Embed Size (px)
DESCRIPTION
Citation preview
g u i a d e s o l u ccedil otilde e s
Apoiando uma abordagem de Big-dada para Inteligecircncia de Seguranccedila
Splunk para seguranccedila
Os novos desafios da seguranccedila O papel da seguranccedila de TI estaacute em expansatildeo impulsionado por novos casos de uso de seguranccedila em evoluccedilatildeo com implicaccedilotildees de risco para as empresas Kevin Mandia da Mandiant estima que haja ldquomilhares de empresa que possuem malwares APT (Ameaccedila Persistente Avanccedilada) ativos Esses malwares satildeo deixados atraveacutes de ataques direcionados de adversaacuterios persistentes A atual abordagem convencional fornece as principais razotildees para a proliferaccedilatildeo das ameaccedilas agrave seguranccedilabull Em muitas empresas as defesas de periacutemetro
permanecem o foco principal para a equipe de seguranccedila
bull Os sistemas baseados em assinaturas e regras usados pelas equipes de seguranccedila natildeo conseguem acompanhar a enxurrada de novos ataques
bull As SIEMs se ajustam principalmente para coletar os dados de sistemas baseados em assinatura ou baseados em regras
bull Incidentes de seguranccedila identificados na ausecircncia de dados contextuais a partir de operaccedilotildees de TI
bull Os relatoacuterios enlatados deram a impressatildeo de que pensamento e anaacutelise criacuteticos natildeo satildeo necessaacuterios
bull Sistemas que natildeo possuem escala e anaacutelises necessaacuterias para mapear as ameaccedilas potenciais contra grandes conjuntos de dados por longos periacuteodos
Essa mentalidade e abordagem de seguranccedila convencionais natildeo abrangem as ameaccedilas desconhecidas de malwares mais novos e sofisticados que bull Aproveitam os dados de sites de miacutedia social que satildeo
compatiacuteveis com engenharia social
bull Obtecircm entrada em rede atraveacutes de usuaacuterios finais e os pontos finais
bull Evitam a detecccedilatildeo (teacutecnicas baixas e lentas redefinidas)
bull Usam padrotildees de ataque exclusivos que permitem que o malware seja disfarccedilado como um aplicativo normal
Com um conjunto muito mais amplo de possiacuteveis vetores de ataque e ataques mais inovadores e direcionados provenientes de adversaacuterios persistentes a quantidade e os tipos de dados analisados devem ser ampliados Uma abordagem de inteligecircncia de seguranccedila eacute aquela que observa as ameaccedilas conhecidas conforme informadas por sistemas baseados em assinatura e regras e observa as ameaccedilas desconhecidas usando anaacutelises extensas sobre os comportamentos dos usuaacuterios do sistema As atividades normais dos usuaacuterios precisam ser monitoradas para entender os padrotildees de acesso uso e localizaccedilatildeo baseados em tempo
Splunk inteligecircncia de seguranccedila e dados grandes Uma abordagem de seguranccedila que aplica as anaacutelises do padratildeo de atividades dos usuaacuterios sobre os dados mais sigilosos da empresa que estaacute em sintonia com os riscos empresariais Quanto mais dados operacionais e de seguranccedila forem coletados melhor seraacute a percepccedilatildeo dos riscos empresariais Coletar e correlacionar os dados a partir das mais amplas fontes possiacuteveis eacute o primeiro passo para obter a visibilidade da sua infraestrutura e melhorar a postura de seguranccedila As anaacutelises baseadas em comportamento satildeo o proacuteximo passo em uma abordagem de inteligecircncia de seguranccedila Em cooperaccedilatildeo com a empresa identifique seus ativos digitais mais importantes Eles poderiam ser armazenamentos de dados de informaccedilotildees de identificaccedilatildeo pessoal (PII) propriedade intelectual e-mails internos ou outras informaccedilotildees retidas nos sistemas que sejam de alto valor para os invasores O uacuteltimo passo eacute aplicar uma abordagem baseada em ator para entender o modus operandi e os meacutetodos dos adversaacuterios potenciais As analistas de inteligecircncia de seguranccedila devem se perguntar regularmente bull Quem seria o meu alvo para acessar dados e sistemas
