Transformación de las Operaciones de Seguridad

Transcripción

1 Transformación de las Operaciones de Seguridad Douglas Casas Regional Sales Manager 1

2 Agenda Administración de información sobre seguridad Detección de incidentes de alto riesgo Optimización del proceso de manejo de incidentes Medición del valor de las operaciones de seguridad 2

3 Crecimiento explosivo de datos de seguridad Reto de administración de la información crecimiento de la información usos de información reglamentaciones de información mayor crecimiento: CAGR estimada de un 58% para la información de seguridad en los próximos cinco años (ESG). más tipos: firewalls, VPNs, hosts, aplicaciones, almacenamiento. más usos: operaciones de seguridad, cumplimiento de normas, administración de riesgos, performance de aplicaciones, operaciones de TI. tipos de información más reglamentaciones: Sarbanes-Oxley, PCI, Basel II, GLBA, HIPAA y FISMA, entre otras opciones incluidas. 3

4 Plataforma RSA envision SIEM 3 en 1 Simplificación del cumplimiento de normas Mejora de la seguridad Optimización de las operaciones de red y TI Informes sobre cumplimiento de normas para políticas internas y reglamentaciones Análisis y alertas de seguridad en tiempo real Monitoreo de TI en toda la infraestructura Creación de informes Auditoría Análisis forense Alerta/correlació n Línea base de la red Visibilidad Base de datos especialmente diseñada (IPDB) Plataforma de administración de logs de RSA envision dispositivos de seguridad dispositivos de red aplicaciones/ bases de datos servidores almacenamiento 4

5 RSA envision Valor optimizado de los datos al menor costo de infraestructura ILM El usuario define las políticas de retención de logs RSA envision aplica las políticas de manera automática Política en línea (15 meses aproximadamente) Política de retención Almacenamiento Retención Captura Compresión Seguridad Eliminación en línea en nearline EMC Celerra EMC Centera 5

6 Ventajas de envision Cualquier dato a cualquier escala. Recopilación de cualquier tipo de datos de log, correlación en tiempo real y la mejor escalabilidad. Solución SIEM al TCO más bajo. Arquitectura sin agente y con factor de forma de dispositivo. Flexible, pero de fácil personalización. El más completo conocimiento sobre seguridad. Combinación integral de informes, reglas de correlación y orígenes de eventos. Actualizaciones frecuentes a knowledgebase de seguridad. Amplio ecosistema de partners constituido por partners de tecnología estratégicos y experiencia en cumplimiento de normas y seguridad de vanguardia. Proven Solution con una gran base instalada activa. Base instalada incomparable, con más de 1,600 clientes de producción. Comunidad de inteligencia activa de clientes en línea para mejores prácticas y conocimientos compartidos. Todos los productos y los servicios son de RSA/EMC. Único proveedor estratégico con sólidos balances. Operaciones de TI simplificadas, un único punto de contacto y servicio al Cliente en todo el mundo. Integración con las soluciones de RSA y EMC (por ejemplo, Access Manager, Authentication Manager, Voyence, Celerra, Symmetrix). 6

8 Las mejores prácticas de operaciones de seguridad Para ser eficiente en las operaciones de seguridad, es necesario: Transformar Transformar los los eventos eventos en en tiempo tiempo real, real, por por ejemplo, ejemplo, convertir convertir las las amenazas amenazas en en datos datos que que se se puedan puedan procesar. procesar. Crear Crear un un proceso proceso de de manejo manejo de de incidentes incidentes de de loop loop cerrado. cerrado. Brindar Brindar información información sobre sobre la la eficiencia eficiencia de de administración administración de de seguridad. seguridad. La tecnología de SIEM brinda administración de eventos en tiempo real y análisis históricos de datos de La tecnología de SIEM brinda administración de eventos en tiempo real y análisis históricos de datos de seguridad de un amplio grupo de orígenes heterogéneos. Esta tecnología se usa para filtrar información seguridad de un amplio grupo de orígenes heterogéneos. Esta tecnología se usa para filtrar información sobre incidentes a fin de obtener datos que se puedan procesar para lograr respuesta ante incidentes sobre incidentes a fin de obtener datos que se puedan procesar para lograr respuesta ante incidentes y análisis forense. y análisis forense. Mark Nicolett, Gartner Mark Nicolett, Gartner 8

