Beruflich Dokumente
Kultur Dokumente
de seguridad inteligente
Febrero de 2013
Puntos clave
Los ataques y las intrusiones cibernticas son prcticamente imposibles de evitar, dada
laapertura de las redes actuales y la creciente sofisticacin de las amenazas avanzadas.
Enconsecuencia, la prctica de la seguridad ciberntica debe enfocarse en asegurar que
la intrusin y las limitaciones no produzcan daos ni prdidas para el negocio.
Las organizaciones deben cambiar ms recursos de seguridad destinados a la prevencin
de las intrusiones por recursos destinados a la deteccin y a la correccin.
Para mejorar la deteccin y la respuesta a las amenazas se necesita un enfoque
deseguridad basada en inteligencia que ayude a las organizaciones a usar toda
lainformacin disponible relacionada con la seguridad, tanto de fuentes internas
comoexternas, para detectar amenazas ocultas e incluso predecir amenazas futuras.
Optimizar la manera en que las tecnologas, el personal y los procesos trabajan en
conjunto es fundamental para escalar las funcionalidades de seguridad segn los
crecientes riesgos que presentan las amenazas cibernticas avanzadas, todo ello
sindejarde proporcionar eficiencia y valor a la organizacin.
La automatizacin de la tecnologa puede ayudar a los analistas a aprovechar al mximo
su tiempo al reducir drsticamente la carga de trabajo que implica el cierre de incidentes
de rutina de bajo nivel. La automatizacin le da tiempo a los analistas para concentrarse
en riesgos de mayor prioridad que afectan a los activos ms crticos de la organizacin.
Configurar los procesos de seguridad para automatizar tareas repetitivas e integrar
losflujos de trabajo relacionados es posiblemente el paso ms beneficioso que los
centros de operaciones de seguridad (SOC) pueden llevar a cabo para aumentar
laproductividad, cumplir polticas e implementar mejores prcticas para detectar
yresponder a las amenazas.
Los SOC tendrn que formar equipos de colaboracin interdisciplinarios con conjuntos
dehabilidades altamente especializados para combatir las amenazas cibernticas
avanzadas. Sin embargo, el sector de la seguridad enfrenta una grave escasez de
habilidades y personal calificado. Aprovechar la tecnologa ms reciente para ahorrar
tiempo mediante la automatizacin y complementar las capacidades internas con la
subcontratacin de especialistas puede ayudar a las organizaciones a administrar las
habilidades y las brechas en los recursos.
Contenido
Nivelar el panorama de las amenazas con el anlisis de big data......................................3
Alinear el personal, los procesos y la tecnologa para escalar
la seguridad segn las amenazas.....................................................................................4
Alineacin tecnolgica: Big data y automatizacin....................................................4
Alineacin de procesos: El principal motor para la productividad..............................6
Alineacin de personal: Se necesitan nuevas habilidades.........................................7
La seguridad basada en inteligencia en accin.................................................................8
Organizacin convergente para la administracin de riesgos y seguridad..................8
Infraestructura convergente para el monitoreo y la administracin de la seguridad....8
Automatizacin del uso de datos de inteligencia y de incidentes.......................9
Automatizacin de la recopilacin de big data.................................................11
Automatizacin de la analtica basada en host................................................11
Resultados de EMC con el apoyo de la seguridad basada en inteligencia.................12
Apndice: Soluciones de seguridad basada en inteligencia de RSA................................13
Lograr una seguridad perfecta y sin vulnerabilidades no solo es imposible, sino tambin
poco prctico. Esto se debe a que los adversarios sofisticados han aprendido a elaborar
sus tcnicas de ataque de tal manera que pueden franquear las medidas de seguridad
preventiva, como antivirus, firewalls y contraseas. Adems, los adversarios son muy
cuidadosos a la hora de cubrir sus huellas y mantenerse ocultos dentro de los ambientes
de TI, en algunos casos durante semanas o incluso meses despus de haber obtenido el
acceso. La complejidad de la mayora de los ambientes empresariales de TI, combinada
con el predominio de los servicios mviles y de nube y la accesibilidad cada vez mayor de
las redes empresariales a redes externas, ofrece a los atacantes muchos lugares para
ocultarse y muchos ms puntos para una posible intrusin.
A pesar del aumento de los riesgos y los ataques cibernticos, los equipos de seguridad
enfrentan restricciones constantes de presupuesto y recursos para proteger los preciados
activos de informacin de la empresa. El gasto en seguridad como porcentaje del gasto de
TI ha ido de un 6.0% en el 2008 a un 5.6% en el 2012, segn un informe de Gartner que
compara los gastos de seguridad y dotacin de personal.1 En el mismo informe,
Gartner menciona disminuciones en el gasto de seguridad desde US$636 por
empleado en el 2008 a US$577 por empleado en el 2012. Estas tendencias indican
que los equiposde seguridad deben aprender a hacer ms con menos.
