A REALIDADE SOBRE GERENCIAMENTO DE SEGURANÇA E “BIG DATA” Um roteiro para “big data” no Security Analytics

PRINCIPAIS BENEFÍCIOS Este documento analisa:

• O aumento da complexidade

do ambiente de gerenciamento

de segurança, das ameaças ao

ambiente de TI até às exigências

de conformidade.

• Como obter mais significado dos

dados já coletados, “eliminando

o palheiro” em vez de “procurar

agulha nele”.

• A combinação de infraestrutura,

ferramentas de lógica

e inteligência contra ameaças

precisava impulsionar o valor

comercial de big data.

Esse é um excelente momento, embora desafiador, para ser profissional de segurança.

As ameaças à segurança estão se tornando mais agressivas e vorazes. Os governos

e os órgãos do setor estão se tornando mais precisos em relação à conformidade.

Combinado a ambientes de TI exponencialmente mais complexos, o gerenciamento

de segurança está ficando cada vez mais desafiador. Além disso, as novas tecnologias

de “big data” têm como objetivo trazer técnicas de lógica avançadas, como análise

preditiva, e técnicas estatísticas avançadas para perto dos profissionais de segurança.

Dado o estado dos sistemas de segurança atuais, a maioria das organizações está

muito longe do uso desses tipos de tecnologias avançadas para gerenciamento de

segurança. Os profissionais de segurança precisam obter mais valor dos dados já

coletados e analisados. Eles também precisam de melhor compreensão dos desafios

atuais e dos desafios iminentes relacionados aos dados. Começar com recursos básicos

de lógica e gerenciamento de conjunto de dados permite que as organizações criem

e dimensionem efetivamente o gerenciamento de segurança à medida que a empresa

evolui para superar os desafios de big data.

O CENÁRIO ATUAL DE SEGURANÇA NÃO DÁ ESPAÇO PARA A SEGURANÇA IMEDIATA Quando se lida com “big data”, o volume e os tipos de dados sobre TI e negócios

também são grandes demais para serem processados de modo assistemático. Além

disso, está ficando cada vez mais difícil proteger as informações significativas dos

dados que estão sendo coletados.

Apesar do investimento significativo em segurança das informações, os invasores parecem

ter o controle. De acordo com o relatório 2012 da Verizon sobre investigações de violações

de dados, 91% das violações levaram ao comprometimento de dados em dias ou menos,

enquanto 79% das violações demoraram semanas ou até mais para serem detectadas.

Existem vários fatores que explicam isso:

• Os invasores estão ficando cada vez mais organizados e melhor financiados.

No entanto, enquanto os ataques estão ficando cada vez mais dinâmicos, as

defesas permanecem estáticas. Os ataques atuais são projetados para explorar

as fraquezas de nossas infraestruturas hiperconectadas e centradas no usuário.

• As organizações vinculadas à TI continuam a crescer de modo mais complexo.

Agora as organizações exigem muito mais sistemas abertos e ágeis, criando novas

oportunidades incríveis para colaboração, comunicação e inovação. Isso também

resulta em novas vulnerabilidades que cibercriminosos, grupos de hackers e

agentes nacionais aprenderam a explorar.

• A conformidade está muito mais longe de ser alcançada. Reguladores e legisladores

estão ficando mais explícitos. As empresas, especialmente aquelas com várias linhas

de negócios ou operações internacionais, enfrentam tempos cada vez mais difíceis

para rastrear controles atuais que estão em vigor, controles que são necessários e

como garantir que esses controles sejam gerenciados de modo adequado.

O efeito combinado desses fatores nos ambientes de TI torna o gerenciamento de

segurança muito mais complexo, com muito mais interdependência e um escopo

mais amplo de responsabilidade. À medida que mais processos de negócios se tornam

digitalizados, as equipes de segurança têm a oportunidade e o desafio de coletar e

gerenciar mais dados. Os investimentos estão cada vez maiores em ferramentas de

gerenciamento de registros, gerenciamento de vulnerabilidade, gerenciamento de

identidade e gerenciamento de configuração. Entretanto, as violações continuam

acontecendo, causando mais interrupções e gastos do que nunca.

