Escolar Documentos
Profissional Documentos
Cultura Documentos
DE SEGURIDAD INTELIGENTE
Resumen tcnico de RSA
PUNTOS CLAVE
Los ataques y las intrusiones cibernticas son prcticamente imposibles de evitar, dada
la apertura de las redes actuales y la creciente sofisticacin de las amenazas avanzadas.
En consecuencia, la prctica de la seguridad ciberntica debe enfocarse en asegurar que
la intrusin y las limitaciones no produzcan daos ni prdidas para el negocio.
Las organizaciones deben cambiar ms recursos de seguridad destinados a la prevencin
de las intrusiones por recursos destinados a la deteccin y a la correccin.
Para mejorar la deteccin y la respuesta a las amenazas se necesita un enfoque
de seguridad basada en inteligencia que ayude a las organizaciones a usar toda
lainformacin disponible relacionada con la seguridad, tanto de fuentes internas
como externas, para detectar amenazas ocultas e incluso predecir amenazas futuras.
Optimizar la manera en que las tecnologas, el personal y los procesos trabajan en
conjunto es fundamental para escalar las funcionalidades de seguridad segn los
crecientes riesgos que presentan las amenazas cibernticas avanzadas, todo ello
sin dejar de proporcionar eficiencia y valor a la organizacin.
La automatizacin de la tecnologa puede ayudar a los analistas a aprovechar al mximo
su tiempo al reducir drsticamente la carga de trabajo que implica el cierre de incidentes
de rutina de bajo nivel. La automatizacin le da tiempo a los analistas para concentrarse
en riesgos de mayor prioridad que afectan a los activos ms crticos de la organizacin.
Configurar los procesos de seguridad para automatizar tareas repetitivas e integrar
los flujos de trabajo relacionados es posiblemente el paso ms beneficioso que los
centros de operaciones de seguridad (SOC) pueden llevar a cabo para aumentar
la productividad, cumplir polticas e implementar mejores prcticas para detectar
y responder a las amenazas.
Los SOC tendrn que formar equipos de colaboracin interdisciplinarios con conjuntos
de habilidades altamente especializados para combatir las amenazas cibernticas
avanzadas. Sin embargo, el sector de la seguridad enfrenta una grave escasez de
habilidades y personal calificado. Aprovechar la tecnologa ms reciente para ahorrar
tiempo mediante la automatizacin y complementar las capacidades internas con la
subcontratacin de especialistas puede ayudar a las organizaciones a administrar las
habilidades y las brechas en los recursos.
Los resultados de los mejores equipos de operaciones de seguridad ilustran el impacto
que se produce al optimizar la interaccin de personas, procesos y tecnologas en
las operaciones de seguridad. Al apoyarse en un programa de seguridad basada en
inteligencia, las organizaciones lderes pueden lograr resultados como reducir el tiempo
promedio para resolver incidentes en hasta un 60 %.
Febrero de 2013
Resumen tcnico de RSA, febrero de 2013
Contenido
Nivelar el panorama de las amenazas con el anlisis de big data .....................................3
Alinear el personal, los procesos y la tecnologa para escalar
la seguridad segn las amenazas ....................................................................................4
Alineacin tecnolgica: Big data y automatizacin ...................................................4
Alineacin de procesos: El principal motor para la productividad .............................6
Alineacin de personal: Se necesitan nuevas habilidades ........................................7
La seguridad basada en inteligencia en accin ................................................................8
Organizacin convergente para la administracin de riesgos y seguridad .................8
Infraestructura convergente para el monitoreo y la administracin de la seguridad ...8
Automatizacin del uso de datos de inteligencia y de incidentes ......................9
Automatizacin de la recopilacin de big data ................................................11
Automatizacin de la analtica basada en host ...............................................11
Resultados de EMC con el apoyo de la seguridad basada en inteligencia ................12
Apndice: Soluciones de seguridad basada en inteligencia de RSA ...............................13
1 Gartner Inc., Datos de mtricas clave de TI 2013: Medidas clave para la seguridad de la informacin: Plurianual
(14 de diciembre de 2012), pp. 710
Lograr una seguridad perfecta y sin vulnerabilidades no solo es imposible, sino tambin
poco prctico. Esto se debe a que los adversarios sofisticados han aprendido a elaborar
sus tcnicas de ataque de tal manera que pueden franquear las medidas de seguridad
preventiva, como antivirus, firewalls y contraseas. Adems, los adversarios son muy
cuidadosos a la hora de cubrir sus huellas y mantenerse ocultos dentro de los ambientes
de TI, en algunos casos durante semanas o incluso meses despus de haber obtenido el
acceso. La complejidad de la mayora de los ambientes empresariales de TI, combinada
con el predominio de los servicios mviles y de nube y la accesibilidad cada vez mayor de
las redes empresariales a redes externas, ofrece a los atacantes muchos lugares para
ocultarse y muchos ms puntos para una posible intrusin.
