criando um centro de operaÇÕes de ... - brazil.emc.com · criando um centro de operaÇÕes de...

CRIANDO UM CENTRO DE OPERAÇÕES DE SEGURANÇA ORIENTADO POR INTELIGÊNCIA

Resumo técnico da RSA

PRINCIPAIS PONTOS• É quase impossível prevenir invasões e ataques cibernéticos, dada a abertura das redes

hoje e a sofisticação cada vez maior das ameaças avançadas. Em resposta, a prática de segurança cibernética deve se concentrar em garantir que a invasão e a transgressão não resultem em perda ou danos para os negócios.

• As organizações precisam mudar mais recursos de segurança da prevenção à invasão para detecção e correção mais rápidas das ameaças.

• O aprimoramento da detecção e da resposta exige uma abordagem de segurança orientada por inteligência, que ajuda as organizações a usar todas as informações relacionadas à segurança disponíveis em fontes internas e externas para detectar ameaças ocultas e até mesmo prever ameaças futuras.

• É essencial otimizar o modo como as tecnologias de segurança, as equipes e os processos trabalham juntos para dimensionar os recursos de segurança conforme os riscos crescentes trazidos pelas ameaças cibernéticas avançadas, tudo isso ao mesmo tempo que você fornece eficiência e valor para a organização.

• A automação da tecnologia pode ajudar os analistas a aproveitar o tempo ao máximo, reduzindo a carga de trabalho para fechar incidentes de rotina e de nível mais baixo. A automação libera os analistas para se concentrarem em riscos com maior prioridade que afetam os ativos mais essenciais da organização.

• A configuração dos processos de segurança para automatizar tarefas repetitivas e integrar workflows relacionados é possivelmente o passo mais benéfico que os SOCs (Security Operations Centers, centros de operações de segurança) podem dar para impulsionar a produtividade, impor políticas e implementar práticas recomendadas de detecção e resposta às ameaças.

• Os SOCs precisarão criar equipes colaborativas e interdisciplinares com conjuntos de habilidades altamente especializadas para combater as ameaças cibernéticas avançadas. O setor de segurança, no entanto, enfrenta uma grave redução de habilidades e pessoal qualificado. Aproveitar a tecnologia mais recente para automação com economia de tempo e complementação dos recursos no local com expertise terceirizada pode ajudar as organizações a gerenciar a falta de habilidades e recursos.

• Os resultados das melhores equipes de operações de segurança mostram o impacto de otimizar a influência mútua de pessoas, processos e tecnologias nas operações de segurança. Tendo por trás um programa de segurança orientado por inteligência, as organizações líderes podem alcançar resultados como a redução de até 60% no tempo médio para resolver incidentes.

Fevereiro de 2013

Resumo técnico da RSA, fevereiro de 2013

Conteúdo

Nivelando o cenário de ameaças com análise lógica de big data .....................................3

Alinhando pessoas, processo e tecnologia para

dimensionar a segurança conforme as ameaças ..............................................................4

Alinhamento de tecnologias: Big data e automação .................................................4

Alinhamento de processos: o melhor impulsionador da produtividade .....................6

Alinhamento de pessoas: Novas habilidades necessárias ........................................7

Segurança no trabalho orientada por inteligência ...........................................................8

Organização convergente para gerenciamento de riscos e segurança .......................8

Infraestrutura convergente para monitoramento e gerenciamento de segurança .......8

Automatizando o uso de inteligência e dados de incidentes .............................9

Automatizando a coleta de big data ................................................................11

Automatizando a análise lógica baseada em host ...........................................11

Resultados da EMC quanto ao alinhamento por trás

da segurança orientada por inteligência ................................................................12

Apêndice: Soluções RSA de segurança orientada por inteligência ..................................13

1 Gartner Inc., “IT Key Metrics Data 2013: Key Information Security Measures: Multiyear”

(14 de dezembro de 2012), página 7–10

A perfeição em segurança (a meta de eliminar a violação) não é só impossível, é também

impraticável. Isso porque os inimigos sofisticados aprenderam a criar técnicas de ataque que

burlam medidas preventivas de segurança como antivírus, firewalls e senhas. Os inimigos

também têm muito cuidado para encobrir seus ataques e ficam ocultos nos ambientes

de TI, às vezes por semanas ou até meses depois que conseguem entrar. A complexidade da

maioria dos ambientes de TI corporativos, combinada à superioridade dos serviços móveis e

em nuvem e à expansão do fácil acesso às redes corporativas para terceiros externos, dá aos

invasores muitos locais para se esconderem e muito mais pontos de possível invasão.

Apesar do aumento de ataques e riscos cibernéticos, as equipes de segurança enfrentam

limitações persistentes de orçamento e recursos na proteção dos ativos de informações

valiosas da organização. Na TI, o gasto percentual com segurança passou de 6% em 2008

para 5,6% em 2012, segundo um relatório da Gartner que faz referência aos gastos e à

equipe de segurança.1 No mesmo relatório, a Gartner relatou uma diminuição no gasto

com segurança, de US$ 636 por funcionário em 2008 para US$ 577 por funcionário em

2012. Essas tendências indicam que as equipes de segurança devem aprender a fazer

mais com menos.

A maior parte do gasto com segurança ainda é investida em várias ferramentas baseadas

em perímetro e focadas em prevenção que os ataques cibernéticos avançados tornaram

ainda mais obsoletas. A meta de segurança cibernética que mais sofre pressão, agora

e no futuro, deveria ser a de prevenir danos ou perda de negócios – não a de prevenir

invasão e comprometimento.

A melhor forma de prevenir danos aos negócios é detectar e corrigir ataques cibernéticos

rapidamente. Para fazer isso, as organizações devem alocar um grande compartilhamento

de seus investimentos em segurança para aprimorar os recursos na detecção e na

resposta às ameaças. Primeiro, elas devem obter visibilidade completa sobre o que está

acontecendo em seus ambientes de TI. Depois, devem expandir a exibição para incluir

inteligência contra ameaças externas. As organizações terão de aprender a usar novos

tipos de dados de segurança — e muito mais.


