CRIANDO UM CENTRO DE OPERAÇÕES DE
SEGURANÇA ORIENTADO POR INTELIGÊNCIA
Fevereiro de 2013
Principais pontos
•É quase impossível prevenir invasões e ataques cibernéticos, dada a abertura das redes
hoje e a sofisticação cada vez maior das ameaças avançadas. Em resposta, a prática de
segurança cibernética deve se concentrar em garantir que a invasão e a transgressão
não resultem em perda ou danos para os negócios.
•As organizações precisam mudar mais recursos de segurança da prevenção à invasão
para detecção e correção mais rápidas das ameaças.
•O aprimoramento da detecção e da resposta exige uma abordagem de segurança
orientada por inteligência, que ajuda as organizações a usar todas as informações
relacionadas à segurança disponíveis em fontes internas e externas para detectar
ameaças ocultas e até mesmo prever ameaças futuras.
•É essencial otimizar o modo como as tecnologias de segurança, as equipes e os
processos trabalham juntos para dimensionar os recursos de segurança conforme
os riscos crescentes trazidos pelas ameaças cibernéticas avançadas, tudo isso ao
mesmo tempo que você fornece eficiência e valor para a organização.
•A automação da tecnologia pode ajudar os analistas a aproveitar o tempo ao máximo,
reduzindo a carga de trabalho para fechar incidentes de rotina e de nível mais baixo.
A automação libera os analistas para se concentrarem em riscos com maior prioridade
que afetam os ativos mais essenciais da organização.
•A configuração dos processos de segurança para automatizar tarefas repetitivas e integrar
workflows relacionados é possivelmente o passo mais benéfico que os SOCs (Security
Operations Centers, centros de operações de segurança) podem dar para impulsionar
a produtividade, impor políticas e implementar práticas recomendadas de detecção
e resposta às ameaças.
•Os SOCs precisarão criar equipes colaborativas e interdisciplinares com conjuntos de
habilidades altamente especializadas para combater as ameaças cibernéticas avançadas.
O setor de segurança, no entanto, enfrenta uma grave redução de habilidades e pessoal
qualificado. Aproveitar a tecnologia mais recente para automação com economia de
tempo e complementação dos recursos no local com expertise terceirizada pode ajudar
as organizações a gerenciar a falta de habilidades e recursos.
Resumo técnico da RSA
•Os resultados das melhores equipes de operações de segurança mostram o impacto
de otimizar a influência mútua de pessoas, processos e tecnologias nas operações
de segurança. Tendo por trás um programa de segurança orientado por inteligência,
as organizações líderes podem alcançar resultados como a redução de até 60% no
tempo médio para resolver incidentes.
Resumo técnico da RSA, fevereiro de 2013
Conteúdo
Nivelando o cenário de ameaças com análise lógica de big data......................................3
Alinhando pessoas, processo e tecnologia para
dimensionar a segurança conforme as ameaças...............................................................4
Alinhamento de tecnologias: Big data e automação..................................................4
Alinhamento de processos: o melhor impulsionador da produtividade......................6
Alinhamento de pessoas: Novas habilidades necessárias.........................................7
Segurança no trabalho orientada por inteligência............................................................8
Organização convergente para gerenciamento de riscos e segurança........................8
Infraestrutura convergente para monitoramento e gerenciamento de segurança........8
Automatizando o uso de inteligência e dados de incidentes..............................9
Automatizando a coleta de big data.................................................................11
Automatizando a análise lógica baseada em host............................................11
Resultados da EMC quanto ao alinhamento por trás
da segurança orientada por inteligência.................................................................12
Apêndice: Soluções RSA de segurança orientada por inteligência...................................13
A perfeição em segurança (a meta de eliminar a violação) não é só impossível, é também
impraticável. Isso porque os inimigos sofisticados aprenderam a criar técnicas de ataque que
burlam medidas preventivas de segurança como antivírus, firewalls e senhas. Os inimigos
também têm muito cuidado para encobrir seus ataques e ficam ocultos nos ambientes
de TI, às vezes por semanas ou até meses depois que conseguem entrar. A complexidade da
maioria dos ambientes de TI corporativos, combinada à superioridade dos serviços móveis e
em nuvem e à expansão do fácil acesso às redes corporativas para terceiros externos, dá aos
invasores muitos locais para se esconderem e muito mais pontos de possível invasão.
Apesar do aumento de ataques e riscos cibernéticos, as equipes de segurança enfrentam
limitações persistentes de orçamento e recursos na proteção dos ativos de informações
valiosas da organização. Na TI, o gasto percentual com segurança passou de 6% em 2008
para 5,6% em 2012, segundo um relatório da Gartner que faz referência aos gastos e à
equipe de segurança.1 No mesmo relatório, a Gartner relatou uma diminuição no gasto
com segurança, de US$ 636 por funcionário em 2008 para US$ 577 por funcionário em
2012. Essas tendências indicam que as equipes de segurança devem aprender a fazer
mais com menos.
A maior parte do gasto com segurança ainda é investida em várias ferramentas baseadas
em perímetro e focadas em prevenção que os ataques cibernéticos avançados tornaram
ainda mais obsoletas. A meta de segurança cibernética que mais sofre pressão, agora
e no futuro, deveria ser a de prevenir danos ou perda de negócios – não a de prevenir
invasão e comprometimento.
A melhor forma de prevenir danos aos negócios é detectar e corrigir ataques cibernéticos
rapidamente. Para fazer isso, as organizações devem alocar um grande compartilhamento
de seus investimentos em segurança para aprimorar os recursos na detecção e na
resposta às ameaças. Primeiro, elas devem obter visibilidade completa sobre o que está
acontecendo em seus ambientes de TI. Depois, devem expandir a exibição para incluir
inteligência contra ameaças externas. As organizações terão de aprender a usar novos
tipos de dados de segurança — e muito mais.