A pesar del aumento de los riesgos y los ataques cibernticos, los equipos de seguridad
enfrentan restricciones constantes de presupuesto y recursos para proteger los preciados
activos de informacin de la empresa. El gasto en seguridad como porcentaje del gasto de
TI ha ido de un 6.0 % en el 2008 a un 5.6 % en el 2012, segn un informe de Gartner que
compara los gastos de seguridad y dotacin de personal.
1
En el mismo informe,
Gartner menciona disminuciones en el gasto de seguridad desde US$636 por
empleado en el 2008 a US$577 por empleado en el 2012. Estas tendencias indican
que los equipos de seguridad deben aprender a hacer ms con menos.
La mayor parte del gasto en seguridad se sigue invirtiendo en diversas herramientas
preventivas destinadas a proteger el permetro y que en gran medida ya se encuentran
obsoletas frente a los ataques cibernticos avanzados. El objetivo ms apremiante
de la seguridad ciberntica ahora y en el futuro cercano, debe ser evitar daos
o prdidas para el negocio, en lugar de evitar intrusiones y limitaciones.
La mejor manera de evitar daos al negocio es detectar y corregir los ataques cibernticos
rpidamente. Para ello, las organizaciones deben asignar una mayor parte de
sus inversiones en seguridad a mejorar las funcionalidades de deteccin y respuesta
ante las amenazas. En primer lugar, deben obtener una visibilidad completa de lo que
est sucediendo en sus ambientes de TI. Luego, deben ampliar esa visin para
incluir inteligencia de amenazas externa. Las organizaciones tendrn que aprender
a usar nuevos tipos de datos de seguridad, y mucho ms.
Resumen tcnico de RSA, febrero de 2013
NIVELAR EL PANORAMA DE LAS AMENAZAS CON EL ANLISIS DE BIG DATA
Una nueva generacin de herramientas de seguridad utiliza tcnicas innovadoras para
recopilar y analizar enormes cantidades de datos: datos de computadoras personales,
dispositivos mviles y servidores; datos de redes internas, incluyendo la composicin
y el contenido de paquetes de red; e inteligencia de amenazas sobre ataques en otras
organizaciones y las herramientas y mtodos utilizados. Adems de analizar estas fuentes
de informacin tradicionales, las herramientas de seguridad de big data tambin pueden
recopilar informacin de fuentes no tradicionales, como lectores de tarjetas de ingreso,
registros de personal e incluso calendarios de Microsoft Outlook
GRC y la solucin
RSA
Security Analytics. Estos dos sistemas integran datos de muchas otras herramientas,
lo que proporciona al personal del CIRC un nico repositorio de big data y una consola de
administracin centralizada para el anlisis de seguridad. (Ver la figura 1).
La integracin de la plataforma de RSA Archer GRC con RSA Security Analytics optimiza
muchos flujos de trabajo de operaciones de seguridad, ayudando al CIRC de EMC a acelerar
las investigaciones y reducir el tiempo necesario para cerrar incidentes.
pgina 8
Resumen tcnico de RSA, febrero de 2013
Automatizacin del uso de datos de inteligencia y de incidentes
Cada da se generan cientos de alertas que el CIRC de EMC debe revisar. Antes de que una
alerta se le presente a los analistas de seguridad para su investigacin, la tecnologa de
RSA Archer y RSA Security Analytics recopila y correlaciona automticamente una amplia
variedad de datos relacionados con el incidente. Se han diseado diversos procesos
y tecnologas para integrar datos contextuales e inteligencia en los procesos de deteccin
y respuesta a amenazas.