NIvELANDO O CENáRIO DE AMEAÇAS COM ANáLISE LóGICA DE BIG DATAUma nova geração de ferramentas de segurança usa técnicas inovadoras para coletar e analisar volumes de dados em grande escala: dados de PCs, dispositivos móveis e servidores; dados de redes internas, inclusive a composição e o conteúdo dos pacotes de rede; e o conhecimento de ameaças sobre ataques em outras organizações e as ferramentas e os métodos usados. Além da análise dessas fontes de informações tradicionais, as ferramentas de segurança de big data também podem contribuir com informações de fontes não tradicionais, como scanners do cartão-chave em prédios, registros de pessoal e até mesmo calendários do Microsoft Outlook®. Esses dados podem ser usados, por exemplo, para avaliar a legitimidade de log-ins remotos feitos por funcionários.

A enorme visibilidade fornecida pelos recursos de big data das novas plataformas de análise lógica de segurança cria oportunidades inigualáveis para identificar anomalias, encontrar evidências de ameaças ocultas ou até mesmo prever ataques específicos e iminentes. Um volume maior de dados cria uma visão mais detalhada e granular: ela apresenta o cenário da ameaça em alta definição, em oposição ao tradicional preto e branco. Os detalhes relacionados à segurança podem ser vistos com foco mais preciso e as irregularidades podem ser encontradas com mais rapidez. Além disso, como as plataformas de análise lógica de segurança integram inteligência de ameaças de fontes externas, as organizações veem o cenário de ameaças como um panorama, e não apenas pelo estreito orifício de seus próprios ambientes internos de TI. A visibilidade aprimorada levará ao aumento dos recursos de segurança, expandindo amplamente as opções de atuação dos SOCs e de resposta às ameaças futuras.

Os avanços da tecnologia nos sistemas de big data e análise lógica de segurança estão começando a fornecer os recursos “imagine se”. Os limites do que é imaginável agora estão sendo explorados pelos profissionais de operações de segurança e pelos líderes de negócios.

Para as organizações preocupadas com ameaças cibernéticas avançadas, esses cenários “imagine se” normalmente se concentram em injetar melhor contexto e inteligência nas práticas de segurança. Por exemplo, se aplicarmos novas abordagens analíticas aos dados históricos, o que poderemos aprender? O que os ataques cibernéticos que encontramos nos dizem sobre os riscos operacionais e comerciais? Se adicionarmos novas fontes de registro ou feeds externos de inteligência a nosso data warehouse, que modelos poderemos procurar que você jamais imaginaria ver? Que tipos de inteligência podem nos ajudar a encontrar ameaças de modo mais rápido?

O Security for Business Innovation Council, grupo composto pelos principais executivos de segurança de empresas da lista Global 1000, aconselha as organizações a utilizar uma abordagem chamada “Segurança orientada por inteligência”, com uso intenso de dados, para proteger informações essenciais e ativos de negócios.2 As práticas de segurança orientadas por inteligência ajudam as organizações a usar todas as informações relacionadas à segurança disponíveis, interna e externamente, para detectar ameaças ocultas e até mesmo prever ameaças futuras. A segurança orientada por inteligência faz as organizações reduzirem a confiança na defesa de perímetro e nas ferramentas de varredura baseadas em assinatura, que identificam apenas os modos de ataque que foram encontrados no passado. Em vez disso, as organizações devem procurar atividades e padrões suspeitos, atípicos para o ambiente, indicadores sutis mais difíceis de detectar do que a correspondência de uma assinatura de malware.

A implementação de segurança orientada por inteligência exigirá que os SOCs analisem suas organizações como um sistema abrangente e alinhem estreitamente as ferramentas, os processos e a equipe de segurança. Alinhando pessoas, processos e tecnologia, um SOC é essencial para dimensionar os recursos de segurança conforme os riscos crescentes trazidos pelas ameaças cibernéticas avançadas – e fazê-lo com as constantes limitações de tempo e orçamento.

página 3

2 Para obter orientação sobre a implementação de programas de segurança orientados por inteligência, leia o

relatório do Security for Business Innovation Council “Getting Ahead of Advanced Threats: Achieving Intelligence-

driven Information Security” (Ficando à frente das ameaças de segurança: alcançando segurança de informações

orientada por inteligência) na brazil.EMC.com.

http://brazil.EMC.com


ALINhANDO PESSOAS, PROCESSO E TECNOLOGIA PARA DIMENSIONAR A SEGURANÇA CONFORME AS AMEAÇASA complexa influência entre pessoas, processos e tecnologias nas operações de segurança torna um desafio ajustar qualquer elemento sem ajustar os outros. A harmonia entre ferramentas, habilidades e metodologia em operações de segurança é essencial para fornecer defesa em profundidade e proteger os ativos de informações essenciais da organização. Além disso, aperfeiçoar a trilogia pessoas-processo-tecnologia pode liberar eficiência operacional, automatizando as tarefas de rotina e simplificando os workflows. O resultado é que os analistas de segurança gastarão muito menos tempo rastreando as informações para uma investigação ou pesquisando o status de um incidente. Em vez disso, eles podem dedicar seu tempo a fontes de inteligência mais valiosas, descobrindo irregularidades sutis nos ambientes de TI que indiquem problemas sérios ou procurando ameaças secretas com mais rapidez.

Pode ser desafiador colocar em vigor a combinação certa de tecnologias que funcionem bem juntas, como parte de um programa de segurança orientado por inteligência. Mesmo assim, as tecnologias que estão disponíveis agora para os SOCs podem ser a parte mais madura na trilogia pessoas-processo-tecnologia. Embora novas ferramentas, como as plataformas de análise lógica de segurança, sejam uma grande promessa, elas são tão boas quanto as pessoas que as utilizam e as práticas recomendadas operacionais que ajudam as grandes organizações a trabalhar juntas com eficiência.