OS TRÊS CONCEITOS BÁSICOS DO BIG DATA EM GERENCIAMENTO DE SEGURANÇA Uma estratégia real de “big data” para o gerenciamento de segurança deve abranger todos estes três aspectos para solucionar adequadamente os problemas à mão: infraestrutura, ferramentas analíticas e inteligência.

Figura 1. Os pilares de big data em gerenciamento de segurança

Para extrair valor dos dados coletados, obter eficiência das atividades de

gerenciamento de ameaças e usar as atividades de conformidade para orientar

a tomada de decisões, as equipes de segurança precisam adotar uma abordagem

de “big data” para o gerenciamento de segurança. Isso significa ter:

• Uma infraestrutura ágil de scale out para responder às mudanças no ambiente de TI e

às ameaças em evolução. O gerenciamento de segurança precisa dar suporte a novas

iniciativas de negócios que afetam a TI, de novos aplicativos a novos modelos de

entrega como mobilidade, virtualização, computação em nuvem e terceirização.

A infraestrutura de gerenciamento de segurança deve ser capaz de coletar e gerenciar

dados de segurança em escala corporativa e deve ser dimensionada de acordo com

as exigências atuais das empresas, física e economicamente. Isso significa fazer

“scale out” em vez de “scale up”, pois a centralização de todos esses dados será

praticamente impossível. Além disso, a infraestrutura precisa se estender com mais

facilidade para adaptar-se a novos ambientes e desenvolver-se rapidamente para dar

suporte à análise das ameaças em evolução.

• Ferramentas de lógica e visualização que dão suporte a especialidades de analistas

de segurança. Os profissionais de segurança exigem ferramentas analíticas

especializadas para dar suporte a seu trabalho. Alguns analistas exigem

ferramentas para facilitar a identificação básica de eventos com alguns detalhes

do suporte. Os gerentes podem exigir visualização de alto nível e análise de

tendências de medidas-chave. Os analistas de malware precisam de arquivos

suspeitos reconstruídos e ferramentas para automatizar o teste desses arquivos.

Os analistas de perícia forense de rede precisam da reconstrução completa de

todas as informações de rede e registro sobre uma sessão para determinar

precisamente o que aconteceu.

• Inteligência contra ameaças para aplicar técnicas analíticas de dados às

informações coletadas. As organizações exigem uma exibição do ambiente atual

de ameaças externas para correlação com as informações reunidas da própria

organização. Essa correlação é importante para os analistas obterem uma

compreensão clara dos indicadores de ameaças atuais e sobre o que procurar.

O “big data” não significa simplesmente “muitos dados”. Ele exige significativamente mais lógica inteligente para identificar as ameaças de segurança mais cedo, com a infraestrutura para coletar e processar dados em escala.

“BIG DATA” IMPULSIONA UMA SEGURANÇA PRODUTIVA E EFICIENTE O gerenciamento bem-sucedido de segurança para “big data” exige um sistema que possa extrair e apresentar dados-chave para analistas de modo mais rápido e eficiente.

Figura 2. Requisitos para um sistema de big data de gerenciamento de segurança

As organizações de segurança hoje precisam adotar uma abordagem de “big data”,

inclusive a compreensão dos adversários, a determinação de quais dados são

necessários para dar suporte às decisões e operacionalizar um modelo para dar

suporte a essas atividades. Quando se fala de “big data” neste contexto, trata-se

da criação de uma base para lógica útil, em vez da execução precipitada de um

projeto avançado de ciência de dados. Sistemas bem-sucedidos de “big data”

para organizações de segurança precisam:

• Eliminar tarefas manuais entediantes em atividades rotineiras de resposta ou

avaliação. O sistema precisa reduzir o número de tarefas manuais e repetitivas

associadas à investigação de um problema, como alternar entre consoles

e executar a mesma pesquisa em cinco ferramentas diferentes. Embora

essas tarefas não sejam eliminadas da noite para o dia, o sistema deve

reduzir consistentemente o número de etapas por incidentes.

