H11031 transforming-traditional-security-strategies-so

TRANSFORMANDO O SIEM EM UM SISTEMA DE ADVERTÊNCIA ANTECIPADA PARA AMEAÇAS AVANÇADASBig data empurra o SIEM para a era da lógica de segurançaSetembro de 2012

Resumos de segurança da RSA

RESUMO EXECUTIVONos últimos anos, uma impressionante quantidade de órgãos do governo e corporações importantes sofreu ataques cibernéticos ocultos e bem feitos, projetados para explorar vulnerabilidades, interromper as operações e roubar informações valiosas. Claramente, os sistemas de segurança atuais não estão prontos para anular essas ameaças avançadas, pois muitas de suas vítimas tinham sistemas modernos de detecção e prevenção. Esses sistemas falharam em parar ou acusar a presença de um ataque nas redes das vítimas antes que ele causasse danos.

Dado o ambiente de ameaças atual, as equipes de segurança agora percebem que devem considerar que seus ambientes de TI estão sujeitos a comprometimento periódico. Foi-se o tempo em que as medidas preventivas para proteger o perímetro ou tentar detectar problemas de malware usando tecnologias de correspondência de assinatura eram suficientes. Novas práticas baseadas na compreensão das fases de um ataque, no monitoramento contínuo de ameaças e na rápida detecção e correção de um ataque são exigidas.

A fim de desenvolver a visibilidade, a agilidade e a velocidade para lidar com as ameaças avançadas, os sistemas de SIEM (Security Information and Event Management, gerenciamento de eventos e informações de segurança) precisam se tornar um sistema central de lógica de segurança em grande escala. Especificamente, quatro recursos fundamentais são exigidos:

1. Visibilidade difundida – alcançar a habilidade de saber tudo o que está acontecendo nos ambientes de TI exige a fusão de muitas fontes de dados, inclusive a captura de pacotes de rede e a reconstrução completa da sessão, arquivos de registro da rede e de dispositivos de host e informações externas, como indicadores de ameaças ou outra inteligência de segurança. A coleta centralizada de registro não é mais suficiente.

2. Lógica detalhada – examinar os riscos no contexto e comparar os modelos de comportamento ao longo do tempo em conjuntos de dados diferentes aumenta a proporção entre sinal e ruído na detecção de ameaças avançadas, encurtando assim o tempo de resolução.

3. Dimensionamento em grande escala – as plataformas que coletam dados de segurança devem expandir-se em escala e escopo para lidar com a enorme quantidade de informações que são cada vez mais necessárias para obter conscientização situacional completa.

4. Exibição unificada – a consolidação das informações relacionadas à segurança é essencial à investigação de incidentes no contexto e à agilização da tomada de decisão sobre as ameaças futuras.

Os SOCs (Security Operations Centers, centros operacionais de segurança) precisam de ferramentas analíticas avançadas que possam coletar e examinar rapidamente os dados de segurança para apresentar a maioria dos problemas prementes em contexto. Novas plataformas de lógica de segurança estão surgindo para lidar com todas as funções dos sistemas tradicionais de SIEM e muito mais, inclusive aceleração de detecção das ameaças avançadas para que as organizações tenham uma chance de parar os ataques velados.

Comentário do autor

“Hoje a capacidade da maioria

dos SOCs de detectar eventos

dentro das organizações não

faz frente ao estado da ameaça.

Normalmente não encontramos

as ameaças quando estão

a caminho das organizações

nem logo após entrarem na

rede, mas só depois que

a exploração já ocorreu

e os dados foram movidos.”

Dean Weber, diretor de tecnologia de segurança cibernética, CSC


Resumo de segurança da RSA, setembro de 2012

Índice

Resumo executivo ...........................................................................................................1

Os sistemas de segurança de hoje concentram-se nos problemas de ontem ....................3

O SIEM estabelece uma linha de base para o gerenciamento de segurança .....................4

Ameaças avançadas exigem segurança avançada ...........................................................4

Transformação do SIEM em uma plataforma abrangente de lógica de segurança .............5

Visibilidade difundida ................................................................................................5

Lógica mais detalhada e investigações mais rápidas ..................................................6

Dimensionamento em grande escala ..........................................................................6

Exibição unifi cada de informações de segurança essenciais ......................................7

Conclusão .......................................................................................................................8

Sobre os autores .............................................................................................................9

Soluções de segurança .................................................................................................11

Serviços de segurança gerenciados da CSC ...............................................................11

RSA® Security Analytics .............................................................................................11

Serviços de segurança gerenciados da Verizon..........................................................11

Os resumos de segurança da RSA fornecem aos líderes de segurança e outros executivos orientação essencial sobre os mais prementes riscos e oportunidades de segurança de informações atualmente. Cada resumo é criado por uma seleta equipe de segurança formada por especialistas em tecnologia que se mobilizam em empresas para compartilhar conhecimento especializado sobre um tópico emergente importante. Eles oferecem percepções gerais e conselhos práticos de tecnologia e são artigos de leitura essencial para os inovadores profi ssionais de segurança de hoje.

Autores

Brian Girardi, diretor sênior de gerenciamento de produtos, RSA, a divisão de segurança

da EMC

David Martin, vice-presidente, diretor de segurança, EMC Corp.

