CreaCión de un Centro de operaCiones de seguridad ... - peru… · CreaCión de un Centro de operaCiones de seguridad inteligente Resumen técnico de RSA puntos Clave • los ataques

CreaCión de un Centro de operaCiones de seguridad inteligente

Resumen técnico de RSA

puntos Clave• los ataques y las intrusiones cibernéticas son prácticamente imposibles de evitar, dada

la apertura de las redes actuales y la creciente sofisticación de las amenazas avanzadas. en consecuencia, la práctica de la seguridad cibernética debe enfocarse en asegurar que la intrusión y las limitaciones no produzcan daños ni pérdidas para el negocio.

• las organizaciones deben cambiar más recursos de seguridad destinados a la prevención de las intrusiones por recursos destinados a la detección y a la corrección.

• para mejorar la detección y la respuesta a las amenazas se necesita un enfoque de seguridad basada en inteligencia que ayude a las organizaciones a usar toda lainformación disponible relacionada con la seguridad, tanto de fuentes internas como externas, para detectar amenazas ocultas e incluso predecir amenazas futuras.

• optimizar la manera en que las tecnologías, el personal y los procesos trabajan en conjunto es fundamental para escalar las funcionalidades de seguridad según los crecientes riesgos que presentan las amenazas cibernéticas avanzadas, todo ello sin dejar de proporcionar eficiencia y valor a la organización.

• la automatización de la tecnología puede ayudar a los analistas a aprovechar al máximo su tiempo al reducir drásticamente la carga de trabajo que implica el cierre de incidentes de rutina de bajo nivel. la automatización le da tiempo a los analistas para concentrarse en riesgos de mayor prioridad que afectan a los activos más críticos de la organización.

• Configurar los procesos de seguridad para automatizar tareas repetitivas e integrar los flujos de trabajo relacionados es posiblemente el paso más beneficioso que los centros de operaciones de seguridad (soC) pueden llevar a cabo para aumentar la productividad, cumplir políticas e implementar mejores prácticas para detectar y responder a las amenazas.

• los soC tendrán que formar equipos de colaboración interdisciplinarios con conjuntos de habilidades altamente especializados para combatir las amenazas cibernéticas avanzadas. sin embargo, el sector de la seguridad enfrenta una grave escasez de habilidades y personal calificado. aprovechar la tecnología más reciente para ahorrar tiempo mediante la automatización y complementar las capacidades internas con la subcontratación de especialistas puede ayudar a las organizaciones a administrar las habilidades y las brechas en los recursos.

• los resultados de los mejores equipos de operaciones de seguridad ilustran el impacto que se produce al optimizar la interacción de personas, procesos y tecnologías en las operaciones de seguridad. al apoyarse en un programa de seguridad basada en inteligencia, las organizaciones líderes pueden lograr resultados como reducir el tiempo promedio para resolver incidentes en hasta un 60 %.

Febrero de 2013

resumen técnico de rsa, febrero de 2013

Contenido

nivelar el panorama de las amenazas con el análisis de big data .....................................3

alinear el personal, los procesos y la tecnología para escalar

la seguridad según las amenazas ....................................................................................4

alineación tecnológica: Big data y automatización ...................................................4

alineación de procesos: el principal motor para la productividad .............................6

alineación de personal: se necesitan nuevas habilidades ........................................7

la seguridad basada en inteligencia en acción ................................................................8

organización convergente para la administración de riesgos y seguridad .................8

infraestructura convergente para el monitoreo y la administración de la seguridad ...8

automatización del uso de datos de inteligencia y de incidentes ......................9

automatización de la recopilación de big data ................................................11

automatización de la analítica basada en host ...............................................11

resultados de eMC con el apoyo de la seguridad basada en inteligencia ................12

apéndice: soluciones de seguridad basada en inteligencia de rsa ...............................13

1 gartner inc., “datos de métricas clave de ti 2013: Medidas clave para la seguridad de la información: plurianual”

(14 de diciembre de 2012), pp. 7–10

lograr una seguridad perfecta y sin vulnerabilidades no solo es imposible, sino también poco práctico. esto se debe a que los adversarios sofisticados han aprendido a elaborar sus técnicas de ataque de tal manera que pueden franquear las medidas de seguridad preventiva, como antivirus, firewalls y contraseñas. además, los adversarios son muy cuidadosos a la hora de cubrir sus huellas y mantenerse ocultos dentro de los ambientes de ti, en algunos casos durante semanas o incluso meses después de haber obtenido el acceso. la complejidad de la mayoría de los ambientes empresariales de ti, combinada con el predominio de los servicios móviles y de nube y la accesibilidad cada vez mayor de las redes empresariales a redes externas, ofrece a los atacantes muchos lugares para ocultarse y muchos más puntos para una posible intrusión.

a pesar del aumento de los riesgos y los ataques cibernéticos, los equipos de seguridad enfrentan restricciones constantes de presupuesto y recursos para proteger los preciados activos de información de la empresa. el gasto en seguridad como porcentaje del gasto de ti ha ido de un 6.0 % en el 2008 a un 5.6 % en el 2012, según un informe de gartner que compara los gastos de seguridad y dotación de personal.1 en el mismo informe, gartner menciona disminuciones en el gasto de seguridad desde us$636 por empleado en el 2008 a us$577 por empleado en el 2012. estas tendencias indican que los equipos de seguridad deben aprender a hacer más con menos.

la mayor parte del gasto en seguridad se sigue invirtiendo en diversas herramientas preventivas destinadas a proteger el perímetro y que en gran medida ya se encuentran obsoletas frente a los ataques cibernéticos avanzados. el objetivo más apremiante de la seguridad cibernética ahora y en el futuro cercano, debe ser evitar daños o pérdidas para el negocio, en lugar de evitar intrusiones y limitaciones.

la mejor manera de evitar daños al negocio es detectar y corregir los ataques cibernéticos rápidamente. para ello, las organizaciones deben asignar una mayor parte de sus inversiones en seguridad a mejorar las funcionalidades de detección y respuesta ante las amenazas. en primer lugar, deben obtener una visibilidad completa de lo que está sucediendo en sus ambientes de ti. luego, deben ampliar esa visión para incluir inteligencia de amenazas externa. las organizaciones tendrán que aprender a usar nuevos tipos de datos de seguridad, y mucho más.


