1. A REALIDADE SOBRE
GERENCIAMENTO DE
SEGURANÇA E “BIG DATA”
Um roteiro para “big data” no Security Analytics
PRINCIPAIS
BENEFÍCIOS
Este documento analisa:
Esse é um excelente momento, embora desafiador, para ser profissional de segurança.
As ameaças à segurança estão se tornando mais agressivas e vorazes. Os governos
e os órgãos do setor estão se tornando mais precisos em relação à conformidade.
Combinado a ambientes de TI exponencialmente mais complexos, o gerenciamento
de segurança está ficando cada vez mais desafiador. Além disso, as novas tecnologias
de “big data” têm como objetivo trazer técnicas de lógica avançadas, como análise
preditiva, e técnicas estatísticas avançadas para perto dos profissionais de segurança.
de segurança, das ameaças ao
Dado o estado dos sistemas de segurança atuais, a maioria das organizações está
ambiente de TI até às exigências
muito longe do uso desses tipos de tecnologias avançadas para gerenciamento de
de conformidade.
•
O aumento da complexidade
do ambiente de gerenciamento
•
segurança. Os profissionais de segurança precisam obter mais valor dos dados já
Como obter mais significado dos
coletados e analisados. Eles também precisam de melhor compreensão dos desafios
dados já coletados, “eliminando
o palheiro” em vez de “procurar
agulha nele”.
•
A combinação de infraestrutura,
ferramentas de lógica
e inteligência contra ameaças
precisava impulsionar o valor
comercial de big data.
atuais e dos desafios iminentes relacionados aos dados. Começar com recursos básicos
de lógica e gerenciamento de conjunto de dados permite que as organizações criem
e dimensionem efetivamente o gerenciamento de segurança à medida que a empresa
evolui para superar os desafios de big data.
O CENÁRIO ATUAL DE SEGURANÇA NÃO DÁ
ESPAÇO PARA A SEGURANÇA IMEDIATA
Quando se lida com “big data”, o volume e os tipos de dados sobre TI e negócios
também são grandes demais para serem processados de modo assistemático. Além
disso, está ficando cada vez mais difícil proteger as informações significativas dos
dados que estão sendo coletados.
Apesar do investimento significativo em segurança das informações, os invasores parecem
ter o controle. De acordo com o relatório 2012 da Verizon sobre investigações de violações
de dados, 91% das violações levaram ao comprometimento de dados em dias ou menos,
enquanto 79% das violações demoraram semanas ou até mais para serem detectadas.
Existem vários fatores que explicam isso:
•
Os invasores estão ficando cada vez mais organizados e melhor financiados.
No entanto, enquanto os ataques estão ficando cada vez mais dinâmicos, as
defesas permanecem estáticas. Os ataques atuais são projetados para explorar
as fraquezas de nossas infraestruturas hiperconectadas e centradas no usuário.
•
As organizações vinculadas à TI continuam a crescer de modo mais complexo.
Agora as organizações exigem muito mais sistemas abertos e ágeis, criando novas
oportunidades incríveis para colaboração, comunicação e inovação. Isso também
resulta em novas vulnerabilidades que cibercriminosos, grupos de hackers e
agentes nacionais aprenderam a explorar.
•
A conformidade está muito mais longe de ser alcançada. Reguladores e legisladores
estão ficando mais explícitos. As empresas, especialmente aquelas com várias linhas
de negócios ou operações internacionais, enfrentam tempos cada vez mais difíceis
para rastrear controles atuais que estão em vigor, controles que são necessários e
como garantir que esses controles sejam gerenciados de modo adequado.
2. O efeito combinado desses fatores nos ambientes de TI torna o gerenciamento de
segurança muito mais complexo, com muito mais interdependência e um escopo
mais amplo de responsabilidade. À medida que mais processos de negócios se tornam
digitalizados, as equipes de segurança têm a oportunidade e o desafio de coletar e
gerenciar mais dados. Os investimentos estão cada vez maiores em ferramentas de
gerenciamento de registros, gerenciamento de vulnerabilidade, gerenciamento de
identidade e gerenciamento de configuração. Entretanto, as violações continuam
acontecendo, causando mais interrupções e gastos do que nunca.
