transformaciÓn de siem en un sistema de … · los sistemas de seguridad actuales se centran en...

TRANSFORMACIÓN DE SIEM EN UN SISTEMA DE ADVERTENCIA TEMPRANA PARA AMENAZAS AVANZADASBig data lleva a SIEM a la era de la analítica de la seguridadSeptiembre de 2012

Resumen de RSA Security

RESUMEN EJECUTIVOEn los últimos años, una impresionante variedad de organismos gubernamentales y empresas importantes han sido víctimas de ataques cibernéticos sigilosos y a la medida, diseñados para aprovechar las vulnerabilidades, interrumpir las operaciones y robar información valiosa. Es evidente que los sistemas de seguridad actuales no realizan las tareas suficientes para impedir estas amenazas avanzadas, dado que muchas de las víctimas cuentan con sistemas de detección y prevención de última tecnología. Estos sistemas no pudieron detener o percibir la presencia de un ataque en las redes de las víctimas hasta que el daño estuvo hecho.

Dado el ambiente de amenazas actual, los equipos de seguridad se dan cuenta de que deben suponer que los ambientes de TI están sujetos a riesgos periódicos. Atrás quedaron los días en que las medidas preventivas para proteger el perímetro o intentar detectar problemas de malware mediante tecnologías de coincidencia de firmas eran suficientes. Las nuevas prácticas se basan en la comprensión de las etapas de ataque, el monitoreo continuo de amenazas y requieren una detección de ataques y corrección rápidas.

Para desarrollar la visibilidad, la agilidad y velocidad para enfrentar las amenazas avanzadas, los sistemas de información de seguridad y administración de eventos (SIEM) deben evolucionar a un sistema nervioso central para realizar una analítica de la seguridad a gran escala. En especial, se necesitan cuatro funcionalidades básicas:

1. Visibilidad generalizada: para lograr la capacidad de saber todo lo que está sucediendo en los ambientes de TI es necesario fusionar muchas fuentes de datos, como la captura de paquetes de red, la reconstrucción de la sesión completa, archivos de log de los dispositivos de red y del host, y la información externa, como los indicadores de amenazas u otro tipo de inteligencia de seguridad. La recopilación de logs centralizada ya no es suficiente.

2. Analítica más profunda: examinar los riesgos en contexto y comparar los patrones de comportamiento con el paso del tiempo en los conjuntos de datos diversos mejora la relación de señal a ruido durante la detección de amenazas avanzadas. De esta forma, se acelera el tiempo de resolución.

3. Escalabilidad masiva: las plataformas que recopilan datos de seguridad deben expandirse en escala y alcance para manejar el desborde de información que es cada vez más necesario para completar la concientización del contexto.

4. Vista unificada: la consolidación de la información relacionada con la seguridad en un solo lugar es vital para investigar los incidentes en contexto y acelerar la toma de decisiones acerca de las posibles amenazas.

Los centros de operaciones de seguridad (SOC) necesitan herramientas de análisis avanzadas que puedan recopilar y filtrar rápidamente los datos de seguridad para presentar los problemas más exigentes en el contexto. Están surgiendo nuevas plataformas de analítica de la seguridad para manejar todas las funciones de los sistemas SIEM tradicionales y mucho más, como la aceleración de la detección de amenazas avanzadas, de forma que las organizaciones tengan una oportunidad de detener los ataques encubiertos.

Comentario del autor

“Hoy en día, la capacidad de

la mayoría de los SOC para

detectar eventos al interior

de las organizaciones son

defi cientes en comparación con

la tecnología de las amenazas.

Por lo general, no encontramos

las amenazas mientras van

rumbo a las organizaciones

o una vez que han ingresado a la

red, sino después de que han

aprovechado una vulnerabilidad

y los datos se han fi ltrado.”

Dean Weber, director de tecnología de Cybersecurity, CSC


Resumen de RSA Security, septiembre de 2012

Contenido

Resumen ejecutivo..........................................................................................................1

Los sistemas de seguridad actuales se centran en los problemas del ayer .......................3

SIEM establece la base para la administración de seguridad ...........................................4

Las amenazas avanzadas requieren de seguridad avanzada ............................................4

La transformación de SIEM en una plataforma de analítica de la seguridad integral .........5

Visibilidad generalizada .............................................................................................5

Una analítica más profunda e investigaciones más rápidas ........................................6

Escalabilidad masiva .................................................................................................6

Vista unifi cada de la información de seguridad crítica ................................................7

Conclusión......................................................................................................................8

Acerca de los autores ......................................................................................................9

Soluciones de Seguridad ..............................................................................................11

Servicios de seguridad administrados de CSC ..........................................................11

RSA® Security Analytics ............................................................................................11

Servicios de seguridad administrados de Verizon .....................................................11

Los resúmenes de RSA Security proporcionan a los líderes

en seguridad y a otros ejecutivos las principales pautas

relacionadas con las más complejas oportunidades

y riesgos de seguridad de la información. Cada resumen

está creado por un equipo selecto de respuesta y expertos

en seguridad y tecnología que se movilizan por las

empresas para compartir conocimientos especializados

sobre un tema emergente crítico. Los resúmenes de RSA

Security ofrecen una perspectiva general y asesoramiento

práctico sobre tecnología, y son fundamentales para los

profesionales de seguridad innovadores de hoy en día.

Autores

Brian Girardi, director ejecutivo de administración de productos, RSA, la División

de Seguridad de EMC

David Martin, vicepresidente, director de seguridad, EMC Corp.

