h0812 getting-real-secuirty-management-big-data-wp
DESCRIPTION
TRANSCRIPT
A REALIDADE SOBRE GERENCIAMENTO DE SEGURANÇA E “BIG DATA” Um roteiro para “big data” no Security Analytics
PRINCIPAIS BENEFÍCIOS Este documento analisa:
• O aumento da complexidade
do ambiente de gerenciamento
de segurança, das ameaças ao
ambiente de TI até às exigências
de conformidade.
• Como obter mais significado dos
dados já coletados, “eliminando
o palheiro” em vez de “procurar
agulha nele”.
• A combinação de infraestrutura,
ferramentas de lógica
e inteligência contra ameaças
precisava impulsionar o valor
comercial de big data.
Esse é um excelente momento, embora desafiador, para ser profissional de segurança.
As ameaças à segurança estão se tornando mais agressivas e vorazes. Os governos
e os órgãos do setor estão se tornando mais precisos em relação à conformidade.
Combinado a ambientes de TI exponencialmente mais complexos, o gerenciamento
de segurança está ficando cada vez mais desafiador. Além disso, as novas tecnologias
de “big data” têm como objetivo trazer técnicas de lógica avançadas, como análise
preditiva, e técnicas estatísticas avançadas para perto dos profissionais de segurança.
Dado o estado dos sistemas de segurança atuais, a maioria das organizações está
muito longe do uso desses tipos de tecnologias avançadas para gerenciamento de
segurança. Os profissionais de segurança precisam obter mais valor dos dados já
coletados e analisados. Eles também precisam de melhor compreensão dos desafios
atuais e dos desafios iminentes relacionados aos dados. Começar com recursos básicos
de lógica e gerenciamento de conjunto de dados permite que as organizações criem
e dimensionem efetivamente o gerenciamento de segurança à medida que a empresa
evolui para superar os desafios de big data.
O CENÁRIO ATUAL DE SEGURANÇA NÃO DÁ ESPAÇO PARA A SEGURANÇA IMEDIATA Quando se lida com “big data”, o volume e os tipos de dados sobre TI e negócios
também são grandes demais para serem processados de modo assistemático. Além
disso, está ficando cada vez mais difícil proteger as informações significativas dos
dados que estão sendo coletados.
Apesar do investimento significativo em segurança das informações, os invasores parecem
ter o controle. De acordo com o relatório 2012 da Verizon sobre investigações de violações
de dados, 91% das violações levaram ao comprometimento de dados em dias ou menos,
enquanto 79% das violações demoraram semanas ou até mais para serem detectadas.
Existem vários fatores que explicam isso:
• Os invasores estão ficando cada vez mais organizados e melhor financiados.
No entanto, enquanto os ataques estão ficando cada vez mais dinâmicos, as
defesas permanecem estáticas. Os ataques atuais são projetados para explorar
as fraquezas de nossas infraestruturas hiperconectadas e centradas no usuário.
• As organizações vinculadas à TI continuam a crescer de modo mais complexo.
Agora as organizações exigem muito mais sistemas abertos e ágeis, criando novas
oportunidades incríveis para colaboração, comunicação e inovação. Isso também
resulta em novas vulnerabilidades que cibercriminosos, grupos de hackers e
agentes nacionais aprenderam a explorar.
• A conformidade está muito mais longe de ser alcançada. Reguladores e legisladores
estão ficando mais explícitos. As empresas, especialmente aquelas com várias linhas
de negócios ou operações internacionais, enfrentam tempos cada vez mais difíceis
para rastrear controles atuais que estão em vigor, controles que são necessários e
como garantir que esses controles sejam gerenciados de modo adequado.