1 Gartner Inc., “IT Key Metrics Data 2013: Key Information Security Measures: Multiyear”
(14 de dezembro de 2012), página 7–10
Resumo técnico da RSA, fevereiro de 2013
Nivelando o cenário de ameaças com análise lógica
de big data
Uma nova geração de ferramentas de segurança usa técnicas inovadoras para coletar
e analisar volumes de dados em grande escala: dados de PCs, dispositivos móveis e
servidores; dados de redes internas, inclusive a composição e o conteúdo dos pacotes
de rede; e o conhecimento de ameaças sobre ataques em outras organizações e as
ferramentas e os métodos usados. Além da análise dessas fontes de informações
tradicionais, as ferramentas de segurança de big data também podem contribuir com
informações de fontes não tradicionais, como scanners do cartão-chave em prédios, registros
de pessoal e até mesmo calendários do Microsoft Outlook®. Esses dados podem ser usados,
por exemplo, para avaliar a legitimidade de log-ins remotos feitos por funcionários.
A enorme visibilidade fornecida pelos recursos de big data das novas plataformas de
análise lógica de segurança cria oportunidades inigualáveis para identificar anomalias,
encontrar evidências de ameaças ocultas ou até mesmo prever ataques específicos
e iminentes. Um volume maior de dados cria uma visão mais detalhada e granular:
ela apresenta o cenário da ameaça em alta definição, em oposição ao tradicional preto e
branco. Os detalhes relacionados à segurança podem ser vistos com foco mais preciso e as
irregularidades podem ser encontradas com mais rapidez. Além disso, como as plataformas
de análise lógica de segurança integram inteligência de ameaças de fontes externas, as
organizações veem o cenário de ameaças como um panorama, e não apenas pelo estreito
orifício de seus próprios ambientes internos de TI. A visibilidade aprimorada levará ao
aumento dos recursos de segurança, expandindo amplamente as opções de atuação dos
SOCs e de resposta às ameaças futuras.
Os avanços da tecnologia nos sistemas de big data e análise lógica de segurança estão
começando a fornecer os recursos “imagine se”. Os limites do que é imaginável agora
estão sendo explorados pelos profissionais de operações de segurança e pelos líderes
de negócios.
Para as organizações preocupadas com ameaças cibernéticas avançadas, esses cenários
“imagine se” normalmente se concentram em injetar melhor contexto e inteligência nas
práticas de segurança. Por exemplo, se aplicarmos novas abordagens analíticas aos
dados históricos, o que poderemos aprender? O que os ataques cibernéticos que
encontramos nos dizem sobre os riscos operacionais e comerciais? Se adicionarmos
novas fontes de registro ou feeds externos de inteligência a nosso data warehouse, que
modelos poderemos procurar que você jamais imaginaria ver? Que tipos de inteligência
podem nos ajudar a encontrar ameaças de modo mais rápido?
O Security for Business Innovation Council, grupo composto pelos principais executivos
de segurança de empresas da lista Global 1000, aconselha as organizações a utilizar
uma abordagem chamada “Segurança orientada por inteligência”, com uso intenso
de dados, para proteger informações essenciais e ativos de negócios.2 As práticas
de segurança orientadas por inteligência ajudam as organizações a usar todas as
informações relacionadas à segurança disponíveis, interna e externamente, para
detectar ameaças ocultas e até mesmo prever ameaças futuras. A segurança orientada
por inteligência faz as organizações reduzirem a confiança na defesa de perímetro e nas
ferramentas de varredura baseadas em assinatura, que identificam apenas os modos de
ataque que foram encontrados no passado. Em vez disso, as organizações devem
procurar atividades e padrões suspeitos, atípicos para o ambiente, indicadores sutis mais
difíceis de detectar do que a correspondência de uma assinatura de malware.
A implementação de segurança orientada por inteligência exigirá que os SOCs
analisem suas organizações como um sistema abrangente e alinhem estreitamente
as ferramentas, os processos e a equipe de segurança. Alinhando pessoas, processos
e tecnologia, um SOC é essencial para dimensionar os recursos de segurança conforme
os riscos crescentes trazidos pelas ameaças cibernéticas avançadas – e fazê-lo com as
constantes limitações de tempo e orçamento.
2 Para obter orientação sobre a implementação de programas de segurança orientados por inteligência, leia o
relatório do Security for Business Innovation Council “Getting Ahead of Advanced Threats: Achieving Intelligencedriven Information Security” (Ficando à frente das ameaças de segurança: alcançando segurança de informações
orientada por inteligência) na brazil.EMC.com.
página 3
Resumo técnico da RSA, fevereiro de 2013
Alinhando pessoas, processo e tecnologia para
dimensionar a segurança conforme as ameaças
A complexa influência entre pessoas, processos e tecnologias nas operações de
segurança torna um desafio ajustar qualquer elemento sem ajustar os outros. A harmonia
entre ferramentas, habilidades e metodologia em operações de segurança é essencial
para fornecer defesa em profundidade e proteger os ativos de informações essenciais da
organização. Além disso, aperfeiçoar a trilogia pessoas-processo-tecnologia pode liberar
eficiência operacional, automatizando as tarefas de rotina e simplificando os workflows.
O resultado é que os analistas de segurança gastarão muito menos tempo rastreando as
informações para uma investigação ou pesquisando o status de um incidente. Em vez
disso, eles podem dedicar seu tempo a fontes de inteligência mais valiosas, descobrindo
irregularidades sutis nos ambientes de TI que indiquem problemas sérios ou procurando
ameaças secretas com mais rapidez.
Pode ser desafiador colocar em vigor a combinação certa de tecnologias que funcionem
bem juntas, como parte de um programa de segurança orientado por inteligência. Mesmo
assim, as tecnologias que estão disponíveis agora para os SOCs podem ser a parte mais
madura na trilogia pessoas-processo-tecnologia. Embora novas ferramentas, como as
plataformas de análise lógica de segurança, sejam uma grande promessa, elas são tão
boas quanto as pessoas que as utilizam e as práticas recomendadas operacionais que
ajudam as grandes organizações a trabalhar juntas com eficiência.
Reunindo-se com centenas de organizações de clientes, a RSA acredita que as pessoas e
os processos são normalmente mais difíceis de alinhar em uma abordagem de segurança
orientada por inteligência do que a tecnologia. Isso ocorre porque o desenvolvimento, o
teste e a instituição de novos procedimentos de gerenciamento e resposta a incidentes
de segurança exigem expertise especializada e tempo. Também leva tempo para a equipe
de operações de segurança conhecer os processos comerciais essenciais da organização
bem o suficiente para defender-se de ataques.
