3. Situación Actual: Estamos en una era de ataques constantes
Fuente: IBM X-Force® Research 2013 Trend and Risk Report
Sofisticación en
Operación
IBM X-Force declaró
Año de las brechas de
seguridad
Fugas de información
sensible
Incremento del 40%
en incidents de información
Ataques múltiples y nuevos
métodos
500,000,000+ incidentes
tienden a aumentar
2011 2012 2013
SQL
injection
Spear
phishing
DDoS Third-party
software
Physical
access
Malware XSS Watering
hole
Undisclosed
Attack
types
Note: Size of circle estimates relative impact of incident in terms of cost to business.
4. Evolución de ataques Soluciones Complejas Recursos Reducidos
• Gran incremento en la
cantidad de ataques.
• Ataques cada vez más
sofisticados.
• Considerable aumento de la
cantidad de malware.
• Brechas de seguridad diarias.
• Permanentes cambios en la
infraestructura tecnológica.
• Múltiples soluciones de
diferentes proveedores.
• Soluciones no integradas
complicadas de administrar.
• Herramientas insuficientes
• Nuevos retos para el equipo
de seguridad.
• Dificultad a la hora de
encontrar personal calificado.
• Nuevas demandas de
monitoreo y auditorías.
Backdoors
Persistentes
Spear Phishing
Malware Dirigido
Situación actual: Retos del área de Seguridad
6. Seguridad Inteligente: Definición
Seguridad Inteligente
--sustantivo
1. La recolección, normalización y análisis en tiempo real de los datos
generados por los usuarios, aplicaciones e infraestructura que
impactan en la TI y en la postura de seguridad de una oranización.
2. Un enfoque completo para la defensa de los activos críticos de una
organización, propiedad intelectual y datos privados, con capacidad
de detección de anomalías, que permite realizar actividades
preventivas de gestión de riesgo y vulnerabilidades.
Brindar información accionable y completa para gestionar los riesgos y
combatir las amenazas. La detección provee información para la
mitigación y remediación
28. Identificar amenazas
Potencial Botnet detectada
Eso es lo máximo que un SIEM
tradicional podría mostrar
Tener visibilidad de capa de Aplicació permite detetar amenzas que otros sistemas no advertirían
IRC en puerto 80
IBM Security QRadar QFlow
detecta un canal encubierto
Confirmación de Botnet
Flujo de capa 7 contiene
commandos de control e instrucción
de botnet
29. Consolidar fuentes de datos
Analizando datos de flujos y
eventos
Solo IBM Security QRadar utiliza
flujos de capa 7
Reducción de datos
1153571 : 1Data Reduction Ratio
Correlación avanzada
Analizando diferentes fuentes
Gran cantidad de
fuentes de datos
Inteligencia
Información extremadamente
precisa y accionable+ =
30. Cumplir con regulaciones
Tráfico sin cifrado
• IBM Security QRadar QFlow detecta un servicio de texto plano corriendo en un servidor PCI
• El Requerimiento 4de PCI dicta: Cifrar la trasmisión de datos de titulares de tarjetas de crédito
en redes públicas o privadas.
Simplificación del cumplimiento
Out-of-the-box support for major compliance and regulatory standards,
automated reports, pre-defined correlation rules and dashboards
Cumplimiento PCI en riesgo?
Detección en tiempo real de
violación de la norma
31. Detectar fraude interno
Potencial robo de
datos
¿Quién? ¿Qué?
¿Dónde?
Detección de amenzas en la era “post-perímetro”
User anomaly detection and application level visibility
are critical to identify inside threats
¿Quién?
Usuario interno
¿Qué?
Datos de Oracle
¿Dónde?
Gmail
32. Mejorar la detección de riesgos
¿Cuáles son los
detalles?
Información detallada
de vulnerabilidades,
ordenadas según el
riesgo.
¿Cómo remedio la
vulnerabilidad?
Información accionable previa a la explotación
Monitoree la red para detector riesgos asociados a
configuraciones o falta de cumplimiento.
Sea capaz de priorizar la mitigación de estos riesgos.
¿Qué activos son afctados?
¿Cómo debo priorizar la mitigación?
33. Monitorear la configuración de dispositivos de red
Encontrar las Brechas antes
que sus adversarios
Visibilidad total y monitoreo
continuo
Encontrar dispositivos con
configuraciones riesgosas
Utilizando el conocimiento del
tráfico de red y vulnerabilidades.
Evaluar rápidamente el tráfico
riesgoso y profundizar
34. Detectar comportamiento anómalo
“Information security is becoming a big data and analytics problem.
...Some of the most sophisticated attacks can only be found with detailed
activity monitoring to determine meaningful deviations from ‘normal’ behavior.”
Neil MacDonald, Gartner, June 2012
Reportar tráfico de una dirección IP perteneciente a un país que no posee acceso remoto.
Detección de anomalías capaz de identificar discrepancias significativas utilizando reglas o el
umbrales previamente definidos.
35. Analizar flujos de red
• El tráfico de red no miente. Un atacante puede borrar logs, pero no puede detener el
tráfico generado en la red (flujos de datos).
– Inspección de paquetes en capa 7
Ganar visibilidad de tráfico de red para detector comportamientos
anómalos que de otra manera pasarían desapercibidos.
36. Monitorear la actividad de usuarios
Integración con Identity
y Access Management
Conocimiento de los roles
de usuarios y grupos a los
que pertenece
Visibilidad completa en la punta de sus dedos
Usuarios, eventos, flujos, todo disponible para profundizar.
Detectar actividad sospechosa
¿Por qué un usuario con
privilegios se conecta desde un
dispositivo externo?