nivelar el panoraMa de las aMenazas Con el análisis de Big datauna nueva generación de herramientas de seguridad utiliza técnicas innovadoras para recopilar y analizar enormes cantidades de datos: datos de computadoras personales, dispositivos móviles y servidores; datos de redes internas, incluyendo la composición y el contenido de paquetes de red; e inteligencia de amenazas sobre ataques en otras organizaciones y las herramientas y métodos utilizados. además de analizar estas fuentes de información tradicionales, las herramientas de seguridad de “big data” también pueden recopilar información de fuentes no tradicionales, como lectores de tarjetas de ingreso, registros de personal e incluso calendarios de Microsoft outlook®. estos datos se pueden usar, por ejemplo, para evaluar la autenticidad de los inicios de sesión remotos de los empleados.

la visibilidad mejorada que proporcionan las funcionalidades de big data de las nuevas plataformas de security analytics crea oportunidades sin precedentes para identificar anomalías, descubrir evidencia de amenazas ocultas o incluso, predecir ataques específicos inminentes. una mayor cantidad de datos ofrece una vista enriquecida y más detallada: presenta el panorama de la amenaza en alta definición, en comparación con un borroso blanco y negro. los detalles relacionados con la seguridad se pueden ver con gran nitidez y las regularidades se pueden encontrar con más rapidez. además, dado que las plataformas de security analytics integran inteligencia de amenazas de fuentes externas, las organizaciones pueden ver el panorama de las amenazas de manera completa, no solo desde la estrecha apertura de sus propios ambientes de ti internos. el aumento de la visibilidad trae consigo mejores funcionalidades de seguridad, ampliando considerablemente las opciones que los centros de operaciones de seguridad (soC) tienen para actuar y responder ante posibles amenazas.

los avances tecnológicos en sistemas de security analytics y big data están comenzando a ofrecer capacidades del tipo “imagine si”. ahora, profesionales de operaciones de seguridad y líderes de negocios están explorando en conjunto los límites de lo que se puede imaginar.

para las organizaciones a las que les preocupan las amenazas cibernéticas avanzadas, estos escenarios “imagine si” generalmente se concentran en inyectar una mejor inteligencia y contexto a las prácticas de seguridad. por ejemplo, si aplicamos nuevos enfoques analíticos a los datos históricos, ¿qué podríamos aprender? ¿Qué nos dicen los ataques cibernéticos que hemos enfrentado acerca de nuestros riesgos empresariales y operacionales? si agregamos nuevas fuentes de log o feeds de inteligencia externa a nuestro data warehouse, ¿qué patrones podemos buscar que antes ni siquiera podíamos imaginar que seríamos capaces de ver? ¿Qué tipo de inteligencia podría ayudarnos a detectar amenazas con mayor rapidez?

el security for Business innovation Council, un grupo de los principales ejecutivos de seguridad de empresas global 1000, aconseja a las organizaciones que adopten un método de uso intensivo de datos llamado “seguridad basada en inteligencia” para proteger la información y los activos críticos del negocio.2 las prácticas de seguridad basada en inteligencia ayudan a las organizaciones a usar toda la información relacionada con la seguridad disponible, tanto en el nivel interno como externo, para detectar amenazas ocultas e incluso predecir amenazas futuras. la seguridad basada en inteligencia insta a las organizaciones a depender menos de defensas perimetrales y herramientas de escaneo basadas en firmas, que solo identifican modos de ataque que se han detectado anteriormente. en lugar de eso, las organizaciones deben buscar actividades sospechosas y patrones atípicos en su ambiente, indicadores sutiles mucho más difíciles de detectar que una firma de malware.

para implementar la seguridad basada en inteligencia, los soC tendrán que examinar sus organizaciones como un sistema integral y alinear estrechamente sus herramientas, procesos y personal de seguridad. alinear al personal, los procesos y la tecnología en torno a un soC es fundamental para escalar las funcionalidades de seguridad de acuerdo con los riesgos cada vez mayores impuestos por las amenazas cibernéticas avanzadas, y para lograrlo dentro de las permanentes restricciones de tiempo y presupuesto.

página 3

2 para obtener orientación sobre cómo implementar programas de seguridad basada en inteligencia, lea el informe

del security for Business innovation Council titulado “adelántese a las amenazas avanzadas: lograr la seguridad

de la información basada en inteligencia” en eMC.com.


alinear el personal, los proCesos y la teCnología para esCalar la seguridad según las aMenazasla compleja interacción entre el personal, los procesos y la tecnología de las operaciones de seguridad hace difícil ajustar uno solo de estos elementos sin ajustar también los otros. armonizar las herramientas, las habilidades y la metodología de las operaciones de seguridad es fundamental para proporcionar una defensa detallada y para proteger los activos de información críticos de una organización. además, perfeccionar el trío compuesto por el personal, los procesos y la tecnología puede generar eficiencias operacionales gracias a la automatización de tareas de rutina y la optimización de los flujos de trabajo. Como resultado, los analistas de seguridad podrán pasar menos tiempo recopilando información para una investigación o analizando el estado de un incidente. en lugar de eso, pueden dedicar su tiempo a enriquecer fuentes de inteligencia, descubrir irregularidades sutiles en sus ambientes de ti que apunten a problemas graves o detectar con más rapidez amenazas encubiertas.

implementar la combinación correcta de tecnologías que funcionen bien en conjunto como parte de un programa de seguridad basada en inteligencia puede ser todo un desafío. sin embargo, las tecnologías disponibles actualmente para los soC pueden ser el elemento más maduro en el trío compuesto por el personal, los procesos y la tecnología. a pesar de que las nuevas herramientas como las plataformas de análisis de seguridad son muy prometedoras, solo son buenas en la medida en que el personal que las usa también sea bueno y en la medida en que las mejores prácticas operacionales implementadas para ayudar a la organización funcionen en conjunto de manera eficaz y eficiente.

luego de proporcionar consultoría a cientos de organizaciones de clientes, rsa considera que el personal y los procesos suelen ser más difíciles de alinear con un método de seguridad basada en inteligencia que la tecnología. esto se debe a que desarrollar, probar y establecer nuevos procedimientos para administrar y responder a los incidentes de seguridad requiere de conocimientos especializados y tiempo. también se necesita tiempo para que el personal de operaciones de seguridad llegue a conocer los procesos de negocios críticos de su organización lo suficientemente bien para defenderlos de los ataques.

la manera de optimizar el personal, los procesos y la tecnología será diferente para cada soC, ya que depende de las condiciones y necesidades únicas de sus organizaciones. sin embargo, es posible aplicar pautas comunes a la mayoría de los soC que intentan implementar un método de seguridad basada en inteligencia.