A otimização da influência de pessoas, processo e tecnologia será diferente para
cada SOC, dependendo das condições e das necessidades exclusivas das organizações.
Independentemente, as diretrizes comuns podem se aplicar à maioria dos SOCs que se
esforçam para implementar uma abordagem de segurança orientada por inteligência.
Alinhamento de tecnologias: Big data e automação
Quando se alinha a tecnologia a um programa de segurança orientado por inteligência,
um bom ponto de partida é preparar um inventário das ferramentas de segurança e dos
ativos de informação existentes na organização. A organização está utilizando ao máximo
o que tem? Qual é a eficiência dos ativos técnicos no desempenho de suas funções?
Depois de um inventário inicial de tecnologia, vem uma exploração de como a segurança
pode ser aprimorada se novos recursos forem adicionados. Além da aquisição de novas
ferramentas, às vezes, novos recursos podem ser derivados usando dados existentes
de novas formas. A expansão dos recursos também pode ser uma questão de
estender a visibilidade do SOC sobre as redes da organização, internas e externas.
Que instrumentação adicional é necessária para monitorar os ambientes remotos ou
terceirizados? Como podem ser ajustadas ou adicionadas tecnologias para expandir
a visibilidade ou fornecer contexto valioso para avaliação de um incidente?
página 4
Resumo técnico da RSA, fevereiro de 2013
Em geral, à medida que os SOCs consideram o aprimoramento de seus recursos,
eles devem priorizar o investimento para atender os seguintes requisitos de tecnologia
de um programa de segurança orientada por inteligência:
•Mecanismos de análise lógica dimensionáveis, capazes de examinar amplos volumes
de dados que mudam rapidamente em tempo real, em vetores como geografia,
partições de rede e bancos de dados.
•Warehouse consolidado de dados de segurança para que todas as fontes sejam
disponibilizadas para consulta em um só lugar, como um repositório unificado ou,
mais provavelmente, como uma série de datastores interindexada.
•Painel de controle de gerenciamento centralizado para realizar e coordenar
investigações de incidentes e gerenciar as respostas a eles (por exemplo, bloqueio
de tráfego de rede, sistemas de quarentena ou solicitação de verificação adicional
da identidade do usuário).
•Arquitetura de dados flexível que permita que as informações de várias fontes em
muitos formatos diferentes sejam capturadas, indexadas, normalizadas, analisadas
e compartilhadas.
•Normalização de dados automatizada para que os mecanismos de análise lógica
possam se integrar e trabalhar com tipos de dados altamente diversificados com
o mínimo de intervenção humana.
•Técnicas de monitoramento baseadas em padrões que analisam continuamente os
sistemas de alto valor e os ativos de informações para identificar ameaças com base nos
modelos de comportamento e risco, e não apenas em assinaturas de ameaças estáticas.
•Rica correlação de informações de incidentes para que os dados relevantes às
investigações de incidentes sejam preenchidos automaticamente nos consoles de
gerenciamento de segurança, minimizando o tempo que os analistas devem gastar
coletando informações e avaliando os incidentes.
•Captura do pacote completo de rede permitindo que os analistas de segurança
reconstruam as sessões com detalhes suficientes para se saber o que aconteceu
e quais ações corretivas devem ser tomadas.
•Serviços de inteligência externa de ameaças que agregam informações de várias
fontes confiáveis e relevantes e as apresentam em formulários eletrônicos que
podem ser correlacionados e analisados juntamente com os dados internos com
mínima intervenção humana.
•Controles e contramedidas ativas como a solicitação de autenticação de usuário
adicional, bloqueio de transmissões de dados ou facilitação da tomada de decisão
dos analistas quando uma atividade de alto risco é detectada.
•Processo integrado de gerenciamento de conformidade que arquiva dados de segurança
de longo prazo por meio de uma arquitetura de computação distribuída e fornece
relatórios de conformidade integrados para uma ampla variedade de regimes regulatórios.
página 5
Resumo técnico da RSA, fevereiro de 2013
Alinhamento de processos: o melhor impulsionador da produtividade
O design dos processos de operações de segurança para automatizar tarefas repetitivas
e integrar workflows relacionados é possivelmente o passo mais benéfico que os SOCs
podem dar para impulsionar a produtividade, impor políticas e implementar as práticas
recomendadas para detecção e resposta às ameaças. Isso porque, na experiência da
RSA, o processo é normalmente a parte mais imatura e ineficiente da trilogia pessoasprocesso-tecnologia da maioria dos SOCs.
A RSA recomenda estreita integração de processos e workflows. Por exemplo,
o gerenciamento de incidentes deve estar diretamente ligado à resposta ao incidente,
e as fontes de dados devem estar todas em uma plataforma integrada de gerenciamento
de segurança e análise lógica para que os analistas possam ver tudo por meio de um só
painel e extrair o melhor contexto e inteligência para as investigações de incidentes.
A integração de processos elimina muitas etapas rotineiras, como copiar e colar
informações do incidente, que acompanham a reunião manual de workflows de
operações de segurança. A integração também reduz as oportunidades de erros,
porque as atividades de processos complexos, como resposta a incidentes, podem ser
programadas para seguir uma sequência determinada de ações com base em práticas
recomendadas. Por fim, a integração de processos pode facilitar a cooperação entre
diferentes partes da empresa (auditoria, conformidade e segurança das informações,
por exemplo) e ajudar as organizações a criar uma exibição unificada de condições
e riscos em toda a organização.
O alinhamento de processos é uma função de loop fechado. À medida que os SOCs
reprojetam, testam e implementam processos, eles aproveitam o que aprenderam para
aprimorar as estratégias e as implementações subsequentes. Como as iterações geram
aprimoramentos e práticas recomendadas, muitas organizações solicitam a ajuda
de consultores externos quando iniciam importantes alterações de processos nas
operações de segurança. Inerente à natureza serial do envolvimento da consultoria
está o refinamento contínuo das práticas recomendadas, e os SOCs podem beneficiar-se
imediatamente das experiências dos consultores no design e na implementação de
aprimoramentos no processo de segurança para outras organizações.