que contenham o maior valor de dados coletados
bull Que meacutetodos eu poderia usar para facilitar a propagaccedilatildeo camuflada de malwares
bull Como posso ter certeza de que as minhas comunicaccedilotildees de controle e comando natildeo foram detectadas
bull Que alteraccedilotildees devo fazer ao host para garantir que meus malwares permaneccedilam residentes na empresa
bull Como as anormalidades nos meus dados da maacutequina se pareceriam no caso de uma tentativa de exfiltraccedilatildeo de e-mail ou uma transferecircncia de PII para fora da empresa
bull Quais serviccedilos de rede do host devem ser monitorados em busca de alteraccedilotildees
bull Quais comportamentos do malware podem ser diferenciados de dados de log com base em horaacuterio do dia duraccedilatildeo e local de origem
Uma abordagem baseada em comportamento das ameaccedilas persistentes avanccediladas usando anaacutelises de padrotildees permite uma abordagem avanccedilada da detecccedilatildeo de ameaccedilas como recomendado pelo Security for Business Innovation Council Eacute importante observar a abordagem de dados grandes para ameaccedilas desconhecidas natildeo substitui a abordagem tradicional para monitorar ameaccedilas conhecidas Observar ameaccedilas conhecidas usando elementos de uma abordagem convencional de seguranccedila ainda eacute uma exigecircncia
g u i a d e S O l u ccedil otilde e S
Copyright copy 2012 Splunk Inc Todos os direitos reservados Splunk Enterprise eacute protegido pelas leis de direitos autorais e de propriedade intelectual internacionais e dos EUA Splunk eacute uma marca registrada ou marca comercial da Splunk Inc nos Estados Unidos eou outras jurisdiccedilotildees Todas as outras marcas e nomes aqui mencionados podem ser marcas comerciais de suas respectivas empresas Nordm do item SG-Splunk-Security-106-A4
wwwsplunkcom
250 Brannan St San Francisco CA 94107 infosplunkcom | salessplunkcom 866-438-7758 | 415-848-8400 wwwsplunkbasecom
Figura 2 - Quando as ameaccedilas persistentes avanccediladas vatildeo para o mainstream Security for Business Innovation Council 7212011
ldquoAs SIEMs baseadas em regras natildeo satildeo projetadas para detectar os ataques ou padrotildees polimoacuterficos de ameaccedilas persistentes avanccediladasrdquo
Splunk a plataforma para a inteligecircncia de seguranccedilaEmbora o nuacutecleo da plataforma Splunk Enterprise com suas capacidades de dimensionamento anaacutelises virtualizaccedilotildees e emissatildeo de alertas permita fazer perguntas baseadas em cenaacuterios dos seus dados o Splunk tambeacutem eacute uma plataforma para seguranccedila de aplicativos (mais de trinta quando esse texto foi escrito) Elas estatildeo disponiacuteveis no Splunkbasecom
Splunk app for enterprise SecurityO Splunk App for Enterprise Security eacute compatiacutevel com capacidades de SIEM e observa ameaccedilas conhecidas aleacutem de monitorar meacutetricas de seguranccedila importantes Esse aplicativo funciona como uma lente nos seus dados de seguranccedila Ele foi projetado para os profissionais de seguranccedila organizarem os dados em domiacutenios especiacuteficos de seguranccedila enquanto coletam dados automaticamente a partir de arquiteturas tradicionais de seguranccedila e oferece visualizaccedilotildees dos paineacuteis de controle em tempo real O aplicativo pode atuar como um ponto de partida para a detecccedilatildeo de ameaccedilas desconhecidas suportar correlaccedilatildeo de identidades ou gerenciar uma equipe de especialistas em seguranccedila que analisam os incidentes diariamente O Splunk App for Enterprise Security eacute uma parte importante de uma estrateacutegia de inteligecircncia de seguranccedila