9 Detección de incidentes en tiempo real Cómo detectar incidentes en una enorme cantidad de datos Miles de millones de eventos raw Miles de eventos relevantes para la seguridad Alertas correlacionadas Incidentes!!! Docenas de eventos de alta prioridad 9

10 Detección de incidentes en tiempo real Elementos esenciales Datos de log integrales Reglas de correlación, filtros, listas de seguimiento Conocimiento del origen de los eventos Detección de incidentes Información oportuna sobre amenazas Contexto de recursos Datos de vulnerabilidad 10

11 Detección de incidentes en tiempo real Datos de log integrales. Necesidad de recopilar todos los datos de log de la infraestructura que está monitoreando. RSA envision recopila todos los datos de log de prácticamente cualquier dispositivo de otros fabricantes. Conocimiento del origen de los eventos. Necesidad de conocer qué significan los logs de eventos. RSA envision convierte los logs de más de 130 productos de otros fabricantes en un conjunto común de descripciones de eventos (por ejemplo, errores de inicio de sesión). Contexto de recursos Requiere información básica sobre la infraestructura de la que provienen los datos de log. RSA envision permite la importación de datos sobre recursos de TI desde sistemas de administración de recursos. 11

12 Detección de incidentes en tiempo real Datos de vulnerabilidad. Necesidad de información sobre componentes de infraestructura vulnerables en el ambiente de TI. RSA envision recopila datos de los análisis de vulnerabilidad más comunes. Reglas de correlación, filtros y listas de seguimiento. Necesidad de reglas específicas del ambiente para detectar problemas de alto riesgo. RSA envision proporciona la capacidad para definir reglas de correlación y listas de seguimiento de información dinámica. Información oportuna sobre amenazas Necesidad de actualizaciones regulares a medida que evolucionan las vulnerabilidades y las amenazas. RSA envision brinda actualizaciones regulares de vulnerabilidades, firmas de IDS, conocimiento de eventos y reglas de correlación. 12

13 Detección de incidentes en tiempo real Ejemplos Qué debo hacer para llevar a cabo procesos de detección? Actividad administrativa crítica Actividad del usuario sospechosa Descripción Acciones administrativas de alto riesgo en los recursos críticos, como cambios de configuración que infringen las políticas en los recursos de alto riesgo o la delegación inusual de privilegios. Problemas de control de acceso o autenticación inusuales, como accesos a sistemas no autorizados o múltiples errores de inicio de sesión. Amenazas y vulnerabilidades de alto riesgo Detección de nuevas vulnerabilidades de alto riesgo en recursos críticos o posibles ataques en hosts vulnerables. Actividad de red sospechosa Desviaciones inusuales en el comportamiento de la red o en la actividad de la red que infringe las políticas. Errores de sistema críticos Errores críticos en sistemas de alta prioridad que pueden interrumpir un sistema. 13

14 Reglas de correlación detalladas Incorporadas RSA envision 4.0 ofrece reglas de correlación integrales CRL Several Failed Logins Followed By A Successful Login / Possible Successful Brute Force Attack Detected GUI intuitiva para personalizar reglas Librería detallada de información básica 14

15 Caso de uso: servidor vulnerable atacado Atacante Ataque IDS Escáner de VA Base de datos de administración de configuración Sabe que lo están atacando Sabe que es vulnerable Sabe que es crítico Conocimientos de RSA RSA envision Analista Sabe que un servidor crítico y vulnerable está siendo atacado Alerta 15

17 Operaciones de seguridad significa manejo de incidentes end-to-end RSA envision soporta cada paso de este proceso Notificación Triage Análisis Análisis forense Seguimiento Resolución de problemas Recibe un Clasifica, Examina toda Recopila, Realiza el Realiza un mensaje que categoriza y la información documenta y seguimiento seguimiento indica el prioriza los y evidencia de preserva la de entrada, de la resolución potencial incidentes soporte información acceso y del incidente. incidente. entrantes disponible. y el análisis origen del de manera de evidencia. intruso y los automática. sistemas involucrados. Framework desarrollado por Carnegie Mellon University 17