Segundo a experiência da RSA em consultoria para centenas de empresas,
a implementação de uma abordagem de segurança orientada por inteligência
envolve a otimização destes processos:
•Avaliações de preparo de violação para medir o estado atual da segurança da organização
e aumentar a maturidade operacional projetando, testando e praticando o gerenciamento
e a resposta às violações.
•Processos de inteligência contra ameaças cibernéticas para modelar as ameaças
e desenvolver práticas recomendadas e procedimentos para identificar proativamente
os vetores de ameaças e as anomalias em grandes volumes de dados.
•Workflows de detecção e resposta a incidentes para aprimorar a visibilidade sobre as
redes da empresa e reduzir o tempo médio necessário para detectar uma violação.
•Automação do gerenciamento de violações para refinar processos e procedimentos
do programa a fim de obter um processo de manuseio de incidentes de loop fechado,
marcado pela aprendizagem e pelo aprimoramento contínuos.
•Controles de identidade, infraestrutura e informações focados no gerenciamento de
contas privilegiadas, comunicações seguras, diretos de informações/classificação de
dados e correção pós-violação e segurança.
página 6
Resumo técnico da RSA, fevereiro de 2013
Alinhamento de pessoas: Novas habilidades necessárias
Em uma pesquisa realizada pelo Enterprise Strategy Group, mais da metade (55%)
das organizações disseram que planejavam aumentar o número de funcionários de
segurança em 2012, embora 83% delas dissessem que foi difícil recrutar e contratar
esses profissionais.3 Uma das formas de lidar com a redução de habilidades no clima
financeiro atual do “faça mais com menos” é alinhar o processo e a tecnologia para
reduzir as cargas de trabalho de rotina dos analistas de modo que possam se concentrar
em tarefas mais avançadas. De acordo com a experiência da RSA, o uso de ferramentas
e a automação de processos podem reduzir a carga de trabalho e os requisitos de tempo
para que os analistas examinem as ameaças de rotina e de nível mais baixo. Na prática,
a RSA tem visto SOCs com cinco analistas superarem os SOCs com 25 analistas por meio
da otimização de ferramentas e processos.
As técnicas usadas em APTs e em outros ataques cibernéticos avançados podem ser
tão complexas que precisem de equipes interdisciplinares com habilidades de segurança
altamente especializadas para detectar, analisar e desabilitar a ameaça. Para combater
ameaças cibernéticas avançadas, os SOCs precisarão criar equipes colaborativas
compostas por pessoas com as seguintes habilidades, cultivando a expertise no
local ou complementando com especialistas terceirizados:
•Conhecimento de perícia forense, especialmente em metodologias de coleta,
manutenção, análise e reutilização de grandes repositórios de dados de redes
e hosts/endpoints.
•Proficiência em codificação, scripting e protocolos para ajudar a analisar
vulnerabilidades, depurar sistemas e reverter o malware.
•Gerenciamento de inteligência de ameaças, preservando e rastreando especialmente as
várias fontes de inteligência externas e trazendo a pesquisa sobre ameaças relevantes
de volta para a organização de uma forma útil.
•Gerenciamento de violações, o que inclui a coordenação de respostas da organização
à crise e a divulgação de descobertas a terceiros externos.
•Teste de penetração para detectar possíveis vulnerabilidades no ambiente
de TI resultantes de configuração incorreta do sistema, falhas de hardware
ou software ou ineficiência operacional.
•Analistas de dados que entendem os riscos de negócios e as técnicas de ataques
cibernéticos o suficiente para desenvolver modelos analíticos que detectem ameaças
ocultas e até mesmo prevejam ataques cibernéticos.
A equipe de segurança precisará desenvolver uma mentalidade investigativa: vendo os
ativos e as vulnerabilidades da organização como seus inimigos fazem, para antecipar as
técnicas de ataque e planejar contramedidas. Os analistas também terão que aguçar seus
instintos de caça: seguindo os inimigos no ambiente de TI, fornecendo instrumentos para
detectar a presença de invasores e configurando armadilhas como “potes de mel” para
pegá-los.
Além da criação de recursos técnicos e investigativos do SOC, as equipes de operações
de segurança também devem cultivar habilidades de comunicação de seu pessoal.
O desenvolvimento de habilidades indiretas na equipe pode ajudar o SOC a criar
vínculos úteis com outras organizações, caso haja uma parceria de compartilhamento
de informações informal com outros SOCs ou o estímulo do suporte de altos executivos
aos programas de operações de segurança.
3 Enterprise Strategy Group, “Security Management and Operations: Changes on the Horizon”
(Gerenciamento e operações de segurança: mudanças no horizonte), julho de 2012), pp. 19–20
página 7
Resumo técnico da RSA, fevereiro de 2013
Segurança no trabalho orientada por inteligência
O GSO (Global Security Organization) da EMC Corporation ilustra o impacto da otimização
da influência de pessoas, processos e tecnologias no gerenciamento de riscos de
segurança. A EMC aprimora continuamente as ferramentas, as habilidades e os processos
que compõem suas operações de segurança. A empresa tem como objetivo alcançar uma
visão corporativa abrangente, física e digital, para compreender melhor as tendências de
risco e as ameaças em toda a empresa.
Organização convergente para gerenciamento de riscos e segurança
A EMC criou um departamento de segurança convergente caracterizado pela colaboração
fechada entre os grupos de Segurança das informações, Gerenciamento de riscos,
Gerenciamento de segurança do cliente, Proteção corporativa e Investigação. Combinando
esses departamentos em um só lugar, a EMC pode analisar medidas e tendências para
alcançar a visualização do risco na organização como um todo. Por exemplo, se a equipe
de Investigação e proteção corporativas identificar instâncias repetidas de roubo de
IP (Intellectual Property, propriedade intelectual), o grupo Segurança das informações
pode estudar essas instâncias para criar controles para prevenir futuras perdas de IP.
Infraestrutura convergente para monitoramento e gerenciamento de segurança
Para apoiar essa estratégia convergente de segurança e risco, a EMC criou um CIRC (Critical
Incident Response Center, centro de resposta a incidentes críticos). O EMC CIRC combina
workflow e dados da organização global e cria um ponto central para monitoramento
e fortalecimento da segurança e da integridade dos ativos de informações da empresa.