O efeito combinado desses fatores nos ambientes de TI torna o gerenciamento de
segurança muito mais complexo, com muito mais interdependência e um escopo
mais amplo de responsabilidade. À medida que mais processos de negócios se tornam
digitalizados, as equipes de segurança têm a oportunidade e o desafio de coletar e
gerenciar mais dados. Os investimentos estão cada vez maiores em ferramentas de
gerenciamento de registros, gerenciamento de vulnerabilidade, gerenciamento de
identidade e gerenciamento de configuração. Entretanto, as violações continuam
acontecendo, causando mais interrupções e gastos do que nunca.
OS TRÊS CONCEITOS BÁSICOS DO BIG DATA EM GERENCIAMENTO DE SEGURANÇA Uma estratégia real de “big data” para o gerenciamento de segurança deve abranger todos estes três aspectos para solucionar adequadamente os problemas à mão: infraestrutura, ferramentas analíticas e inteligência.
Figura 1. Os pilares de big data em gerenciamento de segurança
Para extrair valor dos dados coletados, obter eficiência das atividades de
gerenciamento de ameaças e usar as atividades de conformidade para orientar
a tomada de decisões, as equipes de segurança precisam adotar uma abordagem
de “big data” para o gerenciamento de segurança. Isso significa ter:
• Uma infraestrutura ágil de scale out para responder às mudanças no ambiente de TI e
às ameaças em evolução. O gerenciamento de segurança precisa dar suporte a novas
iniciativas de negócios que afetam a TI, de novos aplicativos a novos modelos de
entrega como mobilidade, virtualização, computação em nuvem e terceirização.
A infraestrutura de gerenciamento de segurança deve ser capaz de coletar e gerenciar
dados de segurança em escala corporativa e deve ser dimensionada de acordo com
as exigências atuais das empresas, física e economicamente. Isso significa fazer
“scale out” em vez de “scale up”, pois a centralização de todos esses dados será
praticamente impossível. Além disso, a infraestrutura precisa se estender com mais
facilidade para adaptar-se a novos ambientes e desenvolver-se rapidamente para dar
suporte à análise das ameaças em evolução.
• Ferramentas de lógica e visualização que dão suporte a especialidades de analistas
de segurança. Os profissionais de segurança exigem ferramentas analíticas
especializadas para dar suporte a seu trabalho. Alguns analistas exigem
ferramentas para facilitar a identificação básica de eventos com alguns detalhes
do suporte. Os gerentes podem exigir visualização de alto nível e análise de
tendências de medidas-chave. Os analistas de malware precisam de arquivos
suspeitos reconstruídos e ferramentas para automatizar o teste desses arquivos.
Os analistas de perícia forense de rede precisam da reconstrução completa de
todas as informações de rede e registro sobre uma sessão para determinar
precisamente o que aconteceu.
• Inteligência contra ameaças para aplicar técnicas analíticas de dados às
informações coletadas. As organizações exigem uma exibição do ambiente atual
de ameaças externas para correlação com as informações reunidas da própria
organização. Essa correlação é importante para os analistas obterem uma
compreensão clara dos indicadores de ameaças atuais e sobre o que procurar.
O “big data” não significa simplesmente “muitos dados”. Ele exige significativamente mais lógica inteligente para identificar as ameaças de segurança mais cedo, com a infraestrutura para coletar e processar dados em escala.
“BIG DATA” IMPULSIONA UMA SEGURANÇA PRODUTIVA E EFICIENTE O gerenciamento bem-sucedido de segurança para “big data” exige um sistema que possa extrair e apresentar dados-chave para analistas de modo mais rápido e eficiente.
Figura 2. Requisitos para um sistema de big data de gerenciamento de segurança
As organizações de segurança hoje precisam adotar uma abordagem de “big data”,
inclusive a compreensão dos adversários, a determinação de quais dados são
necessários para dar suporte às decisões e operacionalizar um modelo para dar
suporte a essas atividades. Quando se fala de “big data” neste contexto, trata-se
da criação de uma base para lógica útil, em vez da execução precipitada de um
projeto avançado de ciência de dados. Sistemas bem-sucedidos de “big data”
para organizações de segurança precisam:
• Eliminar tarefas manuais entediantes em atividades rotineiras de resposta ou
avaliação. O sistema precisa reduzir o número de tarefas manuais e repetitivas
associadas à investigação de um problema, como alternar entre consoles
e executar a mesma pesquisa em cinco ferramentas diferentes. Embora
essas tarefas não sejam eliminadas da noite para o dia, o sistema deve
reduzir consistentemente o número de etapas por incidentes.