Jonathan Nguyen-Duy, director de servicios de seguridad globales, Verizon Business

Mario Santana, vicepresidente de servicios de información segura, Terremark,

una empresa de Verizon

Eddie Schwartz, vicepresidente y director de seguridad de información, RSA, la

División de Seguridad de EMC

Dean Weber, director de tecnología de Cybersecurity, CSC



LOS SISTEMAS DE SEGURIDAD ACTUALES SE CENTRAN EN LOS PROBLEMAS DEL AYER

Los imprevistos son la regla de oro por la que se rigen los atacantes hoy en día. Los defensores deben ser ágiles en su respuesta.

En el pasado, la prevención de amenazas se resumía en un juego del gato y el ratón entre los proveedores de seguridad y los atacantes. Un atacante desarrollaba una amenaza y, una vez que era identificada en el ambiente, los proveedores entregarían firmas a sus clientes a fin de detener el malware en la conocida puerta frontal. Cuando sucedía esto, los atacantes transformaban la amenaza levemente para evadir la detección, pero no duraba mucho tiempo: los analistas de amenazas del proveedor buscaban instancias de la nueva variante y la bloqueaban según correspondiera. Los equipos de seguridad corporativa se aseguraban de mantener los parches y firmas de seguridad actualizadas, y aparte de la vulnerabilidad ocasional de día cero, este enfoque de protección del perímetro se consideraba bastante eficiente.

Hoy en día, esto ha cambiado ampliamente debido a las APT y amenazas avanzadas similares. El Security for Business Innovation Council define las amenazas avanzadas como ataques cibernéticos diseñados especialmente para romper la protección de una organización con el objetivo de robar información valiosa como propiedad intelectual, información de planta falsa, interrumpir los servicios estratégicos, dañar sistemas o monitorear las operaciones o acciones. Estas amenazas avanzadas son el trabajo de hacktivistas, estados nación, empresas criminales y otros grupos con bastante financiamiento y experiencia personalizada en seguridad.

Los atacantes de hoy en día no están limitados por la protección tradicional de perímetro y basada en firmas descrita anteriormente. Realizan un reconocimiento de los sistemas, el personal y los procesos de seguridad de la organización y desarrollan técnicas para aprovechar sus vulnerabilidades. Por medio de la ingeniería social, la escalación de privilegios y otras formas de investigación, los atacantes obtienen acceso a los recursos confidenciales del sistema. Se mueven pacientemente por la red de una organización, tardan días, semanas o meses en cumplir sus objetivos, para evitar que los detecten.

Posteriormente, cuando es el momento indicado, ejecutan las etapas finales del ataque.

Las infracciones de seguridad que podrían indicar un crecimiento continuo de las amenazas avanzadas están aparentemente en aumento. El informe de investigaciones sobre vulneración de datos de Verizon realizado en 2012 rastreó 855 incidentes de infracciones durante 2011, lo que representa 174 millones de registros comprometidos. Es el segundo total más alto de pérdidas de datos anuales desde que Verizon comenzó el

rastreo de infracciones en 2004.

Además, hoy en día muchas organizaciones siguen aumentando la seguridad con (o bajo) programas de cumplimiento de normas. Sin embargo, la naturaleza lenta y estructurada y las expectativas codificadas de las actividades del cumplimiento de normas a menudo sirven de poco para proteger los ambientes de TI de los ataques. Las empresas deben volver a pensar en sus prioridades de administración de riesgo para conocer las mayores posibilidades actuales de que ocurra un robo cibernético. También deben volver a pensar

sus estrategias de seguridad para enfrentar lo desconocido o esperar a sufrir las

consecuencias de una infracción.

El progreso comienza con la aceptar la posibilidad de que los ambientes de TI ya han sido infiltrados. Este cambio de perspectiva modifica el objetivo de seguridad desde la intención principal de proteger el perímetro a la detección temprana de amenazas y la minimización

del daño de una posible infracción.

Una vez que el campo de juego de la seguridad cambia del perímetro al centro de la organización, los profesionales de seguridad pueden centrar sus esfuerzos en la concientización del contexto para monitorear y proteger los activos más importantes de

la organización.

página 3


“Si piensa en las amenazas

actuales, ya no se trata de los

chicos buenos que luchan contra

un ataque masivo de gusanos

o virus de computadora, ahora son

los chicos buenos contra los chicos

malos, personas reales que tienen

como objetivo un ambiente, y ese

es el motivo por el que los métodos

de protección automatizados

clásicos fallan. En una batalla

de creatividad, los humanos

triunfarían ante las máquinas”.Mario Santana, vicepresidente de servicios de información segura de Terremark, una empresa de Verizon

“Lo que se necesita es una

gran cantidad de nuevas

habilidades de seguridad

y lograr que la gente piense

de manera diferente. Dejen de

pensar en que deben bloquear

las amenazas; en lugar de ello,

piensen en cómo detectar lo

que probablemente ya sucedió

y qué hacer a continuación”.Dave Martin, director de seguridad, EMC



SIEM ESTABLECE LA BASE PARA LA ADMINISTRACIÓN DE SEGURIDAD Los sistemas de información de seguridad y administración de eventos (SIEM) fueron diseñados para ofrecer una ubicación central para recopilar y almacenar datos de seguridad (principalmente logs e información de eventos solamente) a fin de simplificar la administración de los incidentes relacionados con la seguridad y la creación de informes del cumplimiento de normas. Estos sistemas recopilan alertas y logs de seguridad generados por aplicaciones y sistemas de la red, que varían desde dispositivos, almacenamiento y bases de datos de red hasta firewalls, sistemas de prevención de intrusiones software antivirus. Los sistemas SIEM ayudan a reducir el tiempo que los analistas de seguridad deben pasar buscando información, lo que permite a los analistas reasignar su tiempo para dedicarse a corregir incidentes. Según un informe reciente de Forrester Research1, en la actualidad, cerca de un tercio de las empresas han adoptado sistemas de administración de la información de seguridad, considerando la investigación de incidentes y el cumplimiento de normas como los principales motivadores tras la decisión de la adopción.

