Conceitos e Melhores Práticas para Compliance, Segurança e ... · Compliance, Segurança e...
Transcript of Conceitos e Melhores Práticas para Compliance, Segurança e ... · Compliance, Segurança e...
Marcos NehmeRSA System Engineer Manager, Latin America & Caribbean
Conceitos e Melhores Práticas paraCompliance, Segurança e Operação de Redes
Desafios da Segurança nos dias atuais
Segurança da Informação épercebida como um inibidor de
negócios, e não como um acelerador de negócios
Necessário uma aproximação de forma a transformar segurança mais eficiente e
alinhar com o negócio
Segurança da InformaçãoSegurança da Informação
IneficienteNão protegendo o que é importante
Alto custoMuitos produtos de segurançaMuitos procedimentos de segurança
Inibidores de complianceMuitos controlesmanual, complicado, labor-intensive
Iniciativas de NegóciosIniciativas de Negócios
Gerenciamento de Risco da Informaçãouma estratégia para proteger sues recursos mais críticos
Centrada na informação
Clarifica o contexo de negócio e
revela potenciais vulnerabilidades
Baseado em Riscos
Estabelece uma clara prioridade
para investimentos em segurança
Cíclico
Baseado e aplicado nas melhores
práticas e frameworks padrões de
mercadoEndpoint Network Apps/DB FS/CMS Storage
RiscoRisco
Revela onde investir, porque investir, e como investimentos emSegurança poderão mapear os objeivos críticos do negócio
FinancialFinancialExecutiveExecutive
R&DR&D
DMZDMZ
Data CenterData Center
Mudanças de Ameaças e Novas Regulamentações
Descuidos de
usuários
Novas
tecnologias -
Web 2.0 and
P2P
Requerimentos
de Auditoria –
Alto Custo
Ataques Externos
Mudanças nos
requerimentos do
Negócio
Invasões internas –
Roubo de informações
financeiras
A empresa hojeMontanhas de dados, várias pessoas envolvidas
Registros de roteadores
Registros IDS/IDP
Registros de VPN
Registros de firewall
Controle de configuraçãoAplicação de bloqueios
Aplicação dos controles de acessoGerenciamento de usuários com privilégios
Detecção de códigosmal-intencionadosDetecção de spyware
Monitoração em tempo realSolução de problemas
Detecção de serviço não autorizado
Bloqueio de IP
Reduçãode falsos positivos
Monitoraçãode usuário
Monitoração de SLA (Service-Level Agreement,
contrato de nível de serviço)
Registros de switch
Registrosdo Windows
Registros de servidor cliente e de arquivos
Registros de acesso sem fio
Logins de domínioWindows
Registros Oracle Financial
Registros de acesso a
arquivos San
Registros de acesso e controle
de VLAN
Registros DHCP
Registros de SO Linux, Unix, Windows
Registros de mainframe
Registros de banco de dados
Registros de gerenciamento de conteúdo
Cache da Web e registros de proxy
Registros de verificação de VA
Registros de atividade de
servidores da Web
Como coletar e proteger todos os dados
necessários para criar uma plataforma para
as operações de conformidade e segurança?
Como analisar e gerenciar todos os dados
para transformar as informações em
conhecimento e inteligência acionáveis?
Equipe de TI sente a Pressão...
Postura de Real-time Security é difícil de ser atendida.
Muito trabalho para processar logs (raw) e
grande volume de eventos.
Equipe de Segurança – Falta de visibilidade no seu ambiente de TI
Compliance apresenta alto custo e uso intensivo
de recursos
Problemas e Necessidades
Muito trabalho para processar
logs (raw) e grande volume de
eventos
Postura de Real-time
Security é difícil de ser
atendida
Coletar Logs de todos osdispositivos de forma Não-Intrusiva
Coletar Logs de todos osdispositivos de forma Não-Intrusiva
Processo completo de Information Lifecycle Management.
Processo completo de Information Lifecycle Management.
Priorização em tempo real baseadaem Risco dos eventos coletados.
Priorização em tempo real baseadaem Risco dos eventos coletados.
Relatórios de Compliance emminutos e não em semanas.
Relatórios de Compliance emminutos e não em semanas.
