El documento describe la seguridad inteligente y cómo ha evolucionado más allá de los enfoques tradicionales de seguridad. La seguridad inteligente implica la recopilación, normalización y análisis en tiempo real de datos de usuarios, aplicaciones e infraestructura para comprender mejor los riesgos de seguridad y adoptar medidas de protección. Esto proporciona una visión integral de la red que ayuda a detectar y corregir incidentes con mayor rapidez.
2. Que es la Seguridad Inteligente
La recopilación, normalización y análisis de los datos en
tiempo real generados por los usuarios, las aplicaciones y la
infraestructura que afecta la seguridad de TI y la postura de
riesgo de una empresa.
3. Elementos Clave
Recopilación, Normalización y Análisis
Recopilar los datos relevantes de todos los
dispositivos y el sistema en la red. Normalizar
para poder comparar las actividad a través de
diferentes dispositivos y ubicaciones. Aplicar
análisis y correlacionar la actividad y descartar
los falsos positivos.
Luego, presentar los
resultados de forma clara y sencilla, y poner
todas las piezas relevantes de información al
alcance de las manos. Utilizar cada bit de datos
para enriquecer la visión de los incidentes de
Tiempo Real
seguridad.
No basta con visualizar de datos históricos o
de los registros. Se necesita una visión de lo
que está sucediendo ahora mismo, a través de
toda la red.
4. La Seguridad de TI y la Postura de Riesgo de una
Empresa
La
capacidad
para
proteger
los
datos, propiedad intelectual, los activos de TI y
más, de gente maliciosa del exterior y el
interior, y al mismo tiempo manteniendo de las
operaciones de negocios confiables y
eficientes.
5. Objetivo de Seguridad Inteligente
El objetivo de la Seguridad Inteligente es proporcionar una
visión práctica e integral que reduce el riesgo y el esfuerzo
operacional para organizaciones de cualquier tamaño.
6. Una Visión Práctica y Completa
La recolección y el análisis de todos los datos relevantes de
la red es un buen comienzo, pero los datos por sí mismos no
tienen ningún valor. Una solución de Seguridad Inteligente
debe dar sentido a los datos y ayudar a investigar y
remediar incidentes rápidamente.
7. Reducción de Riesgos y Esfuerzo Operacional
Para cualquier tamaño de Organización
Hoy en día, la Seguridad Inteligente está al
alcance y presupuesto de prácticamente cualquier
organización.
8. Seguridad Tradicional (Basada en Distribución por Capas)
Como los riesgos potenciales de Internet se pueden producir
a varios niveles, se debe configurar medidas de seguridad
que ofrezcan varias capas de defensa contra estos riesgos.
En general, cuando uno se conecta a Internet, no debe
cuestionarse si hay alguna posibilidad de que se produzcan
intrusiones o ataques de negativa de servicio. En su lugar,
debe dar por seguro que sí sufrirá estos problemas de
seguridad.
•
•
•
•
Seguridad a nivel de sistema
Seguridad a nivel de red
Seguridad a nivel de aplicaciones
Seguridad a nivel de transmisión
9. Seguridad Tradicional
No existe una red de monitoreo de actividad
En
el
pasado,
los
registros
de
eventos
de
dispositivos, aplicaciones y servidores daban una idea
aproximada de lo que estaba sucediendo en la red.
Hoy en día, eso es sólo un punto de partida. La Inteligencia
de Seguridad exige ahora una visibilidad en tiempo real de los
flujos, la actividad del usuario, el uso de los medios de
comunicación social, el acceso móvil y contenido de la
aplicación que atraviesa la red.
10. Seguridad Tradicional
Sin arquitectura a escalar
Productos de primera generación hicieron un trabajo
aceptable de recopilación y correlación de logs de eventos
para organizaciones de tamaño moderado. Pero añadir datos
de flujo, realizar unas cuantas búsquedas simultáneas, o
implementar en una empresa muy grande, queda estancado.
La razón es simple: no están con arquitectura a escala.
Ellos dependen de las bases de datos relacionales
externas, que luchan para soportar el volumen de las
operaciones de E/S que participan en los escenarios más
exigentes.
Soluciones de inteligencia de seguridad se construyen a partir
de cero con bases de datos especialmente diseñadas, para
11. Seguridad Tradicional
No pre-explota la conciencia de seguridad
La línea de tiempo de la Inteligencia de Seguridad no
comienza en el punto de incumplimiento. Eso es sólo cuando
el reloj comienza a correr en su detección y
descontaminación. Modernas soluciones de inteligencia de
seguridad inherentemente difieren de la primera generación
de productos mediante la integración de pre-explotación de
las capacidades de gestión de riesgo y vulnerabilidad.
Esto permite identificar, priorizar y reducir los riesgos
asociados con los dispositivos mal configurados y
vulnerabilidades sin parches. De esta manera, en realidad se
reduce el número de infracciones, así como detectar y
remediar los que ocurren.