Reunindo-se com centenas de organizações de clientes, a RSA acredita que as pessoas e os processos são normalmente mais difíceis de alinhar em uma abordagem de segurança orientada por inteligência do que a tecnologia. Isso ocorre porque o desenvolvimento, o teste e a instituição de novos procedimentos de gerenciamento e resposta a incidentes de segurança exigem expertise especializada e tempo. Também leva tempo para a equipe de operações de segurança conhecer os processos comerciais essenciais da organização bem o suficiente para defender-se de ataques.

A otimização da influência de pessoas, processo e tecnologia será diferente para cada SOC, dependendo das condições e das necessidades exclusivas das organizações. Independentemente, as diretrizes comuns podem se aplicar à maioria dos SOCs que se esforçam para implementar uma abordagem de segurança orientada por inteligência.

Alinhamento de tecnologias: Big data e automação

Quando se alinha a tecnologia a um programa de segurança orientado por inteligência, um bom ponto de partida é preparar um inventário das ferramentas de segurança e dos ativos de informação existentes na organização. A organização está utilizando ao máximo o que tem? Qual é a eficiência dos ativos técnicos no desempenho de suas funções?

Depois de um inventário inicial de tecnologia, vem uma exploração de como a segurança pode ser aprimorada se novos recursos forem adicionados. Além da aquisição de novas ferramentas, às vezes, novos recursos podem ser derivados usando dados existentes de novas formas. A expansão dos recursos também pode ser uma questão de estender a visibilidade do SOC sobre as redes da organização, internas e externas. Que instrumentação adicional é necessária para monitorar os ambientes remotos ou terceirizados? Como podem ser ajustadas ou adicionadas tecnologias para expandir a visibilidade ou fornecer contexto valioso para avaliação de um incidente?

página 4


Em geral, à medida que os SOCs consideram o aprimoramento de seus recursos,

eles devem priorizar o investimento para atender os seguintes requisitos de tecnologia

de um programa de segurança orientada por inteligência:

• Mecanismos de análise lógica dimensionáveis, capazes de examinar amplos volumes

de dados que mudam rapidamente em tempo real, em vetores como geografia,

partições de rede e bancos de dados.

• Warehouse consolidado de dados de segurança para que todas as fontes sejam

disponibilizadas para consulta em um só lugar, como um repositório unificado ou,

mais provavelmente, como uma série de datastores interindexada.

• Painel de controle de gerenciamento centralizado para realizar e coordenar

investigações de incidentes e gerenciar as respostas a eles (por exemplo, bloqueio

de tráfego de rede, sistemas de quarentena ou solicitação de verificação adicional

da identidade do usuário).

• Arquitetura de dados flexível que permita que as informações de várias fontes em

muitos formatos diferentes sejam capturadas, indexadas, normalizadas, analisadas

e compartilhadas.

• Normalização de dados automatizada para que os mecanismos de análise lógica

possam se integrar e trabalhar com tipos de dados altamente diversificados com

o mínimo de intervenção humana.

• Técnicas de monitoramento baseadas em padrões que analisam continuamente os

sistemas de alto valor e os ativos de informações para identificar ameaças com base nos

modelos de comportamento e risco, e não apenas em assinaturas de ameaças estáticas.

• Rica correlação de informações de incidentes para que os dados relevantes às

investigações de incidentes sejam preenchidos automaticamente nos consoles de

gerenciamento de segurança, minimizando o tempo que os analistas devem gastar

coletando informações e avaliando os incidentes.

• Captura do pacote completo de rede permitindo que os analistas de segurança

reconstruam as sessões com detalhes suficientes para se saber o que aconteceu

e quais ações corretivas devem ser tomadas.

• Serviços de inteligência externa de ameaças que agregam informações de várias

fontes confiáveis e relevantes e as apresentam em formulários eletrônicos que

podem ser correlacionados e analisados juntamente com os dados internos com

mínima intervenção humana.

• Controles e contramedidas ativas como a solicitação de autenticação de usuário

adicional, bloqueio de transmissões de dados ou facilitação da tomada de decisão

dos analistas quando uma atividade de alto risco é detectada.

• Processo integrado de gerenciamento de conformidade que arquiva dados de segurança

de longo prazo por meio de uma arquitetura de computação distribuída e fornece

relatórios de conformidade integrados para uma ampla variedade de regimes regulatórios.

página 5


Alinhamento de processos: o melhor impulsionador da produtividade

O design dos processos de operações de segurança para automatizar tarefas repetitivas

e integrar workflows relacionados é possivelmente o passo mais benéfico que os SOCs

podem dar para impulsionar a produtividade, impor políticas e implementar as práticas

recomendadas para detecção e resposta às ameaças. Isso porque, na experiência da

RSA, o processo é normalmente a parte mais imatura e ineficiente da trilogia pessoas-

processo-tecnologia da maioria dos SOCs.

A RSA recomenda estreita integração de processos e workflows. Por exemplo,

o gerenciamento de incidentes deve estar diretamente ligado à resposta ao incidente,

e as fontes de dados devem estar todas em uma plataforma integrada de gerenciamento

de segurança e análise lógica para que os analistas possam ver tudo por meio de um só

painel e extrair o melhor contexto e inteligência para as investigações de incidentes.

A integração de processos elimina muitas etapas rotineiras, como copiar e colar

informações do incidente, que acompanham a reunião manual de workflows de

operações de segurança. A integração também reduz as oportunidades de erros,

porque as atividades de processos complexos, como resposta a incidentes, podem ser

programadas para seguir uma sequência determinada de ações com base em práticas

recomendadas. Por fim, a integração de processos pode facilitar a cooperação entre

diferentes partes da empresa (auditoria, conformidade e segurança das informações,

por exemplo) e ajudar as organizações a criar uma exibição unificada de condições

e riscos em toda a organização.

O alinhamento de processos é uma função de loop fechado. À medida que os SOCs

reprojetam, testam e implementam processos, eles aproveitam o que aprenderam para

aprimorar as estratégias e as implementações subsequentes. Como as iterações geram

aprimoramentos e práticas recomendadas, muitas organizações solicitam a ajuda

de consultores externos quando iniciam importantes alterações de processos nas

operações de segurança. Inerente à natureza serial do envolvimento da consultoria

está o refinamento contínuo das práticas recomendadas, e os SOCs podem beneficiar-se

imediatamente das experiências dos consultores no design e na implementação de

aprimoramentos no processo de segurança para outras organizações.