• Usar o contexto de negócios para direcionar os analistas para os problemas que
causam maior impacto. As equipes de segurança precisam ser capazes de associar
os sistemas que monitoram e gerenciam aos aplicativos essenciais e aos processos
de negócios suportados por eles. Elas precisam entender as dependências entre
esses sistemas e terceiros, como provedores de serviços, e compreender o estado
atual de seu ambiente do ponto de vista de vulnerabilidade e conformidade.
• Apresentar apenas os dados mais relevantes aos analistas. Os profissionais de
segurança normalmente referem-se à redução dos “falsos positivos”. Na realidade,
os problemas são geralmente mais sutis do que falso versus verdadeiro. Em vez
disso, o sistema precisa eliminar o “ruído” e fornecer indicadores para os analistas
apurarem os problemas que causam maior impacto. O sistema também precisa
fornecer dados de suporte que destaquem os maiores problemas prováveis
e o motivo para ocorrerem.
• Aumentar o conhecimento humano. O sistema pode ajudar o analista a gastar
seu tempo analisando os itens mais críticos. Isso inclui fornecer técnicas
integradas para identificação dos problemas com prioridade mais alta, bem
como inteligência contra ameaças atuais que usa essas técnicas para identificar
ferramentas, técnicas e procedimentos mais recentes sendo usados pela
comunidade de invasores.
• Veja além do horizonte. A defesa contra ameaças modernas é também uma
corrida contra o tempo. O sistema precisa fornecer um modelo de advertência
antecipado e finalmente preditivo, combinando inteligência contra ameaças
externas à conscientização situacional interna para mover a equipe de segurança
de uma defesa passiva para a defesa ativa e a prevenção.
SECURITY ANALYTICS: UMA ABORDAGEM EM FASES
PARA “BIG DATA” Embora as técnicas avançadas, como lógica preditiva e inferência estatística, sejam provavelmente importantes no futuro, é importante que as equipes de segurança comecem a se concentrar em abordagens básicas e em fases.
• Comece pela implementação de uma infraestrutura de dados de segurança que
possa crescer com você. Isso envolve a implementação de uma arquitetura que
seja capaz de coletar informações detalhadas sobre registros, sessões de rede,
vulnerabilidades, configurações e identidades, e também inteligência humana
sobre o que os sistemas fazem e como eles funcionam. Embora você possa
começar pequeno, o sistema precisa basear-se em uma arquitetura sólida e
distribuída para garantir o dimensionamento à medida que seus requisitos
evoluem. O sistema deve dar suporte aos domínios lógicos de confiança, inclusive
jurisdições legais, bem como dados para unidades de negócios ou diferentes
projetos. O sistema precisa ser capaz de manipular e aproveitar esses dados com
rapidez e facilidade (por exemplo, mostrar todos os registros, sessões de rede
e resultados de verificação de determinado endereço IP e sua comunicação com
um sistema financeiro de produção).
• Implemente ferramentas analíticas básicas para automatizar as interações
humanas repetitivas. Normalmente, um objetivo de curto prazo é criar um modelo
que correlacione informações visualmente a fim de reduzir o número de etapas
necessárias para reunir todas essas informações em uma exibição (por exemplo,
mostrar todos os registros e sessões de rede que envolvem sistemas que dão
suporte ao processamento de transações de cartão de crédito e que sejam
vulneráveis a um ataque já verificado em outras partes da empresa).