Equipe de Segurança – Falta
de visibilidade no seu ambiente
de TI
Compliance apresenta alto
custo e uso intensivo de
recursos
Plataforma SIEM 3 em 1 do RSA enVision
servidores armazenamentoaplicativos/
bancos de
dados
Dispositivos
de segurança
dispositivos
de rede
Simplificandoa conformidade
Relatórios de conformidade para normas e política
interna
AuditoriaRelatórios
Aprimorandoa segurança
Alerta e análise de segurança em tempo
real
Análises
forenses
Alerta/
correlação
Otimizando as operações de TI e de rede
Monitoração da TI em toda a infraestrutura
VisibilidadeLinha de
base da
rede
Banco de dados
específico
(IPDB)Plataforma de gerenciamento
de registros do RSA enVision
Várias Leis/Regras/Regulamentaçõesas quais uma organização deve cumprir …
PCIDSS
HIPAAInternalPolicy
GLBA HSPD 12
CSB 1386CountryPrivacyLaws
SOX EU CDR UK RIPA
FISMA COCOMData
Security Act
FACTAEU DataPrivacy
FFIEC BASEL II J-SOX IRS 97-22 NERC
NISPOMPartnerRules
ACSI 33 NIST 800State
Privacy Laws
RSA enVision e as Melhores Práticas do Mercado
Best Practices PCI DSSPCI DSS SOXSOX HIPPAHIPPA GLBAGLBA COBIT 4.0COBIT 4.0 ISOISO
ü ü ü ü ü
ü ü ü ü ü
ü ü ü ü ü
ü ü ü ü ü
ü ü ü ü ü
ü ü ü ü üReq. 12Maintain an Information
Security Policy
Req. 10,11Regularly Monitor and
Test Networks
Req. 7, 8, 9Implement Strong Access
Control Methods
Req. 1,2Maintain a Secure
Network
Req. 5, 6Maintain a Vulnerability
Management Program
Req. 3, 4Protect Data
Capturar Compactar Proteger RemoverManter
em near-lineArmazenar
on-line
� O usuário define as políticas de retenção
de registros
� RSA enVision aplica as políticas automaticamente
ILM
Política de retenção
EMC Centera
RSA enVisionValor máximo dos dados ao menor custo de infraestrutura
Política on-line (aprox. 15 meses)
EMC Celerra
Práticas recomendadas para as operações de segurança
Transformar eventos
em tempo real, como
ameaças, em dados
acionáveis
Transformar eventos
em tempo real, como
ameaças, em dados
acionáveis
Criar um processo
de tratamento de
incidentes de ciclo
fechado
Criar um processo
de tratamento de
incidentes de ciclo
fechado
A tecnologia SIEM fornece gerenciamento de eventos e análise histórica em tempo real
de dados de segurança a partir de um amplo conjunto de fontes heterogêneas. Essa
tecnologia é utilizada para filtrar informações sobre incidentes e, com isso, obter dados
que possam ser manipulados para fins de resposta a incidentes e análise forense.
Mark Nicolett, Gartner
A tecnologia SIEM fornece gerenciamento de eventos e análise histórica em tempo real
de dados de segurança a partir de um amplo conjunto de fontes heterogêneas. Essa
tecnologia é utilizada para filtrar informações sobre incidentes e, com isso, obter dados
que possam ser manipulados para fins de resposta a incidentes e análise forense.
Mark Nicolett, Gartner
Emitir relatórios
sobre a eficácia do gerenciamento de segurança
Emitir relatórios
sobre a eficácia do gerenciamento de segurança
Para obter eficácia nas operações de segurança, é necessário:
As operações de segurança significam tratamento completo de incidentesO RSA enVision dá suporte a cada etapa desse processo
Notificação Triagem AnáliseAnálises forenses
Rastreamentoe controle
Correção
Receber
mensagem
indicando
um possível
incidente
Classificar,
categorizar
e priorizar
automaticamente
os incidentes
que acontecerão
Examinar todas
as informações
disponíveis e
evidências que
deem suporte
Coletar,
documentar
e preservar
informações
e análise de
evidência
Rastrear ou
controlar a
entrada de
invasores, o
acesso, a origem
e os sistemas
envolvidos
Rastrear a
solução de
incidentes
Estrutura desenvolvida pela Carnegie Mellon University
Processo de tratamento de incidentesNotificação
Alerta em tempo real de possíveis incidentes
por meio de alerta na tela, e-mail e Blackberry
Notificação Triagem AnáliseAnálises forenses
Rastreamentoe controle
Correção
Processo de tratamento de incidentesTriagem
Priorizar as tarefas manual ou
automaticamente
Atribuir proprietários de tarefas manual
ou automaticamente
Confirmar tarefa
Criar/editar listas de observação
(no Event Explorer)
Autoescalar para sistema externo
de emissão de tíquetes
Notificação Triagem AnáliseAnálises forenses
Rastreamentoe controle
Correção
Processo de tratamento de incidentesAnálise