Alineación tecnológica: Big data y automatización

al alinear la tecnología con un programa de seguridad basada en inteligencia, un buen punto de partida es hacer un balance de las herramientas de seguridad y los activos de información existentes de la organización. ¿la organización está aprovechando al máximo lo que tiene? ¿Qué tan eficaces son los activos técnicos para cumplir sus funciones objetivo?

después de un inventario inicial de la tecnología, viene una exploración de cómo se podría mejorar la seguridad si se agregaran nuevas funcionalidades. además de adquirir nuevas herramientas, las nuevas funcionalidades a veces se pueden obtener usando los datos existentes de una manera distinta. la expansión de las funcionalidades también se puede obtener al extender la visibilidad del soC en las redes de la organización, tanto en el nivel interno como en el externo. ¿Qué instrumentos adicionales se necesitan para monitorear ambientes remotos o subcontratados? ¿Cómo se podrían ajustar o agregar tecnologías para ampliar la visibilidad o para proporcionar un contexto valioso para evaluar un incidente?

página 4


en general, cuando los soC consideran mejorar sus funcionalidades, deben dar prioridad a las inversiones que cumplen los siguientes requisitos tecnológicos de un programa de seguridad basada en inteligencia:

• Motores de analítica escalables capaces de consultar vastos volúmenes de datos que cambian rápidamente en tiempo real a través de vectores como geografía, particiones de red y bases de datos.

• Área de almacenamiento de datos consolidada para los datos de seguridad, de modo que todas las fuentes estén disponibles para consulta a través de un solo lugar, ya sea como un repositorio unificado o, más probablemente, como una serie de áreas de almacenamiento de datos con índices cruzados.

• Tablero de administración centralizada para realizar y coordinar investigaciones de incidentes y para administrar las respuestas a los incidentes (por ejemplo, bloquear el tráfico de red, poner sistemas en cuarentena o exigir la verificación adicional de la identidad del usuario).

• Arquitectura de datos flexible que permite capturar, indexar, normalizar, analizar y compartir información de muchas fuentes en muchos formatos diferentes.

• Normalización automatizada de datos, de modo que los motores de analítica puedan recopilar y trabajar con tipos de datos altamente diversos y con una mínima intervención humana.

• Técnicas de monitoreo basado en patrones que examinan constantemente los sistemas y los activos de información de gran valor para identificar amenazas basadas en modelos de comportamiento y riesgos, no en firmas de amenazas estáticas.

• Correlación enriquecida de información de incidentes, de modo que los datos pertinentes a investigaciones de incidentes se completen automáticamente en las consolas de administración de seguridad, minimizando el tiempo que los analistas deben dedicar a recopilar información y evaluar los incidentes.

• Captura de paquetes de red completos que permite a los analistas de seguridad reconstruir sesiones con detalle suficiente para comprender lo que sucedió y qué medidas correctivas se deben tomar.

• Servicios de inteligencia de amenazas externas que reúnen información de muchas fuentes confiables y pertinentes y la presentan en formatos que las máquinas pueden leer y que se pueden correlacionar y analizar junto con datos internos con una mínima intervención humana.

• Contramedidas y controles activos, como exigir autenticación adicional al usuario, bloquear transmisiones de datos o facilitar la toma de decisiones de los analistas cuando se detecta actividad de alto riesgo.

• Proceso de administración de cumplimiento de normas integrado que archiva datos de seguridad a largo plazo a través de una arquitectura computacional distribuida y proporciona informes de cumplimiento de normas incorporados para diversos regímenes reglamentarios.

página 5


Alineación de procesos: El principal motor para la productividad

diseñar procesos de operaciones de seguridad para automatizar tareas repetitivas e integrar los flujos de trabajo relacionados es posiblemente el paso más beneficioso que los soC pueden llevar a cabo para aumentar la productividad, cumplir políticas e implementar mejores prácticas para detectar y responder a las amenazas. es por eso que, según la experiencia de rsa, los procesos suelen ser la parte más inmadura e ineficaz de la mayoría de los tríos de personal, procesos y tecnología.

rsa recomienda una estrecha integración de procesos y flujos de trabajo. por ejemplo, la administración de incidentes se debe vincular directamente con la respuesta a incidentes, y todas las fuentes de datos se deben recopilar en una plataforma de administración de seguridad y analítica integrada donde los analistas puedan ver todo “en una sola ventana” y obtener un mejor nivel de inteligencia y contexto para investigar los incidentes.

la integración de procesos elimina muchos pasos rutinarios, como copiar y pegar información de incidentes, que se suman a la unión manual de flujos de trabajo de operaciones de seguridad separados. la integración también reduce las oportunidades de error, porque las actividades de procesos complejos como respuesta a incidentes se pueden programar para que sigan una secuencia de acciones determinada y basada en mejores prácticas. Finalmente, la integración de procesos puede facilitar la cooperación entre diferentes partes del negocio; por ejemplo, entre auditoría, seguridad de la información y cumplimiento de normas, y ayudar a las organizaciones a crear una vista unificada de las condiciones y los riesgos existentes en toda la organización.

la alineación de procesos es una función de loop cerrado. a medida que los soC rediseñan, prueban e implementan procesos, toman todo lo que han aprendido para mejorar las estrategias e implementaciones futuras. dado que las repeticiones producen mejoras y mejores prácticas, muchas organizaciones solicitan la ayuda de asesores externos cuando se embarcan en cambios de procesos importantes en sus operaciones de seguridad. un aspecto inherente de la naturaleza de serie de las contrataciones de consultoría es el refinamiento constante de las mejores prácticas y los soC pueden beneficiarse de inmediato de la experiencia de los consultores en el diseño y la implementación de mejoras en los procesos de seguridad de otras organizaciones.

según la experiencia de rsa haciendo consultoría para cientos de empresas, implementar un método de seguridad basada en inteligencia implica optimizar los siguientes procesos:

• Evaluaciones de preparación ante vulnerabilidades para medir el estado actual de la seguridad de la organización y aumentar la madurez operacional al diseñar, probar y poner en práctica la administración y la respuesta ante vulnerabilidades.