Segundo a experiência da RSA em consultoria para centenas de empresas,

a implementação de uma abordagem de segurança orientada por inteligência

envolve a otimização destes processos:

• Avaliações de preparo de violação para medir o estado atual da segurança da organização

e aumentar a maturidade operacional projetando, testando e praticando o gerenciamento

e a resposta às violações.

• Processos de inteligência contra ameaças cibernéticas para modelar as ameaças

e desenvolver práticas recomendadas e procedimentos para identificar proativamente

os vetores de ameaças e as anomalias em grandes volumes de dados.

• Workflows de detecção e resposta a incidentes para aprimorar a visibilidade sobre as

redes da empresa e reduzir o tempo médio necessário para detectar uma violação.

• Automação do gerenciamento de violações para refinar processos e procedimentos

do programa a fim de obter um processo de manuseio de incidentes de loop fechado,

marcado pela aprendizagem e pelo aprimoramento contínuos.

• Controles de identidade, infraestrutura e informações focados no gerenciamento de

contas privilegiadas, comunicações seguras, diretos de informações/classificação de

dados e correção pós-violação e segurança.

página 6


Alinhamento de pessoas: Novas habilidades necessárias

Em uma pesquisa realizada pelo Enterprise Strategy Group, mais da metade (55%)

das organizações disseram que planejavam aumentar o número de funcionários de

segurança em 2012, embora 83% delas dissessem que foi difícil recrutar e contratar

esses profissionais.3 Uma das formas de lidar com a redução de habilidades no clima

financeiro atual do “faça mais com menos” é alinhar o processo e a tecnologia para

reduzir as cargas de trabalho de rotina dos analistas de modo que possam se concentrar

em tarefas mais avançadas. De acordo com a experiência da RSA, o uso de ferramentas

e a automação de processos podem reduzir a carga de trabalho e os requisitos de tempo

para que os analistas examinem as ameaças de rotina e de nível mais baixo. Na prática,

a RSA tem visto SOCs com cinco analistas superarem os SOCs com 25 analistas por meio

da otimização de ferramentas e processos.

As técnicas usadas em APTs e em outros ataques cibernéticos avançados podem ser

tão complexas que precisem de equipes interdisciplinares com habilidades de segurança

altamente especializadas para detectar, analisar e desabilitar a ameaça. Para combater

ameaças cibernéticas avançadas, os SOCs precisarão criar equipes colaborativas

compostas por pessoas com as seguintes habilidades, cultivando a expertise no

local ou complementando com especialistas terceirizados:

• Conhecimento de perícia forense, especialmente em metodologias de coleta,

manutenção, análise e reutilização de grandes repositórios de dados de redes

e hosts/endpoints.

• Proficiência em codificação, scripting e protocolos para ajudar a analisar

vulnerabilidades, depurar sistemas e reverter o malware.

• Gerenciamento de inteligência de ameaças, preservando e rastreando especialmente as

várias fontes de inteligência externas e trazendo a pesquisa sobre ameaças relevantes

de volta para a organização de uma forma útil.

• Gerenciamento de violações, o que inclui a coordenação de respostas da organização

à crise e a divulgação de descobertas a terceiros externos.

• Teste de penetração para detectar possíveis vulnerabilidades no ambiente

de TI resultantes de configuração incorreta do sistema, falhas de hardware

ou software ou ineficiência operacional.

• Analistas de dados que entendem os riscos de negócios e as técnicas de ataques

cibernéticos o suficiente para desenvolver modelos analíticos que detectem ameaças

ocultas e até mesmo prevejam ataques cibernéticos.

A equipe de segurança precisará desenvolver uma mentalidade investigativa: vendo os

ativos e as vulnerabilidades da organização como seus inimigos fazem, para antecipar as

técnicas de ataque e planejar contramedidas. Os analistas também terão que aguçar seus

instintos de caça: seguindo os inimigos no ambiente de TI, fornecendo instrumentos para

detectar a presença de invasores e configurando armadilhas como “potes de mel” para

pegá-los.

Além da criação de recursos técnicos e investigativos do SOC, as equipes de operações

de segurança também devem cultivar habilidades de comunicação de seu pessoal.

O desenvolvimento de habilidades indiretas na equipe pode ajudar o SOC a criar

vínculos úteis com outras organizações, caso haja uma parceria de compartilhamento

de informações informal com outros SOCs ou o estímulo do suporte de altos executivos

aos programas de operações de segurança.

página 7

3 Enterprise Strategy Group, “Security Management and Operations: Changes on the horizon”

(Gerenciamento e operações de segurança: mudanças no horizonte), julho de 2012), pp. 19–20


SEGURANÇA NO TRABALhO ORIENTADA POR INTELIGÊNCIA

O GSO (Global Security Organization) da EMC Corporation ilustra o impacto da otimização

da influência de pessoas, processos e tecnologias no gerenciamento de riscos de

segurança. A EMC aprimora continuamente as ferramentas, as habilidades e os processos

que compõem suas operações de segurança. A empresa tem como objetivo alcançar uma

visão corporativa abrangente, física e digital, para compreender melhor as tendências de

risco e as ameaças em toda a empresa.

Organização convergente para gerenciamento de riscos e segurança

A EMC criou um departamento de segurança convergente caracterizado pela colaboração

fechada entre os grupos de Segurança das informações, Gerenciamento de riscos,

Gerenciamento de segurança do cliente, Proteção corporativa e Investigação. Combinando

esses departamentos em um só lugar, a EMC pode analisar medidas e tendências para

alcançar a visualização do risco na organização como um todo. Por exemplo, se a equipe

de Investigação e proteção corporativas identificar instâncias repetidas de roubo de

IP (Intellectual Property, propriedade intelectual), o grupo Segurança das informações

pode estudar essas instâncias para criar controles para prevenir futuras perdas de IP.