• Crie visualizações e resultados que deem suporte às principais funções de
segurança. Alguns analistas precisarão ver apenas os eventos mais suspeitos
com algum detalhe de suporte. Os analistas de malware precisarão de uma lista
priorizada de arquivos suspeitos e dos motivos pelos quais eles são suspeitos.
Os analistas de perícia forense de rede precisarão de resultados detalhados
de consultas complexas. Outros precisarão revisar relatórios de conformidade
agendados ou relatórios gerais usados para identificar tendências ou áreas para
aprimoramento no sistema. O sistema também precisa ser aberto para permitir que
outro sistema acesse os dados e use-os para agir contra um invasor, como colocar
em quarentena ou intensificar o monitoramento sobre o que eles estão fazendo.
Figura 3. Etapas para a implementação de big data no gerenciamento de segurança
• Adicione mais métodos analíticos inteligentes. Só nesse ponto é que a lógica mais
complexa pode ser aplicada aos dados para dar suporte a essas funções. Essa
lógica pode incluir uma combinação de técnicas analíticas, como regras definidas
para identificar um comportamento provavelmente ruim ou conhecido como bom.
Ela também pode incorporar técnicas avançadas de linha de base e criação de
perfil comportamental que implementam técnicas estatísticas mais avançadas,
como a inferência bayesiana ou a modelagem preditiva. Essas técnicas analíticas
podem ser usadas juntas para criar um “modelo de influência” (um modelo que
combina indicadores diferentes para “classificar” os problemas que o sistema
identificou, a fim de levar o analista às áreas que exigem atenção mais urgente).
• Aprimore o modelo continuamente. Depois que o sistema estiver em
funcionamento, ele precisará ser ajustado continuamente para responder aos
vetores de ameaças em desenvolvimento e às alterações para a organização.
O sistema precisará ter habilidade para ajustar regras e modelos para eliminar
o ruído, consumir dados adicionais dentro e fora da organização e incorporar
funções de autoaprendizagem para aumentar o sucesso geral do sistema.
O sistema precisará desenvolver-se e expandir-se para responder às mudanças no
ambiente de TI à medida que novos serviços e aplicativos de TI são disponibilizados
on-line, criando um ciclo de evolução e aprimoramento constantes. Em cada ponto,
o sistema precisará aproveitar a inteligência externa como informações para o modelo.
Isso significa que o sistema precisará ter um modo automatizado de consumir feeds
externos de fontes de inteligência contra ameaças; informações estruturadas, inclusive
listas negras, regras ou consultas; inteligência não estruturada (inclusive pastebins,
feeds do Twitter ou conversas de IRC); e inteligência de painéis de mensagens ou
anotações internas de ligações ou reuniões internas. O sistema também deve ser
capaz de facilitar a colaboração acerca do conhecimento compartilhado. O sistema
deve compartilhar resultados de consulta ou inteligência não estruturada
publicamente, ou em um modelo controlado com comunidades de interesse
confiáveis ou com base em “quem precisa saber”.
A INFRAESTRUTURA BÁSICA FORMA O CAMINHO
PARA TÉCNICAS MAIS SOFISTICADAS As equipes de segurança aumentarão bastante a probabilidade de sucesso na
implementação de “big data” na segurança se se concentrarem primeiro em criar uma
arquitetura dimensionável e implementar ferramentas para eliminar tarefas sem valor
agregado. Isso dará “vitórias rápidas”, fornecerá uma plataforma sólida e liberará a
equipe para se concentrar na implementação e no gerenciamento de ferramentas
analíticas mais complexas. Fazer isso de modo adequado:
• Aumentará a eficiência dos analistas de segurança. O número de “problemas
por turno” que os analistas podem verificar pode aumentar de alguns para
uma dezena ou até mais.
• Reduzirá o tempo disponível dos invasores e, assim, o impacto das ameaças nos
negócios. Os analistas se sentirão mais atraídos automaticamente por aquelas
ações que têm maior probabilidade de causar problemas e as solucionarão antes
que afetem negativamente os negócios.