Actualmente, los sistemas SIEM ejecutan eficientemente diversas funciones clave para la seguridad y el cumplimiento de normas:

• La creación de informes sobre la actividad de dispositivos para proporcionar información fundamental sobre quién, qué, dónde y cuándo se llevaron a cabo las actividades críticas.

• El establecimiento de niveles de actividad de base “normales” para toda la operación de TI, lo que facilita la detección de niveles y tipos de actividad poco comunes.

• La correlación de la información de los eventos, de forma que los expertos en seguridad no deban examinar cada una de las innumerables alertas de seguridad que muchos dispositivos y aplicaciones accionan cada día en la red de la organización.

• El seguimiento de las reglas predefinidas por los expertos en seguridad para mostrar las posibles amenazas. Las reglas también pueden utilizarse para eliminar alertas poco pertinentes, lo que mejora la relación señal a ruido y disminuye en gran medida la cantidad de eventos que se deben investigar.

• La recopilación de datos de log en una ubicación central donde pueden revisarse, presentarse en informes y almacenarse para el cumplimiento de normas y con fines forenses a largo plazo.

• La entrega de pruebas de cumplimiento de normas para auditores internos y externos mediante la generación automática de informes periódicos.

Estas funciones son esenciales para cualquier programa de seguridad y de cumplimiento de normas. De hecho, algunos expertos dicen que si una organización solo puede adoptar una iniciativa de seguridad orientada a la detección, debe ser para utilizar sistemas SIEM a fin de recopilar y correlacionar datos relacionados con la seguridad, lo que puede ayudar a encontrar muchos problemas.

Desafortunadamente, para enfrentar los altos riesgos que implican las amenazas avanzadas, los enfoques de seguridad convencionales fijados por los sistemas SIEM no son suficientes. Los sistemas SIEM tradicionales se han vuelto necesarios, pero son insuficientes.

LAS AMENAZAS AVANZADAS REQUIEREN DE SEGURIDAD AVANZADA Las nuevas funcionalidades de seguridad son necesarias para complementar la nueva mentalidad y continuar desde donde quedaron los enfoques de seguridad tradicionales.

Los sistemas SIEM tradicionales centrados en logs y eventos a menudo proporcionan una imagen incompleta de los riesgos que enfrenta la organización. Esto se debe a que las herramientas SIEM solo recopilan información de las partes de la infraestructura de TI, dejando de lado puntos ciegos críticos.

Los centros de operaciones de seguridad (SOC) de las organizaciones ya no pueden confiar únicamente en los logs de dispositivos para obtener un panorama confiable de lo que está sucediendo. Para encontrar anomalías, es posible que un analista del SOC deba verificar otros tipos de datos (por ejemplo, la función del trabajo del propietario de una laptop conectada a un servidor crítico) y contar con la información en una ubicación central en la que puede asociarse con datos de seguridad tradicionales. Los SOC que ven el valor

página 4


“Los sistemas SIEM tradicionales

aun son necesarios para

alertarnos sobre la detección

de un patrón problemático

y presentar a las organizaciones

el mayor valor que se pueda

obtener de los datos; eso no

puede perderse. Pero se deben

agregar muchas cosas a SIEM

para entregar una visibilidad

más amplia y un contexto

más enriquecido para evaluar

la amenaza”. Eddie Schwartz, director de seguridad, RSA, la División de Seguridad de EMC

1 Forrester Research, Inc., “Dissect Data to Gain Actionable Intel”, agosto de 2012



en el uso de diversas fuentes de información para detectar amenazas avanzadas se ven enfrentados con un problema de big data: ¿Cómo recopilan y analizan estos conjuntos de datos que las soluciones de seguridad tradicionales no tienen en cuenta?

Con los sistemas SIEM actuales, los analistas de los SOC están atrapados en un dilema: no tienen todos los datos necesarios al alcance de la mano para obtener un panorama completo del ambiente, pero no pueden utilizar todos los datos que efectivamente tienen, porque las herramientas SIEM no pueden manejarlos desde el punto de vista del rendimiento. Es posible que las herramientas les indiquen que se ha encontrado una coincidencia de firma de malware, pero ¿que impacto tiene ese malware en el negocio? ¿Qué tan importante es el sistema infectado? ¿Cómo se infectó? ¿Qué más infectó ese malware? ¿Algún dato confidencial se trasladó o se vio afectado? Las herramientas tradicionales no presentan la información de seguridad de manera significativa ni útil, además carecen de interfaces limpias y funcionalidades de visualización que funcionen de la manera en que piensan los analistas de seguridad. Por este motivo, las organizaciones que actualmente utilizan sistemas SIEM, a menudo, solo obtienen una parte del valor

deseado con estas herramientas.

Este es un problema crítico. Dado que el SOC es la última línea de protección de una organización contra los ataques, los analistas de seguridad deben tener el mayor rango y la profundidad de la información útil que tienen a su disponibilidad. SIEM debe ascender a un nivel mayor de utilería para ayudar a los analistas de seguridad a que realicen su trabajo de manera más efectiva y eficiente.