Jonathan Nguyen-Duy, diretor de serviços globais de segurança, Verizon Business

Mario Santana, vice-presidente de serviços de informações seguras, Terremark,

uma empresa da Verizon

Eddie Schwartz, vice-presidente e CISO, RSA, a divisão de segurança da EMC

Dean Weber, diretor de tecnologia de segurança cibernética, CSC



OS SISTEMAS DE SEGURANÇA DE HOJE CONCENTRAM-SE NOS PROBLEMAS DE ONTEM

O inesperado é a regra de ouro que move os invasores hoje. Os defensores devem ser ágeis na resposta.

No passado, prevenir as ameaças era um jogo de gato e rato entre fornecedores de

segurança e invasores. Uma ameaça podia ser desenvolvida por um invasor e, assim que

identificada, os fornecedores liberavam assinaturas para seus clientes para que o malware

fosse parado na famosa porta principal. Quando isso acontecia, os invasores faziam uma

pequena mudança na ameaça para escapar da detecção, mas isso não durava muito: os

analistas de ameaças do fornecedor examinavam o tráfego, identificavam as instâncias da

nova variante e a bloqueavam de acordo. As equipes de segurança corporativa tinham que

ter certeza de manter seus patches e assinaturas de segurança atualizados e, com exceção

da vulnerabilidade ocasional de dia zero, essa abordagem de defesa de perímetro era

considerada amplamente eficiente.

Hoje, isso mudou, principalmente por causa de APTs e ameaças avançadas semelhantes.

O Security for Business Innovation Council (conselho de segurança para inovação

nos negócios) define ameaças avançadas como ataques cibernéticos projetados

especificamente para violar as defesas de uma organização a fim de roubar informações

valiosas como propriedade intelectual, plantar informações falsas, interromper serviços

estratégicos, danificar sistemas ou monitorar operações ou ações. Essas ameaças

avançadas são o trabalho dos invasores, agentes nacionais, empresas criminosas

e outros grupos com forte financiamento e expertise em segurança.

Os invasores de hoje não são afetados pelas defesas de perímetro tradicionais

e baseadas em assinatura descritas acima. Eles realizam um reconhecimento nos

sistemas de segurança, nas equipes e nos processos de uma organização e desenvolvem

técnicas para explorá-los. Por meio de engenharia social, aumento de privilégios e outras

formas de sondagem, os invasores obtêm acesso aos recursos confidenciais do sistema.

Eles se movem pacientemente pela rede da organização, levando dias, semanas ou

meses para cumprir seus objetivos, a fim de evitar a detecção. Em seguida, quando

é a hora certa, eles executam as fases finais do ataque.

As violações de segurança que poderiam indicar um aumento contínuo das ameaças

avançadas parecem estar aumentando. O relatório 2012 da Verizon sobre investigações

de violações de dados rastreou 855 incidentes de violação em 2011, representando

174 milhões de registros comprometidos. Essa é a segunda maior perda de dados

anual desde que a Verizon começou a rastrear as violações em 2004.

Além disso, muitas organizações hoje em dia continuam a consolidar a segurança em

programas de conformidade. Entretanto, a natureza lenta e estruturada e as expectativas

codificadas das atividades de conformidade normalmente fazem pouco para proteger de

ataque os ambientes de TI. As empresas devem repensar as prioridades de gerenciamento

de riscos para refletir as maiores chances atuais de roubo cibernético. Elas também devem

repensar as estratégias de segurança para lidar com o desconhecido ou preparar-se para

sofrer as consequências de uma violação.

O progresso começa com a admissão da probabilidade de que os ambientes de TI já

foram invadidos. Essa mudança na visão de mundo muda o objetivo da segurança: da

tentativa primária para proteger o perímetro à detecção das ameaças com antecedência

e minimização do dano de uma violação futura.

Quando o campo de jogo da segurança muda do perímetro para o centro da organização, os

profissionais de segurança podem concentrar seus esforços na obtenção de conscientização

situacional para monitorar e proteger os ativos mais importantes da organização.

página 3


“Se você pensa nas ameaças de

hoje, não se trata mais de bons

garotos lutando contra worms ou

vírus de computador em ataques

em massa. Agora são os bons

garotos contra os maus garotos,

humanos tentando atingir um

ambiente, e é por isso que todos

os métodos clássicos de defesa

automatizados falham. Em uma

guerra de criatividade, os humanos

vencerão as máquinas.”Mario Santana, vice-presidente de serviços de informações seguras, Terremark, uma empresa da Verizon

“É preciso criar muitas novas

habilidades de segurança e fazer

as pessoas pensar de maneiras

diferentes. Pare de pensar em ter

que bloquear ameaças; em vez

disso, descubra como detectar

o que provavelmente aconteceu

e o que fazer em seguida.”Dave Martin, diretor de segurança, EMC



O SIEM ESTABELECE UMA LINHA DE BASE PARA O GERENCIAMENTO DE SEGURANÇA Os sistemas de SIEM (Security Information and Event Management, gerenciamento de eventos e informações de segurança) foram projetados para oferecer um local central que reúna e armazene dados de segurança (informações de registros e eventos apenas) para simplificar o gerenciamento de incidentes de segurança e a emissão de relatórios de conformidade. Esses sistemas coletam alertas e registros de segurança gerados por aplicativos e sistemas na rede, de dispositivos de rede, armazenamento e bancos de dados até firewalls, sistemas de prevenção de invasão e software antivírus. Os sistemas de SIEM ajudam a reduzir o tempo que os analistas de segurança devem gastar na busca de informações, permitindo que eles realoquem seu tempo em vez de ficar corrigindo incidentes. Atualmente, cerca de um terço das empresas adotaram os sistemas de gerenciamento de informações de segurança, com investigação de incidentes e conformidade como os principais impulsionadores por trás da decisão de adoção, de acordo com um relatório recente da Forrester Research.1