Sem essa base ou um objetivo claro e concreto em mente, uma iniciativa de big data
poderia ter dificuldades e não trazer nenhum dos ganhos esperados.
RSA SECURITY MANAGEMENT: UMA BASE SÓLIDA PARA INFRAESTRUTURA, LÓGICA E INTELIGÊNCIA.
O portfólio do RSA Security Management fornece aos clientes:
• Visibilidade abrangente da infraestrutura. A RSA fornece uma infraestrutura
comprovada com a capacidade de coletar todos os tipos de dados de segurança,
em escala e de todos os tipos de fontes de dados. Isso fornece aos analistas um
só lugar para ver dados sobre ameaças avançadas e a atividade do usuário
a partir de dados obtidos diretamente da rede ou de sistemas-chave.
A infraestrutura da RSA também fornece uma arquitetura unificada para lógica
em tempo real, bem como consulta histórica e atual. Isso fornece uma
abordagem completa à criação de alertas em tempo real, análise investigativa,
medidas e análise de tendências e retenção e arquivamento históricos.
• Lógica ágil. A plataforma da RSA fornece aos analistas as ferramentas para
execução de investigações rápidas, inclusive ferramentas intuitivas para
investigação apresentadas para rápida análise, com pesquisa detalhada
e incorporação de contexto de negócios para elaborar melhor o processo de
tomada de decisão. A abordagem da RSA fornece a habilidade de apurar os
usuários e pontos periféricos mais suspeitos conectados à sua infraestrutura e os
sinais relevantes de atividade maliciosa por meio da lógica livre de assinatura.
A substituição completa da sessão fornece a habilidade de recriar e reproduzir
exatamente o que aconteceu.
• Inteligência acionável. A inteligência contra ameaças fornecida pela RSA ajuda
os analistas de segurança a obter maior valor dos produtos da RSA incorporando
feeds de informações atuais sobre ameaças. A equipe de pesquisa de ameaças
da RSA fornece inteligência de propriedade particular de uma comunidade de
especialistas em segurança, incorporada automaticamente em nossas ferramentas
por meio de regras, relatórios, analisadores e listas de observação. Isso permite que
os analistas obtenham percepções das ameaças de dados coletados na empresa e
priorizem as ações de resposta incorporando informações de negócios que mostram
a relação entre os sistemas envolvidos e as funções de negócios sob suporte.
• Gerenciamento otimizado de incidentes. Os produtos da RSA ajudam as equipes
de segurança a simplificar o variado conjunto de atividades relacionadas à
preparação e à resposta, fornecendo um sistema de workflow para definir e ativar
processos de resposta, além de ferramentas para rastrear problemas abertos
atuais, tendências e lições aprendidas. Serviços líderes do setor para ajudar a
preparar, detectar e responder aos incidentes. A plataforma integra-se ao portfólio
da RSA e a ferramentas de terceiros para trocar informações com uma ampla
gama de ferramentas necessárias para identificar e lidar com incidentes e
simplificar o gerenciamento de conformidade.
FALE CONOSCO Para saber mais sobre como produtos, serviços e soluções EMC ajudam a superar seus desafios de negócios e de TI, entre em contato com seu
representante local ou revendedor autorizado ou visite nosso site brazil.emc.com/rsa.
EMC2, EMC, o logotipo da EMC, [adicione outras marcas comerciais de produtos aplicáveis em ordem alfabética] são marcas registradas ou comerciais da EMC Corporation nos Estados Unidos e em outros países. VMware [adicione outras conforme descrito acima, se necessário] é[são] marca[s] registrada[s] ou comercial[comerciais] da VMware, Inc. nos Estados Unidos e em outras jurisdições. © Copyright 2012 EMC Corporation. Todos os direitos reservados. 0812 Visão geral da solução HSMCBD0812 A EMC assegura que as informações apresentadas neste documento estão corretas. As informações estão sujeitas a alterações sem prévio aviso.