Al tener mucho en riesgo, las organizaciones también deben evaluar sinceramente la madurez de su seguridad y comprender los riesgos que enfrentan a fin de determinar si les conviene operar un SOC de manera interna, externalizarlo a un proveedor de servicios

de seguridad administrada (MSSP) o adoptar un enfoque híbrido.

LA TRANSFORMACIÓN DE SIEM EN UNA PLATAFORMA DE ANALÍTICA DE LA SEGURIDAD INTEGRAL

Los sistemas SIEM actuales no pueden mantener el ritmo de los volúmenes ni la variedad de la información relacionada con la seguridad, especialmente cuando las organizaciones agregan infraestructuras, aplicaciones e incluso servicios de nube a sus ambientes de TI. Para ayudar a las organizaciones a lograr el objetivo de una completa concientización del contexto, las herramientas SIEM necesitan la analítica de “big data”: la capacidad de trabajar con conjuntos de datos que son mayores por varias órdenes de magnitud, más diversas y dinámicas que la información de seguridad recopilada por la mayoría de las organizaciones hoy en día. Las herramientas de la analítica de datos también deben integrar la inteligencia de amenazas desde fuentes externas, lo que puede proporcionar un contexto enriquecido que ayude a acelerar la detección de ataques.

Para desarrollar la inteligencia, visibilidad, agilidad y velocidad para enfrentar las amenazas avanzadas, los sistemas SIEM deben evolucionar a un sistema nervioso central para realizar una analítica de la seguridad a gran escala. La siguiente evolución de SIEM

debe entregar funcionalidades sólidas en cuatro áreas clave.

Visibilidad generalizada

Antes de que las organizaciones puedan detener los ataques cibernéticos sigilosos, primero deben ser capaces de verlos. Las plataformas de analítica de la seguridad deben permitir la reconstrucción completa de la actividad para garantizar que los analistas de SOC cuenten con toda la información disponible, a fin de decidir la mejor forma para reaccionar ante los posibles problemas. Cuando la captura de paquetes de red completos se combina con logs, eventos, inteligencia de amenazas y otras fuentes de datos, permite obtener una visión más

profunda de las amenazas de seguridad al proporcionar lo siguiente:

• Identificación de malware: cada vez es más difícil identificar las amenazas, dado que están enmascaradas para parecerse al tráfico legítimo que atraviesa las redes. La captura de paquetes de red completos recopila y reconstruye archivos y luego automatiza gran

parte del análisis requerido para encontrar indicadores de intenciones maliciosas;

página 5


“En realidad, las infracciones ya

no son solo un asalto. La gran

mayoría de las infracciones y

casos afectados durante el año

pasado ocurrieron en un lapso

de meses. Nuestra experiencia

nos dice que es más valioso

tener una visión completa de

lo que sucedió durante toda la

jornada e implementar pasos de

moderación, en lugar de obtener

un análisis casi en tiempo real de

los eventos”.Jonathan Nguyen-Duy, director de servicios de seguridad globales, Verizon Business


“Hoy en día SIEM no proporciona

la visibilidad, la amplitud y la

profundidad de información para

identifi car realmente las amenazas

en la medida que ocurren.

Necesitamos más fuentes de

datos y visibilidad completos de

los datos de la red, lo que signifi ca

que debemos cambiar la forma en

que mantenemos, administramos,

procesamos y modelamos los

datos. Debemos transformarlo en

algo más consumible, no solo más

datos, sino mejores datos”. Brian Girardi, director ejecutivo de administración de productos, RSA, la División de Seguridad de EMC



• Rastreo de las actividades de los atacantes dentro del ambiente: una vez dentro la red de la organización, los atacantes, a menudo, se mueven entre los sistemas para recopilar la información necesaria a fin de organizar un ataque. Dado que los extremos prácticamente no se monitorean, la captura de paquetes de red completos se convierte en un medio esencial para descubrir los movimientos laterales del atacante, los cuales atraviesan la red de la organización.

• Presentación de pruebas de una actividad ilegal: los sistemas que realizan capturas de paquetes de red completos registran sesiones completas para mostrar las actividades exactas que realizó el atacante, incluidas todas las filtraciones de datos. Dado que muchas amenazas avanzadas no son detectadas hasta que el daño está hecho, los analistas de seguridad necesitan un modo de evaluar el daño. La reconstrucción del ataque es, a menudo, la manera más eficaz para realizar análisis e investigaciones forenses posteriores al ataque.

La incorporación de la captura de paquetes de red completos y la reconstrucción de sesión en la última generación de SIEM es esencial para que los analistas de seguridad investiguen y prioricen las amenazas. Por ejemplo, las herramientas SIEM tradicionales de hoy en día pueden decirle “sé que su equipo estaba conectado a un servidor malicioso”, pero no pueden decirle qué pasó entre ellos. Cuando la captura de paquetes y la reproducción de sesiones se combinan con la información basada en logs y otro tipo de información, puede proporcionar una visión más profunda sobre lo que ocurrió, de forma que los analistas de seguridad puedan evaluar si la actividad fue importante o no. Dichas funcionalidades forenses detalladas pueden ayudar a que los SOC lleven la detección de amenazas a una fase previa de la “cadena de eliminación” y modere el daño que causan las amenazas avanzadas.

