guia do executivo de ti - viftech.com · em análise automatizada das informações unifi cadas de...
TRANSCRIPT
Q1Labs.com
WHITEPAPER
GUIA DO EXECUTIVO DE TI Para inteligência de segurança
A transição do gerenciamento de logs e do SIEM para a inteligência de segurança
Q1Labs.com
ÍndiceSumário executivo......................................................................................3
Introdução..................................................................................................3
Por que inteligência de segurança...........................................3
Determinando o problema.........................................................4
Indo além do gerenciamento de logs e do SIEM..................................5
O valor de negócios da inteligência de segurança..............................5
Consolidação de silos de dados................................................6
Detecção de ameaças..................................................................6
Descoberta de fraudes................................................................6
Gerenciamento/avaliação de riscos..........................................6
Conformidade com as regulamentações................................7
Lidando com os resultados fi nanceiros.................................................7
A Q1 Labs viabiliza a inteligência de segurança.................................8
Conclusão..................................................................................................8
GUIA DO EXECUTIVO DE TI PARA INTELIGÊNCIA DE SEGURANÇAA transição do gerenciamento de logs e do SIEM para a inteligência de segurança
WHITEPAPER
IntroduçãoPor que inteligência de segurança?
Empresas de alto desempenho destacam-se nos negócios
principalmente porque sabem como tirar proveito de suas
informações. Auxiliadas pelo uso automatizado da tecnologia
de inteligência de negócios, elas aplicam analíticas para extrair o
máximo valor das enormes quantidades de dados à sua disposição.
A mesma abordagem deveria ser aplicada à segurança dessas
informações através da implementação de um programa de
inteligência de segurança. Assim como a inteligência de negócios
ajuda as empresas a tomarem decisões que maximizam as
oportunidades e minimizam os riscos de negócios, a inteligência
de segurança possibilita que as empresas detectem ameaças,
identifi quem riscos de segurança e áreas de não conformidade
e estabeleçam prioridades para correções de forma mais efi ciente.
Os motivos para uso da inteligência de negócios são convincentes.
Ela permite que as organizações apoiem suas tomadas de decisões
críticas, automatizando os processos de análise de dados em
um nível que a análise manual difi cilmente conseguiria igualar.
Aplicando a análise de negócios baseada em computação aos seus
ambientes específi cos, as organizações bem-sucedidas obtêm
o maior valor possível dos seus terabytes e petabytes de dados
acumulados, que vão desde receitas de vendas e informações
demográfi cas de clientes a custos de transporte e matérias primas.
Veja este trecho de um artigo publicado na revista The Economist
em 2010 [“Data, Data Everywhere” (Dados, dados em toda parte”)]:
“Os dados estão se tornando a nova matéria prima dos negócios:
um elemento econômico que está quase no mesmo nível do capital
e do trabalho. ‘Todos os dias eu acordo e me pergunto: como posso
movimentar, gerenciar e analisar melhor os dados?’, diz Rollin Ford,
CIO do Wall-Mart.”
Os motivos para a inteligência de segurança são igualmente –
ou ainda mais – convincentes. Empresas e organizações
governamentais possuem vastas quantidades de dados que
podem ajudar a detectar ameaças e áreas de alto risco, desde que
elas tenham os meios e o compromisso de coletar, reunir e, o mais
importante, analisar esses dados. Estes dados não são provenientes
apenas de produtos de segurança pontuais, mas também de fontes
como confi gurações de dispositivos de rede, servidores, telemetria
de tráfego de rede, aplicativos e usuários fi nais e suas atividades.
Sumário executivo A inteligência de segurança, baseada nos mesmos conceitos que
transformaram a inteligência de negócios em uma tecnologia empresarial indispensável,
é o próximo passo crítico para as organizações que reconhecem a importância da segurança
da informação para a saúde dos seus negócios.
Com muita frequência, a resposta a novas ameaças de segurança é uma abordagem “tapa buracos”, utilizando uma tecnologia pontual
específi ca ou novas políticas e normas reativas. Isso acontece em grande parte porque um programa de segurança unifi cado, com base
em análise automatizada das informações unifi cadas de toda a infraestrutura de TI, é caro, complexo, difícil de implementar e inefi ciente.
Como resultado, a maioria das organizações não possui recursos de detecção precisa de ameaças e gerenciamento de riscos.