12. Seguridad Tradicional
Confía en la detección basada en firmas
Ya no es posible sentarse, actualizar las firmas de malware, y
esperan para proteger la red. Este enfoque produce un error
cuando los vectores de amenazas crecen exponencialmente
más diverso por el día.
13. Seguridad Tradicional
Demasiado lento de implementar, demasiado caro para el
personal
Se necesitan conectores y reglas necesarias antes de ser
implementados, y los usuarios tienen que estar entrenados.
Una vez en producción, sus necesidades del personal
también podrían ser significativas. Ellos detectan demasiados
falsos positivos, por lo que requieren la incorporación de más
personal para investigar volúmenes de incidentes.
Modernas soluciones de inteligencia de seguridad utilizan un
conjunto más amplio de datos (evento, flujo, los activos, la
topología, la vulnerabilidad, configuración, etc) y la
automatización avanzada para cortar a través del ruido y
reducir - no ampliar - las necesidades de personal de
seguridad.
14. Seguridad Tradicional
En resumen, las soluciones de inteligencia de seguridad han
hecho que productos puntuales de primera generación
queden obsoletas, y ahora es posible ayudar a las
organizaciones a protegerse contra las amenazas más
difíciles y diversas, con mucho menos esfuerzo.
Amplían el alcance del análisis para identificar y priorizar los
riesgos antes de que ocurra un incidente, y detectan y
resuelven las violaciones más rápido a través de la actividad
del usuario y la visibilidad del contenido. También escalan a
mucho mayores volúmenes de datos a menores costos de
almacenamiento. Y son desplegables y manejable con menos
trabajo manual.
15. Tres Principios de Seguridad Inteligente
Inteligencia
Escribir reglas de correlación que solía ser una tarea
compleja.
Soluciones de Seguridad Inteligente ahorran tiempo a los
usuarios, al permitirles definir listas de valores (por
ejemplo, direcciones IP o nombres de usuario) que se utilizan
como variables dentro de las reglas, filtros e informes - ahorra
tiempo en tener que actualizar manualmente las listas en
muchos lugares.
16. Integración
La normalización de los datos de cientos de fuentes evita que
los clientes (y consultores) tener que convertirse en expertos
en esquema de datos.
Por ejemplo, un mandato de cumplimiento puede requerir que
documentan eventos de autenticación (fallidos de inicio de
sesión, el éxito de inicio de sesión, inicio de sesión del éxito
seguido de una escalada de privilegios, etc.) Con Inteligencia
de Seguridad, los clientes ya no tienen que realizar un
seguimiento de forma manual a través de docenas de
activos, cada uno con su propio esquema de datos.
17. Automatización
Soluciones de Inteligencia de Seguridad también automatizan
muchas de las tareas manuales tediosas que solían tardar
mucho tiempo y aumentar el costo total de propiedad. Ellos
pueden detectar automáticamente los recursos de red, la
configuración de auto-tune, y factores de forma de oferta de
aparatos para una fácil implementación.
18. Beneficios de una Seguridad Inteligente
Cumplimiento mejorado
Aunque el cumplimiento no garantiza un entorno seguro , el
cumplimiento será siempre llamar la atención y el presupuesto
debido a las posibles sanciones en caso de incumplimiento.
Cumplir con los mandatos pertinentes es sólo el comienzo de
la mejora de la propia postura de seguridad , pero es un
primer paso importante. Ayuda tanto requisitos regulatorios y
de cumplimiento de políticas internas, acceder y
proactivamente monitorear información diversa en toda la
empresa en tiempo real, proporcionando la rendición de
cuentas , transparencia y capacidad de medición de
inteligencia de seguridad . Se ofrece un valor práctico a través
de informes automatizados y facilitar la búsqueda de los
registros , eventos , flujos de red y mucho más .
19. Más rápida detección y remediación de Amenazas
En el mundo multi- perímetro , centrándose únicamente en la
prevención es un asunto noble pero desventajoso. Las
fronteras son porosas - pensar en la informática móvil , los
medios sociales y computación en la nube - y hay un mayor
riesgo de robo de información privilegiada.
Soluciones de inteligencia de seguridad frente a esta realidad
ayuda a las empresas a detectar y remediar las violaciones
más rápido. Se han convertido en expertos en encontrar la
aguja en el pajar , mediante la correlación de los volúmenes
masivos de datos en tiempo real. Esto incluye los eventos de
red
y
seguridad
de
dispositivos
,
servidores
, aplicaciones, servidores de directorio ; actividad de la red
fluye con la capa 7 visibilidad , información de activos , datos
de configuración , información de la vulnerabilidad , y más.
20. La vida en el mundo actual
Los ciber-delincuentes están aprovechando la inmensidad del
mundo de interconexiones actual, en el que las personas
usan cualquier dispositivo para acceder a las aplicaciones
comerciales en un entorno de red que utiliza servicios en la
nube descentralizados.
21. El Internet de Todo
Se basa en un “Internet de las cosas” y añade la inteligencia
de redes que posibilita una convergencia, orquestación y
visibilidad entre sistemas anteriormente aislados.