Interface de usuário aprimorada (Event
Explorer)
Reúna informações contextuais por meio
de busca de ativos e vulnerabilidades
Notificação Triagem AnáliseAnálises forenses
Rastreamentoe controle
Correção
Processo de tratamento de incidentesAnálises forenses
Fazer anotações durante toda a investigação
Isolar e anexar anotações relevantes de
registro
Auditar automaticamente investigações
concluídas
Contar com registros armazenados
no formato original
Notificação Triagem AnáliseAnálises forenses
Rastreamentoe controle
Correção
Processo de tratamento de incidentesRastreamento e controle
Rastrear proativamente atividades suspeitas por usuário, porta, endereço IP, entre outros, por um determinado período
Acrescentar/modificar listas de observação
Acrescentar/modificar regras de correlação
Anotar
Monitorar
Notificação Triagem AnáliseAnálises forenses
Rastreamentoe controle
Correção
Processo de tratamento de incidentesCorreção
Resolver problemas ou enviar informações relevantes ao sistema downstream (emissão
de tíquetes ou gerenciamento de
configuração)
Aceitar alterações de status do sistema
downstream
Fornecer coordenação de ciclo fechado
por meio de status de incidente com retorno de informações ao enVision
Notificação Triagem AnáliseAnálises forenses
Rastreamentoe controle
Correção
Detecção de incidentes em tempo realElementos essenciais
Detecção de
incidentes
Dados do registro
abrangentes
Conhecimento da origem de eventos
Contexto de ativos Dados de vulnerabilidade
Regras de correlação, filtros,
listas de observação
Informações sobre ameaças em tempo hábil
Detecção de incidentes em tempo real
Dados de vulnerabilidade
– Necessidade de informações acerca de componentes vulneráveis
de infraestrutura em ambientes de TI
Regras de correlação, filtros e listas de observação
– Necessidade de regras específicas do ambiente para procurar problemas de grande risco
Informações sobre ameaças em tempo hábil
– Necessidade de atualizações regulares à medida que as ameaças e a vulnerabilidades evoluem
Detecção de incidentes em tempo real Exemplos
Erros críticos em sistemas de alta prioridade
que possam resultar em paralisação do sistema
Erros críticos do sistema
Desvios incomuns no comportamento da rede
ou atividade da rede que viole as políticas
Atividade suspeita da rede
Detectar novas vulnerabilidades de alto risco em
ativos essenciais ou ataques similares a hosts
vulneráveis
Vulnerabilidades e ameaças
de alto risco
Problemas de autenticação incomum ou de controle
de acesso, como vários log-ons com falha ou acesso
não autorizado ao sistema
Atividade suspeita do usuário
Atividades essenciais
de administração
O que preciso detectar?
Atividades administrativas de alto risco em relação a
ativos essenciais, como alterações da configuração
de ativos de alto risco alheias às políticas, ou
delegação de privilégios incomuns
Descrição
Caso de uso: servidor vulnerável é atacado
Sabe que está sendo atacado Sabe que é vulnerávelSabe que é essencial
Sabe que um servidor essencial e vulnerávelestá sendo atacado
Alerta
Ataque
Conhecimento da RSA
IDS Scanner de avaliação de vulnerabilidade
Banco de dados do gerenciamento de configuração
RSA enVision
Analista
Quem ataca
Monitoração e gerenciamentoMedidas essenciais e painéis de controle
Maiores ameaças do IDS
Maiores ameaças do IDS
Atividade de rede por categoria
Atividade de rede por categoria
Ativos mais vulneráveis por
gravidade
Ativos mais vulneráveis por
gravidade
Taxa de incidentes
Taxa de incidentes
Resumo dos benefícios
Redução dos riscos
– Identificação dos problemas de mais alta prioridade
– Destaque dos ativos mais vulneráveis
Maior produtividade do analista
– Simplificação do processo de gerenciamento de incidentes
Melhor visibilidade de gerenciamento
– Concentrar a equipe nas áreas de maior risco
Processo totalmente auditável para emissão de relatórios para fins de conformidade
Como começar?
Recursos:
– White paper: Creating an Effective Security Operations Function (Criando uma função eficaz de operações de segurança)
Onde: http://www.rsa.com
Preciso de orientação
– Aproveite os serviços profissionais da RSA
Gostaria de terceirizar
– Converse com RSA ou Parceiros Certificados da RSA que oferecem soluções gerenciadas de Segurança
Obrigado !!