• Usar o contexto de negócios para direcionar os analistas para os problemas que

causam maior impacto. As equipes de segurança precisam ser capazes de associar

os sistemas que monitoram e gerenciam aos aplicativos essenciais e aos processos

de negócios suportados por eles. Elas precisam entender as dependências entre

esses sistemas e terceiros, como provedores de serviços, e compreender o estado

atual de seu ambiente do ponto de vista de vulnerabilidade e conformidade.

• Apresentar apenas os dados mais relevantes aos analistas. Os profissionais de

segurança normalmente referem-se à redução dos “falsos positivos”. Na realidade,

os problemas são geralmente mais sutis do que falso versus verdadeiro. Em vez

disso, o sistema precisa eliminar o “ruído” e fornecer indicadores para os analistas

apurarem os problemas que causam maior impacto. O sistema também precisa

fornecer dados de suporte que destaquem os maiores problemas prováveis

e o motivo para ocorrerem.

• Aumentar o conhecimento humano. O sistema pode ajudar o analista a gastar

seu tempo analisando os itens mais críticos. Isso inclui fornecer técnicas

integradas para identificação dos problemas com prioridade mais alta, bem

como inteligência contra ameaças atuais que usa essas técnicas para identificar

ferramentas, técnicas e procedimentos mais recentes sendo usados pela

comunidade de invasores.

• Veja além do horizonte. A defesa contra ameaças modernas é também uma

corrida contra o tempo. O sistema precisa fornecer um modelo de advertência

antecipado e finalmente preditivo, combinando inteligência contra ameaças

externas à conscientização situacional interna para mover a equipe de segurança

de uma defesa passiva para a defesa ativa e a prevenção.

SECURITY ANALYTICS: UMA ABORDAGEM EM FASES

PARA “BIG DATA” Embora as técnicas avançadas, como lógica preditiva e inferência estatística, sejam provavelmente importantes no futuro, é importante que as equipes de segurança comecem a se concentrar em abordagens básicas e em fases.

• Comece pela implementação de uma infraestrutura de dados de segurança que

possa crescer com você. Isso envolve a implementação de uma arquitetura que

seja capaz de coletar informações detalhadas sobre registros, sessões de rede,

vulnerabilidades, configurações e identidades, e também inteligência humana

sobre o que os sistemas fazem e como eles funcionam. Embora você possa

começar pequeno, o sistema precisa basear-se em uma arquitetura sólida e

distribuída para garantir o dimensionamento à medida que seus requisitos

evoluem. O sistema deve dar suporte aos domínios lógicos de confiança, inclusive

jurisdições legais, bem como dados para unidades de negócios ou diferentes

projetos. O sistema precisa ser capaz de manipular e aproveitar esses dados com

rapidez e facilidade (por exemplo, mostrar todos os registros, sessões de rede

e resultados de verificação de determinado endereço IP e sua comunicação com

um sistema financeiro de produção).

• Implemente ferramentas analíticas básicas para automatizar as interações

humanas repetitivas. Normalmente, um objetivo de curto prazo é criar um modelo

que correlacione informações visualmente a fim de reduzir o número de etapas

necessárias para reunir todas essas informações em uma exibição (por exemplo,

mostrar todos os registros e sessões de rede que envolvem sistemas que dão

suporte ao processamento de transações de cartão de crédito e que sejam

vulneráveis a um ataque já verificado em outras partes da empresa).