Infraestrutura convergente para monitoramento e gerenciamento de segurança

Para apoiar essa estratégia convergente de segurança e risco, a EMC criou um CIRC (Critical

Incident Response Center, centro de resposta a incidentes críticos). O EMC CIRC combina

workflow e dados da organização global e cria um ponto central para monitoramento

e fortalecimento da segurança e da integridade dos ativos de informações da empresa.

O EMC CIRC agrega registros de mais de 1.400 dispositivos de segurança e 250.000 nós

distribuídos globalmente em 500 locais físicos.

No CIRC, uma equipe de analistas altamente capacitados monitora continuamente os

ambientes globais de TI e segurança da EMC, respondendo a ameaças e vulnerabilidades,

como malware e perda de dados, e a incidentes de segurança físicos, como ameaças de

violência e roubo de equipamentos. Com essa visão única e integrada da empresa como

um todo, os analistas de segurança podem fornecer conselhos e orientações para a

gerência da EMC, oferecendo um loop de feedback crítico para aprimorar continuamente

a postura de segurança da empresa.

O EMC CIRC é criado predominantemente com base em tecnologias e práticas

recomendadas desenvolvidas pela RSA. Embora muitas ferramentas de tecnologia

sejam usadas no CIRC, no centro estão a plataforma de RSA Archer® GRC e a solução

RSA® Security Analytics. Esses dois sistemas integram os dados de várias outras

ferramentas, fornecendo à equipe do CIRC um repositório único de big data e um console

de gerenciamento centralizado para análise lógica de segurança. (Consulte a Figura 1.)

A integração da plataforma RSA Archer GRC com o RSA Security Analytics simplifica

muitos workflows de operações de segurança, ajudando o EMC CIRC a agilizar as

investigações e a reduzir o tempo necessário para fechar os incidentes.

página 8


Automatizando o uso de inteligência e dados de incidentes

Centenas de alertas são gerados a cada dia para serem revisados pelo EMC CIRC. Antes

de um alerta ser apresentado para investigação dos analistas de segurança, a tecnologia

RSA Archer e o RSA Security Analytics coletam e correlacionam automaticamente uma

valiosa coleção de dados relacionados ao incidente. vários processos e tecnologias

foram criados para integrar inteligência e dados contextuais aos processos de detecção

e resposta às ameaças.

página 9

Fontes de dados• Contatos (Active Directory)• Instalações (Gerenciamento

de endereço IP)• Dispositivos (Banco de dados de ativos)

Gere alertas encontrados

por meio decorrelações

e análises

Fornece dados complementares

de fontes do Archer para o incidente

Compile dados detalhados do incidente para apresentá-los

aoanalista

• Apresenta alertas com dados detalhados do incidente

• Consolida todos os dados de incidentes

• Gerencie o processo de investigação, criando e controlando solicitações relacionadas a incidentes

• Controle a resolução de incidentes

• Mantenha o histórico detalhado do incidente e a trilha de auditoria

• Realize avaliações de impacto/risco de incidentes

• Captura volume em grande escala

de dados diversos e que mudam rapidamente relacionados à segurança

• Realiza análise contextual e correlações, girando em terabytes de dados em tempo real

• Combine inteligência externa

de ameaças e dados internos,

reduzindo os pontos cegos

• Arquivar imensos volumes de dados paraconformidade e análise de perícia forense

RSA SecurityAnalytics

RSA Archer

SOC analyst

Feeds externos de inteligência• Feeds externos de ameaças• Portal de indicadores de

ameaças (para IoCs internos)• Feed do RSA FraudAction™

• Feeds do RSA NetWitness® Live

• RSA CCIS• Dados geográficos do IP

Feeds internos• Fontes de dados internas• Firewalls• Sensores de detecção

de invasão• Sistemas de prevenção

de invasão• Proxies• Firewalls de aplicativos da Web• Active Directory• Exchange

• Servidores AAA• Controladores de WLAN• Roteadores• Antivírus• DLP (Data Loss Prevention,

prevenção contra perda de dados)

• Pacotes completos de rede• Dados de usuários do RH• Dados de log-on (Active Directory)• Dados do endpoint IPS• Registros da Web

Figura 1: Plataforma unificada para análise lógica de dados e gerenciamento

de segurança


página 10

O EMC CIRC desenvolveu um sistema de gerenciamento de indicadores de ameaças

para assimilar artefatos da inteligência de ameaças avançadas derivados de fontes de

inteligência públicas e privadas, parcerias de compartilhamento de inteligência e as

próprias funções de Análise avançada e Inteligência de ameaças cibernéticas do CIRC.

OsIOCs (Indicators of Compromise, indicadores de comprometimento) nesse sistema são

executados em uma gama de domínios hostis e endereços IP desconhecidos para obter

características de comunicação como strings e elementos de mensagens de e-mail hostis,

inclusive cabeçalhos de e-mails.

Os IOCs são classificados por severidade e integrados automaticamente à plataforma

RSA Security Analytics como um feed de captura, gerando tags de metadados específicas.

Por exemplo, um domínio de ameaças avançadas conhecido e marcado no sistema

de gerenciamento de ameaças gerará uma tag de metadados de “Severidade 1”

(a classificação de prioridade mais alta) para qualquer atividade naquele domínio

encontrada pelo RSA Security Analytics. Os alertas para essas tags de metadados

sãoprojetados para serem transmitidos por meio do console de gerenciamento de

segurança do RSA Archer para facilitar uma resposta quase em tempo real do CIRC.

Entretanto, ainda antes de o alerta ser apresentado aos analistas de segurança, elementos

de dados adicionais que podem fornecer contexto valioso sobre a ameaça são recuperados

do banco centralizado de dados de segurança do CIRC. Isso fornece ao analista todos os

artefatos relacionados ao incidente e aos endpoints de origem e destino. O exemplo na

Figura 2 ilustra como esse processo de detalhamento de dados e a abordagem integrada

ao alerta fornecem ao EMC CIRC os detalhes necessários para analisar e responder

rapidamente aos incidentes críticos.