Una analítica más profunda e investigaciones más rápidas

Los sistemas de analítica de la seguridad deben contar con la sofisticación de combinar diversos datos para detectar los indicadores de ataques avanzados. Por ejemplo, los sistemas de analítica de la seguridad deben buscar patrones de comportamiento y factores de riesgo, no solo reglas estáticas y firmas conocidas. Los sistemas de analítica de la seguridad también deben considerar el valor relativo de los activos de la empresa que están en riesgo, marcando los eventos asociados activos de gran valor.

Al aplicar un enfoque basado en riesgos que aprovecha big data, las plataformas de analítica de la seguridad pueden eliminar las actividades “buenas conocidas” y mejorar la relación señal a ruido al disminuir la cantidad de información que el analista de seguridad debe revisar en su búsqueda de nuevas amenazas para la empresa. La analítica automatizada de mayor profundidad presenta elementos de interés para los analistas de seguridad mediante informes que indican “esto ocurre en reiteradas ocasiones” o “esto ocurre en pocas ocasiones”. Al realizar esto, los sistemas de analítica de la seguridad pueden ejecutar un triage para los analistas de seguridad, destacando los eventos que necesitan una revisión más detenida.

Si bien la analítica inteligente y automatizada es un componente importante de las nuevas plataformas de analítica de la seguridad, no reemplazan el conocimiento humano; en lugar de ello, destacan las áreas en las que debe aplicarse el conocimiento humano, con su experiencia única en organizaciones y dominios. Fundamentalmente, los sistemas de analítica de la seguridad ayudan a que los SOC escalen las funcionalidades de detección de amenazas en formas que antes no eran posibles, ayudando a los analistas a entender los incidentes oportunamente para hacer la diferencia en el resultado de un ataque avanzado.

Escalabilidad masiva

En la medida que los sistemas SIEM evolucionan a plataformas de analítica de la seguridad, deben expandirse en escala y alcance para manejar la enorme variedad y gran volumen de los datos relacionados con la seguridad tanto del interior como del exterior de la organización. Una mirada en mayor profundidad del tráfico de muchos tipos de dispositivos y desde toda la red multiplica la cantidad de datos que las plataformas de analítica de la seguridad deben manejar. Además, mientras la fusión de las inteligencias de amenazas actualizadas desde fuentes externas transforma una consola de seguridad en un centro de inteligencia de seguridad, también constituyen retos para la escalabilidad de datos.

Para enfrentar las amenazas actuales, las plataformas de analítica de la seguridad debe incluir funcionalidades como una arquitectura de almacenamiento distribuida en niveles y un motor de analítica que normalice y procese conjuntos de datos grandes y diversos a alta velocidad. El almacenamiento y la analítica de datos deben escalarse juntos y de forma lineal.

página 6



Vista unificada de la información de seguridad crítica

Para estar completamente informado y ver los eventos en contexto, los analistas de

seguridad deben contar con toda la información de seguridad disponible en cualquier

momento. Más allá de la recopilación de datos de la red, las plataformas de analítica de la

seguridad deben integrar automáticamente la inteligencia de amenazas actualizada de los

proveedores, organismos federales, asociaciones del sector, inteligencia de código abierto

y otras fuentes. Al entregar toda la información potencialmente pertinente al alcance de la

mano de los analistas de seguridad, la plataforma permite a los analistas que recopilan

esta información manualmente evitar las tareas lentas. La centralización de la abundante

inteligencia aplicable en una plataforma de analítica unificada es crucial para proporcionar

una visión oportuna del ambiente de TI, dado que contextualiza los eventos y acelera los

procesos de toma de decisiones de los analistas.

página 7

FORTALEZAS DE LA SIEM TRADICIONAL

LIMITACIONES DE LA SIEM LA ANALÍTICA DE LA SEGURIDAD EXPANDE LAS FORTALEZAS DE SIEM Y ENFRENTA SUS LIMITACIONES

Automatiza la recopilación, el archivado y la creación de informes de log y datos de eventos de muchas fuentes diversas, desde dispositivos en red y servidores hasta firewalls y software antivirus

La arquitectura de los sistemas SIEM tradicionales no esta diseñada para manejar la variedad y volúmenes enormes de la información de seguridad que está disponible actualmente y que es necesaria para obtener una visibilidad empresarial suficiente

Proporciona una arquitectura de datos distribuida para recopilar datos de seguridad a una escala de “big data” (cientos de terabytes y más). Dichas plataformas también normalizan y analizan estos conjuntos de datos masivamente grandes y diversos a una velocidad muy alta

Crea un catálogo unificado para los datos relacionados con la seguridad, lo que permite a los analistas de SOC obtener un acceso centralizado a los datos necesarios para las investigaciones

A pesar de que los sistemas SIEM recopilan logs y eventos de una amplia variedad de sistemas, su visibilidad está limitada por los datos que contienen los logs recopilados, los cuales, a menudo, solo abarcan una pequeña parte de la actividad posiblemente pertinente

Captura el tráfico de red con algunas plataformas de analítica de la seguridad avanzadas que incluso ofrecen una captura de paquetes de red completos y la reconstrucción de la sesión para detectar e investigar como los atacantes se infiltran en el ambiente de TI y lo que hicieron cuando estaban dentro. Además, las plataformas de analítica de la seguridad avanzadas recopilan la inteligencia de amenazas de fuentes externas, lo que proporciona una valiosa visión del ambiente de amenazas fuera de la empresa

Unifica los datos de log para ayudar a crear un catálogo integral para datos claves orientados a la seguridad

A pesar de que los sistemas SIEM poseen abundantes datos, se utilizan muy poco. La mayoría son débiles en la capacidad de brindar soporte a los analistas en investigaciones de incidentes con restricciones de tiempo