• Crie visualizações e resultados que deem suporte às principais funções de

segurança. Alguns analistas precisarão ver apenas os eventos mais suspeitos

com algum detalhe de suporte. Os analistas de malware precisarão de uma lista

priorizada de arquivos suspeitos e dos motivos pelos quais eles são suspeitos.

Os analistas de perícia forense de rede precisarão de resultados detalhados

de consultas complexas. Outros precisarão revisar relatórios de conformidade

agendados ou relatórios gerais usados para identificar tendências ou áreas para

aprimoramento no sistema. O sistema também precisa ser aberto para permitir que

outro sistema acesse os dados e use-os para agir contra um invasor, como colocar

em quarentena ou intensificar o monitoramento sobre o que eles estão fazendo.

Figura 3. Etapas para a implementação de big data no gerenciamento de segurança

• Adicione mais métodos analíticos inteligentes. Só nesse ponto é que a lógica mais

complexa pode ser aplicada aos dados para dar suporte a essas funções. Essa

lógica pode incluir uma combinação de técnicas analíticas, como regras definidas

para identificar um comportamento provavelmente ruim ou conhecido como bom.

Ela também pode incorporar técnicas avançadas de linha de base e criação de

perfil comportamental que implementam técnicas estatísticas mais avançadas,

como a inferência bayesiana ou a modelagem preditiva. Essas técnicas analíticas

podem ser usadas juntas para criar um “modelo de influência” (um modelo que

combina indicadores diferentes para “classificar” os problemas que o sistema

identificou, a fim de levar o analista às áreas que exigem atenção mais urgente).

• Aprimore o modelo continuamente. Depois que o sistema estiver em

funcionamento, ele precisará ser ajustado continuamente para responder aos

vetores de ameaças em desenvolvimento e às alterações para a organização.

O sistema precisará ter habilidade para ajustar regras e modelos para eliminar

o ruído, consumir dados adicionais dentro e fora da organização e incorporar

funções de autoaprendizagem para aumentar o sucesso geral do sistema.

O sistema precisará desenvolver-se e expandir-se para responder às mudanças no

ambiente de TI à medida que novos serviços e aplicativos de TI são disponibilizados

on-line, criando um ciclo de evolução e aprimoramento constantes. Em cada ponto,

o sistema precisará aproveitar a inteligência externa como informações para o modelo.

Isso significa que o sistema precisará ter um modo automatizado de consumir feeds

externos de fontes de inteligência contra ameaças; informações estruturadas, inclusive

listas negras, regras ou consultas; inteligência não estruturada (inclusive pastebins,

feeds do Twitter ou conversas de IRC); e inteligência de painéis de mensagens ou

anotações internas de ligações ou reuniões internas. O sistema também deve ser

capaz de facilitar a colaboração acerca do conhecimento compartilhado. O sistema

deve compartilhar resultados de consulta ou inteligência não estruturada

publicamente, ou em um modelo controlado com comunidades de interesse

confiáveis ou com base em “quem precisa saber”.

A INFRAESTRUTURA BÁSICA FORMA O CAMINHO

PARA TÉCNICAS MAIS SOFISTICADAS As equipes de segurança aumentarão bastante a probabilidade de sucesso na

implementação de “big data” na segurança se se concentrarem primeiro em criar uma

arquitetura dimensionável e implementar ferramentas para eliminar tarefas sem valor

agregado. Isso dará “vitórias rápidas”, fornecerá uma plataforma sólida e liberará a

equipe para se concentrar na implementação e no gerenciamento de ferramentas

analíticas mais complexas. Fazer isso de modo adequado:

• Aumentará a eficiência dos analistas de segurança. O número de “problemas

por turno” que os analistas podem verificar pode aumentar de alguns para

uma dezena ou até mais.

• Reduzirá o tempo disponível dos invasores e, assim, o impacto das ameaças nos

negócios. Os analistas se sentirão mais atraídos automaticamente por aquelas

ações que têm maior probabilidade de causar problemas e as solucionarão antes

que afetem negativamente os negócios.

