Seguridad inteligente (Security Intelligence)

• 1. Seguridad Inteligente (Security Intelligence)M. Sc. Andrea Cubillos Johnen

2. Que es la Seguridad Inteligente La recopilacin, normalizacin y anlisis de los datos en tiempo real generados por los usuarios, las aplicaciones y la infraestructura que afecta la seguridad de TI y la postura de riesgo de una empresa. 3. Elementos Clave Recopilacin, Normalizacin y Anlisis Recopilar los datos relevantes de todos los dispositivos y el sistema en la red. Normalizar para poder comparar las actividad a travs de diferentes dispositivos y ubicaciones. Aplicar anlisis y correlacionar la actividad y descartar los falsos positivos. Luego, presentar los resultados de forma clara y sencilla, y poner todas las piezas relevantes de informacin al alcance de las manos. Utilizar cada bit de datos para enriquecer la visin de los incidentes de Tiempo Real seguridad. No basta con visualizar de datos histricos o de los registros. Se necesita una visin de lo que est sucediendo ahora mismo, a travs de toda la red. 4. La Seguridad de TI y la Postura de Riesgo de una Empresa La capacidad para proteger los datos, propiedad intelectual, los activos de TI y ms, de gente maliciosa del exterior y el interior, y al mismo tiempo manteniendo de las operaciones de negocios confiables y eficientes. 5. Objetivo de Seguridad Inteligente El objetivo de la Seguridad Inteligente es proporcionar una visin prctica e integral que reduce el riesgo y el esfuerzo operacional para organizaciones de cualquier tamao. 6. Una Visin Prctica y Completa La recoleccin y el anlisis de todos los datos relevantes de la red es un buen comienzo, pero los datos por s mismos no tienen ningn valor. Una solucin de Seguridad Inteligente debe dar sentido a los datos y ayudar a investigar y remediar incidentes rpidamente. 7. Reduccin de Riesgos y Esfuerzo OperacionalPara cualquier tamao de Organizacin Hoy en da, la Seguridad Inteligente est al alcance y presupuesto de prcticamente cualquier organizacin. 8. Seguridad Tradicional (Basada en Distribucin por Capas) Como los riesgos potenciales de Internet se pueden producir a varios niveles, se debe configurar medidas de seguridad que ofrezcan varias capas de defensa contra estos riesgos. En general, cuando uno se conecta a Internet, no debe cuestionarse si hay alguna posibilidad de que se produzcan intrusiones o ataques de negativa de servicio. En su lugar, debe dar por seguro que s sufrir estos problemas de seguridad. Seguridad a nivel de sistema Seguridad a nivel de red Seguridad a nivel de aplicaciones Seguridad a nivel de transmisin 9. Seguridad Tradicional No existe una red de monitoreo de actividad En el pasado, los registros de eventos de dispositivos, aplicaciones y servidores daban una idea aproximada de lo que estaba sucediendo en la red. Hoy en da, eso es slo un punto de partida. La Inteligencia de Seguridad exige ahora una visibilidad en tiempo real de los flujos, la actividad del usuario, el uso de los medios de comunicacin social, el acceso mvil y contenido de la aplicacin que atraviesa la red. 10. Seguridad Tradicional Sin arquitectura a escalar Productos de primera generacin hicieron un trabajo aceptable de recopilacin y correlacin de logs de eventos para organizaciones de tamao moderado. Pero aadir datos de flujo, realizar unas cuantas bsquedas simultneas, o implementar en una empresa muy grande, queda estancado. La razn es simple: no estn con arquitectura a escala. Ellos dependen de las bases de datos relacionales externas, que luchan para soportar el volumen de las operaciones de E/S que participan en los escenarios ms exigentes. Soluciones de inteligencia de seguridad se construyen a partir de cero con bases de datos especialmente diseadas, para 11. Seguridad Tradicional No pre-explota la conciencia de seguridad La lnea de tiempo de la Inteligencia de Seguridad no comienza en el punto de incumplimiento. Eso es slo cuando el reloj comienza a correr en su deteccin y descontaminacin. Modernas soluciones de inteligencia de seguridad inherentemente difieren de la primera generacin de productos mediante la integracin de pre-explotacin de las capacidades de gestin de riesgo y vulnerabilidad. Esto permite identificar, priorizar y reducir los riesgos asociados con los dispositivos mal configurados y vulnerabilidades sin parches. De esta manera, en realidad se reduce el nmero de infracciones, as como detectar y remediar los que ocurren. 