OS TRÊS CONCEITOS BÁSICOS DO BIG DATA
EM GERENCIAMENTO DE SEGURANÇA
Uma estratégia real de “big data” para o gerenciamento de segurança deve
abranger todos estes três aspectos para solucionar adequadamente os
problemas à mão: infraestrutura, ferramentas analíticas e inteligência.
Figura 1. Os pilares de big data em gerenciamento de segurança
Para extrair valor dos dados coletados, obter eficiência das atividades de
gerenciamento de ameaças e usar as atividades de conformidade para orientar
a tomada de decisões, as equipes de segurança precisam adotar uma abordagem
de “big data” para o gerenciamento de segurança. Isso significa ter:
•
Uma infraestrutura ágil de scale out para responder às mudanças no ambiente de TI e
às ameaças em evolução. O gerenciamento de segurança precisa dar suporte a novas
iniciativas de negócios que afetam a TI, de novos aplicativos a novos modelos de
entrega como mobilidade, virtualização, computação em nuvem e terceirização.
A infraestrutura de gerenciamento de segurança deve ser capaz de coletar e gerenciar
dados de segurança em escala corporativa e deve ser dimensionada de acordo com
as exigências atuais das empresas, física e economicamente. Isso significa fazer
“scale out” em vez de “scale up”, pois a centralização de todos esses dados será
praticamente impossível. Além disso, a infraestrutura precisa se estender com mais
facilidade para adaptar-se a novos ambientes e desenvolver-se rapidamente para dar
suporte à análise das ameaças em evolução.
3. •
Ferramentas de lógica e visualização que dão suporte a especialidades de analistas
de segurança. Os profissionais de segurança exigem ferramentas analíticas
especializadas para dar suporte a seu trabalho. Alguns analistas exigem
ferramentas para facilitar a identificação básica de eventos com alguns detalhes
do suporte. Os gerentes podem exigir visualização de alto nível e análise de
tendências de medidas-chave. Os analistas de malware precisam de arquivos
suspeitos reconstruídos e ferramentas para automatizar o teste desses arquivos.
Os analistas de perícia forense de rede precisam da reconstrução completa de
todas as informações de rede e registro sobre uma sessão para determinar
precisamente o que aconteceu.
•
Inteligência contra ameaças para aplicar técnicas analíticas de dados às
informações coletadas. As organizações exigem uma exibição do ambiente atual
de ameaças externas para correlação com as informações reunidas da própria
organização. Essa correlação é importante para os analistas obterem uma
compreensão clara dos indicadores de ameaças atuais e sobre o que procurar.
O “big data” não significa simplesmente “muitos dados”. Ele exige
significativamente mais lógica inteligente para identificar as ameaças
de segurança mais cedo, com a infraestrutura para coletar e processar
dados em escala.
“BIG DATA” IMPULSIONA UMA SEGURANÇA
PRODUTIVA E EFICIENTE
O gerenciamento bem-sucedido de segurança para “big data” exige
um sistema que possa extrair e apresentar dados-chave para analistas
de modo mais rápido e eficiente.
Figura 2. Requisitos para um sistema de big data de gerenciamento de segurança
As organizações de segurança hoje precisam adotar uma abordagem de “big data”,
inclusive a compreensão dos adversários, a determinação de quais dados são
necessários para dar suporte às decisões e operacionalizar um modelo para dar
suporte a essas atividades. Quando se fala de “big data” neste contexto, trata-se
da criação de uma base para lógica útil, em vez da execução precipitada de um
projeto avançado de ciência de dados. Sistemas bem-sucedidos de “big data”
para organizações de segurança precisam:
4. •
Eliminar tarefas manuais entediantes em atividades rotineiras de resposta ou
avaliação. O sistema precisa reduzir o número de tarefas manuais e repetitivas
associadas à investigação de um problema, como alternar entre consoles
e executar a mesma pesquisa em cinco ferramentas diferentes. Embora
essas tarefas não sejam eliminadas da noite para o dia, o sistema deve
reduzir consistentemente o número de etapas por incidentes.