Entrega un alto rendimiento necesario para realizar investigaciones ad hoc, así como proporcionar una interfaz de usuario diseñada para complementar la forma en que los analistas de seguridad realizan las investigaciones

Proporciona informes de control inmediatos, que pueden ser importantes contribuidores para la comprobación del cumplimiento de normas ante las normativas gubernamentales y del sector industrial

Aunque la comprobación del cumplimiento de normas es necesaria, no controla los riesgos de seguridad ni mejora la posición de seguridad de la organización

Proporciona una comprobación del cumplimiento de normas como resultado de un programa centrado en la seguridad

Proporciona alertas básicas sobre secuencias conocidas mediante reglas de correlación

La detección se basa en contar con las firmas de ataques o conocer los métodos de ataques por adelantado. Con las amenazas modernas, a menudo no hay firmas existentes y es difícil predecir el comportamiento exacto del atacante

Crea una plataforma unificada para recopilar datos de seguridad de todo el ambiente. La detección no se basa en firmas ni en reglas de correlación estáticas, sino en comparaciones dinámicas entre los comportamientos de base normales y las actividades sospechosas que pueden ser indicadores de atacantes. Esto acelera la identificación de amenazas activas para las que no hay firmas y reduce la cantidad de incidentes que los analistas deben investigar



CONCLUSIÓN

Los líderes de seguridad exitosos saben que deben trabajar bajo el supuesto de que

se infiltraron sus ambientes de TI. El reto yace en encontrar dónde se ocultan los

mayores peligros.

Las herramientas de seguridad tradicionales son hábiles para seguir las reglas establecidas

por el personal de seguridad (“busca esto y no aquello”). Por el contrario, las plataformas

de analítica de la seguridad encuentran anomalías que los analistas ni siquiera conocían.

Siempre se necesitará de la participación humana, pero los sistemas de analítica de la

seguridad expanden el campo de visión a la vez que disminuyen el campo de amenazas

para impulsar una toma de decisiones rápida y precisa.

Los sistemas de analítica de la seguridad entregan a las organizaciones funcionalidades

de concientización del contexto y de soporte para la toma de decisiones necesarias para

evitar que las amenazas avanzadas causen daño y otorgar importantes beneficios para el

negocio además de la protección. Al integrar estas funcionalidades en una solución de

seguridad unificada, el costo total de propiedad disminuye mientras que la utilidad de la

plataforma aumenta. Al invertir en analítica de la seguridad en lugar de soluciones SIEM

tradicionales, las organizaciones “preparan sus plataformas para el futuro” a fin de

adaptarse al creciente ambiente de amenazas y obtener un catálogo de información

altamente escalable que puede ser útil para muchas funciones y unidades del negocio

diversas. Al automatizar las tareas y brindar un contexto, las plataformas de analítica de la

seguridad permiten que los analistas de SOC sean más productivos. Además, al centrarse

en los esfuerzos por proteger los activos más valiosos de la organización, la seguridad se

vuelve más estratégica para la organización.

página 8



página 9

ACERCA DE LOS AUTORES

Brian Girardi supervisa el desarrollo de las soluciones de administración y analítica de la seguridad avanzadas en RSA, la División de Seguridad de EMC. Entró a la empresa cuando EMC adquirió NetWitness en 2011.

Como uno de los empleados fundadores de NetWitness, el Sr. Girardi fue el encargado de muchos conceptos y métodos de análisis que componen la plataforma de tecnología NetWitness hoy en día. En NetWitness, estaba a cargo del posicionamiento estratégico y marketing de productos, las estrategias de tecnología, la definición de la funcionalidad de productos y de impulsar el lanzamiento de productos.

El Sr. Girardi lleva más de 13 años trabajando en la seguridad de la información, entregando soluciones y servicios innovadores a organizaciones federales del orden público, la comunidad de inteligencia de Estados Unidos y empresas comerciales. Ha publicado artículos y posee patentes de invenciones en el campo de la seguridad de la información. El Sr. Girardi posee una licenciatura en ingeniería mecánica y una maestría en ingeniería eléctrica de Virginia Tech.

David Martin administra la Organización mundial de seguridad líder en el sector de EMC centrada en la protección de los activos e ingresos de varios miles de millones de dólares de la empresa. Como el ejecutivo de seguridad de mayor cargo en EMC, está a cargo de establecer la marca de confianza de EMC con los clientes y de brindar operaciones de protección de negocio en todo el mundo.

El Sr. Martin es un profesional certificado en CISSP y contribuye a EMC con una amplia experiencia en seguridad de la información y administración obtenida durante más de una década de experiencia profesional en la protección de negocios desde varios cargos de auditoría interna, desarrollo de servicios de seguridad y consultoría.

Antes de unirse a EMC, el Sr. Martin creó y lideró organizaciones de consultoría en seguridad, con un enfoque en la infraestructura crítica, la tecnología y mercados verticales bancarios y de servicios de salud, donde desarrolló y entregó programas de seguridad empresarial, respuestas ante incidentes, investigaciones y prácticas de políticas y evaluación.

El Sr. Martin posee una licenciatura en ingeniería en sistemas de fabricación y presta testimonio en organismos gubernamentales y el Congreso de los Estados Unidos como un testigo experto en asuntos de protección empresariales.