Sem essa base ou um objetivo claro e concreto em mente, uma iniciativa de big data

poderia ter dificuldades e não trazer nenhum dos ganhos esperados.

RSA SECURITY MANAGEMENT: UMA BASE SÓLIDA PARA INFRAESTRUTURA, LÓGICA E INTELIGÊNCIA.

O portfólio do RSA Security Management fornece aos clientes:

• Visibilidade abrangente da infraestrutura. A RSA fornece uma infraestrutura

comprovada com a capacidade de coletar todos os tipos de dados de segurança,

em escala e de todos os tipos de fontes de dados. Isso fornece aos analistas um

só lugar para ver dados sobre ameaças avançadas e a atividade do usuário

a partir de dados obtidos diretamente da rede ou de sistemas-chave.

A infraestrutura da RSA também fornece uma arquitetura unificada para lógica

em tempo real, bem como consulta histórica e atual. Isso fornece uma

abordagem completa à criação de alertas em tempo real, análise investigativa,

medidas e análise de tendências e retenção e arquivamento históricos.

• Lógica ágil. A plataforma da RSA fornece aos analistas as ferramentas para

execução de investigações rápidas, inclusive ferramentas intuitivas para

investigação apresentadas para rápida análise, com pesquisa detalhada

e incorporação de contexto de negócios para elaborar melhor o processo de

tomada de decisão. A abordagem da RSA fornece a habilidade de apurar os

usuários e pontos periféricos mais suspeitos conectados à sua infraestrutura e os

sinais relevantes de atividade maliciosa por meio da lógica livre de assinatura.

A substituição completa da sessão fornece a habilidade de recriar e reproduzir

exatamente o que aconteceu.

• Inteligência acionável. A inteligência contra ameaças fornecida pela RSA ajuda

os analistas de segurança a obter maior valor dos produtos da RSA incorporando

feeds de informações atuais sobre ameaças. A equipe de pesquisa de ameaças

da RSA fornece inteligência de propriedade particular de uma comunidade de

especialistas em segurança, incorporada automaticamente em nossas ferramentas

por meio de regras, relatórios, analisadores e listas de observação. Isso permite que

os analistas obtenham percepções das ameaças de dados coletados na empresa e

priorizem as ações de resposta incorporando informações de negócios que mostram

a relação entre os sistemas envolvidos e as funções de negócios sob suporte.

• Gerenciamento otimizado de incidentes. Os produtos da RSA ajudam as equipes

de segurança a simplificar o variado conjunto de atividades relacionadas à

preparação e à resposta, fornecendo um sistema de workflow para definir e ativar

processos de resposta, além de ferramentas para rastrear problemas abertos

atuais, tendências e lições aprendidas. Serviços líderes do setor para ajudar a

preparar, detectar e responder aos incidentes. A plataforma integra-se ao portfólio

da RSA e a ferramentas de terceiros para trocar informações com uma ampla

gama de ferramentas necessárias para identificar e lidar com incidentes e

simplificar o gerenciamento de conformidade.

FALE CONOSCO Para saber mais sobre como produtos, serviços e soluções EMC ajudam a superar seus desafios de negócios e de TI, entre em contato com seu

representante local ou revendedor autorizado ou visite nosso site brazil.emc.com/rsa.

EMC2, EMC, o logotipo da EMC, [adicione outras marcas comerciais de produtos aplicáveis em ordem alfabética] são marcas registradas ou comerciais da EMC Corporation nos Estados Unidos e em outros países. VMware [adicione outras conforme descrito acima, se necessário] é[são] marca[s] registrada[s] ou comercial[comerciais] da VMware, Inc. nos Estados Unidos e em outras jurisdições. © Copyright 2012 EMC Corporation. Todos os direitos reservados. 0812 Visão geral da solução HSMCBD0812 A EMC assegura que as informações apresentadas neste documento estão corretas. As informações estão sujeitas a alterações sem prévio aviso.