Figura 2: Aprimoramento dos detalhes de dados dos eventos

Informações detalhadas do evento(apresentadas por meio do console do RSA Archer)

Incidente 12345Data: 01 fevereiro 2012Severidade: 1 C2 hostil conhecido

IP de origem: 10.10.11.11Local da rede: AtlantaHora de log-in: 01 fevereiro 2012 10:05:05Nome do host: smithj_pcProprietário: John SmithSistema operacional: Ativo essencial do Windows 7: SIMDepartamento: Finanças

IP de destino: 201.200.100.10Local: Hac, SérviaDomínio: www.badsite.infoSolicitante do domínio: Mobel Sergei Data de registro:12-out-2012

Alerta: Tentativa de conexão SSL com intervalo deIP suspeito

Informações básicas do evento(detalhes dos dados coordenados com o RSA Security Analytics)

Detalhes de dados externos

Detalhes de dados internos

Incidente 12345Data: 01 fevereiro 2012

Alerta: Tentativa de conexãoSSL com intervalo de IP suspeito

IP de origem: 10.10.11.11IP de destino: 201.200.100.10Domínio: badsite.info

Consultar domínio/ferramentas de buscade IP

Solicitante: Mobel SergeiData de registro: 12-out-2012Local: Hac, Sérvia

Evento gerado para IP de destino 201.200.100.10

* Outras fontes também podem ser aplicáveis.

Consultar serviços de reputação e buscas a sites maliciosos

Domínio: www.badsite.infoSite vinculado a atividades maliciosas anteriores

Dados do evento IP de origem: 10.10.11.11Nome do host: smithj_pc

Consultar DHCP*para obter nome do host

Nome do host igual a “smithj_pc”

Consultar banco de dados de funcionários para

obter detalhes de jsmith

Dados do evento IP de origem: 10.10.11.11 Nome do host: smithj_pc Nome de usuário: jsmith Proprietário: John Smith SO: Windows 7 Último log-in: 01 fev 2013, 10:05:05

Consulta para último usuário conectado como "smithj_pc"

Dados do evento IP de origem: 10.10.11.11 Nome do host: smithj_pc Nome de usuário: jsmith Proprietário: John Smith SO: Windows 7 Último log-in: 01 fev 2013, 10:05:05Local: AtlantaDepartamento: Finança

Event DataDestination IP: 201.200.100.10Location: Hac, SerbiaDomain: www.badsite.infoRegistrant: Mobel Sergei�Register Date: 12-Oct-2012

Evento geradopara IP de origem

10.10.11.11


página 11

Os recursos de integração de inteligência e detalhes de dados do EMC CIRC ajudam os

analistas a concentrar esforços em responder mais rapidamente às ameaças, reduzindo

o tempo de exposição a ataques e eliminando a coleta manual de elementos de dados

adicionais correlacionados aos incidentes.

Automatizando a coleta de big data

Os aplicativos tradicionais de SIEM e monitoramento são limitados em seus recursos

de consulta específica e análise avançada, devido à arquitetura e a problemas de

desempenho. O EMC CIRC supera esse desafio fazendo um espelhamento de todos os

eventos de registro para um repositório de big data que coleta aproximadamente 1 bilhão

de registros por dia em 25 tipos de dispositivo — mais de 900 GB de dados por dia. Os

dados nesse depósito centralizado podem ser consultados por analistas para correlacionar

atividades às ameaças. Por exemplo, o EMC CIRC usa recursos de big data para análise

comportamental básica, como detecção de possíveis modelos de beaconing em registros

de eventos de web proxy e firewall. Além disso, como o EMC CIRC recebe nova inteligência

de segurança, a atividade histórica possivelmente relacionada a ameaças descobertas

recentemente pode ser analisada para determinar qual dano foi causado, se tiver havido

algum. O poder de processamento da plataforma EMC de big data reduziu de várias horas

para minutos o tempo de coleta e organização das informações de segurança relacionadas

a uma ameaça, diminuindo o tempo de exposição de modo significativo.

Automatizando a análise lógica baseada em host

Os produtos tradicionais de antivírus e IDS/IPS baseados em host contam principalmente

por assinaturas que identificam o malware. Acontece que as técnicas baseadas em

assinatura foram subjugadas pelo aumento de malware e inteiramente ultrapassadas por

ataques direcionados, como APTs e outras ameaças avançadas. Embora as tecnologias

tradicionais de varredura de malware continuem a ter uma função de rotina como uma

camada de defesa profunda, elas sozinhas não são simplesmente iguais no combate às

ameaças mais sofisticadas de hoje.

A integração de inteligência baseada em comportamento à análise e à correção de host

ajuda a preencher as lacunas deixadas pelas ferramentas baseadas em assinatura como

Av e IDS/IPS. O EMC CIRC implementou a RSA® Enterprise Compromise Assessment Tool

(ECAT) para ajudar a monitorar e a proteger os endpoints que o monitoramento de rede

e outros recursos de inteligência identificaram como possível comprometimento.

A abordagem da RSA ECAT à detecção de malware é altamente diferenciada. O malware

normalmente modifica as estruturas internas do sistema operacional para ocultar sua

atividade. validando estruturas importantes de aplicativos e kernel internos, a RSA ECAT

identifica anomalias que são normalmente geradas por malware, como ações forçadas,

modificação de objeto kernel, ocultação de arquivos/processos/registros/comunicações etc.


Como é implementada no EMC CIRC, a ECAT fornece os recursos de detecção de ameaças

mostrados na Figura 3, RSA ECAT em ação.

Depois da confirmação de hosts e processos comprometidos, os analistas da EMC podem

definir o escopo da ameaça com uma ação em um painel só, pois a RSA ECAT identifica

todos os outros hosts que abrigam o mesmo arquivo ou processo mal-intencionado.

Os analistas de segurança podem usar rapidamente a pontuação Machine Suspect Level

(nível suspeito de máquina) da ECAT para avaliar a probabilidade de comprometimento:

uma pontuação alta indica problemas, enquanto uma pontuação baixa indica que

provavelmente o host está limpo. Embora uma pontuação baixa não garanta uma máquina

limpa, o sistema de pontuação ajuda a priorizar os workflows investigativos, resultando na

contenção e na correção mais rápidas de ameaças mais graves e de maior escala.