O EMC CIRC agrega registros de mais de 1.400 dispositivos de segurança e 250.000 nós
distribuídos globalmente em 500 locais físicos.
No CIRC, uma equipe de analistas altamente capacitados monitora continuamente os
ambientes globais de TI e segurança da EMC, respondendo a ameaças e vulnerabilidades,
como malware e perda de dados, e a incidentes de segurança físicos, como ameaças de
violência e roubo de equipamentos. Com essa visão única e integrada da empresa como
um todo, os analistas de segurança podem fornecer conselhos e orientações para a
gerência da EMC, oferecendo um loop de feedback crítico para aprimorar continuamente
a postura de segurança da empresa.
O EMC CIRC é criado predominantemente com base em tecnologias e práticas
recomendadas desenvolvidas pela RSA. Embora muitas ferramentas de tecnologia
sejam usadas no CIRC, no centro estão a plataforma de RSA Archer® GRC e a solução
RSA® Security Analytics. Esses dois sistemas integram os dados de várias outras
ferramentas, fornecendo à equipe do CIRC um repositório único de big data e um console
de gerenciamento centralizado para análise lógica de segurança. (Consulte a Figura 1.)
A integração da plataforma RSA Archer GRC com o RSA Security Analytics simplifica
muitos workflows de operações de segurança, ajudando o EMC CIRC a agilizar as
investigações e a reduzir o tempo necessário para fechar os incidentes.
página 8
Resumo técnico da RSA, fevereiro de 2013
Figura 1: Plataforma unificada para análise lógica de dados e gerenciamento
de segurança
Fontes de dados
• Contatos (Active Directory)
• Instalações (Gerenciamento
de endereço IP)
• Dispositivos (Banco de
dados de ativos)
• Apresenta alertas com dados
detalhados do incidente
• Consolida todos os dados de incidentes
• Gerencie o processo de investigação,
criando e controlando solicitações
relacionadas a incidentes
RSA Archer
• Controle a resolução de incidentes
• Mantenha o histórico detalhado do
incidente e a trilha de auditoria
SOC analyst
• Realize avaliações de impacto/risco
de incidentes
Gere alertas Fornece dados Compile dados
encontrados complementares detalhados do
de fontes do
incidente para
por meio
apresentá-los
decorrelações Archer para
o incidente
aoanalista
e análises
• Captura volume em grande escala
de dados diversos e que mudam
rapidamente relacionados à segurança
RSA Security
Analytics
• Realiza análise contextual e correlações,
girando em terabytes de dados em
tempo real
• Combine inteligência externa
de ameaças e dados internos,
reduzindo os pontos cegos
• Arquivar imensos volumes de dados para
conformidade e análise de perícia forense
Feeds internos
• Fontes de dados internas
• Firewalls
• Sensores de detecção
de invasão
• Sistemas de prevenção
de invasão
• Proxies
• Firewalls de aplicativos
da Web
• Active Directory
• Exchange
•
•
•
•
•
•
•
•
•
•
Servidores AAA
Controladores de WLAN
Roteadores
Antivírus
DLP (Data Loss Prevention,
prevenção contra
perda de dados)
Pacotes completos de rede
Dados de usuários do RH
Dados de log-on
(Active Directory)
Dados do endpoint IPS
Registros da Web
Feeds externos de inteligência
• Feeds externos de ameaças
• Portal de indicadores de
ameaças (para IoCs internos)
• Feed do RSA FraudAction™
• Feeds do RSA NetWitness®
Live
• RSA CCIS
• Dados geográficos do IP
Automatizando o uso de inteligência e dados de incidentes
Centenas de alertas são gerados a cada dia para serem revisados pelo EMC CIRC. Antes
de um alerta ser apresentado para investigação dos analistas de segurança, a tecnologia
RSA Archer e o RSA Security Analytics coletam e correlacionam automaticamente uma
valiosa coleção de dados relacionados ao incidente. Vários processos e tecnologias
foram criados para integrar inteligência e dados contextuais aos processos de detecção
e resposta às ameaças.
página 9
Resumo técnico da RSA, fevereiro de 2013
O EMC CIRC desenvolveu um sistema de gerenciamento de indicadores de ameaças
para assimilar artefatos da inteligência de ameaças avançadas derivados de fontes de
inteligência públicas e privadas, parcerias de compartilhamento de inteligência e as
próprias funções de Análise avançada e Inteligência de ameaças cibernéticas do CIRC.
OsIOCs (Indicators of Compromise, indicadores de comprometimento) nesse sistema são
executados em uma gama de domínios hostis e endereços IP desconhecidos para obter
características de comunicação como strings e elementos de mensagens de e-mail hostis,
inclusive cabeçalhos de e-mails.
Os IOCs são classificados por severidade e integrados automaticamente à plataforma
RSA Security Analytics como um feed de captura, gerando tags de metadados específicas.
Por exemplo, um domínio de ameaças avançadas conhecido e marcado no sistema
de gerenciamento de ameaças gerará uma tag de metadados de “Severidade 1”
(a classificação de prioridade mais alta) para qualquer atividade naquele domínio
encontrada pelo RSA Security Analytics. Os alertas para essas tags de metadados
sãoprojetados para serem transmitidos por meio do console de gerenciamento de
segurança do RSA Archer para facilitar uma resposta quase em tempo real do CIRC.
Entretanto, ainda antes de o alerta ser apresentado aos analistas de segurança, elementos
de dados adicionais que podem fornecer contexto valioso sobre a ameaça são recuperados
do banco centralizado de dados de segurança do CIRC. Isso fornece ao analista todos os
artefatos relacionados ao incidente e aos endpoints de origem e destino. O exemplo na
Figura 2 ilustra como esse processo de detalhamento de dados e a abordagem integrada
ao alerta fornecem ao EMC CIRC os detalhes necessários para analisar e responder
rapidamente aos incidentes críticos.