•
Usar o contexto de negócios para direcionar os analistas para os problemas que
causam maior impacto. As equipes de segurança precisam ser capazes de associar
os sistemas que monitoram e gerenciam aos aplicativos essenciais e aos processos
de negócios suportados por eles. Elas precisam entender as dependências entre
esses sistemas e terceiros, como provedores de serviços, e compreender o estado
atual de seu ambiente do ponto de vista de vulnerabilidade e conformidade.
•
Apresentar apenas os dados mais relevantes aos analistas. Os profissionais de
segurança normalmente referem-se à redução dos “falsos positivos”. Na realidade,
os problemas são geralmente mais sutis do que falso versus verdadeiro. Em vez
disso, o sistema precisa eliminar o “ruído” e fornecer indicadores para os analistas
apurarem os problemas que causam maior impacto. O sistema também precisa
fornecer dados de suporte que destaquem os maiores problemas prováveis
e o motivo para ocorrerem.
•
Aumentar o conhecimento humano. O sistema pode ajudar o analista a gastar
seu tempo analisando os itens mais críticos. Isso inclui fornecer técnicas
integradas para identificação dos problemas com prioridade mais alta, bem
como inteligência contra ameaças atuais que usa essas técnicas para identificar
ferramentas, técnicas e procedimentos mais recentes sendo usados pela
comunidade de invasores.
•
Veja além do horizonte. A defesa contra ameaças modernas é também uma
corrida contra o tempo. O sistema precisa fornecer um modelo de advertência
antecipado e finalmente preditivo, combinando inteligência contra ameaças
externas à conscientização situacional interna para mover a equipe de segurança
de uma defesa passiva para a defesa ativa e a prevenção.
SECURITY ANALYTICS: UMA ABORDAGEM EM FASES
PARA “BIG DATA”
Embora as técnicas avançadas, como lógica preditiva e inferência estatística,
sejam provavelmente importantes no futuro, é importante que as equipes
de segurança comecem a se concentrar em abordagens básicas e em fases.
•
Comece pela implementação de uma infraestrutura de dados de segurança que
possa crescer com você. Isso envolve a implementação de uma arquitetura que
seja capaz de coletar informações detalhadas sobre registros, sessões de rede,
vulnerabilidades, configurações e identidades, e também inteligência humana
sobre o que os sistemas fazem e como eles funcionam. Embora você possa
começar pequeno, o sistema precisa basear-se em uma arquitetura sólida e
distribuída para garantir o dimensionamento à medida que seus requisitos
evoluem. O sistema deve dar suporte aos domínios lógicos de confiança, inclusive
jurisdições legais, bem como dados para unidades de negócios ou diferentes
projetos. O sistema precisa ser capaz de manipular e aproveitar esses dados com
rapidez e facilidade (por exemplo, mostrar todos os registros, sessões de rede
e resultados de verificação de determinado endereço IP e sua comunicação com
um sistema financeiro de produção).
5. •
Implemente ferramentas analíticas básicas para automatizar as interações
humanas repetitivas. Normalmente, um objetivo de curto prazo é criar um modelo
que correlacione informações visualmente a fim de reduzir o número de etapas
necessárias para reunir todas essas informações em uma exibição (por exemplo,
mostrar todos os registros e sessões de rede que envolvem sistemas que dão
suporte ao processamento de transações de cartão de crédito e que sejam
vulneráveis a um ataque já verificado em outras partes da empresa).
•
Crie visualizações e resultados que deem suporte às principais funções de
segurança. Alguns analistas precisarão ver apenas os eventos mais suspeitos
com algum detalhe de suporte. Os analistas de malware precisarão de uma lista
priorizada de arquivos suspeitos e dos motivos pelos quais eles são suspeitos.