La mayor parte del gasto en seguridad se sigue invirtiendo en diversas herramientas
preventivas destinadas a proteger el permetro y que en gran medida ya se encuentran
obsoletas frente a los ataques cibernticos avanzados. El objetivo ms apremiante
de la seguridad ciberntica ahora y en el futuro cercano, debe ser evitar daos
o prdidas para el negocio, en lugar de evitar intrusiones y limitaciones.
La mejor manera de evitar daos al negocio es detectar y corregir los ataques cibernticos
rpidamente. Para ello, las organizaciones deben asignar una mayor parte de
sus inversiones en seguridad a mejorar las funcionalidades de deteccin y respuesta
ante las amenazas. En primer lugar, deben obtener una visibilidad completa de lo que
est sucediendo en sus ambientes de TI. Luego, deben ampliar esa visin para
incluir inteligencia de amenazas externa. Las organizaciones tendrn que aprender
a usar nuevos tipos de datos de seguridad, y mucho ms.
1 Gartner Inc., Datos de mtricas clave de TI 2013: Medidas clave para la seguridad de la informacin: Plurianual
(14 de diciembre de 2012), pp. 710
pgina 4
En general, cuando los SOC consideran mejorar sus funcionalidades, deben dar prioridad
a las inversiones que cumplen los siguientes requisitos tecnolgicos de un programa de
seguridad basada en inteligencia:
Motores de analtica escalables capaces de consultar vastos volmenes de datos que
cambian rpidamente en tiempo real a travs de vectores como geografa, particiones
dered y bases de datos.
rea de almacenamiento de datos consolidada para los datos de seguridad, de modo
quetodas las fuentes estn disponibles para consulta a travs de un solo lugar,
yaseacomo un repositorio unificado o, ms probablemente, como una serie de
reasdealmacenamiento de datos con ndices cruzados.
Tablero de administracin centralizada para realizar y coordinar investigaciones de
incidentes y para administrar las respuestas a los incidentes (por ejemplo, bloquear
eltrfico de red, poner sistemas en cuarentena o exigir la verificacin adicional de
laidentidad del usuario).
Arquitectura de datos flexible que permite capturar, indexar, normalizar, analizar
ycompartir informacin de muchas fuentes en muchos formatos diferentes.
Normalizacin automatizada de datos, de modo que los motores de analtica
puedanrecopilar y trabajar con tipos de datos altamente diversos y con una mnima
intervencin humana.
Tcnicas de monitoreo basado en patrones que examinan constantemente los sistemas
ylos activos de informacin de gran valor para identificar amenazas basadas en
modelosde comportamiento y riesgos, no en firmas de amenazas estticas.
Correlacin enriquecida de informacin de incidentes, de modo que los datos pertinentes
a investigaciones de incidentes se completen automticamente en las consolas de
administracin de seguridad, minimizando el tiempo que los analistas deben dedicar
arecopilar informacin y evaluar los incidentes.
Captura de paquetes de red completos que permite a los analistas de seguridad
reconstruir sesiones con detalle suficiente para comprender lo que sucedi y qu
medidascorrectivas se deben tomar.
Servicios de inteligencia de amenazas externas que renen informacin de muchas
fuentes confiables y pertinentes y la presentan en formatos que las mquinas pueden
leery que se pueden correlacionar y analizar junto con datos internos con una mnima
intervencin humana.
Contramedidas y controles activos, como exigir autenticacin adicional al usuario,
bloquear transmisiones de datos o facilitar la toma de decisiones de los analistas
cuandose detecta actividad de alto riesgo.
Proceso de administracin de cumplimiento de normas integrado que archiva datos
deseguridad a largo plazo a travs de una arquitectura computacional distribuida
yproporciona informes de cumplimiento de normas incorporados para diversos
regmenes reglamentarios.