Jonathan Nguyen-Duy está a cargo de la administración de productos de los servicios de seguridad administrada en Verizon Business. Es el responsable de desarrollar soluciones de seguridad que aborden una amplia variedad de amenazas y requisitos para el cumplimiento de normas. En los últimos tres años, su equipo ha desarrollado la correlación de inteligencia de reputación anti DDoS y una nueva generación de servicios de seguridad basados en la nube. Durante ese tiempo, Verizon creció hasta ser reconocido como un líder en el sector de la seguridad y como el mayor proveedor de servicios de seguridad administrada a nivel mundial.

Antes de su cargo actual, el Sr. Nguyen-Duy era el responsable del desarrollo de prácticas para la continuidad del negocio, soluciones de seguridad física, almacenamiento administrado y servicios de hosting de Verizon. Antes de unirse a Verizon, era el director general de operaciones para Centroamérica en el Servicio Exterior de los Estados Unidos. El Sr. Nguyen-Duy posee más de 15 años de experiencia en administración de riesgo y seguridad de la información. Ha ayudado a empresas y organismos gubernamentales a enfrentar problemas que incluyen conflictos armados, conflictos civiles, huelgas laborales, desastres naturales, ataques terroristas, interrupciones de energía, enfermedades pandémicas, espionaje industrial y una amplia variedad de amenazas de seguridad cibernéticas.

Es un reconocido experto en seguridad y en la continuidad de operaciones, un frecuente

orador en eventos del sector y presta servicio en varios grupos de trabajo de seguridad. El

Sr. Nguyen-Duy posee un MBA en Marketing de TI y negocios internacionales, así como una

licenciatura en economía internacional de la universidad George Washington.

Brian Girardi

director ejecutivo de administración de

productos,

RSA, la División de Seguridad de EMC

David Martin

vicepresidente,

director de seguridad,

EMC Corp.

Jonathan Nguyen-Duy

director de servicios de seguridad

globales, Verizon Business



página 10

Mario Santana se unió al grupo de servicios de información segura (SIS) de Terremark

Worldwide en enero de 2006. Está a cargo del equipo de analítica de SIS y presta

consultoría a los clientes de Terremark sobre temas de seguridad, tecnología

y administración de riesgo. Luego de la fusión de Terremark con Verizon en 2011, el Sr.

Santana trabajó para crear e integrar una nueva organización de seguridad de alto

rendimiento, rediseñó estrategias, optimizó los procesos operacionales y mantuvo un

personal de elite.

Anteriormente, el Sr. Santana fundó una empresa de tecnología de administración

de identidad, fue consultor de SteelCloud, Inc. y ha trabajado en TI por más de 25 años.

El Sr. Santana trabajó con varias organizaciones Fortune 1000 en todo el mundo, como

instituciones financieras, del servicio de salud y educacionales, seguridad en aeropuertos

y líneas aéreas, conglomerados minoristas y empresas de tecnología y estudios jurídicos.

Lideró proyectos y acuerdos acerca de preocupaciones sobre la administración de riesgo

y seguridad como el buen manejo y control corporativo; análisis forenses y descubrimientos

electrónicos; respuestas ante incidentes; fraudes de propiedad intelectual; incidentes con

personal de la empresa; y la evaluación de redes, sistemas y aplicaciones. Entre sus

especialidades está la concientización sobre las amenazas, la evaluación y moderación,

instrumentación de la red, administración de la seguridad y el cumplimiento de normas.

Eddie Schwartz es director de seguridad de la información (CISO) de RSA y tiene 25 años

de experiencia en el campo de la seguridad de la información.

Anteriormente, fue el cofundador y el director de seguridad de NetWitness (adquirida por

EMC), director de tecnología de ManTech, EVP y gerente general de Global Integrity

(adquirida por INS), vicepresidente ejecutivo de operaciones de Guardent (adquirida por

VeriSign), CISO de Nationwide Insurance, un científico principal en computación en CSC

y funcionario del Servicio Exterior en el Departamento de Estado de los Estados Unidos.

El Sr. Schwartz ha asesorado a varias empresas de seguridad en etapa inicial y formado

parte del comité ejecutivo de Banking Information Technology Secretariat (BITS).

El Sr. Schwartz posee un B.I.S. en administración de seguridad de la información y una

maestría en administración de la tecnología de la información en la escuela de

administración de la universidad George Mason.

Dean Weber es director de tecnología en CyberSecurity en CSC, donde brinda una

perspectiva y orientación para el desarrollo de soluciones y brinda soporte en iniciativas

cibernéticas de seguridad estratégica.

Con más de 30 años de experiencia en seguridad física y de la información, el Sr. Weber se

unió a CSC tras ser director de tecnología en Applied Identity, recientemente adquirido por

Citrix. Antes, fue el arquitecto jefe de seguridad en Teros, un fabricante líder de gateways

de seguridad para aplicaciones, también adquirido por Citrix. Estaba a cargo del desarrollo

y la implementación de soluciones, como la recopilación de evaluaciones y de inteligencia

en TruSecure/ICSA Labs (actualmente Verizon Business Security Solutions). El Sr. Weber

ayudó a fundar un gran integrador y distribuidor de la región centro oeste de Estados

Unidos que se especializa en el diseño de arquitecturas seguras y su implementación en

clientes del sector público y privado, y también trabajó por muchos años como su

vicepresidente técnico. Además, trabajó muchos años en la Armada de los Estados Unidos

en seguridad física y electrónica.

El Sr. Weber es orador frecuente en eventos de seguridad de la información como

InfoWorld, ITEC, InfoSec Europe, InfraGard, Secret Service Security Roundtable, ISSA

y en diversos eventos.