• Procesos de inteligencia de amenazas cibernéticas para modelar amenazas y desarrollar mejores prácticas y procedimientos que permitan identificar proactivamente vectores de amenazas y anomalías en grandes volúmenes de datos.

• Flujos de trabajo de descubrimiento y respuesta a incidentes para aumentar la visibilidad de las redes de la empresa y minimizar el tiempo promedio necesario para detectar una vulnerabilidad.

• Automatización de la administración de vulnerabilidades para refinar los procesos y programar procedimientos para un proceso de manejo de incidentes de loop cerrado marcado por el aprendizaje y el mejoramiento constantes.

• Controles de identidad, infraestructura e información que se concentran en la administración de cuentas con privilegios, comunicaciones seguras, derechos de información/clasificación de datos y corrección y seguridad después de la vulnerabilidad.

página 6


Alineación de personal: Se necesitan nuevas habilidades

en un estudio realizado por el enterprise strategy group, más de la mitad (55 %) de las organizaciones encuestadas señaló que planificaron agregar personal de seguridad en el 2012, pero el 83 % afirmó que era difícil reclutar y contratar profesionales de seguridad.3 una de las maneras de enfrentar la escasez de habilidades en el actual clima financiero donde se debe “hacer más con menos” es alinear los procesos y la tecnología para reducir las cargas de trabajo rutinarias de los analistas de modo que puedan dedicarse a tareas más avanzadas. según la experiencia de rsa, la automatización de herramientas y procesos puede reducir considerablemente la carga de trabajo y los requisitos de tiempo para los analistas encargados de resolver amenazas de rutina de bajo nivel. en la práctica, rsa ha visto soC con cinco analistas que superan el rendimiento de soC con 25 analistas gracias a la optimización de las herramientas y los procesos.

las técnicas utilizadas en apt y otros ataques cibernéticos avanzados pueden ser tan complejas que se necesitan equipos interdisciplinarios con habilidades altamente especializadas en seguridad para detectar, analizar y deshabilitar la amenaza. para enfrentar amenazas cibernéticas avanzadas, los soC deben formar equipos de colaboración que incluyan las siguientes habilidades, ya sea cultivando la habilidad de manera interna o complementando con expertos subcontratados:

• Conocimiento forense, especialmente en metodologías para recopilar, mantener, analizar y reutilizar grandes repositorios de datos de redes y hosts/puntos finales.

• Dominio en codificación, creación de scripts y protocolos para ayudar a analizar vulnerabilidades, depurar sistemas y revertir malware.

• Administración de inteligencia de amenazas, en especial, cultivar y rastrear múltiples fuentes de inteligencia externa y aportar con investigación de amenazas de una manera útil para la organización.

• Administración de vulnerabilidades, que incluye coordinar la respuesta de la organización en casos de crisis y proporcionar información a terceros externos.

• Pruebas de introducción para descubrir posibles vulnerabilidades en el ambiente de ti como consecuencia de una configuración deficiente del sistema, defectos de hardware o software o deficiencias operacionales.

• Analistas de datos que comprendan los riesgos del negocio y las técnicas de los ataques cibernéticos con suficiente nivel de pericia como para desarrollar modelos analíticos que permitan detectar amenazas ocultas e incluso predecir ataques cibernéticos.

el personal de seguridad deberá desarrollar una mentalidad de investigación: ver los activos y las vulnerabilidades de la organización como los ven sus adversarios para anticipar técnicas de ataque y desarrollar contramedidas. los analistas también tendrán que afinar su instinto para la cacería: acechar adversarios dentro del ambiente de ti, preparar cables de detonación para detectar la presencia de atacantes y poner trampas como anzuelos para atraparlos.

además de aumentar las capacidades técnicas y de investigación del soC, los equipos de operaciones de seguridad también deben cultivar habilidades de comunicación en sus filas. desarrollar habilidades no técnicas dentro del equipo puede ayudar al soC a crear vínculos útiles con otras organizaciones, ya sea para formar asociaciones informales para compartir información con otros soC o para promover el apoyo de los ejecutivos principales para los programas de operaciones de seguridad.

página 7

3 enterprise strategy group, “administración y operaciones de seguridad:

Cambio en el horizonte” (julio de 2012), páginas 19–20


la seguridad Basada en inteligenCia en aCCiónla global security organization (gso) de eMC Corporation ilustra el impacto de optimizar la interacción de las personas, los procesos y las tecnologías en la administración de riesgos de seguridad. eMC practica la mejora constante de las herramientas, las habilidades y los procesos que conforman sus operaciones de seguridad. el objetivo de la empresa es obtener una vista integral de la organización, tanto física como digital, para lograr comprender mejor las tendencias de los riesgos y las amenazas en toda la empresa.

Organización convergente para la administración de riesgos y seguridad

eMC ha creado una organización de seguridad convergente que se caracteriza por la estrecha colaboración entre sus grupos de seguridad de la información, administración de riesgos, administración de la seguridad de los clientes y protección corporativa e investigación. al combinar estas organizaciones bajo un mismo manto, eMC puede analizar métricas y tendencias para obtener una vista de los riesgos de toda la organización. por ejemplo, si el equipo de protección corporativa e investigación identifica instancias reiteradas de robo de propiedad intelectual, el grupo de seguridad de la información puede estudiar esas instancias para crear controles que permitan evitar pérdidas de propiedad intelectual en el futuro.