usando o Splunk para seguranccedilainvestigaccedilatildeo de seguranccedila flexiacutevel e dimensionaacutevel O Splunk eacute dimensionaacutevel e flexiacutevel o suficiente para pesquisar por terabytes de dados a partir de qualquer fonte de dados como fontes de seguranccedila tradicionais aplicativos personalizados e bancos de dados O Splunk fornece automaticamente uma visualizaccedilatildeo cronoloacutegica de todos os dados coletados Essa cronologia pode ser usada
para se focar no momento preciso em que ocorreu um evento de seguranccedila Qualquer resultado de pesquisa pode ser transformado em um relatoacuterio para distribuiccedilatildeo Isso eacute especialmente uacutetil para consultas ad-hoc de apoio a iniciativas de conformidade como PCI SOX ou HIPAA
Forense operacionalizada em tempo real Apoacutes a conclusatildeo de uma investigaccedilatildeo forense as pesquisas do Splunk podem ser salvas e monitoradas em tempo real Os alertas em tempo real podem ser direcionados para os membros da equipe de seguranccedila adequada para acompanhamento A correlaccedilatildeo nos dados do sistema por fornecedor ou tipos de dados eacute compatiacutevel com a linguagem de pesquisa faacutecil de usar do Splunk A linguagem de pesquisa do Splunk suporta correlaccedilotildees que podem gerar alertas baseados em uma combinaccedilatildeo de condiccedilotildees especiacuteficas de padrotildees nos dados do sistema ou quando for atingido um limite especiacutefico
ldquoO Splunk nos permite rapidamente consolidar e correlacionar diferentes fontes de log permitindo monitoramento e cenaacuterios de resposta antes impraticaacuteveisrdquo
O Splunk permite que vocecirc veja informaccedilotildees em tempo real a partir de dispositivos sistemas operacionais bancos de dados e aplicativos de seguranccedila e em rede em uma uacutenica cronologia permitindo que as equipes de seguranccedila detectem e compreendam rapidamente as implicaccedilotildees de ponta a ponta de um evento de seguranccedila O Splunk observa padrotildees difiacuteceis de serem detectados de atividades maliciosas nos dados da maacutequina que os sistemas de seguranccedila tradicionais podem natildeo registrar Essa abordagem tambeacutem pode fornecer os alicerces para uma seacuterie de casos de uso de detecccedilatildeo de fraudes e roubos
ldquoNossas equipes de seguranccedila e fraude detectam e investigam atividades fraudulentas rapidamenterdquo
Meacutetrica e visibilidade operacional Entender os riscos empresariais requer uma abordagem baseada em meacutetricas para medir a eficaacutecia ao longo do tempo A linguagem de pesquisa integrada do Splunk possui os comandos necessaacuterios para expressar os resultados das pesquisas em tabelas graacuteficos e cronogramas em paineacuteis de controle de seguranccedila Os indicadores-chave de desempenho (KPIs) podem ser monitorados por unidade empresarial tipo de conformidade localizaccedilatildeo e muito mais
Correlaccedilotildees e alertas em tempo real A correlaccedilatildeo de informaccedilotildees a partir de diferentes conjuntos de dados pode reduzir os falsos positivos e oferecer percepccedilotildees e contextos adicionais Para correlaccedilotildees de longo prazo o Splunk pode gravar eventos individuais do sistema em arquivos internos tambeacutem monitorados pelo Splunk e vencidos ao longo do tempo Se o grupo certo de eventos for gravado no arquivo antes do vencimento a correlaccedilatildeo eacute concluiacuteda e eacute emitido um alerta O Splunk suporta um amplo conjunto de criteacuterios de criaccedilatildeo de alertas oferecendo supressotildees e limites de alertas baseados em regras
download gratuitoBaixe o Splunk gratuitamente Vocecirc receberaacute uma licenccedila do Splunk Enterprise para 60 dias e poderaacute indexar ateacute 500 megabytes de dados por dia Vocecirc poderaacute converter para uma licenccedila permanente graacutetis ou comprar uma licenccedila Enterprise entrando em contato pelo salessplunkcom
Abordagem convencional
Abordagem baseada em riscos APT
Cobertura de controles
Proteger todos os ativos de informaccedilotildees
Centrar os esforccedilos nos ativos mais importantes
Enfoque em controles
Controles preventivos baseados em assinatura (AV Firewalls IPS)