A RSA ECAT permite que o EMC CIRC reduza significativamente o tempo de análise do

host e contenha grande parte da carga de trabalho para análise e validação do malware

no estágio inicial de triagem do processo EMC de detecção de ameaças, o que é feito

pelos analistas de segurança júnior da EMC. A EMC estima que a RSA ECAT economiza

cerca de 30 horas do analista por incidente de alta prioridade para o CIRC.

Resultados da EMC quanto ao alinhamento por trás da segurança orientada por inteligência

Alinhando pessoas, processo e tecnologia em um programa de segurança orientada

por inteligência, o EMC CIRC estima reduzir em até 60% o tempo médio para fechamento

de incidentes.

A integração de tecnologias e processos conta muito para o ganho de eficiência. Ela elimina

muitas das tarefas demoradas de reunião manual de informações relacionadas a incidentes

e automatiza os aspectos da detecção de ameaças, como visto no uso do RSA Security

Analytics e da RSA ECAT que a EMC faz.

A automação criada pela integração de tecnologias e processos ajudou a dimensionar

os recursos de detecção e resposta a ameaças do CIRC, liberando os analistas para que

se dediquem a incidentes com prioridade mais alta. Os analistas podem analisar todos

os dados disponíveis em possíveis ameaças por meio do console centralizado de

gerenciamento de segurança do RSA Archer, acelerando a análise e a tomada de decisões.

A integração de tecnologias e workflows de segurança, combinada à convergência

feita pela EMC de várias funções relacionadas a risco e segurança em um só setor

organizacional, ajudou a EMC montar uma resposta mais rápida, eficiente e completa

aos ataques. Isso, por sua vez, reduziu drasticamente o tempo de exposição da EMC

a ameaças e permitiu que a EMC, com 53.500 funcionários, operasse com confiança

no mundo digital.

A RSA agradece a Mike Gagne, Chris Harrington, Jim Lugabihl, Jeff Hale, Jason Rader,

Garrett Schubert e Peter Tran pela contribuição de seu tempo e expertise no

desenvolvimento deste resumo técnico.

Figura 3: O RSA ECAT automatiza a

detecção de ameaças baseadas no host

página 12

Realiza um inventário de cada executável, DLL e driver na máquina.

Verifica as estruturas e o sistema internos quanto a anomalias que indiquem

atividade de malware.

Envia as informações coletadas para o servidor

central para processamento, comparando os resultados com um sistema de linha

de base limpo.

Sinaliza comportamentos anormais e os correlaciona

ao ambiente inteiro.

Envia arquivos desconhecidos para

um servidor para varredura usando o OPSWAT

Metascan Antivirus.

Identifica bons arquivos conhecidos usando

a validação de assinatura digitale o Bit9 GSR.

Gera uma pontuação Nível suspeito de máquina

resumindo a probabilidade de comprometimento dos

hosts afetados.

Depois que um alerta de rede é emitido, o RSA ECATé instalado em hosts suspeitos.

!


APÊNDICE: SOLUÇÕES RSA DE SEGURANÇA ORIENTADA POR INTELIGÊNCIAO RSA® Advanced Cyber Defense Practice fornece uma variedade abrangente de soluções para ajudar os clientes a proteger a missão de sua organização, impulsionar a eficiência operacional e desenvolver um ambiente de ameaças dinâmico. Os ataques direcionados normalmente se concentram no roubo de ativos e dados essenciais e utilizam técnicas que ignoram as defesas tradicionais. A RSA ajuda as organizações a aprimorar os recursos de segurança existentes e a implementar contramedidas projetadas para impedir que os inimigos cibernéticos alcancem seus objetivos. Os serviços oferecidos pela RSA incluem análise de gap, modelagem de maturidade, inteligência de ameaças cibernéticas, inflexibilidade da infraestrutura e desenvolvimento e automação de operações de segurança. A solução SOC de última geração, da RSA, foi projetada para ajudar as organizações a fazer seus recursos técnicos e operacionais convergirem para um programa de segurança unificado que alinha as prioridades do gerenciamento de riscos e os objetivos dos negócios. A RSA enfatiza as medidas preventivas exigidas para proteger a organização, fornecendo ao mesmo tempo serviços de resposta e correção de incidentes para reduzir o tempo de exposição a violações e atenuar os ataques.

O RSA Archer® GRC Suite é uma solução líder de mercado para o gerenciamento de eGRC (Enterprise Governance, Risk and Compliance; governança, risco e conformidade corporativa). Ele fornece uma plataforma flexível e colaborativa para gerenciar riscos corporativos, automatizar processos de negócios, demonstrar conformidade e obter visibilidade da exposição e das lacunas em toda a organização. A plataforma RSA Archer GRC é projetada para extrair dados de uma ampla variedade de sistemas para atuar como um repositório central de informações relacionadas a risco, conformidade e segurança. A solução RSA Archer Threat Management é um sistema de advertência antecipado para rastreamento de ameaças. A solução RSA Archer Incident Management ajuda as organizações a escalonar problemas, rastrear o progresso das investigações e coordenar a resolução de problemas. A capacidade da plataforma de integrar informações sobre alertas e segurança e ameaças, reunir e apresentar medidas sobre a eficiência de controles e processos de segurança e analisar informações contextuais sobre o ambiente de negócios e de segurança ajuda a criar inteligência aplicada e em tempo real em toda a empresa.