Infraestructura convergente para el monitoreo y la administración de la seguridad

para apoyar esta estrategia convergente de riesgo y seguridad, eMC creó el avanzado Critical incident response Center (CirC). el CirC de eMC combina flujos de trabajo y datos de toda la organización y crea un punto centralizado para el monitoreo y el resguardo de la seguridad y la integridad de los activos de información de la empresa. el CirC de eMC reúne logs de más de 1,400 dispositivos de seguridad y 250,000 nodos finales distribuidos en todo el mundo a través de 500 sites físicos.

en el CirC, un equipo de analistas altamente capacitados monitorea constantemente los ambientes de seguridad y de ti globales de eMC, respondiendo a amenazas y vulnerabilidades como malware y pérdida de datos y a incidentes de seguridad física, como amenazas de violencia y robo de equipos. Con esta vista única e integrada de toda la empresa, los analistas de seguridad pueden ofrecer asesoría y orientación a la gerencia de eMC, proporcionando un loop de retroalimentación crítica para el mejoramiento constante de la postura de seguridad de la empresa.

el CirC de eMC se basa principalmente en tecnologías y mejores prácticas desarrolladas por rsa. a pesar de que son muchas las herramientas tecnológicas que se usan dentro del CirC, sus componentes centrales son la plataforma de rsa archer® grC y la solución rsa® security analytics. estos dos sistemas integran datos de muchas otras herramientas, lo que proporciona al personal del CirC un único repositorio de big data y una consola de administración centralizada para el análisis de seguridad. (ver la figura 1).

la integración de la plataforma de rsa archer grC con rsa security analytics optimiza muchos flujos de trabajo de operaciones de seguridad, ayudando al CirC de eMC a acelerar las investigaciones y reducir el tiempo necesario para cerrar incidentes.

página 8


Automatización del uso de datos de inteligencia y de incidentes

Cada día se generan cientos de alertas que el CirC de eMC debe revisar. antes de que una alerta se le presente a los analistas de seguridad para su investigación, la tecnología de rsa archer y rsa security analytics recopila y correlaciona automáticamente una amplia variedad de datos relacionados con el incidente. se han diseñado diversos procesos y tecnologías para integrar datos contextuales e inteligencia en los procesos de detección y respuesta a amenazas.

página 9

Orígenes de datos• Contactos (Active Directory)• Instalaciones (Administración de direcciones IP)• Dispositivos (Base de datos de activos)

Genera alertas a través de

correlaciones y análisis

Proporciona datos

complementarios provenientes

de fuentes de Archer

relacionadas con el incidente

Compila datos de incidentes enriquecidos

para presentárselos a los analistas

• Presenta alertas con datos de incidentes enriquecidos

• Consolida todos los datos de incidentes

• Administra el proceso de investigación, creación y rastreo de solicitudes relacionadas con incidentes

• Rastrea la resolución de incidentes

• Mantiene un historial detallado de los incidentes y pistas de auditoría

• Realiza evaluaciones de impacto y riesgo de los incidentes

• Captura enormes volúmenes de datos diversos y que cambian rápidamente relacionados con la seguridad

• Ejecuta análisis contextuales y correlaciones, leyendo terabytes de datos en tiempo real

• Fusiona la inteligencia contra amenazas externas con datos internos, reduciendo los puntos ciegos

• Archiva grandes volúmenes de datos para fines de cumplimiento de normas y análisis forense

RSA Security Analytics

RSA Archer

Analista de SOC

Feeds de inteligencia externa• Feeds contra amenazas externas• Portal de indicadores de amenaza (para IoC internos)• Feed de RSA FraudAction™

• Feeds de RSA NetWitness® Live• RSA CCIS• Datos de ubicación geográfica de IP

Feeds internos• Orígenes de datos internos• Firewalls• Sensores de detección de intrusión• Sistemas de prevención de intrusión • Proxies >• Firewalls de aplicaciones web • Active Directory • Exchange • Servidores AAA

• Controladores LAN inalámbricos• Enrutadores • Antivirus • Prevención de pérdida de datos (DLP)• Paquetes de red completos• Datos de usuario de RH• Datos de inicio de sesión (Active Directory)• Datos de IPS de punto final• Logs web

Figura 1: Plataforma unificada para la analítica de datos y la administración

de la seguridad


página 10

el CirC de eMC ha desarrollado un sistema de administración de indicadores de amenaza para asimilar artefactos de inteligencia de amenazas avanzadas derivados de fuentes de inteligencia públicas y privadas, asociaciones de uso compartido de inteligencia y las propias funciones de análisis avanzado e inteligencia de amenazas cibernéticas del CirC. los indicadores de riesgo (ioC) en este sistema ejecutan el espectro de dominios y direcciones ip hostiles que se conocen hasta características de comunicación como cadenas y elementos de mensajes de correo electrónico hostiles, incluidos los encabezados de los correos electrónicos.

los ioC se clasifican por severidad y se integran automáticamente en la plataforma de rsa security analytics como feed de captura, generando etiquetas de metadatos específicas. por ejemplo, un dominio de amenaza conocido etiquetado en el sistema de administración de amenazas generará una etiqueta de metadatos de “severidad 1” (la clasificación de prioridad más alta) para cualquier actividad de ese dominio encontrada por rsa security analytics. las alertas para estas etiquetas de metadatos están diseñadas para canalizarse a través de la consola de administración de seguridad de rsa archer con el fin de facilitar una respuesta casi en tiempo real de parte del CirC.

pero incluso antes de que la alerta se le presente a los analistas de seguridad, se recuperan elementos de datos adicionales de la base de datos de seguridad centralizada del CirC que pueden proporcionar contexto valioso sobre la amenaza. así, el analista cuenta con todos los artefactos disponibles relacionados con el incidente y con los puntos de origen y de destino. el ejemplo de la figura 2 ilustra la manera en que este proceso de enriquecimiento de datos y método integrado de alertas proporciona al CirC de eMC los detalles necesarios para

analizar y responder con rapidez a incidentes críticos.