Controles de detecccedilatildeo - anaacutelise de dados
Perspectiva Baseada em periacutemetro
Centrada em dados
Meta de registro
Relatoacuterio de conformidade
Detecccedilatildeo de ameaccedilas
Gerenciamento de incidentes
Encontrar e neutralizar malwares eou noacutes infectados (reativo)
Panorama completo procurar encontrar e dissecar padrotildees de ataque (proativo)
Inteligecircncia de ameaccedilas
Coletar informaccedilotildees sobre o malware
Desenvolver profundo conhecimento sobre o modus operandi do ataque no contexto dos principais ativos e ambiente de TI da empresa
Definiccedilatildeo de sucesso
Nenhum invasor entra na rede
Invasores agraves vezes entram mas satildeo detectados rapidamente e o impacto (risco) eacute minimizado
g u i a d e S O l u ccedil otilde e S
Copyright copy 2012 Splunk Inc Todos os direitos reservados Splunk Enterprise eacute protegido pelas leis de direitos autorais e de propriedade intelectual internacionais e dos EUA Splunk eacute uma marca registrada ou marca comercial da Splunk Inc nos Estados Unidos eou outras jurisdiccedilotildees Todas as outras marcas e nomes aqui mencionados podem ser marcas comerciais de suas respectivas empresas Nordm do item SG-Splunk-Security-106-A4
wwwsplunkcom
250 Brannan St San Francisco CA 94107 infosplunkcom | salessplunkcom 866-438-7758 | 415-848-8400 wwwsplunkbasecom
Figura 2 - Quando as ameaccedilas persistentes avanccediladas vatildeo para o mainstream Security for Business Innovation Council 7212011
ldquoAs SIEMs baseadas em regras natildeo satildeo projetadas para detectar os ataques ou padrotildees polimoacuterficos de ameaccedilas persistentes avanccediladasrdquo
Splunk a plataforma para a inteligecircncia de seguranccedilaEmbora o nuacutecleo da plataforma Splunk Enterprise com suas capacidades de dimensionamento anaacutelises virtualizaccedilotildees e emissatildeo de alertas permita fazer perguntas baseadas em cenaacuterios dos seus dados o Splunk tambeacutem eacute uma plataforma para seguranccedila de aplicativos (mais de trinta quando esse texto foi escrito) Elas estatildeo disponiacuteveis no Splunkbasecom
Splunk app for enterprise SecurityO Splunk App for Enterprise Security eacute compatiacutevel com capacidades de SIEM e observa ameaccedilas conhecidas aleacutem de monitorar meacutetricas de seguranccedila importantes Esse aplicativo funciona como uma lente nos seus dados de seguranccedila Ele foi projetado para os profissionais de seguranccedila organizarem os dados em domiacutenios especiacuteficos de seguranccedila enquanto coletam dados automaticamente a partir de arquiteturas tradicionais de seguranccedila e oferece visualizaccedilotildees dos paineacuteis de controle em tempo real O aplicativo pode atuar como um ponto de partida para a detecccedilatildeo de ameaccedilas desconhecidas suportar correlaccedilatildeo de identidades ou gerenciar uma equipe de especialistas em seguranccedila que analisam os incidentes diariamente O Splunk App for Enterprise Security eacute uma parte importante de uma estrateacutegia de inteligecircncia de seguranccedila
usando o Splunk para seguranccedilainvestigaccedilatildeo de seguranccedila flexiacutevel e dimensionaacutevel O Splunk eacute dimensionaacutevel e flexiacutevel o suficiente para pesquisar por terabytes de dados a partir de qualquer fonte de dados como fontes de seguranccedila tradicionais aplicativos personalizados e bancos de dados O Splunk fornece automaticamente uma visualizaccedilatildeo cronoloacutegica de todos os dados coletados Essa cronologia pode ser usada
para se focar no momento preciso em que ocorreu um evento de seguranccedila Qualquer resultado de pesquisa pode ser transformado em um relatoacuterio para distribuiccedilatildeo Isso eacute especialmente uacutetil para consultas ad-hoc de apoio a iniciativas de conformidade como PCI SOX ou HIPAA
