Marcos NehmeRSA System Engineer Manager, Latin America & Caribbean

Conceitos e Melhores Práticas paraCompliance, Segurança e Operação de Redes

Desafios da Segurança nos dias atuais

Segurança da Informação épercebida como um inibidor de

negócios, e não como um acelerador de negócios

Necessário uma aproximação de forma a transformar segurança mais eficiente e

alinhar com o negócio

Segurança da InformaçãoSegurança da Informação

IneficienteNão protegendo o que é importante

Alto custoMuitos produtos de segurançaMuitos procedimentos de segurança

Inibidores de complianceMuitos controlesmanual, complicado, labor-intensive

Iniciativas de NegóciosIniciativas de Negócios

Gerenciamento de Risco da Informaçãouma estratégia para proteger sues recursos mais críticos

Centrada na informação

Clarifica o contexo de negócio e

revela potenciais vulnerabilidades

Baseado em Riscos

Estabelece uma clara prioridade

para investimentos em segurança

Cíclico

Baseado e aplicado nas melhores

práticas e frameworks padrões de

mercadoEndpoint Network Apps/DB FS/CMS Storage

RiscoRisco

Revela onde investir, porque investir, e como investimentos emSegurança poderão mapear os objeivos críticos do negócio

FinancialFinancialExecutiveExecutive

R&DR&D

DMZDMZ

Data CenterData Center

Mudanças de Ameaças e Novas Regulamentações

Descuidos de

usuários

Novas

tecnologias -

Web 2.0 and

P2P

Requerimentos

de Auditoria –

Alto Custo

Ataques Externos

Mudanças nos

requerimentos do

Negócio

Invasões internas –

Roubo de informações

financeiras

A empresa hojeMontanhas de dados, várias pessoas envolvidas

Registros de roteadores

Registros IDS/IDP

Registros de VPN

Registros de firewall

Controle de configuraçãoAplicação de bloqueios

Aplicação dos controles de acessoGerenciamento de usuários com privilégios

Detecção de códigosmal-intencionadosDetecção de spyware

Monitoração em tempo realSolução de problemas

Detecção de serviço não autorizado

Bloqueio de IP

Reduçãode falsos positivos

Monitoraçãode usuário

Monitoração de SLA (Service-Level Agreement,

contrato de nível de serviço)

Registros de switch

Registrosdo Windows

Registros de servidor cliente e de arquivos

Registros de acesso sem fio

Logins de domínioWindows

Registros Oracle Financial

Registros de acesso a

arquivos San

Registros de acesso e controle

de VLAN

Registros DHCP

Registros de SO Linux, Unix, Windows

Registros de mainframe

Registros de banco de dados

Registros de gerenciamento de conteúdo

Cache da Web e registros de proxy

Registros de verificação de VA

Registros de atividade de

servidores da Web

Como coletar e proteger todos os dados

necessários para criar uma plataforma para

as operações de conformidade e segurança?

Como analisar e gerenciar todos os dados

para transformar as informações em

conhecimento e inteligência acionáveis?

Equipe de TI sente a Pressão...

Postura de Real-time Security é difícil de ser atendida.

Muito trabalho para processar logs (raw) e

grande volume de eventos.

Equipe de Segurança – Falta de visibilidade no seu ambiente de TI

Compliance apresenta alto custo e uso intensivo

de recursos

Problemas e Necessidades

Muito trabalho para processar

logs (raw) e grande volume de

eventos

Postura de Real-time

Security é difícil de ser

atendida

Coletar Logs de todos osdispositivos de forma Não-Intrusiva

Coletar Logs de todos osdispositivos de forma Não-Intrusiva

Processo completo de Information Lifecycle Management.

Processo completo de Information Lifecycle Management.

Priorização em tempo real baseadaem Risco dos eventos coletados.

Priorização em tempo real baseadaem Risco dos eventos coletados.

Relatórios de Compliance emminutos e não em semanas.

Relatórios de Compliance emminutos e não em semanas.