Las conexiones en ese Internet de Todo no se reducen a
dispositivos móviles o portátiles y equipos de sobremesa, sino
también a un número cada vez mayor de conexiones entre
máquinas (M2M) que se unen a la red cada día. Esas “cosas”
a menudo son elementos que usamos cada día sin reparar en
ellos y que no solemos creer que estén conectados, como un
sistema de calefacción doméstico o un automóvil.
22. La Nube complica la Seguridad
La dificultad que supone asegurar una amplia gama de
aplicaciones, dispositivos y usuarios, tanto en el contexto del
“cualquiera a cualquiera” como en el de Internet de Todo, se
ve acrecentada por la popularidad de la nube como medio
para administrar sistemas empresariales.
Según los datos recopilados por Cisco, se espera que el
tráfico mundial de los Data Centers se cuadriplique en los
próximos cinco años, y el componente que presenta un
crecimiento más rápido son los datos en la nube. En el año
2016, el tráfico mundial en la nube supondrá casi dos tercios
del tráfico total de los Data Centers.
Hay que cambiar los controles perimetrales y los
antiguos modelos de acceso y contención para proteger
23. Trabajadores conectados y Privacidad de Datos
Otro factor que complica esta ecuación de
cualquiera” son los trabajadores jóvenes y
grupo está convencido de que deben poder
donde estén, con cualquier dispositivo que
alcance.
“cualquiera a
móviles. Este
trabajar estén
tengan a su
24. Estudio de Cisco 2013
Demuestra que los ciberdelincuentes suelen recurrir a
métodos básicos y bien conocidos para atacar a los usuarios.
El aumento de los ataques distribuidos de denegación de
servicio (DDoS) del último año es solo un ejemplo de la
tendencia de “vuelta a lo antiguo” del cibercrimen.
25. Proliferación de Terminales
Teniendo en cuenta que hoy en día menos del 1% de los
objetos del mundo físico están conectados, hay un inmenso
potencial para “conectar lo desconectado”. Se espera que con
un Internet que ya cuenta con aproximadamente 50 000
“cosas” conectadas, el número de conexiones alcance la cifra
de 13 311 666 640 184 600 en el año 2020.
Con que solo una “cosa” se añada a Internet (50 000 millones
+ 1) el número de conexiones aumentará en otros 50 000
millones.
26. Aunque la nube ofrece a las organizaciones muchas
oportunidades como la reducción de costes, mayor
colaboración para la plantilla y productividad, los posibles
riesgos de seguridad a los que se enfrentan las empresas por
trasladar sus datos y procesos comerciales a la nube
incluyen:
• Hipervisores
• Menor coste de acceso
27. Ataques de malware según el tamaño
de la Empresa
Las mayores empresas (más de 25 000
empleados) tienen más de 2,5 veces el
riesgo de sufrir malware web que las de
menor tamaño. Este aumento del riesgo
puede deberse a que las empresas de
mayor volumen poseen una propiedad
intelectual de mayor valor, y son un
objetivo más codiciado.
Aunque las empresas más pequeñas
sufren menos ataques por usuario, es
importante señalar que todas las
compañías, sin importar su tamaño, se
enfrentan a un fuerte peligro de ataque de
malware. Todas las organizaciones deben
31. Aplicación – Cisco Security Intelligence Operations
La seguridad tradicional, que se basa en la distribución en
capas de los productos y el uso de múltiples filtros, es una
protección insuficiente contra la última generación de
malware, que tiene objetivos globales y se propaga
rápidamente utilizando numerosos vectores.
Cisco le toma la delantera a las posibles amenazas gracias al
sistema de inteligencia de amenazas en tiempo real de Cisco
Security Intelligence Operations (SIO). Cisco SIO es el mayor
ecosistema de seguridad basado en la nube del mundo, en el
que cada día se analizan más de 75 terabits de datos en
directo procedentes de correos electrónicos, webs, firewalls y
soluciones IPS implementados por Cisco.
Cisco SIO reúne datos de los distintos vectores de amenazas
32. A continuación SIO clasifica las amenazas y crea reglas
compuestas de más de 200 parámetros. Los investigadores
de seguridad analizan información sobre eventos de
seguridad que, potencialmente, podrían afectar a las redes,
aplicaciones y dispositivos. Las reglas se envían de forma
dinámica a los dispositivos de seguridad de Cisco
implementados cada tres o cinco minutos.
Además, el equipo de Cisco SIO publica recomendaciones
sobre las prácticas de seguridad adecuadas, así como
directrices tácticas para desarticular las amenazas.
Cisco se compromete a ofrecer soluciones de seguridad
completas que sean integradas, completas y efectivas y que
permitan una seguridad holística para organizaciones de todo
el mundo.
33.
34. Bibliografía
Informe Anual de Seguridad de Cisco 2013
http://securityintelligence.com/what-is-security-intelligenceand-why-does-it-matter-today/#
http://securityintelligence.com/how-do-security-intelligencesolutions-differ-from-first-gen-siem-products/