Neste reporte técnico, você fi cará sabendo como a inteligência de segurança lida com essas defi ciências, capacitando organizações,
desde empresas da lista “Fortune 500” a empresas de médio porte e órgãos do governo, a manterem uma segurança da informação
abrangente e econômica. Em especial, mostraremos como a inteligência de segurança permite lidar com preocupações importantes
em cinco áreas fundamentais:
Consolidação dos silos de dados
Detecção de ameaças
Descoberta de fraudes
Avaliação de riscos/gerenciamento de riscos
Conformidade regulamentar
GUIA DO EXECUTIVO DE TI PARA INTELIGÊNCIA DE SEGURANÇA
A TRANSIÇÃO DO GERENCIAMENTO DE LOGS E DO SIEM PARA A INTELIGÊNCIA DE SEGURANÇA
1
4
5
2
3
3Q1Labs.com
A inteligência de segurança reduz os riscos, facilita a conformidade,
apresenta ROI que pode ser comprovado e maximiza os
investimentos nas tecnologias de segurança existentes. Por analogia
com a inteligência de negócios, os objetivos da inteligência de
segurança são:
• Refi nar grandes quantidades de informação em um processo
efi ciente de tomada de decisões, reduzindo bilhões de
fragmentos de dados a um punhado de itens de ação
• Operacionalizar a coleta e análise de dados por meio da
automação e facilidade de uso
• Fornecer aplicativos de alto valor que ajudem as organizações
a obter o máximo benefício de seus dados, para que possam
entender e controlar os riscos, detectar problemas e
priorizar correções
• Confi rmar que as políticas corretas estão em vigor
• Assegurar que os controles implementados estão
efetivamente aplicando tais políticas
As organizações têm um longo caminho a percorrer em direção
à compreensão do seu ambiente de segurança de TI. Considere uma
pesquisa realizada em 2010 pela revista CSO e patrocinada pela
Deloitte, que afi rma que sete em cada dez incidentes de segurança
jamais são relatados. Segundo a Deloitte, os indícios são de que,
na maioria dos casos, as organizações que são vítimas desses
incidentes sequer estão cientes de que foram comprometidas.
Além disso, a pesquisa “2010 Verizon Data Breach Investigations
Report” (Relatório de investigações sobre violações de dados
realizado pela Verizon) revelou que mais de um terço das violações
de dados investigadas são descobertas somente após vários meses.
E ainda, três quintos das descobertas são feitas por terceiros,
e não pela organização atingida. O relatório também afi rma
que 43% das violações acontecem por fatores “desconhecidos”:
Ativos desconhecidos; dados que eram desconhecidos sobre
um determinado ativo; ativos que possuíam conexões ou
acessibilidades de rede desconhecidas; contas de usuário
ou privilégios desconhecidos.
Determinando o problema
O modelo de segurança de 10 ou 12 anos atrás já não é mais
adequado para enfrentar os desafi os contemporâneos, uma vez
que o “vandalismo na Internet” deu lugar às atividades do crime
organizado. Este modelo está ultrapassado e não se adapta em
face das ameaças e ambientes de TI atuais. A segurança baseada
em perímetro evoluiu para um modelo altamente distribuído,
na medida em que funcionários, parceiros e clientes realizam
negócios remotamente através da Internet e os criminosos
exploram novos vetores de ataque e a confi ança equivocada
do usuário.
As obrigações regulatórias impostas pelo governo e pelo setor
emergiram e/ou foram aparelhadas através de penalidades mais
rígidas e imposições mais diligentes.
O setor de segurança tem respondido com produtos novos e
aprimorados para enfrentar cada ameaça. Todas essas ferramentas
agregam valor à segurança geral da empresa, mas elas são,
na realidade, ilhas de tecnologia de segurança. Elas não conduzem
a um programa de segurança baseado em riscos para toda
a empresa, e o esforço global tende a ser fragmentado.
Em muitos casos as organizações precisam lidar com dados
incompletos, pois uma determinada ferramenta de segurança
pode não reconhecer uma ameaça ou risco como tais sem que haja
a correlação com outras fontes de dados. Por outro lado, mesmo
quando os dados são coletados de fontes distintas, os analistas
são desafi ados pelo grande volume desses dados, tornando
extremamente difícil fi ltrar informações úteis.