Hoje, os sistemas de SIEM executam efetivamente várias funções essenciais de segurança e conformidade:

• Emissão de relatórios sobre a atividade do dispositivo, fornecendo percepções-chave sobre quem, o que, onde e quando as atividades essenciais estão ocorrendo.

• Estabelecimento de níveis de atividade normais de linha de base para a operação inteira de TI, facilitando a detecção de níveis e tipos de atividades incomuns.

• Correlação de informações de eventos, para que os especialistas não tenham que passar com dificuldades por incontáveis alertas de segurança que são definidos diariamente por meio de muitos dispositivos e aplicativos na rede de uma organização.

• Adoção de regras predefinidas por especialistas em segurança para filtrar ameaças possíveis. As regras também podem ser usadas para descartar alertas irrelevantes, aumentando a proporção entre sinal e ruído e reduzindo enormemente o número de eventos que devem ser investigados.

• Coleta de dados do registro em um local central onde eles podem ser revisados, relatados e armazenados para fins de conformidade de perícia forense de longo prazo.

• Fornecimento de comprovação de conformidade para auditores internos e externos por meio da geração automatizada de relatórios regulares.

Essas funções são essenciais para qualquer programa de segurança e conformidade. Na verdade, alguns especialistas dizem que, se uma organização pode adotar apenas uma iniciativa de segurança orientada à detecção, que ela seja para usar os sistemas de SIEM de modo a reunir e correlacionar dados relacionados à segurança, o que pode ajudar a identificar muitos problemas.

Infelizmente, para lidar com os riscos elevados oferecidos pelas ameaças avançadas, as abordagens de segurança convencionais baseadas em sistemas de SIEM não são suficientes. Os sistemas de SIEM tradicionais tornaram-se necessários, mas são insuficientes.

AMEAÇAS AVANÇADAS EXIGEM SEGURANÇA AVANÇADA Novos recursos de segurança são necessários para complementar novas mentalidades e escolher onde as abordagens de segurança tradicionais podem ser deixadas de lado.

Os sistemas de SIEM tradicionais, centrados em registros e eventos, normalmente oferecem uma imagem incompleta dos riscos que as organizações enfrentam. Isso porque as ferramentas de SIEM coletam apenas informações de partes da infraestrutura de TI, deixando pontos cegos essenciais.

Os SOCs (Security Operations Centers, centros operacionais de segurança) só contam com registros de dispositivos para obter uma imagem confiável do que está acontecendo. Para identificar as anomalias, um analista do SOC talvez precise verificar outros tipos de dados (por exemplo, o cargo do proprietário de um laptop conectado a um servidor essencial) e ter essas informações em um local central em que elas possam ser associadas aos dados de segurança tradicionais. Os SOCs que veem valor no uso de diversas fontes de informações para detectar ameaças avançadas agora vão enfrentar

página 4


“Os sistemas de SIEM tradicionais ainda têm de nos alertar quando um modelo problemático é detectado e apresentar às organizações o máximo valor possível dos dados; isso não pode se perder. Mas existe muito mais a ser adicionado ao SIEM para fornecer visibilidade mais ampla e um contexto mais avançado para avaliação das ameaças.”

Eddie Schwartz, diretor de segurança, RSA, a divisão de segurança da EMC

1 Forrester Research, Inc., “Dissect Data to Gain Actionable Intel”

(Disseque os dados para obter inteligência acionável), agosto de 2012



um problema de big data: como coletar e analisar esses conjuntos de dados que as soluções tradicionais de segurança não levam em consideração?

Com os sistemas de SIEM atuais, os analistas do SOC se veem diante de um dilema: eles não têm todos os dados necessários em suas mãos para obter uma imagem completa do ambiente, mas não podem usar todos os dados que têm porque as ferramentas de SIEM não podem lidar com eles do ponto de vista de desempenho. As ferramentas podem dizera eles que uma assinatura de malware foi detectada, mas qual é o impacto desse malware nos negócios? Quão essencial é o sistema infectado? Como ele foi infectado? O que mais foi infectado por esse malware? Algum dado confidencial foi movido ou afetado? As ferramentas tradicionais não apresentam informações de segurança de modo significativo e acionável e não têm interfaces e recursos de visualização claros que funcionem como os analistas de segurança acham que deveriam. Por causa disso, as organizações que usam os sistemas de SIEM hoje estão obtendo normalmente apenas uma fração do valor desejado dessas ferramentas.

Esse é um problema crítico. Como o SOC é a última linha de defesa contra ataques à organização, os analistas de segurança precisam ter um volume bem maior e mais detalhado de informações acionáveis disponíveis. O SIEM deve ser elevado a um nível mais alto de utilitário para ajudar os analistas de segurança a fazer o trabalho deles de modo mais eficiente.