Figura 2: Aprimoramento dos detalhes de dados dos eventos
Detalhes de dados externos
Consultar domínio/
ferramentas de busca
de IP
Solicitante: Mobel Sergei
Data de registro: 12-out-2012
Local: Hac, Sérvia
Event Data
Destination IP: 201.200.100.10
Location: Hac, Serbia
Domain: www.badsite.info
Registrant: Mobel Sergei�Register
Date: 12-Oct-2012
Informações básicas do evento
(detalhes dos dados coordenados
com o RSA Security Analytics)
Incidente 12345
Data: 01 fevereiro 2012
Evento gerado para IP de
destino 201.200.100.10
Consultar serviços de
reputação e buscas
a sites maliciosos
Evento gerado
para IP de origem
10.10.11.11
Dados do evento IP de
origem: 10.10.11.11
Nome do host: smithj_pc
Consulta para último
usuário conectado
como "smithj_pc"
(apresentadas por meio do console do RSA Archer)
Incidente 12345
Data: 01 fevereiro 2012
Severidade: 1 C2 hostil
conhecido
IP de origem: 10.10.11.11
Local da rede: Atlanta
Hora de log-in: 01 fevereiro
2012 10:05:05
Nome do host: smithj_pc
Proprietário: John Smith
Sistema operacional: Ativo
essencial do Windows 7: SIM
Departamento: Finanças
Domínio: www.badsite.info
Site vinculado a atividades
maliciosas anteriores
Alerta: Tentativa de conexão
SSL com intervalo de IP
suspeito
IP de origem: 10.10.11.11
IP de destino: 201.200.100.10
Domínio: badsite.info
Informações detalhadas do evento
Dados do evento IP de origem:
10.10.11.11
Nome do host: smithj_pc
Nome de usuário: jsmith
Proprietário: John Smith
SO: Windows 7
Último log-in: 01 fev 2013, 10:05:05
Local: Atlanta
Departamento: Finança
IP de destino: 201.200.100.10
Local: Hac, Sérvia
Domínio: www.badsite.info
Solicitante do domínio:
Mobel Sergei
Data de registro:12-out-2012
Alerta: Tentativa de conexão
SSL com intervalo de
IP suspeito
Detalhes de dados internos
Consultar DHCP*
para obter nome do host
Nome do host igual
a “smithj_pc”
Dados do evento IP de
origem: 10.10.11.11
Nome do host: smithj_pc
Nome de usuário: jsmith
Proprietário: John Smith
SO: Windows 7
Último log-in: 01 fev 2013,
10:05:05
Consultar banco de dados
de funcionários para
obter detalhes de jsmith
* Outras fontes também podem ser aplicáveis.
página 10
Resumo técnico da RSA, fevereiro de 2013
Os recursos de integração de inteligência e detalhes de dados do EMC CIRC ajudam os
analistas a concentrar esforços em responder mais rapidamente às ameaças, reduzindo
o tempo de exposição a ataques e eliminando a coleta manual de elementos de dados
adicionais correlacionados aos incidentes.
Automatizando a coleta de big data
Os aplicativos tradicionais de SIEM e monitoramento são limitados em seus recursos
de consulta específica e análise avançada, devido à arquitetura e a problemas de
desempenho. O EMC CIRC supera esse desafio fazendo um espelhamento de todos os
eventos de registro para um repositório de big data que coleta aproximadamente 1 bilhão
de registros por dia em 25 tipos de dispositivo — mais de 900 GB de dados por dia. Os
dados nesse depósito centralizado podem ser consultados por analistas para correlacionar
atividades às ameaças. Por exemplo, o EMC CIRC usa recursos de big data para análise
comportamental básica, como detecção de possíveis modelos de beaconing em registros
de eventos de web proxy e firewall. Além disso, como o EMC CIRC recebe nova inteligência
de segurança, a atividade histórica possivelmente relacionada a ameaças descobertas
recentemente pode ser analisada para determinar qual dano foi causado, se tiver havido
algum. O poder de processamento da plataforma EMC de big data reduziu de várias horas
para minutos o tempo de coleta e organização das informações de segurança relacionadas
a uma ameaça, diminuindo o tempo de exposição de modo significativo.
Automatizando a análise lógica baseada em host
Os produtos tradicionais de antivírus e IDS/IPS baseados em host contam principalmente
por assinaturas que identificam o malware. Acontece que as técnicas baseadas em
assinatura foram subjugadas pelo aumento de malware e inteiramente ultrapassadas por
ataques direcionados, como APTs e outras ameaças avançadas. Embora as tecnologias
tradicionais de varredura de malware continuem a ter uma função de rotina como uma
camada de defesa profunda, elas sozinhas não são simplesmente iguais no combate às
ameaças mais sofisticadas de hoje.
A integração de inteligência baseada em comportamento à análise e à correção de host
ajuda a preencher as lacunas deixadas pelas ferramentas baseadas em assinatura como
AV e IDS/IPS. O EMC CIRC implementou a RSA® Enterprise Compromise Assessment Tool
(ECAT) para ajudar a monitorar e a proteger os endpoints que o monitoramento de rede
e outros recursos de inteligência identificaram como possível comprometimento.
A abordagem da RSA ECAT à detecção de malware é altamente diferenciada. O malware
normalmente modifica as estruturas internas do sistema operacional para ocultar sua
atividade. Validando estruturas importantes de aplicativos e kernel internos, a RSA ECAT
identifica anomalias que são normalmente geradas por malware, como ações forçadas,
modificação de objeto kernel, ocultação de arquivos/processos/registros/comunicações etc.
página 11
Resumo técnico da RSA, fevereiro de 2013
Figura 3: O RSA ECAT automatiza a
detecção de ameaças baseadas no host
Depois que um alerta de rede é emitido, o RSA ECAT
é instalado em hosts suspeitos.
!
Realiza um inventário de
cada executável, DLL
e driver na máquina.
Verifica as estruturas
e o sistema internos quanto
a anomalias que indiquem
atividade de malware.
Envia as informações
coletadas para o servidor
central para processamento,
comparando os resultados
com um sistema de linha
de base limpo.
Identifica bons arquivos
conhecidos usando
a validação de assinatura
digitale o Bit9 GSR.
Envia arquivos
desconhecidos para
um servidor para
varredura usando o OPSWAT
Metascan Antivirus.