12. Seguridad Tradicional Confa en la deteccin basada en firmas Ya no es posible sentarse, actualizar las firmas de malware, y esperan para proteger la red. Este enfoque produce un error cuando los vectores de amenazas crecen exponencialmente ms diverso por el da. 13. Seguridad Tradicional Demasiado lento de implementar, demasiado caro para el personal Se necesitan conectores y reglas necesarias antes de ser implementados, y los usuarios tienen que estar entrenados. Una vez en produccin, sus necesidades del personal tambin podran ser significativas. Ellos detectan demasiados falsos positivos, por lo que requieren la incorporacin de ms personal para investigar volmenes de incidentes. Modernas soluciones de inteligencia de seguridad utilizan un conjunto ms amplio de datos (evento, flujo, los activos, la topologa, la vulnerabilidad, configuracin, etc) y la automatizacin avanzada para cortar a travs del ruido y reducir - no ampliar - las necesidades de personal de seguridad. 14. Seguridad Tradicional En resumen, las soluciones de inteligencia de seguridad han hecho que productos puntuales de primera generacin queden obsoletas, y ahora es posible ayudar a las organizaciones a protegerse contra las amenazas ms difciles y diversas, con mucho menos esfuerzo. Amplan el alcance del anlisis para identificar y priorizar los riesgos antes de que ocurra un incidente, y detectan y resuelven las violaciones ms rpido a travs de la actividad del usuario y la visibilidad del contenido. Tambin escalan a mucho mayores volmenes de datos a menores costos de almacenamiento. Y son desplegables y manejable con menos trabajo manual. 15. Tres Principios de Seguridad Inteligente Inteligencia Escribir reglas de correlacin que sola ser una tarea compleja. Soluciones de Seguridad Inteligente ahorran tiempo a los usuarios, al permitirles definir listas de valores (por ejemplo, direcciones IP o nombres de usuario) que se utilizan como variables dentro de las reglas, filtros e informes - ahorra tiempo en tener que actualizar manualmente las listas en muchos lugares. 16. Integracin La normalizacin de los datos de cientos de fuentes evita que los clientes (y consultores) tener que convertirse en expertos en esquema de datos. Por ejemplo, un mandato de cumplimiento puede requerir que documentan eventos de autenticacin (fallidos de inicio de sesin, el xito de inicio de sesin, inicio de sesin del xito seguido de una escalada de privilegios, etc.) Con Inteligencia de Seguridad, los clientes ya no tienen que realizar un seguimiento de forma manual a travs de docenas de activos, cada uno con su propio esquema de datos. 17. AutomatizacinSoluciones de Inteligencia de Seguridad tambin automatizan muchas de las tareas manuales tediosas que solan tardar mucho tiempo y aumentar el costo total de propiedad. Ellos pueden detectar automticamente los recursos de red, la configuracin de auto-tune, y factores de forma de oferta de aparatos para una fcil implementacin. 18. Beneficios de una Seguridad Inteligente Cumplimiento mejorado Aunque el cumplimiento no garantiza un entorno seguro , el cumplimiento ser siempre llamar la atencin y el presupuesto debido a las posibles sanciones en caso de incumplimiento. Cumplir con los mandatos pertinentes es slo el comienzo de la mejora de la propia postura de seguridad , pero es un primer paso importante. Ayuda tanto requisitos regulatorios y de cumplimiento de polticas internas, acceder y proactivamente monitorear informacin diversa en toda la empresa en tiempo real, proporcionando la rendicin de cuentas , transparencia y capacidad de medicin de inteligencia de seguridad . Se ofrece un valor prctico a travs de informes automatizados y facilitar la bsqueda de los registros , eventos , flujos de red y mucho ms . 19. Ms rpida deteccin y remediacin de Amenazas En el mundo multi- permetro , centrndose nicamente en la prevencin es un asunto noble pero desventajoso. Las fronteras son porosas - pensar en la informtica mvil , los medios sociales y computacin en la nube - y hay un mayor riesgo de robo de informacin privilegiada.Soluciones de inteligencia de seguridad frente a esta realidad ayuda a las empresas a detectar y remediar las violaciones ms rpido. Se han convertido en expertos en encontrar la aguja en el pajar , mediante la correlacin de los volmenes masivos de datos en tiempo real. Esto incluye los eventos de red y seguridad de dispositivos , servidores , aplicaciones, servidores de directorio ; actividad de la red fluye con la capa 7 visibilidad , informacin de activos , datos de configuracin , informacin de la vulnerabilidad , y ms. 20. La vida en el mundo actual Los ciber-delincuentes estn aprovechando la inmensidad del mundo de interconexiones actual, en el que las personas usan cualquier dispositivo para acceder a las aplicaciones comerciales en un entorno de red que utiliza servicios en la nube descentralizados. 