Com muito mais em jogo, as organizações devem avaliar honestamente sua maturidade em segurança e compreender os riscos que enfrentam para determinar se será melhor que os serviços dos SOCs sejam internos, se devem terceirizar para os MSSPs (Managed Security Service Providers, provedores de serviços de segurança gerenciados) ou adotar

uma abordagem híbrida.

TRANSFORMAÇÃO DO SIEM EM UMA PLATAFORMA ABRANGENTE DE LÓGICA DE SEGURANÇAAtualmente, os sistemas de SIEM não conseguem acompanhar os volumes e a variedade de informações relacionadas à segurança, especialmente à medida que as organizações adicionam infraestrutura, aplicativos e mesmo os serviços em nuvem a seus ambientes de TI. Para ajudar as organizações a alcançar o objetivo de conscientização situacional completa, as ferramentas de SIEM precisam de lógica de “big data” — a habilidade de trabalhar com conjuntos de dados que são muito maiores em escala, mais diversos e dinâmicos do que as informações de segurança coletadas atualmente pela maioria das organizações. As ferramentas de lógica de dados também precisam integrar inteligência contra ameaças de fontes externas, o que pode fornecer um contexto avançado para ajudar a agilizar a detecção dos ataques.

Para desenvolver a inteligência, a visibilidade, a agilidade e a velocidade para lidar com ameaças avançadas, os sistemas de SIEM precisam se tornar um sistema central de lógica de segurança em grande escala. A próxima evolução do SIEM deve fornecer recursos sólidos em quatro áreas principais.

Visibilidade difundida

Antes que as organizações possam parar ataques cibernéticos ocultos, elas precisam primeiro ser capazes de vê-los. As plataformas de lógica de segurança devem permitir a reconstrução completa da atividade para garantir que os analistas do SOC tenham todas as informações disponíveis para decidir como realizar melhor aos possíveis problemas. A captura do pacote de rede completo, quando combinada a registros, eventos, inteligência de ameaças e outras fontes de dados, permite uma visão mais detalhada das ameaças de segurança:

• Identificando malware – as ameaças estão cada vez mais difíceis de serem identificadas porque ficam mascaradas para simular tráfego legítimo navegando pelas redes. A captura

do pacote de rede completo coleta e reconstrói arquivos e automatiza grande parte da

análise exigida para identificar os sinais reveladores de intenção maliciosa.

• Rastreando atividades de invasores no ambiente – depois que entram na rede de uma organização, os invasores normalmente movem-se entre os sistemas para reunir as

página 5


“As violações não são mais furtos relâmpagos. A vasta maioria dos casos de violação e comprometimento no ano passado ocorreu por um período de meses. Nossa experiência mostra que agrega mais valor obter uma exibição completa do que aconteceu durante um longo percurso e realizar etapas para reduzir isso do que obter uma análise de eventos quase em tempo real.”

Jonathan Nguyen-Duy, diretor de serviços globais de segurança, Verizon Business


“O SIEM hoje não fornece a visibilidade, a extensão e o detalhamento das informações para identifi car verdadeiramente as ameaças conforme acontecem. Precisamos de fontes de dados mais completas e visibilidade sobre os dados no sistema de rede, o que signifi ca que o modo de mantermos, gerenciarmos, processarmos e moldarmos os dados deve mudar. Precisamos torná-los mais utilizáveis; não apenas mais dados, mas dados melhores.”

Brian Girardi, diretor sênior do gerenciamento de produtos, RSA, a divisão de segurança da EMC



informações exigidas para montar um ataque. Como normalmente os pontos periféricos não são monitorados, a captura do pacote de rede completo torna-se essencial para identificar os movimentos laterais dos invasores, que atravessam a rede da organização.

• Apresentando prova de atividade ilícita – os sistemas capazes de capturar o pacote de rede completo registram sessões completas para mostrar as atividades exatas de um invasor, inclusive qualquer movimentação de dados. Como muitas ameaças avançadas são detectadas apenas depois de causarem danos, os analistas de segurança precisam encontrar uma forma de avaliar esses danos. A reconstrução do ataque é normalmente o modo mais efetivo de realizar análises posteriores ao ataque e investigações de perícia forense.

Adicionar a captura do pacote de rede completo e a reconstrução da sessão à última geração de SIEM é essencial para os analistas de segurança investigarem e priorizarem as ameaças. Por exemplo, as ferramentas tradicionais de SIEM podem dizer “Sei que seu PC estava conectado a um servidor malicioso”, mas não podem revelar as informações transmitidas entre eles. A captura do pacote e a reprodução da sessão, quando combinadas a informações baseadas em registro e outras informações, podem fornecer uma percepção detalhada sobre o que publicar, para que os analistas de segurança possam avaliar se a atividade era ou não significativa. Esses recursos de perícia forense detalhados podem ajudar os SOCs a mover a detecção de ameaças para além da “cadeia de destruição” e reduzir o dano das ameaças avançadas.

Lógica mais detalhada e investigações mais rápidas

Os sistemas de lógica de segurança devem ter sofisticação para combinar dados diversos de modo a detectar indicadores de ataques avançados. Por exemplo, os sistemas de lógica de segurança devem procurar modelos de comportamento e fatores de risco, não apenas regras estáticas e assinaturas conhecidas. Os sistemas de lógica de segurança também devem considerar o valor relativo dos ativos corporativos em risco, sinalizando os eventos associados a ativos de grande valor.

Aplicando uma abordagem baseada em risco que aproveita o big data, as plataformas de lógica de segurança podem eliminar as atividades “reconhecidamente boas” e aumentar a proporção entre sinal e ruído, reduzindo o volume de informações que os analistas de segurança devem revisar em sua busca por novas ameaças à empresa. A lógica mais detalhada e automatizada apresenta itens de interesse para analistas de segurança, relatando se “isso acontece muito” ou se “isso raramente acontece”. Fazendo isso, os sistemas de lógica de segurança podem realizar uma triagem para os analistas de segurança, destacando os eventos que exigem uma análise mais detalhada.

Embora a lógica automatizada e inteligente seja um componente importante das novas plataformas de lógica de segurança, ela não substitui o julgamento humano; em vez disso, ela realça as áreas em que o julgamento humano deve ser aplicado, com sua exclusiva expertise organizacional e de domínio. Os sistemas de lógica de segurança ajudam principalmente os SOCs a dimensionar seus recursos de detecção de ameaças de uma forma que não era possível antes, ajudando os analistas a compreender os incidentes a tempo de fazer a diferença no resultado de um ataque avançado.

Dimensionamento em grande escala

Como os sistemas de SIEM evoluem para se tornarem plataformas de lógica de segurança, eles devem expandir-se em escala e escopo para lidar com a enorme variedade e volume de dados relacionados à segurança de dentro e fora da organização. A análise mais detalhada do tráfego de muitos tipos de dispositivos e na rede multiplica o volume de dados com os quais as plataformas de lógica de segurança devem lidar. Além disso, embora a fusão da inteligência contra ameaças atual de fontes externas transforme um console de segurança em um centro de inteligência de segurança, ela também combina desafios de dimensionamento de dados.

Para lidar com as ameaças de hoje, as plataformas de lógica de segurança devem incluir recursos como uma arquitetura de armazenamento distribuída, com n níveis e um mecanismo de lógica que normalize e processe grandes e diversificados conjuntos de dados a uma velocidade muito alta. A lógica e o armazenamento de dados devem crescer juntos e de modo linear.

página 6



Exibição unificada de informações de segurança essenciais

Para ficar totalmente informado e exibir os eventos em contexto, os analistas de segurança

precisam de todas as informações disponíveis em qualquer momento. Além da coleta de

dados da rede, as plataformas de lógica de segurança devem integrar automaticamente

a inteligência atual de ameaças de fornecedores, órgãos federais, associações do setor,

empresas de inteligência de código aberto e outras fontes. Fornecendo todas as

informações possivelmente relevantes para os analistas de segurança, a plataforma impede

que eles coletem essas informações manualmente, uma tarefa que demora muito tempo.

Centralizar a riqueza da inteligência aplicável em uma plataforma de lógica unificada

é essencial no fornecimento de uma exibição oportuna do ambiente de TI, colocando

os eventos em contexto e agilizando os processos de tomada de decisão dos analistas.

página 7

PONTOS FORTES TRADICIONAIS DO

SIEMLIMITAÇÕES DO SIEM

A LÓGICA DE SEGURANÇA EXPANDE OS PONTOS FORTES DO SIEM E SOLUCIONA AS LIMITAÇÕES

Automatiza a coleta, o arquivamento e a emissão de relatórios de dados do registro e de eventos de várias fontes diferentes, desde dispositivos e servidores de rede até firewalls e software antivírus.

A arquitetura de dados dos sistemas de SIEM tradicionais não foi criada para lidar com a enorme variedade e os volumes de informações de segurança disponíveis agora e que são necessários para alcançar visibilidade corporativa suficiente.

Fornece uma arquitetura de dados distribuída para coletar dados de segurança em escala de “big data” (centenas de terabytes e muito mais). Essas plataformas também normalizam e analisam esses conjuntos de dados enormes e diversificados a uma velocidade muito alta.

Cria um repositório unificado para dados relacionados à segurança, dando aos analistas do SOC acesso centralizado aos dados necessários para as investigações.

Embora os sistemas de SIEM coletem registros e eventos de uma ampla variedade de sistemas, sua visibilidade está confinada aos dados contidos nos registros coletados, que normalmente abrangem apenas uma pequena fração de atividades possivelmente relevantes.

Captura o tráfego de rede, com algumas plataformas avançadas de lógica de segurança, oferecendo ainda captura do pacote de rede completo e reconstrução de sessão para detectar e investigar como os invasores se infiltraram no ambiente de TI e o que eles fizeram assim que entraram. Além disso, as plataformas avançadas de lógica de segurança incorporam automaticamente inteligência contra ameaças de fontes externas, fornecendo valiosas exibições do ambiente de ameaças fora da empresa.

Unifica os dados do registro para ajudar a criar um repositório abrangente para dados-chave orientados à segurança.

Embora os sistemas de SIEM sejam ricos em dados, eles são normalmente pobres em utilização. A maioria é fraca quanto à habilidade de dar suporte aos analistas em investigações de incidentes sensíveis a tempo.

Fornece o alto desempenho necessário para investigações específicas, bem como uma interface do usuário integrada para complementar o modo de os analistas de segurança realizarem investigações.

Fornece relatórios de controle integrados, que podem ser importantes contribuições para fornecer conformidade com as normas do governo e do setor.

Comprovar a conformidade, embora necessário, não controla os riscos de segurança nem aumenta a posição de segurança da organização.

Fornece prova de conformidade como resultado de um programa voltado para segurança.

Fornece emissão básica de alertas sobre sequências conhecidas por meio de regras de correlação.

A detecção depende de ter assinaturas de ataque ou métodos conhecidos de ataque antecipadamente. Com as ameaças avançadas, normalmente não existe nenhuma assinatura e o comportamento exato do invasor é difícil de ser previsto com antecedência.

Cria uma plataforma unificada para coletar dados de segurança do ambiente. A detecção não se baseia em assinaturas nem em regras de correlação estáticas, mas em comparações dinâmicas em relação aos comportamentos normais da linha de base e a atividades suspeitas que podem ser indicativas de invasores. Isso acelera a identificação de ameaças ativas para as quais não existe assinatura e reduz o número de incidentes que os analistas devem investigar.



CONCLUSÃO

Os líderes de segurança bem-sucedidos sabem que precisam trabalhar com a hipótese

de seus ambientes de TI já terem sido invadidos. O desafio está em saber onde os

maiores perigos estão escondidos.

As ferramentas de segurança tradicionais são adeptas de seguir regras definidas pela

equipe de segurança (“procurar isso e não aquilo”). Em contrapartida, as plataformas

de lógica de segurança encontram anomalias que os analistas nem podiam imaginar.

O envolvimento humano sempre será exigido, mas os sistemas de lógica de segurança

expandem o campo de visão, enquanto restringem o campo das ameaças, para impulsionar

a tomada de decisão rápida e precisa.

Os sistemas de lógica de segurança dão às organizações conscientização situacional

e recursos para apoiar as decisões, exigidos para impedir que as ameaças avançadas

causem prejuízos e para conceder benefícios de negócios significativos além da mera

proteção. Integrando esses recursos a uma solução de segurança unificada, o custo

total de propriedade diminui enquanto a utilidade da plataforma aumenta. Investindo

em lógica de segurança em vez de soluções de SIEM tradicionais, as organizações

fortalecem suas plataformas para o ambiente cada vez maior de ameaças, obtendo

ao mesmo tempo um repositório de informações altamente dimensionável que pode

servir para muitas funções e unidades de negócios diferentes. Automatizando as tarefas

e fornecendo o contexto, as plataformas de lógica de segurança tornam os analistas de

SOCs mais produtivos. Além disso, concentrando os esforços na defesa dos ativos mais

valiosos da organização, a segurança se torna mais estratégica para ela.

página 8



página 9

SOBRE OS AUTORES

Brian Girardi administra o desenvolvimento de soluções avançadas de gerenciamento e lógica de segurança na RSA, a divisão de segurança da EMC. Ele entrou na empresa quando a EMC adquiriu a NetWitness em 2011.

Como funcionário fundador da NetWitness, Girardi foi responsável por muitos dos conceitos e métodos analíticos que hoje compõem a plataforma de tecnologia da NetWitness. Na NetWitness, ele foi responsável pelo marketing e pelo posicionamento estratégico do produto, pela estratégia de tecnologia, definindo a funcionalidade e comandando os lançamentos dos produtos.

Girardi passou mais de 13 anos trabalhando em segurança das informações, fornecendo soluções e serviços inovadores a órgãos federais, à comunidade de inteligência dos EUA e a empresas comerciais. Criador de inventos patenteados no campo de segurança das informações, Girardi é bacharel em engenharia mecânica e mestre em engenharia elétrica pela Virginia Tech.

David Martin gerencia a Organização global de segurança da EMC, líder de setor, focada na proteção dos ativos e da receita de vários bilhões de dólares da empresa. Como executivo de segurança mais experiente da EMC, ele é responsável por estabelecer a marca de confiança da EMC com seus clientes e por fornecer operações de proteção de negócios no mundo todo.

Martin é um profissional certificado em segurança de sistemas de informações e traz para a EMC muito conhecimento em segurança e gerenciamento de informações, desenvolvido em mais de uma década de experiência em proteção de negócios profissionais em várias funções nos setores de auditoria interna, desenvolvimento e consultoria de serviços de segurança.

Antes de entrar na EMC, Martin criou e dirigiu organizações de consultoria de segurança, concentrando-se nos setores de infraestrutura essencial, tecnologia, bancos e saúde, onde desenvolveu e forneceu programas de segurança corporativa, resposta a incidentes, investigações, política e práticas de avaliação.

Martin é bacharel em engenharia de sistemas de produção e fornece declarações frequentes no Congresso Americano e em órgãos governamentais como testemunha especialista em problemas de proteção corporativa.

Jonathan Nguyen-Duy chefia o gerenciamento de produtos e serviços de segurança gerenciados na Verizon Business. Ele é responsável pelo desenvolvimento de soluções de segurança que combatem uma ampla gama de ameaças e atendem a vários requisitos de conformidade. Nos últimos três anos, sua equipe desenvolveu o anti-DDoS, a correlação de inteligência relativa à reputação e uma nova geração de serviços de segurança baseados em nuvem. Durante esse tempo, a Verizon foi reconhecida como líder do setor em segurança e o maior provedor de serviços de segurança gerenciados do mundo.

Antes de sua função atual, Nguyen-Duy foi responsável pelo desenvolvimento da prática de continuidade de negócios da Verizon, das soluções de segurança físicas, do armazenamento gerenciado e de serviços de hospedagem. Antes de entrar na Verizon, ele atuou como diretor regional de operações para a América Central junto ao U.S. Foreign Service. Nguyen-Duy tem mais de 15 anos de experiência em gerenciamento de riscos e segurança de informações, ajudando as empresas e os órgãos do governo a solucionar problemas que envolvem conflitos armados, guerras civis, greves de trabalhadores, desastres naturais, ataques terroristas, interrupções de energia, pandemias e uma grande variedade de ameaças de segurança cibernéticas.

Especialista reconhecido em segurança e continuidade de operações, ele é palestrante regular em eventos do setor e atua em várias forças-tarefas de segurança. Nguyen-Duy é mestre em marketing de TI e negócios internacionais e é bacharel em economia internacional pela George Washington University.

Brian Girardi,

diretor sênior do

gerenciamento de produtos,

RSA, a divisão de segurança da EMC

David Martin,

vice-presidente,

diretor de segurança,

EMC Corp.

Jonathan Nguyen-Duy,

diretor de serviços

globais de segurança,

Verizon Business



página 10

Mario Santana entrou no grupo de SIS (Secure Information Services, serviços de informações protegidos) na Terremark Worldwide em janeiro de 2006. Lá, ele gerencia a equipe de lógica e atuou como consultor dos clientes da Terremark no que se refere a segurança, tecnologia e gerenciamento de riscos. Após a fusão da Terremark com a Verizon em 2011, Santana trabalhou para criar e integrar uma nova organização de segurança de alto desempenho, reprojetou estratégias, simplificou os processos operacionais e manteve a equipe de elite.

Anteriormente, Santana havia fundado uma empresa de tecnologia de gerenciamento de identidade, deu consultoria à SteelCloud, Inc., e trabalhou em TI por mais de 25 anos. Santana trabalhou com várias organizações listadas na Fortune 1000 no mundo todo, inclusive instituições financeiras, de saúde e educação, segurança em aeroportos e linhas aéreas, conglomerados de varejo, empresas de tecnologia e escritórios de advocacia. Ele tem liderado projetos e ações relacionados a preocupações de gerenciamento de segurança e risco como governança corporativa, perícia forense e detecção eletrônica, resposta a incidentes, fraude em propriedade intelectual, incidentes internos e avaliação de redes, sistemas e aplicativos. Sua especialidade inclui conscientização de ameaças, avaliação e redução, instrumentação de rede, administração de segurança e conformidade.

Eddie Schwartz é CISO (Chief Information Security Officer, diretor de segurança das informações) da RSA e tem 25 anos de experiência no campo de segurança das informações.

Anteriormente, foi cofundador e diretor de segurança da NetWitness (adquirida pela EMC), CTO da ManTech, EVP e gerente geral da Global Integrity (adquirida pela INS), SVP de operações da Guardent (adquirida pela VeriSign), CISO da Nationwide Insurance, cientista da computação sênior da CSC e diretor do Foreign Service do Departamento de Estado Americano. Schwartz é conselheiro de várias empresas de segurança em estágios iniciais e atua no Comitê Executivo do BITS (Banking Information Technology Secretariat).

Schwartz é bacharel em gerenciamento de segurança das informações e mestre em gerenciamento de tecnologia da informação pela George Mason University School of Management.

Dean Weber é diretor de tecnologia de segurança cibernética na CSC, onde forneceu visão e orientação para o desenvolvimento e suporte das soluções para iniciativas estratégicas de segurança cibernética.

Com mais de 30 anos de experiência em segurança de informações e física, Weber uniu-se à CSC depois de atuar como diretor de tecnologia na Applied Identity, que foi recentemente vendida para a Citrix. Anteriormente, foi arquiteto de segurança na Teros, fabricante líder de gateways de segurança de aplicativos, também adquirida pela Citrix. Foi responsável pelo desenvolvimento e implementação de soluções, inclusive a união de avaliação e inteligência nos TruSecure/ICSA Labs (agora Verizon Business Security Solutions). Weber ajudou a fundar um grande integrador de revendedores do meio oeste, especializado em design de arquitetura seguro e implementação para clientes dos setores público e privado e atou nele por muitos anos como vice-presidente técnico. Além disso, ele passou vários anos na Marinha Americana trabalhando em segurança eletrônica e física.

Weber é palestrante frequente em eventos de segurança da informação, como InfoWorld, ITEC, InfoSec Europe, InfraGard, Secret Service Security Roundtable, ISSA e vários outros.

Mario Santana,

vice-presidente de serviços de

informações seguras,

Terremark, uma empresa da Verizon

Eddie Schwartz,

vice-presidente e CISO,

RSA, a divisão de segurança da EMC

Dean Weber,

diretor de tecnologia

de segurança cibernética, CSC



página 11

SOLUÇÕES DE SEGURANÇAOs produtos e serviços descritos abaixo estão alinhados à orientação descrita neste Resumo de segurança de RSA. Esta não é uma lista abrangente de soluções aplicáveis. Em vez disso, este resumo é um ponto de partida para os profissionais de gerenciamento de segurança e risco interessados em aprender mais sobre algumas das opções de solução e serviços disponíveis.