Mario Santana

vicepresidente de servicios

de información segura,

Terremark, una empresa de Verizon

Eddie Schwartz,

vicepresidente y director de seguridad

de TI,

RSA, la División de Seguridad de EMC

Dean Weber

director de tecnología

de seguridad cibernética, CSC



página 11

SOLUCIONES DE SEGURIDADLos productos y servicios que se describen a continuación están alineados con la orientación descrita en este informe breve de RSA Security. No es una lista integral de las soluciones aplicables; sino un punto de partida para los profesionales de la seguridad y de la administración de riesgo interesados en aprender acerca de algunas opciones de soluciones y servicios disponibles para ellos.

Servicios de seguridad administrados de CSC

Los servicios de seguridad administrada de CSC se entregan mediante centros de operaciones de seguridad integrados en todo el mundo y presentan una alternativa atractiva para la administración automática de las funciones de seguridad. Los servicios de seguridad administrada del CSC permiten a las organizaciones cumplir sus obligaciones de seguridad de manera más eficiente en un ambiente de presupuestos restringidos, recursos calificados limitados, mandatos de regulaciones ajustados y un panorama de amenazas cada vez mayor. Un conjunto integral de ofertas que brindan protección cibernética a la medida, desde el monitoreo y la administración central hasta la analítica más sofisticada y protección de seguridad cibernética de vanguardia mediante detección de amenazas avanzadas, inteligencia de amenazas global, concientización del contexto y funcionalidades de buen manejo y control, administración de riesgo y cumplimiento de normas. Hoy en día, CSC presta uno de los pocos servicios de seguridad administrada que no depende de proveedores para el segmento medio del mercado y grandes empresas, que integra las mejores herramientas disponibles desde un amplio espectro de proveedores líderes con la propiedad intelectual de CSC.

RSA® Security Analytics

La solución RSA® Security Analytics está diseñada para entregar a las organizaciones la concientización del contexto necesaria para enfrentar los problemas de seguridad más urgentes. Al ofrecer una visibilidad de toda la empresa en el tráfico de red y los datos de eventos de log, el sistema RSA Security Analytics puede ayudar a las organizaciones a obtener una visión más integral de su ambiente de TI, lo que permite a los analistas de seguridad priorizar las amenazas rápidamente, investigarlas, tomar decisiones de corrección e implementar medidas. La arquitectura de datos distribuidos de la solución RSA Security Analytics está diseñada para recopilar y analizar volúmenes masivos de información (cientos de terabytes y más) a altas velocidades utilizando varios modos de analítica. Esta solución también puede integrar inteligencia de amenazas externa acerca de las herramientas, técnicas y procedimientos más recientes que utiliza la comunidad de atacantes y ayudar a las organizaciones a rastrear y administrar las respuestas a problemas de seguridad identificados a través de la solución. El lanzamiento comercial de la plataforma RSA Security Analytics está planificado para fines de 2012.

Servicios de seguridad administrados de Verizon

Verizon es un partner global de TI, seguridad y comunicaciones de empresas y el Gobierno con una de las redes IP públicas con mayores conexiones en el mundo. Verizon ofrece el conjunto más integral de servicios de seguridad administrada, con el respaldo de más de 1,200 expertos en 30 países. Verizon utiliza la tecnología de correlación y clasificación de su State and Event Analysis Machine (SEAM) patentada para filtrar millones de eventos de seguridad positivos y escala solamente los incidentes con mayor probabilidad de representar una amenaza. Esta tecnología, en combinación con una vasta cantidad de inteligencia de amenazas y vulnerabilidades generada por la expansiva red global de Verizon, permite a la empresa enfrentar una amplia variedad de amenazas cibernéticas y cumplir los requisitos del cumplimiento de normas. Este es el motivo por el que Verizon es considerado un líder en seguridad por las empresas de analistas como Gartner, Forrester, Frost & Sullivan, entre otros. Es también el motivo por el que miles de empresas y organismos gubernamentales confían en Verizon para proteger los datos y la infraestructura del negocio que entregan, así como para cumplir las normativas y estándares de seguridad.

EMC2, RSA, el logotipo de EMC, RSA, enVision, Archer y el logotipo de RSA son marcas registradas o marcas

comerciales de EMC Corporation en los Estados Unidos y en otros países. Todos los otros productos o servicios

mencionados son marcas comerciales de sus respectivas empresas. © Copyright 2012 EMC Corporation.

Todos los derechos reservados.

h11031-SIEM_BRF_0912

ACERCA DE RSA

RSA, la División de Seguridad de EMC, es el proveedor principal de soluciones de

administración de cumplimiento de normas, riesgos y seguridad para la aceleración

del negocio. RSA ayuda a las organizaciones líderes del mundo a resolver los retos de

seguridad más complejos y delicados. Entre estos retos, se incluyen la administración

de los riesgos de las organizaciones, la protección de la colaboración y el acceso por

medio de dispositivos móviles, la comprobación del cumplimiento de normas y la

protección de ambientes virtuales y de nube.

Mediante la combinación de controles críticos para el negocio en la comprobación de

identidad, el cifrado y la administración de claves, SIEM, la prevención de pérdida de

datos y la protección contra fraudes con funcionalidades de eGRC líderes del sector

y sólidos servicios de consultoría, RSA brinda confianza y visibilidad respecto de

millones de identidades de usuarios a las transacciones que ejecutan y a los datos

que se generan. Para obtener más información, visite www.RSA.com y www.EMC.com

(visite el sitio web de su país correspondiente).

www.rsa.com

Resumen de RSA Security, octubre de 2011

transformaciÓn de siem en un sistema de … · los sistemas de seguridad actuales se centran en...

Documents