Os analistas de perícia forense de rede precisarão de resultados detalhados
de consultas complexas. Outros precisarão revisar relatórios de conformidade
agendados ou relatórios gerais usados para identificar tendências ou áreas para
aprimoramento no sistema. O sistema também precisa ser aberto para permitir que
outro sistema acesse os dados e use-os para agir contra um invasor, como colocar
em quarentena ou intensificar o monitoramento sobre o que eles estão fazendo.
Figura 3. Etapas para a implementação de big data no gerenciamento de segurança
•
Adicione mais métodos analíticos inteligentes. Só nesse ponto é que a lógica mais
complexa pode ser aplicada aos dados para dar suporte a essas funções. Essa
lógica pode incluir uma combinação de técnicas analíticas, como regras definidas
para identificar um comportamento provavelmente ruim ou conhecido como bom.
Ela também pode incorporar técnicas avançadas de linha de base e criação de
perfil comportamental que implementam técnicas estatísticas mais avançadas,
como a inferência bayesiana ou a modelagem preditiva. Essas técnicas analíticas
podem ser usadas juntas para criar um “modelo de influência” (um modelo que
combina indicadores diferentes para “classificar” os problemas que o sistema
identificou, a fim de levar o analista às áreas que exigem atenção mais urgente).
•
Aprimore o modelo continuamente. Depois que o sistema estiver em
funcionamento, ele precisará ser ajustado continuamente para responder aos
vetores de ameaças em desenvolvimento e às alterações para a organização.
O sistema precisará ter habilidade para ajustar regras e modelos para eliminar
o ruído, consumir dados adicionais dentro e fora da organização e incorporar
funções de autoaprendizagem para aumentar o sucesso geral do sistema.
6. O sistema precisará desenvolver-se e expandir-se para responder às mudanças no
ambiente de TI à medida que novos serviços e aplicativos de TI são disponibilizados
on-line, criando um ciclo de evolução e aprimoramento constantes. Em cada ponto,
o sistema precisará aproveitar a inteligência externa como informações para o modelo.
Isso significa que o sistema precisará ter um modo automatizado de consumir feeds
externos de fontes de inteligência contra ameaças; informações estruturadas, inclusive
listas negras, regras ou consultas; inteligência não estruturada (inclusive pastebins,
feeds do Twitter ou conversas de IRC); e inteligência de painéis de mensagens ou
anotações internas de ligações ou reuniões internas. O sistema também deve ser
capaz de facilitar a colaboração acerca do conhecimento compartilhado. O sistema
deve compartilhar resultados de consulta ou inteligência não estruturada
publicamente, ou em um modelo controlado com comunidades de interesse
confiáveis ou com base em “quem precisa saber”.
A INFRAESTRUTURA BÁSICA FORMA O CAMINHO
PARA TÉCNICAS MAIS SOFISTICADAS
As equipes de segurança aumentarão bastante a probabilidade de sucesso na
implementação de “big data” na segurança se se concentrarem primeiro em criar uma
arquitetura dimensionável e implementar ferramentas para eliminar tarefas sem valor
agregado. Isso dará “vitórias rápidas”, fornecerá uma plataforma sólida e liberará a
equipe para se concentrar na implementação e no gerenciamento de ferramentas
analíticas mais complexas. Fazer isso de modo adequado:
•
Aumentará a eficiência dos analistas de segurança. O número de “problemas
por turno” que os analistas podem verificar pode aumentar de alguns para
uma dezena ou até mais.
•
Reduzirá o tempo disponível dos invasores e, assim, o impacto das ameaças nos
negócios. Os analistas se sentirão mais atraídos automaticamente por aquelas
ações que têm maior probabilidade de causar problemas e as solucionarão antes
que afetem negativamente os negócios.
Sem essa base ou um objetivo claro e concreto em mente, uma iniciativa de big data
poderia ter dificuldades e não trazer nenhum dos ganhos esperados.
RSA SECURITY MANAGEMENT: UMA BASE
SÓLIDA PARA INFRAESTRUTURA, LÓGICA
E INTELIGÊNCIA.