pgina 5
pgina 6
pgina 7
pgina 8
RSA Archer
Analista
de SOC
Proporciona
datos
Genera alertas complementari
a travs de os provenientes
de fuentes
correlaciones
de Archer
y anlisis
relacionadas
con el incidente
Compila datos
de incidentes
enriquecidos
para
presentrselos
a los analistas
RSA Security
Analytics
Feeds internos
Orgenes de datos internos
Firewalls
Sensores de deteccin
de intrusin
Sistemas de prevencin
de intrusin
Proxies >
Firewalls de aplicaciones web
Active Directory
Exchange
Servidores AAA
pgina 9
Enriquecimiento
de datos externos
Consulta de dominio/
herramientas de
bsqueda de IP
Event Data
Destination IP: 201.200.100.10
Location: Hac, Serbia
Domain: www.badsite.info
Registrant: Mobel Sergei Register
Date: 12-Oct-2012
Incidente 12345
Fecha: 1. de febrero
de 2012
Evento generado
para la IP de destino
201.200.100.10
Consulta a servicios de
reputacin y bsqueda
de sitios maliciosos
Dominio: www.sitiopeligroso.info
Sitio vinculado a actividades
maliciosas anteriores
Evento generado
para la IP de origen
10.10.11.11
IP de origen de los
datos del evento:
10.10.11.11
Nombre de host:
smithj_pc
Enriquecimiento
de datos internos
Consulta a DHCP*
por nombre de host
Consulta a la base
de datos
de empleados
para obtener detalles
de jsmith
Incidente 12345
Fecha: 1. de febrero de 2012
Severidad: 1 hostil conocido C2
IP de origen: 10.10.11.11
Ubicacin de red: Atlanta
Fecha y hora de inicio de
sesin: 1. de febrero de 2012
10:05:05
Nombre de host: smithj_pc
Propietario: John Smith
Sistema operativo: Recurso
crtico de Windows 7: S
Organizacin funcional:
Finanzas
IP de destino: 201.200.100.10
Ubicacin: Hac, Serbia
Dominio: www.sitiopeligroso.info
Solcitante del dominio:
Mobel Sergei
Fecha de registro:
12 de octubre de 2012
Alerta: Se intent una conexin
SSL a un rango de
IP sospechoso
pgina 10
pgina 11
!
Hace un inventario de cada
archivo ejecutable, DLL y
controlador de la mquina
Busca estructuras
internas y anomalas del
sistema que indiquen
actividad de malware
Al estar implementado dentro del CIRC de EMC, ECAT proporciona las funcionalidades de
deteccin de amenazas vistas en la figura 3, RSA ECAT en accin.
Una vez que se ha confirmado cules son los hosts y procesos vulnerables, los analistas de
EMC pueden definir el alcance de la amenaza con una sola accin y observando una sola
ventana, ya que RSA ECAT identifica todos los dems hosts que albergan el mismo archivo
o proceso malicioso. Los analistas de seguridad pueden usar rpidamente el puntaje de
ECAT Machine Suspect Level para evaluar la probabilidad de vulneracin: un puntaje alto
indica problemas, mientras que un puntaje bajo indica que el host probablemente no
presenta amenazas. A pesar de que un puntaje bajo no garantiza que un equipo est libre
de amenazas, el sistema de puntajes de todas formas ayuda a dar prioridad a los flujos
detrabajo de investigacin, lo cual acelera la contencin y la correccin de amenazas ms
graves de una escala mayor.
Con RSA ECAT, el CIRC de EMC ha reducido considerablemente el tiempo de anlisis de
hosts y ha logrado contener gran parte de la carga de trabajo del anlisis y la validacin
demalware de la etapa anterior de triage del proceso de deteccin de amenazas de EMC,
que es controlada por analistas de seguridad de niveles ms bsicos de EMC. EMC calcula
que RSA ECAT le ahorra a su CIRC aproximadamente 30 horas de analista por incidente
dealta prioridad.
Identifica archivos
en buen estado conocidos
usando validacin de
firma digital y Bit9 GSR
Identifica los
comportamientos
anormales y los
correlaciona en todo
el ambiente
RSA desea agradecer a Mike Gagne, Chris Harrington, Jim Lugabihl, Jeff Hale, Jason Rader,
Garrett Schubert y Peter Tran por contribuir con su tiempo y su experiencia al desarrollo de
este resumen tcnico.
pgina 12
pgina 13
RSA Data Loss Prevention (DLP) est diseado para alertar a las organizaciones
sobre actividad relacionada con datos confidenciales que resulta sospechosa
o que infringe la poltica de la organizacin. DLP ejecuta adems funciones de
correccin de primera lnea, como bloquear la transmisin de datos confidenciales,
o ponerlos en cuarentena, eliminarlos o moverlos, o aplicar administracin de
derechos para los documentos que contienen datos privados. RSA DLP se integra
fcilmente con la consola de administracin de seguridad de RSA Archer y la
plataforma de RSA Security Analytics, proporcionando a las organizaciones un
feeddedatos valiosos para generar alertas y con mejores defensas en niveles.