Sinaliza comportamentos
anormais e os correlaciona
ao ambiente inteiro.
Gera uma pontuação Nível
suspeito de máquina
resumindo a probabilidade
de comprometimento dos
hosts afetados.
Como é implementada no EMC CIRC, a ECAT fornece os recursos de detecção de ameaças
mostrados na Figura 3, RSA ECAT em ação.
Depois da confirmação de hosts e processos comprometidos, os analistas da EMC podem
definir o escopo da ameaça com uma ação em um painel só, pois a RSA ECAT identifica
todos os outros hosts que abrigam o mesmo arquivo ou processo mal-intencionado.
Os analistas de segurança podem usar rapidamente a pontuação Machine Suspect Level
(nível suspeito de máquina) da ECAT para avaliar a probabilidade de comprometimento:
uma pontuação alta indica problemas, enquanto uma pontuação baixa indica que
provavelmente o host está limpo. Embora uma pontuação baixa não garanta uma máquina
limpa, o sistema de pontuação ajuda a priorizar os workflows investigativos, resultando na
contenção e na correção mais rápidas de ameaças mais graves e de maior escala.
A RSA ECAT permite que o EMC CIRC reduza significativamente o tempo de análise do
host e contenha grande parte da carga de trabalho para análise e validação do malware
no estágio inicial de triagem do processo EMC de detecção de ameaças, o que é feito
pelos analistas de segurança júnior da EMC. A EMC estima que a RSA ECAT economiza
cerca de 30 horas do analista por incidente de alta prioridade para o CIRC.
Resultados da EMC quanto ao alinhamento por trás da segurança orientada
por inteligência
Alinhando pessoas, processo e tecnologia em um programa de segurança orientada
por inteligência, o EMC CIRC estima reduzir em até 60% o tempo médio para fechamento
de incidentes.
A integração de tecnologias e processos conta muito para o ganho de eficiência. Ela elimina
muitas das tarefas demoradas de reunião manual de informações relacionadas a incidentes
e automatiza os aspectos da detecção de ameaças, como visto no uso do RSA Security
Analytics e da RSA ECAT que a EMC faz.
A automação criada pela integração de tecnologias e processos ajudou a dimensionar
os recursos de detecção e resposta a ameaças do CIRC, liberando os analistas para que
se dediquem a incidentes com prioridade mais alta. Os analistas podem analisar todos
os dados disponíveis em possíveis ameaças por meio do console centralizado de
gerenciamento de segurança do RSA Archer, acelerando a análise e a tomada de decisões.
A integração de tecnologias e workflows de segurança, combinada à convergência
feita pela EMC de várias funções relacionadas a risco e segurança em um só setor
organizacional, ajudou a EMC montar uma resposta mais rápida, eficiente e completa
aos ataques. Isso, por sua vez, reduziu drasticamente o tempo de exposição da EMC
a ameaças e permitiu que a EMC, com 53.500 funcionários, operasse com confiança
no mundo digital.
A RSA agradece a Mike Gagne, Chris Harrington, Jim Lugabihl, Jeff Hale, Jason Rader,
Garrett Schubert e Peter Tran pela contribuição de seu tempo e expertise no
desenvolvimento deste resumo técnico.
página 12
Resumo técnico da RSA, fevereiro de 2013
Apêndice: Soluções RSA de
segurança orientada por inteligência
O RSA® Advanced Cyber Defense Practice fornece uma variedade abrangente
de soluções para ajudar os clientes a proteger a missão de sua organização,
impulsionar a eficiência operacional e desenvolver um ambiente de ameaças
dinâmico. Os ataques direcionados normalmente se concentram no roubo de
ativos e dados essenciais e utilizam técnicas que ignoram as defesas tradicionais.
A RSA ajuda as organizações a aprimorar os recursos de segurança existentes e a
implementar contramedidas projetadas para impedir que os inimigos cibernéticos
alcancem seus objetivos. Os serviços oferecidos pela RSA incluem análise de gap,
modelagem de maturidade, inteligência de ameaças cibernéticas, inflexibilidade da
infraestrutura e desenvolvimento e automação de operações de segurança. A solução
SOC de última geração, da RSA, foi projetada para ajudar as organizações a fazer
seus recursos técnicos e operacionais convergirem para um programa de segurança
unificado que alinha as prioridades do gerenciamento de riscos e os objetivos dos
negócios. A RSA enfatiza as medidas preventivas exigidas para proteger a
organização, fornecendo ao mesmo tempo serviços de resposta e correção de
incidentes para reduzir o tempo de exposição a violações e atenuar os ataques.
O RSA Archer® GRC Suite é uma solução líder de mercado para o gerenciamento
de eGRC (Enterprise Governance, Risk and Compliance; governança, risco
e conformidade corporativa). Ele fornece uma plataforma flexível e colaborativa
para gerenciar riscos corporativos, automatizar processos de negócios, demonstrar
conformidade e obter visibilidade da exposição e das lacunas em toda a organização.
A plataforma RSA Archer GRC é projetada para extrair dados de uma ampla variedade
de sistemas para atuar como um repositório central de informações relacionadas
a risco, conformidade e segurança. A solução RSA Archer Threat Management é um
sistema de advertência antecipado para rastreamento de ameaças. A solução RSA
Archer Incident Management ajuda as organizações a escalonar problemas, rastrear
o progresso das investigações e coordenar a resolução de problemas. A capacidade
da plataforma de integrar informações sobre alertas e segurança e ameaças, reunir
e apresentar medidas sobre a eficiência de controles e processos de segurança
e analisar informações contextuais sobre o ambiente de negócios e de segurança
ajuda a criar inteligência aplicada e em tempo real em toda a empresa.