Figura 2: Enriquecimiento automático de datos de eventos

Información de evento enriquecida(presentada a través de la consola de RSA Archer)

Incidente 12345Fecha: 1.º de febrero de 2012Severidad: 1 hostil conocido C2

IP de origen: 10.10.11.11Ubicación de red: AtlantaFecha y hora de inicio de sesión: 1.º de febrero de 2012 10:05:05Nombre de host: smithj_pcPropietario: John SmithSistema operativo: Recurso crítico de Windows 7: SÍOrganización funcional: Finanzas

IP de destino: 201.200.100.10Ubicación: Hac, SerbiaDominio: www.sitiopeligroso.infoSolcitante del dominio: Mobel SergeiFecha de registro:12 de octubre de 2012

Alerta: Se intentó una conexión SSL a un rango de IP sospechoso

Información básica del evento(enriquecimiento de datos coordinado por RSA Security Analytics)

Enriquecimiento de datos externos

Enriquecimiento de datos internos

Incidente 12345Fecha: 1.º de febrero de 2012

Alerta: Se intentó una conexión SSL a un rango de IP sospechoso

IP de origen: 10.10.11.11IP de destino: 201.200.100.10Dominio: sitiopeligroso.info

Consulta de dominio/herramientas de búsqueda de IP

Solicitante: Mobel SergeiFecha del registro: 12 de octubre de 2012Ubicación: Hac, Serbia

Evento generado para la IP de destino 201.200.100.10

* También se pueden aplicar otras fuentes

Consulta a servicios de reputación y búsqueda

de sitios maliciosos

Dominio: www.sitiopeligroso.infoSitio vinculado a actividades

maliciosas anteriores

IP de origen de los datos del evento: 10.10.11.11Nombre de host: smithj_pc

Consulta a DHCP*por nombre de host

Nombre de host equivale a “smithj_pc”

Consulta a la base de datos

de empleados para obtener detalles

de jsmith

IP de origen de los datos del evento: 10.10.11.11 Nombre de host: smithj_pc Nombre de usuario: jsmith Propietario: John Smith SO: Windows 7 Último inicio de sesión: 1.º de febrero de 2013, 10:05:05

Consulta del último usuario que inició

sesión en “smithj_pc”

IP de origen de los datos del evento: 10.10.11.11 Nombre de host: smithj_pc Nombre de usuario: jsmith Propietario: John Smith SO: Windows 7 Último inicio de sesión: 1.º de febrero de 2013, 10:05:05Ubicación: AtlantaOrganización funcional: Finanzas

Event DataDestination IP: 201.200.100.10Location: Hac, SerbiaDomain: www.badsite.infoRegistrant: Mobel Sergei Register Date: 12-Oct-2012

Evento generadopara la IP de origen

10.10.11.11


página 11

las funcionalidades de enriquecimiento de datos e integración de inteligencia del CirC de eMC ayudan a los analistas a concentrar sus esfuerzos en responder rápidamente a las amenazas, reduciendo el tiempo de exposición a los ataques y eliminando la recopilación manual de elementos de datos adicionales correlacionados con los incidentes.

Automatización de la recopilación de big data

las aplicaciones de sieM y monitoreo tradicionales tienen capacidades limitadas de consultas ad hoc y análisis avanzado a causa de problemas de arquitectura y rendimiento. el CirC de eMC enfrenta este desafío transmitiendo una copia espejeada de todos los eventos de log a un repositorio de big data que recopila aproximadamente mil millones de registros al día de 25 tipos de dispositivos: más de 900 gB de datos diarios. los analistas pueden consultar los datos de este almacén centralizado para correlacionar actividades con posibles amenazas. por ejemplo, el CirC de eMC utiliza sus funcionalidades de big data para realizar análisis básicos de comportamiento, como la detección de posibles patrones de transmisión de señalizaciones dentro de los logs de eventos de firewall y proxy de la web. además, a medida que el CirC de eMC recibe nueva inteligencia de seguridad, la actividad histórica posiblemente relacionada con amenazas descubiertas recientemente se puede analizar para determinar el daño sufrido, de haber alguno. la potencia de procesamiento de la plataforma de big data de eMC ha reducido de varias horas a solo minutos el tiempo necesario para recopilar y entender la información de seguridad relacionada con una amenaza, disminuyendo considerablemente el tiempo de exposición.

Automatización de la analítica basada en host

los productos tradicionales de antivirus e ids/ips basados en host utilizan principalmente firmas para identificar el malware. sin embargo, las técnicas basadas en firmas se han visto superadas por el crecimiento del malware y son eludidas por completo por ataques dirigidos, como apt y otras amenazas avanzadas. a pesar de que las tecnologías de escaneo de malware tradicionales seguirán teniendo una función de rutina como capa de defensa, por sí solas simplemente no son suficientes para combatir las amenazas más sofisticadas de la actualidad.

integrar inteligencia basada en el comportamiento al análisis y la corrección de hosts ayuda a cerrar las brechas que dejan las herramientas basadas en firmas, como los antivirus e ids/ips. el CirC de eMC ha implementado rsa® enterprise Compromise assessment tool (eCat) para ayudar a monitorear y proteger puntos finales que el monitoreo de la red y otros recursos de inteligencia han identificado como posiblemente vulnerables.

el método de rsa eCat para detectar el malware es muy diferente. el malware generalmente modifica estructuras del sistema operativo interno para ocultar su actividad. al validar estructuras de kernel y aplicaciones internas importantes, rsa eCat identifica anomalías que normalmente son generadas por malware como hooking, modificación de objetos de kernel, ocultamiento de archivo/proceso/registro/comunicación, etc.


al estar implementado dentro del CirC de eMC, eCat proporciona las funcionalidades de detección de amenazas vistas en la figura 3, rsa eCat en acción.

una vez que se ha confirmado cuáles son los hosts y procesos vulnerables, los analistas de eMC pueden definir el alcance de la amenaza con una sola acción y observando una sola ventana, ya que rsa eCat identifica todos los demás hosts que albergan el mismo archivo o proceso malicioso. los analistas de seguridad pueden usar rápidamente el puntaje de eCat Machine suspect level para evaluar la probabilidad de vulneración: un puntaje alto indica problemas, mientras que un puntaje bajo indica que el host probablemente no presenta amenazas. a pesar de que un puntaje bajo no garantiza que un equipo esté libre de amenazas, el sistema de puntajes de todas formas ayuda a dar prioridad a los flujos de trabajo de investigación, lo cual acelera la contención y la corrección de amenazas más graves de una escala mayor.