O RSA® Cybercrime Intelligence (CCI) é um serviço que fornece informações sobre os ativos corporativos comprometidos por malware, inclusive máquinas corporativas, recursos de rede, credenciais de acesso, dados de negócios e correspondência de e-mail. O CCI monitora crimes cibernéticos escondidos para encontrar dados corporativos comprometidos que foram perdidos. O serviço relata aos clientes quaisquer dados relacionados às organizações recuperados diretamente dos arquivos de registro do malware, inclusive credenciais de funcionários, contas de e-mail, endereços IP de máquinas infectadas e domínios comprometidos. Indo além do malware, o CCI analisa a OSINT (Open Source Intelligence, inteligência de código aberto), relatando as informações de volta para os clientes sobre credenciais de funcionários, endereços de e-mail corporativos e dados de d0xing que foram rastreados no espaço e comprometidos ou hackers ou fraudadores. O CCI também relata detalhes sobre conteúdo de e-mail, endereços IP e números de cartão de crédito comprometidos que pertencem à corporação ou a seus funcionários e estão sendo compartilhados e/ou vendidos por criminosos cibernéticos em comunidades da web fechadas e ocultas. Além disso, o CCI oferece às organizações, por meio de feeds diários de listas negras, informações sobre recursos on-line infectados por malware. Esses feeds expõem endereços IP e recursos que estejam hospedando no momento ou temporariamente o conteúdo mal-intencionado, permitindo que a equipe de segurança das informações tome medidas preventivas para atenuar os riscos.

página 13


O RSA® Data Loss Prevention (DLP) Suite é projetado para alertar as organizações

sobre uma atividade suspeita envolvendo dados confidenciais ou que viole

a política organizacional. O DLP também executa funções iniciais de correção,

como bloqueio de transmissão de dados confidenciais, quarentena, mudança ou

aplicação do gerenciamento de direitos a documentos que contêm dados pessoais.

O RSA DLP Suite é fácil de ser integrado ao console de gerenciamento de segurança

do RSA Archer e à plataforma RSA Security Analytics, fornecendo às organizações

um feed de dados valiosos para alerta e defesa aprimorada em camadas.

O RSA® Education Services fornece cursos de treinamento sobre segurança

das informações destinados à equipe de TI, a desenvolvedores de software,

a profissionais de segurança e aos funcionários de uma organização em geral.

Os cursos combinam teoria, tecnologia e exercícios baseados em cenários para

envolver os participantes em um aprendizado interativo. O currículo atual abrange

assuntos como análise de malware e inteligência de ameaças cibernéticas. O RSA

Education Services também oferece um workshop sobre como enfrentar as ameaças

avançadas como APTs. Os cursos são elaborados para fornecer o máximo de

informações possível em um período muito curto, a fim de reduzir o tempo de

inatividade da equipe.

A RSA® Enterprise Compromise Assessment Tool (ECAT) é uma solução corporativa

de detecção e resposta a ameaças, projetada para monitorar e proteger os

ambientes de TI contra software indesejável e contra o malware mais enganoso,

inclusive rootkits profundamente ocultos, APTs (Advanced Persistent Threats,

ameaças avançadas persistentes) e vírus não identificados. A RSA ECAT automatiza

a detecção de anomalias nos aplicativos e na memória do computador sem confiar

em assinaturas de vírus. Em vez de analisar amostras de malware para criar

assinaturas, a RSA ECAT estabelece a linha de base de anomalias em aplicativos

“considerados bons”, filtrando o ruído de fundo para encontrar atividade mal-

intencionada em máquinas comprometidas. O console da RSA ECAT apresenta

uma visualização centralizada das atividades que estão ocorrendo na memória

do computador, que podem ser usadas para identificar rapidamente o malware,

independentemente de existir uma assinatura ou de o malware já ter sido

identificado anteriormente. Quando uma anomalia mal-intencionada é identificada,

a RSA ECAT pode analisar milhares de máquinas para identificar outros endpoints

que foram comprometidos ou estão em risco.

O RSA® Security Analytics é projetado para fornecer aos departamentos de segurança

a conscientização situacional da qual precisam para lidar com os problemas de

segurança que mais pressionam a empresa. Analisando o tráfego de rede e os dados

dos eventos de registro, o sistema RSA Security Analytics ajuda as organizações

a obter uma visualização abrangente de seu ambiente de TI, permitindo que os

analistas de segurança detectem as ameaças rapidamente, investiguem, tomem

decisões de correção, assumam o controle e gerem relatórios automaticamente.

A arquitetura de dados distribuída da solução RSA Security Analytics coleta, analisa

e arquiva volumes de dados em grande escala, normalmente centenas de terabytes

ou mais, a uma velocidade muito alta, usando vários modos de análise. A plataforma

RSA Security Analytics também traz inteligência de ameaças sobre ferramentas,

técnicas e procedimentos mais recentes sendo usados pela comunidade de invasores

para alertar as organizações sobre possíveis ameaças que estão ativas na empresa.

página 14


página 15

Esta página está intencionalmente em branco.

EMC2, EMC, o logotipo da EMC, RSA, Archer, FraudAction, NetWitness e o logotipo da RSA são marcas comerciais ou

registradas da EMC Corporation nos Estados Unidos e em outros países. Microsoft e Outlook são marcas registrada

da Microsoft . Todos os outros produtos ou serviços mencionados são marcas comerciais de suas respectivas

empresas. Copyright 2013 EMC Corporation. Todos os direitos reservados.

179827-h11533-ASOC_BRF_0213

SOBRE A RSA

A RSA, a divisão de segurança da EMC, é a principal fornecedora de soluções de

gerenciamento de segurança, risco e conformidade para aceleração dos negócios.

A RSA ajuda as organizações líderes mundiais a resolver seus desafios de segurança

mais complexos e confidenciais. Esses desafios incluem o gerenciamento do risco

organizacional, a proteção do acesso e da colaboração móvel, o fornecimento de

conformidade e a proteção de ambientes virtuais e em nuvem.

Combinando os controles essenciais aos negócios para garantia de identificação,

gerenciamento de criptografia e chave, SIEM, prevenção contra perda de dados,

monitoramento contínuo de rede e proteção contra fraude com os recursos de GRC

líderes do setor e serviços sólidos de consultoria, a RSA traz visibilidade e confiança

para milhões de identidades de usuários, para as transações que eles executam

e os dados que são gerados. Para obter mais informações, visite brazil.rsa.com

e brazil.emc.com.

brazil.emc.com/rsa


http://brazil.rsa.com

http://brazil.emc.com

http://brazil.emc.com/rsa

criando um centro de operaÇÕes de ... - brazil.emc.com · criando um centro de operaÇÕes de...

Documents