A inteligência de segurança lida com esses problemas em todo
o espectro do ciclo de vida da segurança, centralizando os dados
de diferentes silos, normalizando-os e executando análises
automatizadas. Isso permite que as organizações priorizem
os riscos e implantem de forma mais econômica os recursos
de segurança para detecção, prevenção, resposta e correção.
Métodos simplificados de descoberta
de violações separados por percentual
de violações
Fonte:
2010 Verizon Data Breach Investigations Report
GUIA DO EXECUTIVO DE TI PARA INTELIGÊNCIA DE SEGURANÇA
A TRANSIÇÃO DO GERENCIAMENTO DE LOGS E DO SIEM PARA A INTELIGÊNCIA DE SEGURANÇA
4Q1Labs.com
Indo além do gerenciamento de logs e do SIEM
O conceito de inteligência de segurança é parcialmente traduzido
em ferramentas de segurança da informação e gerenciamento
de eventos (SIEM), que se correlacionam e analisam dados de log
agregados e normalizados. As ferramentas de gerenciamento de
log centralizam e automatizam o processo de consulta, mas não
possuem a fl exibilidade e os recursos sofi sticados de correlação e
análise do SIEM e, por fi m, não possuem inteligência de segurança.
No entanto, o SIEM deveria ser considerado como um caminho
a ser seguido, e não um destino. O objetivo fi nal é a inteligência
de segurança global. O SIEM é muito forte do ponto de vista
do gerenciamento de eventos, desempenhando um papel
particularmente importante na detecção de ameaças. A inteligência
de segurança global deve abranger e analisar uma variedade
de informações muito mais ampla: ela requer o monitoramento
contínuo de todas as fontes de dados relevantes em toda a
infraestrutura de TI e a avaliação das informações em contextos
que vão além dos recursos típicos do SIEM.
A inteligência de segurança deve incluir uma gama de dados
muito mais ampla, aproveitando todo o contexto em que os
sistemas operam. Esse contexto inclui, entre outros fatores: logs
de dispositivos de rede e segurança; vulnerabilidades, dados de
confi guração; telemetria do tráfego de rede; atividades e eventos
de aplicativos; identidades de usuário; conteúdos de ativos,
geolocalização e aplicativos.
Isso produz uma quantidade de dados impressionante.
A inteligência de segurança é de grande valor no aproveitamento
desses dados para estabelecer contextos muito específi cos em
torno de cada área de preocupação em potencial, executando
análises sofi sticadas para detectar com precisão mais e diferentes
tipos de ameaças.
Por exemplo, a exploração em potencial de um servidor web
relatada por um IDS pode ser validada pela detecção de atividades
incomuns de saída de rede através do recurso de detecção de
anomalias no comportamento da rede (NBAD), e vice-versa.
Ou então você recebe um relatório informando que um
servidor possui uma vulnerabilidade em potencial que acabou
de ser descoberta. Mas essa é apenas uma entre centenas de
vulnerabilidades na sua organização, então como avaliar a ameaça
para esse servidor em particular? A inteligência de segurança
consegue analisar todos os dados disponíveis e informar:
• A presença ou ausência de vulnerabilidades
• O valor que a organização atribui ao ativo e/ou dados
• A probabilidade de explorar com base em modelos de ameaça
do tipo caminho de ataque
• Informações de confi guração que podem indicar, por exemplo,
que o servidor não está acessível porque uma confi guração
padrão foi modifi cada
• A presença de controles de proteção, como um IPS
Ou ainda, considere a ameaça interna. As 250.000 mensagens
diplomáticas entregues ao WikiLeaks foram obtidas por um usuário,
o soldado americano Bradley Manning, que agia dentro dos
privilégios de acesso concedidos. As chances são de que qualquer
mecanismo de segurança oferecido não seria sufi ciente para
detectar este tipo de ação, mas a análise de dados correlacionados,
aplicando contextos de várias fontes, poderia ter interrompido
o vazamento de dados antes que pudesse causar danos.
O valor de negócios da inteligência de segurança
Um dos argumentos mais convincentes para a inteligência
de segurança é a efi ciência operacional: melhor utilização de
pessoas, tempo e infraestrutura. É a capacidade de incorporar
várias tecnologias de segurança e redes em um sistema integrado,
ao invés de produtos que operam de forma independente.