18 Proceso de manejo de incidentes Notificación Notificación Triage Análisis Análisis forense Seguimiento Resolución de problemas Alerta en tiempo real sobre potenciales incidentes mediante alertas en pantalla, correo electrónico y Blackberry 18

19 Proceso de manejo de incidentes Triage Notificación Triage Análisis Análisis forense Seguimiento Resolución de problemas Priorizar tareas de manera manual o automática. Asignar responsables de tareas de manera manual o automática. Acusar recibo de la asignación. Crear/editar listas de seguimiento (con Event Explorer). Escalar automáticamente al sistema de tickets externo. 19

20 Proceso de manejo de incidentes Análisis Notificación Triage Análisis Análisis forense Seguimiento Resolución de problemas Interfaz de usuario de Event Explorer mejorado. Recopilación de información contextual por medio de la búsqueda de recursos y de vulnerabilidades. 20

21 Proceso de manejo de incidentes Análisis forense Notificación Triage Análisis Análisis forense Seguimiento Resolución de problemas Realizar comentarios durante toda la investigación. Aislar y adjuntar registros de log relevantes. Auditar automáticamente toda la investigación. Confiar en logs almacenados en formato original. 21

22 Proceso de manejo de incidentes Seguimiento Notificación Triage Análisis Análisis forense Seguimiento Resolución de problemas Realizar seguimiento preventivo de la actividad sospechosa mediante usuario, puerto y dirección IP, entre otros datos, durante un período determinado. Agregar/modificar la lista de seguimiento. Agregar/modificar la regla de correlación. Realizar comentarios. Llevar a cabo procesos de monitoreo. 22

23 Proceso de manejo de incidentes Resolución de problemas Notificación Triage Análisis Análisis forense Seguimiento Resolución de problemas Resolver problemas o ingresar la información relevante a un sistema de downstream (administración de tickets o configuración). Aceptar los cambios de estado del sistema de downstream. Proporcionar coordinación de loop cerrado por medio de la creación de informes sobre el estado de los incidentes para envision. 23

25 Monitoreo y administración Tableros y métricas clave Principales amenazas de de IDS Actividad de de red por categoría Tasa de de incidentes Recursos más vulnerables por severidad 25

26 Estudio de caso de seguridad DTCC: The Depository Trust & Clearing Corporation Reto: Las evaluaciones de la SEC y las auditorías constantes indican que DTCC requiere monitoreo de seguridad en tiempo real. Las complejas amenazas lograron que DTCC comprendiera que un enfoque pasivo hacia la seguridad no constituía una opción. Solución: Recopilación de logs de sistemas diferentes, heredados y nuevos. Incorporación y correlación de datos para comprender los comportamientos y las tendencias que pueden provocar alertas de seguridad. Resultados: DTCC captura 85 millones de eventos de logs por día, los cuales se usan para tomar mejores decisiones sobre seguridad. DTCC cuenta con mejor visibilidad del comportamiento del usuario, ya que ofrece datos para resolver problemas vinculados con el acceso de usuarios inusuales. 26

27 Resumen de beneficios Reducción de riesgos. Identifica los problemas de mayor prioridad. Destaca los recursos más vulnerables. Mayor productividad de los analistas. Optimiza los procesos de administración de incidentes. Mejor visibilidad de la administración. Focaliza al personal en las áreas de mayor riesgo. Proceso completamente auditable para la creación de informes sobre cumplimiento de normas. 27

28 Cómo puedo empezar? Recursos: White paper: Creación de una función eficiente de operaciones de seguridad. Necesito ayuda. Aproveche la oferta de servicios de evaluación e implementación de seguridad de RSA Professional Services. Quisiera subcontratar una solución. Converse con su administrador de cuentas sobre los partners certificados de RSA que ofrecen soluciones envision administradas. 28

29 Gracias! 29 29

30