólio da RSA permite visibilidade inigualável sobre o que está acontecendo na infraestrutura. Infraestrutura para dar suporte à coleta sem limitações: a capacidade de coletar muitos tipos de dados de segurança, em escala e de muitos tipos de fontes de dados. Visibilidade unificada sobre a rede e os dados de registro: um só lugar para exibir dados sobre ameaças avançadas e a atividade do usuário a partir de dados obtidos diretamente na rede ou em sistemas-chave. Ciência analítica ágil. A RSA fornece ferramentas que disponibilizam informações detalhadas aos investigadores do modo mais simples possível. Plataforma para execução de investigações rápidas: ferramentas intuitivas para investigação apresentadas para rápida análise, com detalhes e incorporação do contexto de negócios para elaborar melhor o processo de tomada de decisão. Lógica gratuita de reprodução de sessão e assinatura: ferramentas para apurar os usuários e os pontos periféricos mais suspeitos conectados a sua infraestrutura e aos sinais reveladores de atividade maliciosa. Ela também fornece a capacidade de recriar e reproduzir exatamente o que aconteceu. Inteligência acionável. A inteligência contra ameaças fornecida pela RSA ajuda os analistas de segurança a obter maior valor dos produtos da RSA incorporando feeds de informações atuais sobre ameaças. Inteligência contra ameaças atual correlacionada aos dados coletados: inteligência de propriedade específica de uma comunidade de especialistas em segurança, integrada a nossas ferramentas e utilizada por meio de regras, relatórios e listas de observação para obter percepções de ameaças a partir dos dados coletados da empresa. página 5

Ações priorizadas com base no contexto de negócios: incorporação de informações de negócios que mostram a relação entre os sistemas envolvidos e as funções de negócios aceitas. Gerenciamento otimizado de processos. Os produtos da RSA ajudam as equipes de segurança a simplificar o conjunto diversificado de atividades relacionadas à preparação e à resposta. Tecnologia e serviços para o ciclo de vida completo de segurança e conformidade: um sistema de workflow para definir e ativar os processos de resposta, além de ferramentas para rastrear os problemas abertos no momento, as tendências e as lições aprendidas. Ele fornece também serviços líderes do setor para ajudar a preparar, detectar e responder aos incidentes. Integrado ao sistema de gerenciamento de segurança e conformidade: integração com o portfólio da RSA e as ferramentas de terceiros para trocar informações com uma ampla gama de ferramentas necessárias para identificar e lidar com incidentes e simplificar o gerenciamento de conformidade. SOBRE A RSA RSA, a divisão de segurança da EMC, é o primeiro provedor de soluções de gerenciamento de segurança, risco e conformidade para acelerar os negócios. A RSA ajuda as principais empresas do mundo a solucionar seus mais complexos e confidenciais desafios de segurança. Entre esses desafios estão o gerenciamento do risco organizacional, a proteção da colaboração e do acesso móvel, a comprovação de conformidade e a proteção de ambientes virtuais e em nuvem. Combinando controles essenciais aos negócios para garantia de identidade, gerenciamento de chaves e criptografia, SIEM, prevenção contra perda de dados, monitoramento contínuo da rede e proteção contra fraudes com recursos de egrc líderes do setor e sólidos serviços de consultoria, a RSA proporciona confiança e visibilidade para milhões de identidades de usuários, para as transações que eles realizam e os dados que são gerados. Para obter mais informações, visite brazil.rsa.com e brazil.emc.com. POR QUE A RSA PARA GERENCIAMENTO DE SEGURANÇA? A RSA está posicionada exclusivamente para ajudar os clientes a atender seus objetivos das seguintes formas: A RSA fornece um portfólio exclusivo de produtos para solucionar os problemas mais críticos relacionados a ameaças avançadas Com o monitoramento de rede do RSA NetWitness, a RSA tem a única plataforma que fornece visibilidade sobre uma sessão completa da rede e os dados do registro da empresa. Com o monitoramento do RSA NetWitness, a RSA tem a única plataforma unificada para perícia forense em tempo real que inclui análise automatizada de ameaça avançadas e malware de dia zero. A RSA tem uma plataforma comprovada e dimensionável que fornece conscientização situacional para toda empresa a sete integrantes da Fortune 10 e 70% dos órgãos federais dos EUA. A RSA integra em nossos produtos inteligência acionável e exclusiva contra ameaças A RSA é um fornecedor líder de pesquisa sobre ameaças monitora a atividade secreta do invasor real. A equipe de pesquisa do RSA NetWitness Live rastreia mais de cinco milhões de IPs e domínios e centenas de fontes exclusivas de feeds de ameaças. A RSA atualiza e distribui dinamicamente sua biblioteca de conteúdo de ameaças a cada hora por meio do RSA NetWitness Live. A RSA supera os desafios de pessoas, processos e tecnologias relacionados à segurança e conformidade A RSA é fornecedora líder de serviços para ajudar na preparação contra incidentes, além de resposta a incidentes e limpeza. A RSA tem a única solução que dá suporte aos aspectos de TI e negócios do gerenciamento de segurança, por meio de sua integração com a plataforma RSA Archer egrc. A RSA tem a plataforma unificada para dar suporte a gerenciamento de conformidade, gerenciamento de ameaças à segurança, gerenciamento de incidentes e gerenciamento de continuidade de negócios. brazil.rsa.com EMC 2, EMC, o logotipo da EMC, RSA, NetWitness e o logotipo da RSA são marcas registradas ou comerciais da EMC Corporation nos Estados Unidos e em outros países. Todos os outros produtos ou serviços mencionados nestedocumento são marcas comerciais de suas respectivas empresas. Copyright 2012 EMC Corporation. Todos os direitos reservados. h9093 impsa sb 0412

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback