Gestión de la Información de Seguridad, factor crítico en la Empresa

Transcripción

1 Gestión de la Información de Seguridad, factor crítico en la Empresa Foro de Auditoría y Seguridad, FAST 2006 Xavier Garcia Responsable de Preventa, Área de Seguridad

2 A G E N D A Qué es la Gestión de la Información de Seguridad? La Visión Global de Symantec Soluciones Tecnológicas: SSIM y MSS Por qué Symantec? 2

3 Gestión de la Información de Seguridad La Problemática Complejidad Amenazas más rápidas y complejas - Slammer infectó 90% de los servidores desprotegidos en 10 minutos Disminución de la ventana vulnerabilidad exploit 6.4 días* Ataques por día para organizaciones 13.6** Proliferación de tecnologías Cumplimiento de Normativas Falta de reporting y controles TI Coste cumplimiento - $3M por $1B en ventas*** Coste Pérdidas totales anuales debido a a ataques - $141,496, ** Source: *Symantec Security Threat Report ; *CSI/FBI Computer Crime and Security Survey June 2004: ***A.R. C. Morgan Research, Feb 2005) 3

4 Estudio de un Cliente Symantec Multinacional oficinas regionales; gestión independiente de la seguridad Obligada por cumplimiento SOX Entorno Multifabricante - Symantec, CheckPoint, Cisco, ISS, Enterasys, Juniper Volumen de información de seguridad Firewalls: 23.4 GB/day > 164 GB/week IDS: 36K alerts/day > 252Kalerts/week VA: 3 new vulnerabilities/day Alerta temprana: 4 alerts/day Un mes típico Identificación de ataques 9,481,688 log/alerts by firewall and IDS 620 security events 2 incidents requiring immediate attention *Financial services sector 4

5 Problemática de la Gestión de Información de Seguridad (SIM) 5

6 Gestión de Incidentes 6

7 La Gestión de la Información de Seguridad, factor crítico en la Empresa 7

8 Gestión de la Información de Seguridad, factor crítico en la Empresa La Visión Global de Symantec

9 Es necesaria una aproximación de Consultoría Gestión de Incidentes: Es necesario un proceso de gestión de incidentes Reducir el tiempo de detección de un incidente y reaccionar Mejor para la integración de SOC s A nivel de Negocio: Es necesario un análisis del impacto del negocio en los activos internos Establecer reportes a nivel ejecutivo Tecnología SIM: Se necesitan procesos organizacionales bien definidos para maximizar el ROI Es necesaria una planificación cuidadosa para: Dimansionamiento Retención de Datos Dashboard Modelo de clasificación de activos Reglas de Correlación 9

10 Metodología de la Gestión de la Información 1 SIM requirements and organizational model analysis In depth Design & Deployment model SIM implementation Tuning, optional components and follow-up Fase 1: Requerimientos y análisis del modelo organizacional 1.1: Assess requirements, security operations and incident management model 1.2: Select and analysis event source e data management 1.3: Evaluate Security Operation Centre integration or development 1.4: Define list of components and materials Fase 2: Diseño y modelo de Despliegue 2.1: Capacity planning by event rate, data retention, network utilization 2.2: Establish business impact analysis (BIA) and asset classification model 2.3: Define or review existent Incident Management Model 2.4 Establish Key Security Indicator and monitoring model 2.5: Detailed project design, plan and deployment scenarios Fase 3: Implantación de la solución tecnológica 3.1: Install and configure core platform components 3.2: Install and configure event collector 3.3: Classify critical business asset 3.4: Configure dashboard, KSI, user access, threat view, reports, alarms, etc. Fase 4: Seguimiento y afinado del modelo 4.1: Refine correlation rules, alarms, reports, dashboard and users management 4.2: Knwoledge transfer 4.3: Integration with help desk systems 4.4: Integration with Symantec ESM policy compliance system 4.5: Analyze incident and event data and improvement the platform 4.6: Improvement incident response model 10

11 Gestión de la Información de Seguridad, factor crítico en la Empresa Tecnologías de Symantec: SSIM

12 Information Security IT Operations SIM 4.0 WWSMC Demo Board Symantec Confidential 10 Workflow Remediate Tickets Tasks Store, Query, Audit, Report Analyze, Prioritize, Respond Policy + Threat + Intelligence + Asset Collect, Filter, Aggregate, Correlate Global Security Intelligence Latest vulnerabilities and safeguard Global malicious attack signatures Malicious IPs and URLs Correlation rules Security Information Manager 9550 Correlation Appliance Distributed Security Information Manager 9500 Collection Appliance Security Information Manager Inputs Compliance and Vulnerability Management Host and network compliance Host and network vulnerability Asset discovery/management Desktop, Gateway and Server Security Antivirus, spyware, adware Mail and groupware security Antispam and content filtering Server, HOST IDS, FW Perimeter and Network Security Firewall/VPN Routers and switches Network IDS/IPS

13 Protección y Respuesta proactivas Sólo Symantec puede integrar información de Inteligencia de Seguridad con correlación dinámica con el fin de proteger y responder ante amenazas Única solución capaz de integrar información de Inteligencia DeepSight en la toma de decisiones Automáticamente correla eventos de seguridad internos con información mundial de actividad maliciosa Actualización continua de información proveniente de DeepSight y Symantec Security Response La información de alerta temprana permite llevar avance sobre las amenazas que se propagan rápidamente 13

14 Soporte Multifabricante Perimeter & Network Supported Products CheckPoint FW-1 Cisco PIX Cisco IDS ISS RealSecure SiteProtector Enterasys Network Dragon SNORT log sensor Juniper Netscreen Operating System & Database Supported Products Microsoft SQL Server for Symantec Antivirus solutions Microsoft Windows Event Log Symantec Supported Security Solutions SAV Corp 10.0 SNS 7100 Series SGS 5600 Series 3 rd -party NVA Supported Products Nessus Tenable Vulnerability Assessment Helpdesk Relays Peregrine ServiceCenter helpdesk relay Symantec Collector Studio Available through the Symantec Technology Partner Alliance Program 14

15 Gestión de la Información de Seguridad, factor crítico en la Empresa Tecnologías de Symantec: MSS

16 Solución global de Symantec SOC (Security Operations Center) Red global de 6 SOC Más de 600 clientes de 40 países distintos Más de 3000 dispositivos de seguridad monitorizados Recogida de eventos de seguridad de dispositivos, entre dispositivos monitorizados y sondas de DeepSight 480 millones de líneas de log analizadas cada día 47 TeraBytes de datos de log online 16

17 SLAs y KPIs Garantía de Disponibilidad del SOC: 99.9% Notificación de Eventos de Emergencia: antes de 10 minutos desde la determinación de la violación o intento de violación Informe Mensual: envío dentro de los 5 primeros días laborables del mes Registro de auditoría: Todos los parámetros que regulan estos SLAs son reportados puntualmente en el Informe Mensual, con una indicación clara del cumplimiento de cada SLA. 17

18 Soporte Multifabricante Firewalls: Check Point Cisco Juniper/NetScreen Symantec Integrated Security Appliances: ISS Juniper/NetScreen Symantec Host-Based IDS/IPS: Cisco ISS Symantec Network-Based IDS/IPS: Cisco Enterasys McAfee ISS Juniper/Netscreen Snort Symantec TippingPoint Router Firewalls: Cisco IOS 18

19 Retorno en Inversión de Seguridad 87% de los clientes MSS por más de seis meses evitaron al menos un ataque severo Percent of Companies Detecting Severe Events by Client Tenure Client Tenure (Months) 19

20 Gestión Proactiva de la Información de Seguridad Global Security Intelligence Baseline Risk Exposure Maintain & Monitor Correlate, Analyze & Prioritize Protect & Remediate 20

21 Gestión de la Información de Seguridad, factor crítico en la Empresa Por qué Symantec?

22 Sistema Global para la Detección de Amenazas Symantec Symantec Monitored + SOCs Countries + Symantec Support + 25,000 Registered Sensors in 180 Countries + Symantec Security Response Labs Over 4,300 Managed Security Devices Million Symantec Systems Worldwide Tokyo, Japan Calgary, Canada Springfield, OR Redwood City, CA Santa Monica, CA Dublin, Ireland Waltham, MA London, England Berlin, Germany Alexandria, VA Sydney, Australia 22

23 Mercado de la Gestión de la Información de Seguridad 23

24 Conclusiones La Gestión de la Información de Seguridad es un problema Symantec es la solución Metodología Tecnología líder Symantec, líder mundial en Seguridad Líder en Servicios de Alerta Temprana Líder en soluciones de Gestión de la Información de Seguridad 24

25 Gestión de la Información de Seguridad, factor crítico en la Empresa Gracias