21. El Internet de Todo Se basa en un Internet de las cosas y aade la inteligencia de redes que posibilita una convergencia, orquestacin y visibilidad entre sistemas anteriormente aislados. Las conexiones en ese Internet de Todo no se reducen a dispositivos mviles o porttiles y equipos de sobremesa, sino tambin a un nmero cada vez mayor de conexiones entre mquinas (M2M) que se unen a la red cada da. Esas cosas a menudo son elementos que usamos cada da sin reparar en ellos y que no solemos creer que estn conectados, como un sistema de calefaccin domstico o un automvil. 22. La Nube complica la Seguridad La dificultad que supone asegurar una amplia gama de aplicaciones, dispositivos y usuarios, tanto en el contexto del cualquiera a cualquiera como en el de Internet de Todo, se ve acrecentada por la popularidad de la nube como medio para administrar sistemas empresariales. Segn los datos recopilados por Cisco, se espera que el trfico mundial de los Data Centers se cuadriplique en los prximos cinco aos, y el componente que presenta un crecimiento ms rpido son los datos en la nube. En el ao 2016, el trfico mundial en la nube supondr casi dos tercios del trfico total de los Data Centers.Hay que cambiar los controles perimetrales y los antiguos modelos de acceso y contencin para proteger 23. Trabajadores conectados y Privacidad de Datos Otro factor que complica esta ecuacin de cualquiera son los trabajadores jvenes y grupo est convencido de que deben poder donde estn, con cualquier dispositivo que alcance.cualquiera a mviles. Este trabajar estn tengan a su 24. Estudio de Cisco 2013 Demuestra que los ciberdelincuentes suelen recurrir a mtodos bsicos y bien conocidos para atacar a los usuarios. El aumento de los ataques distribuidos de denegacin de servicio (DDoS) del ltimo ao es solo un ejemplo de la tendencia de vuelta a lo antiguo del cibercrimen. 25. Proliferacin de Terminales Teniendo en cuenta que hoy en da menos del 1% de los objetos del mundo fsico estn conectados, hay un inmenso potencial para conectar lo desconectado. Se espera que con un Internet que ya cuenta con aproximadamente 50 000 cosas conectadas, el nmero de conexiones alcance la cifra de 13 311 666 640 184 600 en el ao 2020. Con que solo una cosa se aada a Internet (50 000 millones + 1) el nmero de conexiones aumentar en otros 50 000 millones. 26. Aunque la nube ofrece a las organizaciones muchas oportunidades como la reduccin de costes, mayor colaboracin para la plantilla y productividad, los posibles riesgos de seguridad a los que se enfrentan las empresas por trasladar sus datos y procesos comerciales a la nube incluyen: Hipervisores Menor coste de acceso 27. Ataques de malware segn el tamao de la EmpresaLas mayores empresas (ms de 25 000 empleados) tienen ms de 2,5 veces el riesgo de sufrir malware web que las de menor tamao. Este aumento del riesgo puede deberse a que las empresas de mayor volumen poseen una propiedad intelectual de mayor valor, y son un objetivo ms codiciado. Aunque las empresas ms pequeas sufren menos ataques por usuario, es importante sealar que todas las compaas, sin importar su tamao, se enfrentan a un fuerte peligro de ataque de malware. Todas las organizaciones deben 28. Ataques de Malware por Pas 29. Principales tipos de Malware en 2012 30. Principales tipos de Contenido de Malware 31. Aplicacin Cisco Security Intelligence Operations La seguridad tradicional, que se basa en la distribucin en capas de los productos y el uso de mltiples filtros, es una proteccin insuficiente contra la ltima generacin de malware, que tiene objetivos globales y se propaga rpidamente utilizando numerosos vectores. Cisco le toma la delantera a las posibles amenazas gracias al sistema de inteligencia de amenazas en tiempo real de Cisco Security Intelligence Operations (SIO). Cisco SIO es el mayor ecosistema de seguridad basado en la nube del mundo, en el que cada da se analizan ms de 75 terabits de datos en directo procedentes de correos electrnicos, webs, firewalls y soluciones IPS implementados por Cisco.Cisco SIO rene datos de los distintos vectores de amenazas 32. A continuacin SIO clasifica las amenazas y crea reglas compuestas de ms de 200 parmetros. Los investigadores de seguridad analizan informacin sobre eventos de seguridad que, potencialmente, podran afectar a las redes, aplicaciones y dispositivos. Las reglas se envan de forma dinmica a los dispositivos de seguridad de Cisco implementados cada tres o cinco minutos. Adems, el equipo de Cisco SIO publica recomendaciones sobre las prcticas de seguridad adecuadas, as como directrices tcticas para desarticular las amenazas.Cisco se compromete a ofrecer soluciones de seguridad completas que sean integradas, completas y efectivas y que permitan una seguridad holstica para organizaciones de todo el mundo. 33. Bibliografa Informe Anual de Seguridad de Cisco 2013 http://securityintelligence.com/what-is-security-intelligenceand-why-does-it-matter-today/# http://securityintelligence.com/how-do-security-intelligencesolutions-differ-from-first-gen-siem-products/