O foco na inteligência de segurança é particularmente importante,
pois a responsabilidade operacional pela segurança está cada vez
mais sendo colocada nas mãos das equipes de operações de redes.
Faz sentido espelhar essa consolidação das responsabilidades
operacionais com a consolidação na camada de inteligência. Pense
em termos de permitir múltiplas tarefas em uma única plataforma
e no desenvolvimento de competências interfuncionais em toda
a organização, para então implantar o acesso baseado em funções.
Além disso, a inteligência de segurança agrega valor em outras
áreas da TI, como difi culdades no sistema de resolução de
problemas, problemas de rede, suporte ao usuário e análise
de autorizações.
Um ponto fundamental de valor para a
inteligência de segurança, além do SIEM,
é a capacidade de aplicar contexto a partir
de toda uma extensa variedade de fontes.
Isso é capaz de:
Reduzir a ocorrência de falsos positivos.
Informar não apenas o que foi explorado,
mas também que tipo de atividade está
ocorrendo como resultado.
Fornecer detecção mais rápida e resposta
a incidentes.
1
2
3
GUIA DO EXECUTIVO DE TI PARA INTELIGÊNCIA DE SEGURANÇA
A TRANSIÇÃO DO GERENCIAMENTO DE LOGS E DO SIEM PARA A INTELIGÊNCIA DE SEGURANÇA
5Q1Labs.com
A inteligência de segurança permite que as organizações usem
ferramentas integradas em uma estrutura comum, aproveitando
um conjunto de dados unifi cado para a solução de problemas ao
longo de todo o espectro da segurança. Isso pode ser ilustrado em
cinco dos mais importantes casos de uso nos quais a inteligência
de segurança oferece um grande valor.
Consolidação de silos de dados
Sem tecnologia automatizada é difícil realizar as análises
de inteligência de negócios. Os dados que permitem entender
devoluções de estoque, cadeias de suprimento, etc. estão
disponíveis, porém, isolados em diferentes aplicativos e bancos
de dados. Cabe ao analista compilar os dados de todas essas fontes
e despejá-los em planilhas ou bancos de dados para analisá-los
manualmente. A análise de segurança apresenta problemas
semelhantes, e a inteligência de segurança proporciona efi ciências
semelhantes. A partir de uma perspectiva de segurança, os dados
podem existir em três tipos de silos:
• Dados trancados em dispositivos de segurança, aplicativos
e bancos de dados de diferentes tipos
• Dados que são coletados de produtos pontuais, aplicativos,
etc., criando, de fato, mais um silo. Trata-se de mais um banco
de dados no qual aqueles dados estão armazenados, mas não
há comunicação, nenhuma coordenação, por exemplo,
com o seu banco de dados de confi guração
• Silos de dados organizacionais, separados por unidade
de negócios, grupo de operações, departamento, etc.
Nos dois primeiros casos, a inteligência de segurança divide
os silos, integrando feeds de dados de produtos diferentes em
uma estrutura comum para a análise automatizada em diferentes
tecnologias de segurança e de TI. Do ponto de vista da segurança,
isso traz todos os recursos de detecção aprimorada e avaliação de
riscos que a telemetria consolidada da inteligência de segurança
pode oferecer. Do ponto de vista do CIO, a diminuição destes silos
permite a racionalização dos produtos de segurança que, de outro
modo, precisariam ser gerenciados através de produtos pontuais.
O terceiro caso requer cooperação considerável entre os grupos que
normalmente fi cam separados, o que signifi ca um realinhamento
de processos e responsabilidades e, talvez, alguma pressão exercida
pela gerência.
O volume esmagador acumulado de todos estes dados diferentes
intensifi ca o problema de forma exponencial. Cada um destes silos
pode criar enormes volumes de dados, em formatos diferentes,
para fi ns diferentes e, em alguns casos, diferentes políticas e até
mesmo requisitos de conformidade. Apenas a inteligência de
segurança automatizada é capaz de gerenciar com efi ciência
os pentabytes de dados relacionados à segurança e analisá-los
em todos os silos organizacionais e operacionais.
Detecção de ameaças
Em poucos anos, com as empresas abrindo-se ao comércio pela
Internet e a usuários remotos, a segurança passou de um modelo
baseado em perímetro – com toda a política centrada no fi rewall –
para um modelo de segurança distribuída. Agora, o foco da
segurança se encontra em hosts, aplicativos e conteúdo de
informações que se movimentam para fora da organização.