Equipe de Segurança – Falta

de visibilidade no seu ambiente

de TI

Compliance apresenta alto

custo e uso intensivo de

recursos

Plataforma SIEM 3 em 1 do RSA enVision

servidores armazenamentoaplicativos/

bancos de

dados

Dispositivos

de segurança

dispositivos

de rede

Simplificandoa conformidade

Relatórios de conformidade para normas e política

interna

AuditoriaRelatórios

Aprimorandoa segurança

Alerta e análise de segurança em tempo

real

Análises

forenses

Alerta/

correlação

Otimizando as operações de TI e de rede

Monitoração da TI em toda a infraestrutura

VisibilidadeLinha de

base da

rede

Banco de dados

específico

(IPDB)Plataforma de gerenciamento

de registros do RSA enVision

Várias Leis/Regras/Regulamentaçõesas quais uma organização deve cumprir …

PCIDSS

HIPAAInternalPolicy

GLBA HSPD 12

CSB 1386CountryPrivacyLaws

SOX EU CDR UK RIPA

FISMA COCOMData

Security Act

FACTAEU DataPrivacy

FFIEC BASEL II J-SOX IRS 97-22 NERC

NISPOMPartnerRules

ACSI 33 NIST 800State

Privacy Laws

RSA enVision e as Melhores Práticas do Mercado

Best Practices PCI DSSPCI DSS SOXSOX HIPPAHIPPA GLBAGLBA COBIT 4.0COBIT 4.0 ISOISO

ü ü ü ü ü

ü ü ü ü ü

ü ü ü ü ü

ü ü ü ü ü

ü ü ü ü ü

ü ü ü ü üReq. 12Maintain an Information

Security Policy

Req. 10,11Regularly Monitor and

Test Networks

Req. 7, 8, 9Implement Strong Access

Control Methods

Req. 1,2Maintain a Secure

Network

Req. 5, 6Maintain a Vulnerability

Management Program

Req. 3, 4Protect Data

Capturar Compactar Proteger RemoverManter

em near-lineArmazenar

on-line

� O usuário define as políticas de retenção

de registros

� RSA enVision aplica as políticas automaticamente

ILM

Política de retenção

EMC Centera

RSA enVisionValor máximo dos dados ao menor custo de infraestrutura

Política on-line (aprox. 15 meses)

EMC Celerra

Práticas recomendadas para as operações de segurança

Transformar eventos

em tempo real, como

ameaças, em dados

acionáveis

Transformar eventos

em tempo real, como

ameaças, em dados

acionáveis

Criar um processo

de tratamento de

incidentes de ciclo

fechado

Criar um processo

de tratamento de

incidentes de ciclo

fechado

A tecnologia SIEM fornece gerenciamento de eventos e análise histórica em tempo real

de dados de segurança a partir de um amplo conjunto de fontes heterogêneas. Essa

tecnologia é utilizada para filtrar informações sobre incidentes e, com isso, obter dados

que possam ser manipulados para fins de resposta a incidentes e análise forense.

Mark Nicolett, Gartner

A tecnologia SIEM fornece gerenciamento de eventos e análise histórica em tempo real

de dados de segurança a partir de um amplo conjunto de fontes heterogêneas. Essa

tecnologia é utilizada para filtrar informações sobre incidentes e, com isso, obter dados

que possam ser manipulados para fins de resposta a incidentes e análise forense.

Mark Nicolett, Gartner

Emitir relatórios

sobre a eficácia do gerenciamento de segurança

Emitir relatórios

sobre a eficácia do gerenciamento de segurança

Para obter eficácia nas operações de segurança, é necessário:

As operações de segurança significam tratamento completo de incidentesO RSA enVision dá suporte a cada etapa desse processo

Notificação Triagem AnáliseAnálises forenses

Rastreamentoe controle

Correção

Receber

mensagem

indicando

um possível

incidente

Classificar,

categorizar

e priorizar

automaticamente

os incidentes

que acontecerão

Examinar todas

as informações

disponíveis e

evidências que

deem suporte

Coletar,

documentar

e preservar

informações

e análise de

evidência

Rastrear ou

controlar a

entrada de

invasores, o

acesso, a origem

e os sistemas

envolvidos

Rastrear a

solução de

incidentes

Estrutura desenvolvida pela Carnegie Mellon University

Processo de tratamento de incidentesNotificação

Alerta em tempo real de possíveis incidentes

por meio de alerta na tela, e-mail e Blackberry

Notificação Triagem AnáliseAnálises forenses

Rastreamentoe controle

Correção

Processo de tratamento de incidentesTriagem

Priorizar as tarefas manual ou

automaticamente

Atribuir proprietários de tarefas manual

ou automaticamente

Confirmar tarefa

Criar/editar listas de observação

(no Event Explorer)

Autoescalar para sistema externo

de emissão de tíquetes

Notificação Triagem AnáliseAnálises forenses

Rastreamentoe controle

Correção

Processo de tratamento de incidentesAnálise

Interface de usuário aprimorada (Event

Explorer)