O RSA® Cybercrime Intelligence (CCI) é um serviço que fornece informações sobre
os ativos corporativos comprometidos por malware, inclusive máquinas corporativas,
recursos de rede, credenciais de acesso, dados de negócios e correspondência
de e-mail. O CCI monitora crimes cibernéticos escondidos para encontrar dados
corporativos comprometidos que foram perdidos. O serviço relata aos clientes
quaisquer dados relacionados às organizações recuperados diretamente dos
arquivos de registro do malware, inclusive credenciais de funcionários, contas de
e-mail, endereços IP de máquinas infectadas e domínios comprometidos. Indo além
do malware, o CCI analisa a OSINT (Open Source Intelligence, inteligência de código
aberto), relatando as informações de volta para os clientes sobre credenciais de
funcionários, endereços de e-mail corporativos e dados de d0xing que foram
rastreados no espaço e comprometidos ou hackers ou fraudadores. O CCI também
relata detalhes sobre conteúdo de e-mail, endereços IP e números de cartão de
crédito comprometidos que pertencem à corporação ou a seus funcionários e estão
sendo compartilhados e/ou vendidos por criminosos cibernéticos em comunidades da
web fechadas e ocultas. Além disso, o CCI oferece às organizações, por meio de feeds
diários de listas negras, informações sobre recursos on-line infectados por malware.
Esses feeds expõem endereços IP e recursos que estejam hospedando no momento
ou temporariamente o conteúdo mal-intencionado, permitindo que a equipe de
segurança das informações tome medidas preventivas para atenuar os riscos.
página 13
Resumo técnico da RSA, fevereiro de 2013
O RSA® Data Loss Prevention (DLP) Suite é projetado para alertar as organizações
sobre uma atividade suspeita envolvendo dados confidenciais ou que viole
a política organizacional. O DLP também executa funções iniciais de correção,
como bloqueio de transmissão de dados confidenciais, quarentena, mudança ou
aplicação do gerenciamento de direitos a documentos que contêm dados pessoais.
O RSA DLP Suite é fácil de ser integrado ao console de gerenciamento de segurança
do RSA Archer e à plataforma RSA Security Analytics, fornecendo às organizações
um feed de dados valiosos para alerta e defesa aprimorada em camadas.
O RSA® Education Services fornece cursos de treinamento sobre segurança
das informações destinados à equipe de TI, a desenvolvedores de software,
a profissionais de segurança e aos funcionários de uma organização em geral.
Os cursos combinam teoria, tecnologia e exercícios baseados em cenários para
envolver os participantes em um aprendizado interativo. O currículo atual abrange
assuntos como análise de malware e inteligência de ameaças cibernéticas. O RSA
Education Services também oferece um workshop sobre como enfrentar as ameaças
avançadas como APTs. Os cursos são elaborados para fornecer o máximo de
informações possível em um período muito curto, a fim de reduzir o tempo de
inatividade da equipe.
A RSA® Enterprise Compromise Assessment Tool (ECAT) é uma solução corporativa
de detecção e resposta a ameaças, projetada para monitorar e proteger os
ambientes de TI contra software indesejável e contra o malware mais enganoso,
inclusive rootkits profundamente ocultos, APTs (Advanced Persistent Threats,
ameaças avançadas persistentes) e vírus não identificados. A RSA ECAT automatiza
a detecção de anomalias nos aplicativos e na memória do computador sem confiar
em assinaturas de vírus. Em vez de analisar amostras de malware para criar
assinaturas, a RSA ECAT estabelece a linha de base de anomalias em aplicativos
“considerados bons”, filtrando o ruído de fundo para encontrar atividade malintencionada em máquinas comprometidas. O console da RSA ECAT apresenta
uma visualização centralizada das atividades que estão ocorrendo na memória
do computador, que podem ser usadas para identificar rapidamente o malware,
independentemente de existir uma assinatura ou de o malware já ter sido
identificado anteriormente. Quando uma anomalia mal-intencionada é identificada,
a RSA ECAT pode analisar milhares de máquinas para identificar outros endpoints
que foram comprometidos ou estão em risco.
O RSA® Security Analytics é projetado para fornecer aos departamentos de segurança
a conscientização situacional da qual precisam para lidar com os problemas de
segurança que mais pressionam a empresa. Analisando o tráfego de rede e os dados
dos eventos de registro, o sistema RSA Security Analytics ajuda as organizações
a obter uma visualização abrangente de seu ambiente de TI, permitindo que os
analistas de segurança detectem as ameaças rapidamente, investiguem, tomem
decisões de correção, assumam o controle e gerem relatórios automaticamente.
A arquitetura de dados distribuída da solução RSA Security Analytics coleta, analisa
e arquiva volumes de dados em grande escala, normalmente centenas de terabytes
ou mais, a uma velocidade muito alta, usando vários modos de análise. A plataforma
RSA Security Analytics também traz inteligência de ameaças sobre ferramentas,
técnicas e procedimentos mais recentes sendo usados pela comunidade de invasores
para alertar as organizações sobre possíveis ameaças que estão ativas na empresa.
página 14
Resumo técnico da RSA, fevereiro de 2013
Esta página está intencionalmente em branco.
página 15
Resumo técnico da RSA, fevereiro de 2013
Sobre a RSA
A RSA, a divisão de segurança da EMC, é a principal fornecedora de soluções de
gerenciamento de segurança, risco e conformidade para aceleração dos negócios.
A RSA ajuda as organizações líderes mundiais a resolver seus desafios de segurança
mais complexos e confidenciais. Esses desafios incluem o gerenciamento do risco
organizacional, a proteção do acesso e da colaboração móvel, o fornecimento de
conformidade e a proteção de ambientes virtuais e em nuvem.
Combinando os controles essenciais aos negócios para garantia de identificação,
gerenciamento de criptografia e chave, SIEM, prevenção contra perda de dados,
monitoramento contínuo de rede e proteção contra fraude com os recursos de GRC
líderes do setor e serviços sólidos de consultoria, a RSA traz visibilidade e confiança
para milhões de identidades de usuários, para as transações que eles executam
e os dados que são gerados. Para obter mais informações, visite brazil.rsa.com
e brazil.emc.com.
EMC2, EMC, o logotipo da EMC, RSA, Archer, FraudAction, NetWitness e o logotipo da RSA são marcas comerciais ou
registradas da EMC Corporation nos Estados Unidos e em outros países. Microsoft e Outlook são marcas registrada
da Microsoft . Todos os outros produtos ou serviços mencionados são marcas comerciais de suas respectivas
empresas. Copyright 2013 EMC Corporation. Todos os direitos reservados.
brazil.emc.com/rsa
179827-h11533-ASOC_BRF_0213