Forense operacionalizada em tempo real Apoacutes a conclusatildeo de uma investigaccedilatildeo forense as pesquisas do Splunk podem ser salvas e monitoradas em tempo real Os alertas em tempo real podem ser direcionados para os membros da equipe de seguranccedila adequada para acompanhamento A correlaccedilatildeo nos dados do sistema por fornecedor ou tipos de dados eacute compatiacutevel com a linguagem de pesquisa faacutecil de usar do Splunk A linguagem de pesquisa do Splunk suporta correlaccedilotildees que podem gerar alertas baseados em uma combinaccedilatildeo de condiccedilotildees especiacuteficas de padrotildees nos dados do sistema ou quando for atingido um limite especiacutefico
ldquoO Splunk nos permite rapidamente consolidar e correlacionar diferentes fontes de log permitindo monitoramento e cenaacuterios de resposta antes impraticaacuteveisrdquo
O Splunk permite que vocecirc veja informaccedilotildees em tempo real a partir de dispositivos sistemas operacionais bancos de dados e aplicativos de seguranccedila e em rede em uma uacutenica cronologia permitindo que as equipes de seguranccedila detectem e compreendam rapidamente as implicaccedilotildees de ponta a ponta de um evento de seguranccedila O Splunk observa padrotildees difiacuteceis de serem detectados de atividades maliciosas nos dados da maacutequina que os sistemas de seguranccedila tradicionais podem natildeo registrar Essa abordagem tambeacutem pode fornecer os alicerces para uma seacuterie de casos de uso de detecccedilatildeo de fraudes e roubos
ldquoNossas equipes de seguranccedila e fraude detectam e investigam atividades fraudulentas rapidamenterdquo
Meacutetrica e visibilidade operacional Entender os riscos empresariais requer uma abordagem baseada em meacutetricas para medir a eficaacutecia ao longo do tempo A linguagem de pesquisa integrada do Splunk possui os comandos necessaacuterios para expressar os resultados das pesquisas em tabelas graacuteficos e cronogramas em paineacuteis de controle de seguranccedila Os indicadores-chave de desempenho (KPIs) podem ser monitorados por unidade empresarial tipo de conformidade localizaccedilatildeo e muito mais
Correlaccedilotildees e alertas em tempo real A correlaccedilatildeo de informaccedilotildees a partir de diferentes conjuntos de dados pode reduzir os falsos positivos e oferecer percepccedilotildees e contextos adicionais Para correlaccedilotildees de longo prazo o Splunk pode gravar eventos individuais do sistema em arquivos internos tambeacutem monitorados pelo Splunk e vencidos ao longo do tempo Se o grupo certo de eventos for gravado no arquivo antes do vencimento a correlaccedilatildeo eacute concluiacuteda e eacute emitido um alerta O Splunk suporta um amplo conjunto de criteacuterios de criaccedilatildeo de alertas oferecendo supressotildees e limites de alertas baseados em regras
download gratuitoBaixe o Splunk gratuitamente Vocecirc receberaacute uma licenccedila do Splunk Enterprise para 60 dias e poderaacute indexar ateacute 500 megabytes de dados por dia Vocecirc poderaacute converter para uma licenccedila permanente graacutetis ou comprar uma licenccedila Enterprise entrando em contato pelo salessplunkcom
Abordagem convencional
Abordagem baseada em riscos APT
Cobertura de controles
Proteger todos os ativos de informaccedilotildees
Centrar os esforccedilos nos ativos mais importantes
Enfoque em controles
Controles preventivos baseados em assinatura (AV Firewalls IPS)
Controles de detecccedilatildeo - anaacutelise de dados
Perspectiva Baseada em periacutemetro
Centrada em dados
Meta de registro
Relatoacuterio de conformidade
Detecccedilatildeo de ameaccedilas
Gerenciamento de incidentes
Encontrar e neutralizar malwares eou noacutes infectados (reativo)
Panorama completo procurar encontrar e dissecar padrotildees de ataque (proativo)
Inteligecircncia de ameaccedilas
Coletar informaccedilotildees sobre o malware
Desenvolver profundo conhecimento sobre o modus operandi do ataque no contexto dos principais ativos e ambiente de TI da empresa
Definiccedilatildeo de sucesso
Nenhum invasor entra na rede
Invasores agraves vezes entram mas satildeo detectados rapidamente e o impacto (risco) eacute minimizado