Con rsa eCat, el CirC de eMC ha reducido considerablemente el tiempo de análisis de hosts y ha logrado contener gran parte de la carga de trabajo del análisis y la validación de malware de la etapa anterior de triage del proceso de detección de amenazas de eMC, que es controlada por analistas de seguridad de niveles más básicos de eMC. eMC calcula que rsa eCat le ahorra a su CirC aproximadamente 30 horas de analista por incidente de alta prioridad.

Resultados de EMC con el apoyo de la seguridad basada en inteligencia

al alinear al personal, los procesos y la tecnología en un programa de seguridad basada en inteligencia, el CirC de eMC calcula que ha reducido considerablemente el tiempo promedio para cerrar incidentes en hasta un 60 %.

la integración de tecnologías y procesos es responsable de gran parte del aumento en la eficiencia. elimina muchas tareas demorosas para recopilar manualmente información sobre incidentes e incluso ha automatizado aspectos de detección de amenazas, como hemos visto en el uso de rsa security analytics y rsa eCat por parte de eMC.

la automatización creada por la integración de tecnologías y procesos ha ayudado a aumentar las capacidades de detección y respuesta a amenazas del CirC, dejando a los analistas libres para dedicar más tiempo a resolver incidentes de más prioridad. los analistas pueden examinar todos los datos disponibles sobre posibles amenazas a través de una consola de administración de seguridad centralizada de rsa archer, acelerando el análisis y la toma de decisiones.

la integración de tecnologías de seguridad y flujos de trabajo, en combinación con la convergencia de diversas funciones de eMC relacionadas con riesgos y seguridad bajo un solo manto organizacional ha ayudado a eMC a responder a los ataques de manera más rápida, eficiente y completa. a su vez, esto ha reducido en gran medida el tiempo de exposición de eMC a las amenazas y permite que eMC, con sus 53,500 empleados, opere con mayor confianza en el mundo digital.

RSA desea agradecer a Mike Gagne, Chris Harrington, Jim Lugabihl, Jeff Hale, Jason Rader, Garrett Schubert y Peter Tran por contribuir con su tiempo y su experiencia al desarrollo de este resumen técnico.

Figura 3: RSA ECAT automatiza la detección de amenazas basadas en host

página 12

Hace un inventario de cada archivo ejecutable, DLL y

controlador de la máquina

Busca estructuras internas y anomalías del

sistema que indiquen actividad de malware

Envía la información recopilada a un servidor central para

su procesamiento y los resultados se comparan

con un sistema de base limpio

Identifica los comportamientos anormales y los

correlaciona en todo el ambiente

Envía los archivos desconocidos aun servidor para

escanearlos usando el sistema de antivirus

Metascan de OPSWAT

Identifica archivos en buen estado conocidos

usando validación de firma digital y Bit9 GSR

Genera un Machine Suspect Level Score que resume la probabilidad de que los

hosts afectados se hayan vulnerado

Una vez que se activa una alerta en la red, RSA ECAT se instala en los

hosts sospechosos.

!


apéndiCe: soluCiones de seguridad Basada en inteligenCia de rsaRSA® Advanced Cyber Defense Practice proporciona una completa gama de soluciones para ayudar a los clientes a proteger la misión de su organización, aumentar las eficiencias operacionales y evolucionar con un ambiente de amenazas dinámico. los ataques dirigidos generalmente se concentran en el robo de activos y datos críticos y utilizan técnicas que eluden las defensas tradicionales. rsa ayuda a las organizaciones a mejorar sus capacidades de seguridad existentes y a implementar contramedidas diseñadas para evitar que los adversarios cibernéticos logren sus objetivos. los servicios que rsa ofrece incluyen análisis de brechas, modelo de madurez, inteligencia de amenazas cibernéticas, fortalecimiento de la infraestructura y desarrollo y automatización de operaciones de seguridad. la solución nextgen soC de rsa está diseñada para ayudar a las organizaciones a concentrar sus capacidades técnicas y operacionales en un programa de seguridad unificado que se alinea con las prioridades de administración de riesgos y los objetivos del negocio. rsa enfatiza las medidas preventivas necesarias para proteger la organización y al mismo tiempo proporciona también servicios de respuesta y corrección de incidentes para reducir el tiempo de exposición de una vulnerabilidad y moderar los ataques.

RSA Archer® GRC Suite es una solución líder en el mercado para administrar el buen manejo y control, riesgo y cumplimiento de normas (grC) empresarial. proporciona una plataforma flexible y de colaboración para administrar riesgos empresariales, administrar procesos de negocios, demostrar el cumplimiento de normas y obtener visibilidad de las exposiciones y brechas existentes en toda la organización. la plataforma rsa archer grC está diseñada para obtener datos de una amplia variedad de sistemas con el fin de actuar como repositorio centralizado de información relacionada con el riesgo, el cumplimiento de normas y la seguridad. la solución rsa archer threat Management es un sistema de advertencia oportuna para rastrear amenazas. y también ayuda a las organizaciones a escalar problemas, rastrear el progreso de las investigaciones y coordinar la resolución de problemas. la capacidad de la plataforma de integrar información sobre alertas de seguridad y amenazas, de reunir y presentar métricas sobre la eficacia de los controles y procesos de seguridad y de analizar información contextual sobre la seguridad y el ambiente de la empresa ayudan a crear inteligencia útil y en tiempo real para toda la empresa.