Além do mais, estamos percebendo uma incidência crescente de
ataques altamente direcionados, como os ataques à NASDAQ e a
outras empresas de alto nível. Intrusões sofi sticadas e direcionadas
são tipicamente multifacetadas e apresentam-se em múltiplos
estágios, são difíceis de detectar e muito difíceis de erradicar; já as
ameaças avançadas persistentes (APT) são caracterizadas pela
tenacidade dos invasores e pelos recursos à sua disposição.
Uma inteligência mais abrangente deve ser aplicada às diversas
tecnologias de segurança que foram desenvolvidas em resposta
ao cenário de ameaças em evolução. Conforme observado na
discussão do contexto de segurança, uma atividade que parece
inofensiva para uma parte de uma infraestrutura pode revelar-se
como uma ameaça quando os dados são correlacionados com
outras fontes. Assim, por exemplo, um invasor pode desativar
a criação de logs, mas não consegue desligar a atividade de rede.
Aplicativos proprietários podem não produzir logs; algumas partes
da rede podem estar sem fi rewalls. Nesses casos, a inteligência
de segurança ainda é capaz de identifi car os aplicativos e
serviços em execução entre o host e a rede, alertando sobre
uma potencial ameaça.
Descoberta de fraudes
A inteligência de segurança é absolutamente essencial para
a detecção efi caz de fraudes. O principal ingrediente, além
de telemetria de rede, dados da estrutura de comutação e
roteamento e a camada de aplicação do dispositivo de segurança,
é compreender os usuários e os dados de aplicativos.
A detecção de fraudes requer o monitoramento de tudo o que
acontece em toda a rede: atividade e eventos de rede, atividade de
hosts e aplicativos e a atividade do usuário individual. A inteligência
de segurança permite vincular o usuário a um determinado
ativo, unindo rede, servidor DNS e atividade de aplicativo com
informações de diretório. Por exemplo, a inteligência de segurança
pode vincular um usuário específi co a um endereço IP específi co,
para uma sessão de VPN específi ca.
Avaliação de riscos/gerenciamento de riscos
A inteligência de segurança fornece o principal suporte à gestão
de riscos através de análises de impacto e modelagem de ameaças.
É a diferença entre reagir aos ataques na rede e proteger
proativamente seus ativos mais importantes.
1
2
3
4
GUIA DO EXECUTIVO DE TI PARA INTELIGÊNCIA DE SEGURANÇA
A TRANSIÇÃO DO GERENCIAMENTO DE LOGS E DO SIEM PARA A INTELIGÊNCIA DE SEGURANÇA
6Q1Labs.com
A análise de impacto se baseia no valor que uma empresa atribui
a um determinado ativo e nas consequências negativas para a
empresa se este for comprometido. A inteligência de segurança
lida com isso através da descoberta e classifi cação de ativos e dados
para a identifi cação de ativos essenciais. Além disso, ela responde
a perguntas como: Quanto o ativo está exposto? Ele possui acesso
direto à Internet? Possui alguma vulnerabilidade conhecida para
a qual existam explorações conhecidas?
A modelagem de ameaças leva em consideração todos esses
fatores e muitos outros, identifi cando não apenas vulnerabilidades
no sistema de destino, como também possíveis caminhos de
ataque com base na exploração dos pontos fracos entre o alvo
e a Internet – regras de fi rewall mal projetados, ACLs de roteador
mal confi guradas, etc.
Conformidade com as regulamentações
A conformidade é um caso de uso fundamental para a inteligência
de segurança. Ela atende muitos requisitos de conformidade,
em especial todos os aspectos do monitoramento de segurança.
Assim, por exemplo, a inteligência de segurança não satisfaz
todos os seus requisitos de PCI, mas cumpre todos os seus
requisitos de monitoramento PCI de uma forma que o SIEM
e o gerenciamento de logs sozinhos não conseguem.
A inteligência de segurança fornece os dados que servem
como uma base para fornecer e demonstrar os requisitos
de auditoria para todas as regulamentações.