pgina 9
Orgenes de datos
Contactos (Active Directory)
Instalaciones
(Administracin de
direcciones IP)
Dispositivos
(Base de datos de activos)
Genera alertas
a travs de
correlaciones
y anlisis
Proporciona
datos
complementari
os provenientes
de fuentes
de Archer
relacionadas
con el incidente
Compila datos
de incidentes
enriquecidos
para
presentrselos
a los analistas
Presenta alertas con datos
de incidentes enriquecidos
Consolida todos los datos
de incidentes
Administra el proceso de
investigacin, creacin y rastreo
de solicitudes relacionadas
con incidentes
Rastrea la resolucin de incidentes
Mantiene un historial detallado de
los incidentes y pistas de auditora
Realiza evaluaciones de impacto
y riesgo de los incidentes
Captura enormes volmenes de datos
diversos y que cambian rpidamente
relacionados con la seguridad
Ejecuta anlisis contextuales y
correlaciones, leyendo terabytes
de datos en tiempo real
Fusiona la inteligencia contra
amenazas externas con datos internos,
reduciendo los puntos ciegos
Archiva grandes volmenes de datos
para fines de cumplimiento de normas
y anlisis forense
RSA Security
Analytics
RSA Archer
Analista
de SOC
Feeds de inteligencia externa
Feeds contra
amenazas externas
Portal de indicadores de
amenaza (para IoC internos)
Feed de RSA FraudAction
Feeds de RSA
NetWitness
Live
RSA CCIS
Datos de ubicacin
geogrfica de IP
Feeds internos
Orgenes de datos internos
Firewalls
Sensores de deteccin
de intrusin
Sistemas de prevencin
de intrusin
Proxies >
Firewalls de aplicaciones web
Active Directory
Exchange
Servidores AAA
Controladores LAN inalmbricos
Enrutadores
Antivirus
Prevencin de prdida
de datos (DLP)
Paquetes de red completos
Datos de usuario de RH
Datos de inicio de sesin
(Active Directory)
Datos de IPS de punto final
Logs web
Figura 1: Plataforma unificada para la analtica de datos y la administracin
de la seguridad
Resumen tcnico de RSA, febrero de 2013
pgina 10
El CIRC de EMC ha desarrollado un sistema de administracin de indicadores de amenaza
para asimilar artefactos de inteligencia de amenazas avanzadas derivados de fuentes de
inteligencia pblicas y privadas, asociaciones de uso compartido de inteligencia y las
propias funciones de anlisis avanzado e inteligencia de amenazas cibernticas del CIRC.
Los indicadores de riesgo (IOC) en este sistema ejecutan el espectro de dominios
y direcciones IP hostiles que se conocen hasta caractersticas de comunicacin como
cadenas y elementos de mensajes de correo electrnico hostiles, incluidos los encabezados
de los correos electrnicos.
Los IOC se clasifican por severidad y se integran automticamente en la plataforma
de RSA Security Analytics como feed de captura, generando etiquetas de metadatos
especficas. Por ejemplo, un dominio de amenaza conocido etiquetado en el sistema
de administracin de amenazas generar una etiqueta de metadatos de Severidad 1
(la clasificacin de prioridad ms alta) para cualquier actividad de ese dominio encontrada
por RSA Security Analytics. Las alertas para estas etiquetas de metadatos estn diseadas
para canalizarse a travs de la consola de administracin de seguridad de RSA Archer con
el fin de facilitar una respuesta casi en tiempo real de parte del CIRC.
Pero incluso antes de que la alerta se le presente a los analistas de seguridad, se recuperan
elementos de datos adicionales de la base de datos de seguridad centralizada del CIRC que
pueden proporcionar contexto valioso sobre la amenaza. As, el analista cuenta con todos los
artefactos disponibles relacionados con el incidente y con los puntos de origen y de destino.
El ejemplo de la figura 2 ilustra la manera en que este proceso de enriquecimiento de datos
y mtodo integrado de alertas proporciona al CIRC de EMC los detalles necesarios para
analizar y responder con rapidez a incidentes crticos.
Figura 2: Enriquecimiento automtico de datos de eventos
Informacin de evento enriquecida
(presentada a travs de la consola
de RSA Archer)
Incidente 12345
Fecha: 1. de febrero de 2012
Severidad: 1 hostil conocido C2
IP de origen: 10.10.11.11
Ubicacin de red: Atlanta
Fecha y hora de inicio de
sesin: 1. de febrero de 2012
10:05:05
Nombre de host: smithj_pc
Propietario: John Smith
Sistema operativo: Recurso
crtico de Windows 7: S
Organizacin funcional:
Finanzas
IP de destino: 201.200.100.10
Ubicacin: Hac, Serbia
Dominio: www.sitiopeligroso.info
Solcitante del dominio:
Mobel Sergei
Fecha de registro:
12 de octubre de 2012
Alerta: Se intent una conexin
SSL a un rango de
IP sospechoso
Informacin bsica del evento
(enriquecimiento de datos coordinado
por RSA Security Analytics)
Enriquecimiento
de datos externos
Enriquecimiento
de datos internos
Incidente 12345