Reúna informações contextuais por meio

de busca de ativos e vulnerabilidades

Notificação Triagem AnáliseAnálises forenses

Rastreamentoe controle

Correção

Processo de tratamento de incidentesAnálises forenses

Fazer anotações durante toda a investigação

Isolar e anexar anotações relevantes de

registro

Auditar automaticamente investigações

concluídas

Contar com registros armazenados

no formato original

Notificação Triagem AnáliseAnálises forenses

Rastreamentoe controle

Correção

Processo de tratamento de incidentesRastreamento e controle

Rastrear proativamente atividades suspeitas por usuário, porta, endereço IP, entre outros, por um determinado período

Acrescentar/modificar listas de observação

Acrescentar/modificar regras de correlação

Anotar

Monitorar

Notificação Triagem AnáliseAnálises forenses

Rastreamentoe controle

Correção

Processo de tratamento de incidentesCorreção

Resolver problemas ou enviar informações relevantes ao sistema downstream (emissão

de tíquetes ou gerenciamento de

configuração)

Aceitar alterações de status do sistema

downstream

Fornecer coordenação de ciclo fechado

por meio de status de incidente com retorno de informações ao enVision

Notificação Triagem AnáliseAnálises forenses

Rastreamentoe controle

Correção

Detecção de incidentes em tempo realElementos essenciais

Detecção de

incidentes

Dados do registro

abrangentes

Conhecimento da origem de eventos

Contexto de ativos Dados de vulnerabilidade

Regras de correlação, filtros,

listas de observação

Informações sobre ameaças em tempo hábil

Detecção de incidentes em tempo real

Dados de vulnerabilidade

– Necessidade de informações acerca de componentes vulneráveis

de infraestrutura em ambientes de TI

Regras de correlação, filtros e listas de observação

– Necessidade de regras específicas do ambiente para procurar problemas de grande risco

Informações sobre ameaças em tempo hábil

– Necessidade de atualizações regulares à medida que as ameaças e a vulnerabilidades evoluem

Detecção de incidentes em tempo real Exemplos

Erros críticos em sistemas de alta prioridade

que possam resultar em paralisação do sistema

Erros críticos do sistema

Desvios incomuns no comportamento da rede

ou atividade da rede que viole as políticas

Atividade suspeita da rede

Detectar novas vulnerabilidades de alto risco em

ativos essenciais ou ataques similares a hosts

vulneráveis

Vulnerabilidades e ameaças

de alto risco

Problemas de autenticação incomum ou de controle

de acesso, como vários log-ons com falha ou acesso

não autorizado ao sistema

Atividade suspeita do usuário

Atividades essenciais

de administração

O que preciso detectar?

Atividades administrativas de alto risco em relação a

ativos essenciais, como alterações da configuração

de ativos de alto risco alheias às políticas, ou

delegação de privilégios incomuns

Descrição

Caso de uso: servidor vulnerável é atacado

Sabe que está sendo atacado Sabe que é vulnerávelSabe que é essencial

Sabe que um servidor essencial e vulnerávelestá sendo atacado

Alerta

Ataque

Conhecimento da RSA

IDS Scanner de avaliação de vulnerabilidade

Banco de dados do gerenciamento de configuração

RSA enVision

Analista

Quem ataca

Monitoração e gerenciamentoMedidas essenciais e painéis de controle

Maiores ameaças do IDS

Maiores ameaças do IDS

Atividade de rede por categoria

Atividade de rede por categoria

Ativos mais vulneráveis por

gravidade

Ativos mais vulneráveis por

gravidade

Taxa de incidentes

Taxa de incidentes

Resumo dos benefícios

Redução dos riscos

– Identificação dos problemas de mais alta prioridade

– Destaque dos ativos mais vulneráveis

Maior produtividade do analista

– Simplificação do processo de gerenciamento de incidentes

Melhor visibilidade de gerenciamento

– Concentrar a equipe nas áreas de maior risco

Processo totalmente auditável para emissão de relatórios para fins de conformidade

Como começar?

Recursos:

– White paper: Creating an Effective Security Operations Function (Criando uma função eficaz de operações de segurança)

Onde: http://www.rsa.com

Preciso de orientação

– Aproveite os serviços profissionais da RSA

Gostaria de terceirizar

– Converse com RSA ou Parceiros Certificados da RSA que oferecem soluções gerenciadas de Segurança

Obrigado !!