Ao monitorar amplamente toda a infraestrutura de TI – eventos,
mudanças de confi guração, atividade da rede, aplicativos, atividade
do usuário –, a inteligência de segurança consolida recursos
de conformidade em um único pacote de produto, em vez de
depender de vários produtos pontuais, com cada um oferecendo
sua própria peça do quebra-cabeças de auditoria.
Lidando com os resultados financeiros
A inteligência de segurança, assim como a inteligência de negócios,
permite que as organizações tomem decisões de negócios mais
inteligentes. Ela permite que as organizações processem mais
informações e de modo mais efi ciente em toda a infraestrutura
de TI. Aplicar a tecnologia de inteligência de negócios permite
que as organizações literalmente façam mais utilizando menos:
ao invés de ter analistas dedicando tempo dispendioso para
examinar manualmente uma fração dos dados disponíveis,
a inteligência de negócios automatiza a análise em todos os
dados disponíveis e fornece informações baseadas em funções
que são específi cas a uma determinada tarefa.
A tecnologia da informação é, afi nal, sobre como automatizar os
processos de negócios, para compras, logística, ERP, entre outros.
A inteligência de segurança, ao contrário, é sobre como automatizar
a segurança: compreensão do risco, monitoramento da infraestrutura
em busca de ameaças e vulnerabilidades e priorização de correções.
Ao centralizar as ferramentas e dados de segurança da
infraestrutura de TI, a inteligência de segurança permite o
gerenciamento consolidado e o uso mais efi ciente dos recursos
dedicados à segurança. As organizações melhoram sua postura
de segurança sem incorrer em custos adicionais operacionais e de
pessoal, e sem as despesas de aquisição, manutenção e integração
de múltiplos produtos pontuais.
A inteligência de segurança gera benefícios importantes em termos
de custo e efi ciência dos negócios:
• Reduz os custos associados com a implantação e a operação.
Em vez de acrescentar pessoas, elas são liberadas para
tornarem a segurança relevante para os negócios.
• Torna a aquisição de produtos mais simples e mais barata.
As empresas compram uma única plataforma, ao invés de
vários produtos.
• Facilita a implantação por meio de uma plataforma unifi cada,
em vez de utilizar vários produtos que devem ser integrados
para ao menos se chegar a uma capacidade de inteligência
de segurança aceitável.
• Fornece uma ampla categoria de recursos de segurança
organizacionais que antes eram possíveis apenas para as
empresas mais sofi sticadas.
• Automatiza a coleta, normalização e análise de grandes
quantidades de dados de segurança provenientes de silos
técnicos e organizacionais. Esse recurso aplica um rico
contexto em todas as análises.
• Melhora a detecção de ameaças, aplicando contexto para
detectar possíveis ataques que possam passar despercebidos
por uma tecnologia de segurança específi ca.
5
Priorizar riscos – Consulta para pontuação de riscos
GUIA DO EXECUTIVO DE TI PARA INTELIGÊNCIA DE SEGURANÇA
A TRANSIÇÃO DO GERENCIAMENTO DE LOGS E DO SIEM PARA A INTELIGÊNCIA DE SEGURANÇA
7Q1Labs.com
• Melhora a resposta a incidentes através da detecção precisa
e rápida.
• Realiza ROI de pessoal. As organizações podem implementar
novos serviços de segurança, como o monitoramento mundial
de ameaças, sem utilizar mão de obra adicional.
• Capacita as empresas a executarem programas de segurança
altamente robustos, processando bilhões de registros
diariamente e produzindo aproximadamente uma classifi cação
de itens de ação de alta prioridade a cada 24 horas.
A Q1 Labs viabiliza a inteligência de segurança
A plataforma de inteligência de segurança Q1 Labs QRadar fornece
um conjunto de soluções altamente integrado, projetado para
ajudar as empresas a alcançar a inteligência de segurança total,
implementada em um sistema operacional unifi cado e gerenciado
através de um único console.
Ancorado por um SIEM poderoso, o QRadar apresenta uma
capacidade de inteligência de segurança única, integrando
um conjunto de aplicativos de segurança de alto valor e
monitoramento de rede em uma solução unifi cada, que permite às
empresas implementar recursos de segurança e operações de rede
com base na análise de um amplo conjunto de fontes de dados.
A solução QRadar é baseada no sistema operacional de inteligência
de segurança da Q1 Labs, permitindo que a Q1 Labs ofereça um
conjunto de serviços comuns em torno da integração de dados,
normalização, data warehouse e arquivamento, além de análise.