Fecha: 1. de febrero
de 2012
Alerta: Se intent una
conexin SSL a un
rango de IP sospechoso
IP de origen:
10.10.11.11
IP de destino:
201.200.100.10
Dominio:
sitiopeligroso.info
Consulta de dominio/
herramientas de
bsqueda de IP
Solicitante: Mobel Sergei
Fecha del registro: 12 de
octubre de 2012
Ubicacin: Hac, Serbia
Evento generado
para la IP de destino
201.200.100.10
* Tambin se pueden aplicar otras fuentes
Consulta a servicios de
reputacin y bsqueda
de sitios maliciosos
Dominio: www.sitiopeligroso.info
Sitio vinculado a actividades
maliciosas anteriores
IP de origen de los
datos del evento:
10.10.11.11
Nombre de host:
smithj_pc
Consulta a DHCP*
por nombre de host
Nombre de host equivale
a smithj_pc
Consulta a la base
de datos
de empleados
para obtener detalles
de jsmith
IP de origen de los datos
del evento: 10.10.11.11
Nombre de host: smithj_pc
Nombre de usuario: jsmith
Propietario: John Smith
SO: Windows 7
ltimo inicio de sesin:
1. de febrero de 2013,
10:05:05
Consulta del ltimo
usuario que inici
sesin en smithj_pc
IP de origen de los datos del evento:
10.10.11.11
Nombre de host: smithj_pc
Nombre de usuario: jsmith
Propietario: John Smith
SO: Windows 7
ltimo inicio de sesin:
1. de febrero de 2013, 10:05:05
Ubicacin: Atlanta
Organizacin funcional: Finanzas
Event Data
Destination IP: 201.200.100.10
Location: Hac, Serbia
Domain: www.badsite.info
Registrant: Mobel Sergei Register
Date: 12-Oct-2012
Evento generado
para la IP de origen
10.10.11.11
Resumen tcnico de RSA, febrero de 2013
pgina 11
Las funcionalidades de enriquecimiento de datos e integracin de inteligencia del CIRC de
EMC ayudan a los analistas a concentrar sus esfuerzos en responder rpidamente a las
amenazas, reduciendo el tiempo de exposicin a los ataques y eliminando la recopilacin
manual de elementos de datos adicionales correlacionados con los incidentes.
Automatizacin de la recopilacin de big data
Las aplicaciones de SIEM y monitoreo tradicionales tienen capacidades limitadas de
consultas ad hoc y anlisis avanzado a causa de problemas de arquitectura y rendimiento.
El CIRC de EMC enfrenta este desafo transmitiendo una copia espejeada de todos los
eventos de log a un repositorio de big data que recopila aproximadamente mil millones de
registros al da de 25 tipos de dispositivos: ms de 900 GB de datos diarios. Los analistas
pueden consultar los datos de este almacn centralizado para correlacionar actividades
con posibles amenazas. Por ejemplo, el CIRC de EMC utiliza sus funcionalidades de big data
para realizar anlisis bsicos de comportamiento, como la deteccin de posibles patrones
de transmisin de sealizaciones dentro de los logs de eventos de firewall y proxy de
la web. Adems, a medida que el CIRC de EMC recibe nueva inteligencia de seguridad,
la actividad histrica posiblemente relacionada con amenazas descubiertas recientemente
se puede analizar para determinar el dao sufrido, de haber alguno. La potencia de
procesamiento de la plataforma de big data de EMC ha reducido de varias horas a solo
minutos el tiempo necesario para recopilar y entender la informacin de seguridad
relacionada con una amenaza, disminuyendo considerablemente el tiempo de exposicin.
Automatizacin de la analtica basada en host
Los productos tradicionales de antivirus e IDS/IPS basados en host utilizan principalmente
firmas para identificar el malware. Sin embargo, las tcnicas basadas en firmas se han
visto superadas por el crecimiento del malware y son eludidas por completo por ataques
dirigidos, como APT y otras amenazas avanzadas. A pesar de que las tecnologas de
escaneo de malware tradicionales seguirn teniendo una funcin de rutina como capa
de defensa, por s solas simplemente no son suficientes para combatir las amenazas
ms sofisticadas de la actualidad.
Integrar inteligencia basada en el comportamiento al anlisis y la correccin de hosts ayuda
a cerrar las brechas que dejan las herramientas basadas en firmas, como los antivirus
e IDS/IPS. El CIRC de EMC ha implementado RSA
Data Loss Prevention (DLP) est diseado para alertar a las organizaciones
sobre actividad relacionada con datos confidenciales que resulta sospechosa
o que infringe la poltica de la organizacin. DLP ejecuta adems funciones de
correccin de primera lnea, como bloquear la transmisin de datos confidenciales,
o ponerlos en cuarentena, eliminarlos o moverlos, o aplicar administracin de
derechos para los documentos que contienen datos privados. RSA DLP se integra
fcilmente con la consola de administracin de seguridad de RSA Archer y la
plataforma de RSA Security Analytics, proporcionando a las organizaciones un
feed de datos valiosos para generar alertas y con mejores defensas en niveles.
RSA