xelere - ibm security qradar

Solución IBM QRadar

Agenda

Situación actual

Seguridad Inteligente

Solución QRadar

Evolución de la Solución

Integración y competencia

Situación Actual: Estamos en una era de ataques constantes

Fuente: IBM X-Force® Research 2013 Trend and Risk Report

Sofisticación en Operación

IBM X-Force declaróAño de las brechas de

seguridad

Fugas de informaciónsensible

Incremento del 40%en incidents de información

Ataques múltiples y nuevosmétodos

500,000,000+ incidentestienden a aumentar

2011 2012 2013

SQL injection

Spear phishing

DDoS Third-party software

Physical access

Malware XSS Watering hole

UndisclosedAttack types

Note: Size of circle estimates relative impact of incident in terms of cost to business.

Evolución de ataques Soluciones Complejas Recursos Reducidos

• Gran incremento en la cantidad de ataques.

• Ataques cada vez mássofisticados.

• Considerable aumento de la cantidad de malware.

• Brechas de seguridad diarias.

• Permanentes cambios en la infraestructura tecnológica.

• Múltiples soluciones de diferentes proveedores.

• Soluciones no integradascomplicadas de administrar.

• Herramientas insuficientes

• Nuevos retos para el equipode seguridad.

• Dificultad a la hora de encontrar personal calificado.

• Nuevas demandas de monitoreo y auditorías.

Backdoors

Persistentes

Spear Phishing

Malware Dirigido

Situación actual: Retos del área de Seguridad

Seguridad Inteligente

Seguridad Inteligente: Definición

Seguridad Inteligente

--sustantivo

1. La recolección, normalización y análisis en tiempo real de los datos generados por los usuarios, aplicaciones e infraestructura que impactan en la TI y en la postura de seguridad de una oranización.

2. Un enfoque completo para la defensa de los activos críticos de una organización, propiedad intelectual y datos privados, con capacidad de detección de anomalías, que permite realizar actividades preventivas de gestión de riesgo y vulnerabilidades.

Brindar información accionable y completa para gestionar los riesgos y combatir las amenazas. La detección provee información para la

mitigación y remediación

Seguridad Inteligente: Preguntas clave

Solución QRadar

Solución QRadar: Pilares de la plataforma

Inteligencia integrada que identifica automáticamente las ofensas

Capacidad para realizar análisis forense sobre incidentes

Arquitectura integrada en una única consola web

Generación de ofensas que ayudan a prevenir y remediar incidentes

Fácil de administrar e implementar

Arquitectura escalable y modular

Evolución de la Solución

Evolución basada en las necesidades de los clientes

Liderazgo reconocido

Integración y Competencia

Pieza central de todas las soluciones del portafolio de seguridad

Solución completa que permite reducir costos y aumentar visibilidad

Inteligente, integral y automatizada con capacidades únicas

!Muchas Gracias!

Slides adicionales

Seguridad para ataques dirigidos o avanzados

Arquitectura escalable

“Look and feel” de la herramienta

Identificar amenazas

Potencial Botnet detectadaEso es lo máximo que un SIEM tradicional podría mostrar

Tener visibilidad de capa de Aplicació permite detetar amenzas que otros sistemas no advertirían

IRC en puerto 80IBM Security QRadar QFlowdetecta un canal encubierto

Confirmación de Botnet

Flujo de capa 7 contiene

commandos de control e instrucción

de botnet

Consolidar fuentes de datos

Analizando datos de flujos y

eventos

Solo IBM Security QRadar utiliza

flujos de capa 7

Reducción de datos

1153571 : 1Data Reduction Ratio

Correlación avanzada

Analizando diferentes fuentes

Gran cantidad de fuentes de datos

InteligenciaInformación extremadamente

precisa y accionable+ =

Cumplir con regulaciones

Tráfico sin cifrado

• IBM Security QRadar QFlow detecta un servicio de texto plano corriendo en un servidor PCI

• El Requerimiento 4de PCI dicta: Cifrar la trasmisión de datos de titulares de tarjetas de crédito

en redes públicas o privadas.

Simplificación del cumplimiento

Out-of-the-box support for major compliance and regulatory standards, automated reports, pre-defined correlation rules and dashboards

Cumplimiento PCI en riesgo?

Detección en tiempo real de

violación de la norma

Detectar fraude interno

Potencial robo de

datos

¿Quién? ¿Qué?

¿Dónde?

Detección de amenzas en la era “post-perímetro”User anomaly detection and application level visibility

are critical to identify inside threats

¿Quién?

Usuario interno

¿Qué?

Datos de Oracle

¿Dónde?

Gmail

Mejorar la detección de riesgos

¿Cuáles son los

detalles?

Información detallada

de vulnerabilidades,

ordenadas según el

riesgo.

¿Cómo remedio la

vulnerabilidad?

Información accionable previa a la explotaciónMonitoree la red para detector riesgos asociados a

configuraciones o falta de cumplimiento.Sea capaz de priorizar la mitigación de estos riesgos.

¿Qué activos son afctados?

¿Cómo debo priorizar la mitigación?

Monitorear la configuración de dispositivos de red

Encontrar las Brechas antes que sus adversarios

Visibilidad total y monitoreocontinuo

Encontrar dispositivos con

configuraciones riesgosas

Utilizando el conocimiento del

tráfico de red y vulnerabilidades.

Evaluar rápidamente el tráfico

riesgoso y profundizar

Detectar comportamiento anómalo

“Information security is becoming a big data and analytics problem. ...Some of the most sophisticated attacks can only be found with detailed

activity monitoring to determine meaningful deviations from ‘normal’ behavior.”

Neil MacDonald, Gartner, June 2012

Reportar tráfico de una dirección IP perteneciente a un país que no posee acceso remoto.

Detección de anomalías capaz de identificar discrepancias significativas utilizando reglas o el

umbrales previamente definidos.

Analizar flujos de red

• El tráfico de red no miente. Un atacante puede borrar logs, pero no puede detener eltráfico generado en la red (flujos de datos).

– Inspección de paquetes en capa 7

Ganar visibilidad de tráfico de red para detector comportamientosanómalos que de otra manera pasarían desapercibidos.

Monitorear la actividad de usuarios

Integración con Identity

y Access Management

Conocimiento de los roles

de usuarios y grupos a los

que pertenece

Visibilidad completa en la punta de sus dedos

Usuarios, eventos, flujos, todo disponible para profundizar.

Detectar actividad sospechosa

¿Por qué un usuario con

privilegios se conecta desde un

dispositivo externo?