Essa estrutura unifi cada produz um fl uxo de trabalho uniforme e
recursos de relatórios, alertas e quadros gerais. Estes recursos apoiam
políticas e processos em toda a organização, identifi cam rapidamente
ameaças e avaliam riscos, e apoiam informações de segurança em
nível de auditoria, operacional, gerencial e executivo e requisitos
de resposta.
No topo do SIEM de base sólida e dos recursos de gerenciamento
de log, a tecnologia QRadar QFlow fornece monitoramento
profundo da rede com sofi sticados recursos de detecção de
anomalias de comportamento que adicionam um rico contexto
a análises que, de outra forma, poderiam confi ar apenas em dados
de log. O monitoramento de rede voltado para aplicativos do
QRadar habilita informações de situação sobre todas as conversas
na camada de aplicativo.
Além disso, a plataforma de inteligência de segurança QRadar
estende suas capacidades de inteligência de segurança a ambientes
de rede virtual com sua tecnologia QRadar VFlow, garantindo um
alto nível de detecção de ameaças e gerenciamento de riscos em
apoio à consolidação de data center e de iniciativas de nuvem
privada e pública.
O módulo de avaliação de risco, QRadar Risk Manager, fornece
auditoria de confi guração detalhada que acrescenta o contexto
da postura de risco que o SIEM sozinho não consegue fornecer.
O QRadar Risk Manager avalia riscos e modela ameaças em potencial
contra ativos de alto valor, determinando os possíveis caminhos de
ataque com base na grande quantidade de dados aos quais recorre.
O sistema operacional de inteligência de segurança fornece uma
plataforma para continuar a adicionar novos módulos de segurança,
a fi m de acomodar novos casos de uso em torno da proteção
inteligente e avaliação de risco inteligente da infraestrutura da
empresa. Isso elimina a carga de novas camadas de integração de
dados, requisitos de armazenamento diferentes, novos mecanismos
de análise e diferentes infraestruturas de relatório para acomodar
novos aplicativos de segurança e possíveis fontes de dados.
Conclusão
Organizações com visão de futuro têm reconhecido e adotado
o valor da tecnologia de inteligência de negócios, pois o seu
sucesso baseia-se na capacidade de analisar e agir de acordo com
a informação essencial derivada dos impressionantes volumes de
dados. Da mesma forma, a inteligência de segurança é essencial
porque a segurança da informação é fundamental para se fazer
negócios no século 21. Análises poderosas e automatizadas
de dados centralizados, provenientes de fontes que cobrem
todo o espectro da infraestrutura de TI, fazem com que uma
segurança econômica de alto nível seja não apenas possível,
mas indispensável.
Q1 Labs, uma empresa IBM
890 Winter Street, Suite 230
Waltham, MA 02451 EUA
0XX1.(781).250.5800, [email protected]
Copyright 2012 Q1 Labs, uma empresa IBM. Todos os direitos reservados. Q1 Labs,
o logotipo Q1 Labs, Total Security Intelligence e QRadar são marcas comerciais ou marcas
registradas da Q1 Labs, Inc. Todos os outros nomes de empresas ou produtos mencionados
podem ser marcas comerciais, marcas registradas ou marcas de serviço dos seus respectivos
detentores. As especifi cações e informações contidas neste documento estão sujeitas
à mudança sem prévio aviso.
WPEGSI0220
Aplicativos IDS/IDPRoteadores Sistema operacional
Switches Firewalls VA
Eventos, logs, configuração e dados de fluxo, g , g çEventos, logs, configuração e dados de fluxo
Normalização e categorizaçãoNor llmalmaliii aizaiza ãããçãoçãoção eee ttcatcatcategoegoego iiirizriz ãaçãação
CategoriasCategorias
Contexto de rede, ativo e identidade
Priorizar ataques
Exceder as obrigações de conformidade Detectar ameaças
Consolidar silos de dados
Detectar fraudesPrever riscos
Oferecendo inteligência de segurança total
GUIA DO EXECUTIVO DE TI PARA INTELIGÊNCIA DE SEGURANÇA
A TRANSIÇÃO DO GERENCIAMENTO DE LOGS E DO SIEM PARA A INTELIGÊNCIA DE SEGURANÇA
8Q1Labs.com