RSA Education Services ofrece cursos de capacitacin sobre seguridad de la
informacin dirigidos a personal de TI, desarrolladores de software, profesionales
de seguridad y empleados generales de una organizacin. Los cursos combinan
teora, tecnologa y ejercicios basados en escenarios para integrar a los participantes
en un aprendizaje activo. El plan de estudios actual cubre temas como anlisis de
malware e inteligencia de amenazas cibernticas. RSA Education Services tambin
ofrece un taller sobre cmo enfrentar amenazas avanzadas como APT. Los cursos
estn diseados para ofrecer la mxima cantidad de informacin en la menor
cantidad de tiempo con el fin de minimizar el tiempo fuera del personal.
RSA Enterprise Compromise Assessment Tool (ECAT) es una solucin de deteccin
yrespuesta a amenazas empresariales diseada para monitorear y proteger ambientes
de TI de software no deseado y del malware ms escurridizo, incluyendo rootkits,
amenazas avanzadas persistentes (APT) y virus no identificados. RSA ECAT automatiza
la deteccin de anomalas dentro de aplicaciones computacionales y memoria sin
basarse en firmas de virus. En lugar de analizar muestras de malware para crear
firmas, RSA ECAT establece una referencia de anomalas de aplicaciones buenas
conocidas filtrando el ruido de fondo para descubrir actividad maliciosa enmquinas
vulneradas. La consola de RSA ECAT presenta una vista centralizada delas actividades
que ocurren dentro de la memoria de una computadora, la cual puede usarse para
identificar malware rpidamente, sin importar si existe una firmaosi el malware se
ha detectado antes. Una vez que se identifica la anomala maliciosa, RSA ECAT puede
escanear miles de mquinas para identificar otros puntos finales que hayan sido
vulnerados o se encuentren en riesgo.
RSA Security Analytics est diseada para proporcionar a las organizaciones la
concientizacin situacional necesaria para enfrentar sus problemas de seguridad
msurgentes. Al analizar el trfico de red y los datos de eventos de log, el sistema
RSA Security Analytics puede ayudar a las organizaciones a obtener una visin
integral de su ambiente de TI, lo que permite a los analistas de seguridad
detectar amenazas rpidamente, investigarlas y darles prioridad, tomar decisiones
de correccin, implementar medidas y generar informes automticamente.
Laarquitectura de datosdistribuidos de la solucin RSA Security Analytics recopila,
analiza y archiva volmenes masivos de informacin (con frecuencia, cientos
de terabytes y ms) a altas velocidades utilizando varios modos de analtica.
La plataforma RSA Security Analytics tambin obtiene inteligencia de amenazas
sobre las herramientas, tcnicas y procedimientos ms recientes que usa la
comunidad de atacantes, lo cual le permite alertar a las organizaciones sobre
posiblesamenazas activas en su empresa.
pgina 14
pgina 15
Acerca de RSA
RSA, la Divisin de Seguridad de EMC, es el proveedor principal de soluciones de
administracin de cumplimiento de normas, riesgos y seguridad para la aceleracin
del negocio. RSA ayuda a las organizaciones lderes del mundo a superar los retos de
seguridad ms complejos y delicados. Entre estos retos, se incluyen la administracin
de los riesgos de las organizaciones, la proteccin de la colaboracin y el acceso por
medio de dispositivos mviles, la comprobacin del cumplimiento de normas y la
proteccin de ambientes virtuales y de nube.
Mediante la combinacin de controles crticos para el negocio en la comprobacin
de identidad, el cifrado y la administracin de claves, informacin de seguridad y
administracin de eventos (SIEM), la prevencin de prdida de datos, el monitoreo
continuo de la red y la proteccin contra fraudes con funcionalidades de GRC lderes
del sector y slidos servicios de consultora, RSA brinda confianza y visibilidad para
millones de identidades de usuarios, las transacciones que ejecutan y los datos
que se generan. Para obtener ms informacin, visite http://mexico.emc.com/rsa
y www.EMC.com (visite el sitio web de su pas correspondiente).
http://mexico.emc.com/rsa
(visite el sitio web de su
pas correspondiente)
EMC2, EMC, el logotipo de EMC, RSA, Archer, FraudAction, NetWitness y el logotipo de RSA son marcas registradas
omarcas comerciales de EMC Corporation en los Estados Unidos y en otros pases. Microsoft y Outlook son marcas
registradas de Microsoft. Todos los otros productos o servicios mencionados son marcas comerciales de sus
respectivas empresas. Copyright 2013 EMC Corporation. Todos los derechos reservados.
179827-H11533-ASOC_BRF_0213