RSA® Cybercrime Intelligence (CCI) es un servicio que proporciona información sobre los activos corporativos afectados por malware, incluyendo máquinas, recursos de red, credenciales de acceso, datos de negocios y correspondencia de correo electrónico de la empresa. CCi monitorea el cibercrimen subyacente para descubrir datos corporativos vulnerables que se han filtrado fuera de la empresa. el servicio informa a los clientes sobre cualquier dato relacionado con sus organizaciones que se haya recuperado directamente de archivos de log de malware, incluyendo credenciales de empleados, cuentas de correo electrónico, direcciones ip de máquinas infectadas y dominios vulnerables. además del malware, CCi escanea inteligencia de código abierto (osint), proporcionando la información a los clientes sobre credenciales de empleados, direcciones de correo electrónico corporativas y datos de d0xing que se hayan rastreado fuera de la empresa y que hayan estado en manos de hackers o estafadores. CCi también informa detalles sobre contenido de correo electrónico, direcciones ip y números de tarjetas de crédito vulneradas que pertenezcan a la empresa o a sus empleados y que criminales cibernéticos estén compartiendo o vendiendo en comunidades web cerradas y ocultas. además, CCi ofrece a las organizaciones información sobre recursos en línea infectados con malware a través de feeds diarios de lista negra. estos feeds exponen las direcciones ip y los recursos que actualmente alojan o es probable que alojen contenido malicioso, lo que permite que el personal de seguridad de la información tome medidas preventivas para moderar los riesgos.

página 13


RSA® Data Loss Prevention (DLP) está diseñado para alertar a las organizaciones sobre actividad relacionada con datos confidenciales que resulta sospechosa o que infringe la política de la organización. dlp ejecuta además funciones de corrección de primera línea, como bloquear la transmisión de datos confidenciales, o ponerlos en cuarentena, eliminarlos o moverlos, o aplicar administración de derechos para los documentos que contienen datos privados. rsa dlp se integra fácilmente con la consola de administración de seguridad de rsa archer y la plataforma de rsa security analytics, proporcionando a las organizaciones un feed de datos valiosos para generar alertas y con mejores defensas en niveles.

RSA® Education Services ofrece cursos de capacitación sobre seguridad de la información dirigidos a personal de ti, desarrolladores de software, profesionales de seguridad y empleados generales de una organización. los cursos combinan teoría, tecnología y ejercicios basados en escenarios para integrar a los participantes en un aprendizaje activo. el plan de estudios actual cubre temas como análisis de malware e inteligencia de amenazas cibernéticas. rsa education services también ofrece un taller sobre cómo enfrentar amenazas avanzadas como apt. los cursos están diseñados para ofrecer la máxima cantidad de información en la menor cantidad de tiempo con el fin de minimizar el tiempo fuera del personal.

RSA® Enterprise Compromise Assessment Tool (ECAT) es una solución de detección y respuesta a amenazas empresariales diseñada para monitorear y proteger ambientes de ti de software no deseado y del malware más escurridizo, incluyendo rootkits, amenazas avanzadas persistentes (apt) y virus no identificados. rsa eCat automatiza la detección de anomalías dentro de aplicaciones computacionales y memoria sin basarse en firmas de virus. en lugar de analizar muestras de malware para crear firmas, rsa eCat establece una referencia de anomalías de aplicaciones “buenas conocidas” filtrando el ruido de fondo para descubrir actividad maliciosa en máquinas vulneradas. la consola de rsa eCat presenta una vista centralizada de las actividades que ocurren dentro de la memoria de una computadora, la cual puede usarse para identificar malware rápidamente, sin importar si existe una firma o si el malware se ha detectado antes. una vez que se identifica la anomalía maliciosa, rsa eCat puede escanear miles de máquinas para identificar otros puntos finales que hayan sido vulnerados o se encuentren en riesgo.

RSA® Security Analytics está diseñada para proporcionar a las organizaciones la concientización situacional necesaria para enfrentar sus problemas de seguridad más urgentes. al analizar el tráfico de red y los datos de eventos de log, el sistema rsa security analytics puede ayudar a las organizaciones a obtener una visión integral de su ambiente de ti, lo que permite a los analistas de seguridad detectar amenazas rápidamente, investigarlas y darles prioridad, tomar decisiones de corrección, implementar medidas y generar informes automáticamente. la arquitectura de datos distribuidos de la solución rsa security analytics recopila, analiza y archiva volúmenes masivos de información (con frecuencia, cientos de terabytes y más) a altas velocidades utilizando varios modos de analítica. la plataforma rsa security analytics también obtiene inteligencia de amenazas sobre las herramientas, técnicas y procedimientos más recientes que usa la comunidad de atacantes, lo cual le permite alertar a las organizaciones sobre posibles amenazas activas en su empresa.

página 14


página 15

esta página se dejó en blanco intencionalmente.

eMC2, eMC, el logotipo de eMC, rsa, archer, Fraudaction, netWitness y el logotipo de rsa son marcas registradas

o marcas comerciales de eMC Corporation en los estados unidos y en otros países. Microsoft y outlook son marcas

registradas de Microsoft. todos los otros productos o servicios mencionados son marcas comerciales de sus

respectivas empresas. © Copyright 2013 eMC Corporation. todos los derechos reservados.

179827-H11533-asoC_BrF_0213

aCerCa de rsa

rsa, la división de seguridad de eMC, es el proveedor principal de soluciones de

administración de cumplimiento de normas, riesgos y seguridad para la aceleración

del negocio. rsa ayuda a las organizaciones líderes del mundo a superar los retos de

seguridad más complejos y delicados. entre estos retos, se incluyen la administración

de los riesgos de las organizaciones, la protección de la colaboración y el acceso por

medio de dispositivos móviles, la comprobación del cumplimiento de normas y la

protección de ambientes virtuales y de nube.

Mediante la combinación de controles críticos para el negocio en la comprobación

de identidad, el cifrado y la administración de claves, información de seguridad y

administración de eventos (sieM), la prevención de pérdida de datos, el monitoreo

continuo de la red y la protección contra fraudes con funcionalidades de grC líderes

del sector y sólidos servicios de consultoría, rsa brinda confianza y visibilidad para

millones de identidades de usuarios, las transacciones que ejecutan y los datos

que se generan. para obtener más información, visite http://mexico.emc.com/rsa

y www.eMC.com (visite el sitio web de su país correspondiente).

http://mexico.emc.com/rsa (visite el sitio web de su

país correspondiente)


http://mexico.emc.com/rsa

http://www.EMC.com

Documents

CreaCión de un Centro de operaCiones de seguridad ... - peru… · CreaCión de un Centro de operaCiones de seguridad inteligente Resumen técnico de RSA puntos Clave • los ataques