Serviços de segurança gerenciados da CSC

Os serviços de segurança gerenciados da CSC são fornecidos por meio de centros de operações de segurança integrados no mundo todo e oferecem uma alternativa atraente ao autogerenciamento das funções de segurança. Os serviços de segurança gerenciados da CSC permitem que as organizações cumpram de modo mais eficiente suas obrigações de segurança em um ambiente de orçamentos limitados, recursos com habilidades limitadas, obrigações regulatórias rígidas e um cenário de ameaças em ascensão. Um conjunto abrangente de ofertas que fornece proteção cibernética ajustada e abrange desde o monitoramento e o gerenciamento principais até a lógica mais sofisticada e a proteção de segurança cibernética mais moderna por meio de detecção de ameaças avançadas, inteligência de ameaças globais, conscientização situacional e recursos de GRC (Governance, Risk and Compliance; governança, risco e conformidade). Hoje, a CSC é um dos poucos provedores de serviços de segurança de gerenciamento independente de fornecedor para empresas de médio e grande portes, integrando as melhores ferramentas disponíveis a partir de um amplo espectro de fornecedores líderes com propriedade intelectual da CSC.

RSA® Security Analytics

A solução RSA® Security Analytics é projetada para fornecer às organizações a conscientização situacional necessária para lidar com seus problemas de segurança mais prementes. Oferecendo visibilidade sobre o tráfego de rede e os dados de evento de registro de toda a empresa, o sistema RSA Security Analytics pode ajudar as organizações a obter uma exibição abrangente do ambiente de TI, permitindo que os analistas de segurança priorizem rapidamente as ameaças, investiguem-nas, tomem decisões de correção e ajam. A arquitetura de dados distribuída da solução RSA Security Analytics é projetada para coletar e analisar volumes de informações em grande escala, centenas de terabytes e muito mais, a uma velocidade muito alta e usando vários modos de análise. A solução também é capaz de integrar a inteligência de ameaças externas sobre as ferramentas, as técnicas e os procedimentos mais recentes usados pela comunidade de invasores e de ajudar as organizações a rastrear e gerenciar respostas a problemas de segurança identificados por meio da solução. A plataforma RSA Security Analytics deve ser liberada comercialmente no final de 2012.

Serviços de segurança gerenciados da Verizon

A Verizon é parceira global de TI, segurança e comunicações de empresas e do governo e tem uma das redes IP públicas mais conectadas do mundo. A Verizon oferece o conjunto mais abrangente de serviços de segurança, com o apoio de mais de 1.200 especialistas em 30 países. A Verizon utiliza sua própria tecnologia de correlação e classificação, SEAM (State and Event Analysis Machine), para filtrar milhões de eventos de segurança benignos e escalar apenas os incidentes que oferecem provavelmente mais risco de representar ameaça. Essa tecnologia, combinada a um enorme volume de inteligência contra ameaças e vulnerabilidades gerado pela rede global expansiva da Verizon, permite que a empresa combata uma ampla quantidade de ameaças e atenda a vários requisitos de conformidade. É por isso que a Verizon é considerada líder de segurança por empresas de analistas como Gartner, Forrester, Frost & Sullivan e outras. É por isso também que milhares de empresas e órgãos governamentais contam com a Verizon para ajudar a proteger os dados e a infraestrutura de negócios que fornecem esses dados, os padrões e regulamentações de segurança.

EMC2, EMC, o logotipo da EMC, RSA, enVision, Archer e o logotipo da RSA são marcas registradas ou comerciais da

EMC Corporation nos Estados Unidos e em outros países. Todos os outros produtos ou serviços mencionados neste

documento são marcas comerciais de suas respectivas empresas. © Copyright 2012 EMC Corporation. Todos os

direitos reservados.

h11031-SIEM_BRF_0912

SOBRE A RSA

RSA, a divisão de segurança da EMC, é o primeiro provedor de soluções de

gerenciamento de segurança, risco e conformidade para acelerar os negócios.

A RSA ajuda as principais empresas do mundo a ser bem-sucedidas solucionando seus

mais complexos e confidenciais desafios de segurança. Entre esses desafios estão o

gerenciamento do risco organizacional, a proteção da colaboração e do acesso móvel,

a comprovação de conformidade e a proteção de ambientes virtuais e em nuvem.

Combinando controles essenciais aos negócios em garantia de identidade,

criptografia e gerenciamento de chaves, SIEM, prevenção contra perda de dados

e proteção contra fraudes com recursos de eGRC (Enterprise Governance, Risk and

Compliance) líderes do setor e sólidos serviços de consultoria, a RSA proporciona

confiança e visibilidade para milhões de identidades de usuário, para as transações

que eles realizam e para os dados que são gerados. Para obter mais informações,

visite brazil.RSA.com e brazil.emc.com.

brazil.rsa.com

Resumo de segurança da RSA, outubro de 2011

http://brazil.emc.com

http://brazil.rsa.com

http://brazil.rsa.com

Documents

H11031 transforming-traditional-security-strategies-so