FÖRVANDLA SIEM TILL ETT SYSTEM SOM VARNAR FÖR AVANCERADE HOT I ETT TIDIGT SKEDE

Transkript

1 FÖRVANDLA SIEM TILL ETT SYSTEM SOM VARNAR FÖR AVANCERADE HOT I ETT TIDIGT SKEDE Big Data driver SIEM-lösningarna mot en ny era av avancerade säkerhetsanalyser September 2012 Författarkommentar Idag har de flesta säkerhetssystem inte tillräckligt med kapacitet för att kunna identifiera viktiga aktiviteter inom företagets nätverk nu när säkerhetshoten blir allt mer avancerade. I regel upptäcks inte säkerhetshoten när de är på väg in i ett företag eller när själva intrånget har genomförts, utan först när ett dataläckage har skett. Dean Weber, CTO för webbsäkerhet på CSC SAMMANFATTNING Under de senaste åren har en stor mängd myndigheter och framstående företag råkat ut för specialinriktade cyberattacker som utformats för att utnyttja svagheter, orsaka avbrott i verksamheten och stjäla värdefull information. Det är tydligt att de befintliga säkerhetssystemen inte klarar av att hindra dessa avancerade angrepp trots att många av de drabbade hade de allra senaste systemen för att upptäcka och förhindra hot. Systemen kunde inte stoppa eller identifiera obehörig närvaro i de drabbade nätverken förrän skadan redan var skedd. På grund av de många hotbilder som finns idag har säkerhetsteamen insett att de numera måste anta att it-systemen utsätts för åverkan mer eller mindre regelbundet. Det räcker inte längre med förebyggande åtgärder som yttre försvar eller att försöka identifiera skadlig kod med hjälp av teknik för signaturmatchning. Det behövs nya tillvägagångssätt som baseras på en förståelse av attackens olika faser, en kontinuerlig övervakning av hotbilden samt lösningar som snabbt upptäcker och åtgärdar hot. För att få den överblick, rörlighet och snabbhet som behövs för att hantera avancerade hot måste SIEM-systemen utvecklas till ett centralt genomgripande system för säkerhetsanalyser i stor skala. Framför allt krävs fyra grundläggande kapaciteter: 1. Genomgripande överblick för att kunna ha koll på allt som händer i en it-miljö måste man slå ihop många datakällor, bland annat registrering av nätverkspaket och fullständiga återskapanden av sessioner, loggfiler från nätverks- och värdenheter samt extern information angående aktuella hot eller annan säkerhetsinformation. Centraliserad inhämtning av loggar räcker inte. 2. Djupare analyser genom att undersöka risker i ett sammanhang och jämföra beteendemönster över tid i olikartade datamängder minskar bruset, och det går då snabbare att upptäcka avancerade hot och avvärja dem. 3. Skalbarhet i stor skala de system som inhämtar säkerhetsdata måste utökas i både storlek och omfattning så att de kan hantera den störtflod av information som allt oftare behövs för att få en komplett bild av situationen. 4. En enda vy att slå samman säkerhetsrelaterad information och hantera den på en enda plats är mycket viktigt för att utreda incidenter i ett sammanhang och fatta snabba beslut angående eventuella hot. Säkerhetscentraler (SOCs) behöver avancerade analysverktyg som snabbt kan inhämta och gå igenom säkerhetsdata för att sålla ut de mest angelägna problemen i kontext. Nya plattformar för säkerhetsanalys är under utveckling som kan hantera alla funktioner som ryms i traditionella SIEM-system och mycket mer bland annat snabbare upptäckt av avancerade hot så att företag har en chans att hindra maskerade angrepp.

2 , september 2012 RSA:s sammanfattning om it-säkerhet förser säkerhetschefer och andra i ledande position med viktiga tips och råd angående dagens mest angelägna information, säkerhetsrisker och möjligheter. Varje sammanfattning har skapats av ett utvalt åtgärdsteam med säkerhets- och teknikexperter som mobiliserar resurser på olika företag och sprider specialistkunskap om viktiga aktuella ämnen. RSA:s sammanfattning om it-säkerhet ger både övergripande kunskap och praktiska råd om teknik och utgör viktig läsning för alla som vill vara förutseende när det gäller it-säkerheten. Innehåll Sammanfattning...1 Dagens säkerhetssystem är inriktade på gårdagens problem...3 SIEM skapar en grund inom säkerhetshantering...4 Avancerade hot kräver avancerad säkerhet...4 SIEM-systemets förvandling till en omfattande plattform för säkerhetsanalys...5 Genomgripande överblick...5 Djupare analyser och snabbare utredningar...6 Skalbarhet i enorm skala...6 Kritisk säkerhetsinformation samlad i en enda vy...7 Slutsats...8 Om författarna...9 Säkerhetslösningar...11 Hanterade säkerhetstjänster från CSC...11 RSA Security Analytics...11 Hanterade säkerhetstjänster från Verizon...11 Författare Brian Girardi, Senior Director inom produktledning på RSA, EMC:s säkerhetsavdelning David Martin, vice VD och Chief Security Officer på EMC Corp. Jonathan Nguyen-Duy, ansvarig chef för Global Security Services, Verizon Business Mario Santana, vice VD för Secure Information Services, Terremark, ett bolag inom Verizon Eddie Schwartz, vice VD och CISO på RSA, EMC:s säkerhetsavdelning Dean Weber, CTO för webbsäkerhet på CSC

3 , september 2012 DAGENS SÄKERHETSSYSTEM ÄR INRIKTADE PÅ GÅRDAGENS PROBLEM Oförutsägbarhet är regel nummer ett för alla som planerar ett säkerhetsangrepp. Därför måste man ha ett anpassningsbart försvar. Författarkommentar Dagens säkerhetsarbete handlar inte längre om att förhindra omfattande angrepp av nätmaskar eller datorvirus det handlar om att skydda sig mot riktiga skurkar. Nuförtiden är det riktiga människor som ligger bakom målinriktade attacker mot en viss it-miljö, det är därför de klassiska automatiserade försvarsmetoderna misslyckas. När det gäller kreativitet kommer människor alltid att överlista maskinerna. Mario Santana, vice VD för Secure Information Services, Terremark, ett bolag inom Verizon Vad som behövs nu är massor av nya säkerhetsfunktioner och nya tankesätt. Sluta fokusera på att blockera säkerhetshot och fundera istället på hur ni kan ta reda på vad som antagligen redan har skett och vad som är nästa steg. Dave Martin, Chief Security Officer på EMC Förut bestod det förebyggande arbetet mest av en katt-och-råtta-lek mellan säkerhetsleverantörerna och de som ligger bakom attackerna: Någon utvecklade skadlig kod. När den skadliga koden identifierades ute i cyberrymden försåg säkerhetsleverantörerna sina kunder med signaturer så att virushotet stoppades i farstun. När det var fixat gjorde angriparna en muterad variant av viruset så att det inte skulle upptäckas, men det varade inte så länge: säkerhetsleverantörernas analytiker undersökte datatrafik och upptäckte exempel på den nya varianten och blockerade även denna. Företagens säkerhetsansvariga såg till att de använde uppdaterade säkerhetspatchar och säkerhetscertifikat, och förutom tillfällig sårbarhet i samband med släpp av nya virus ansågs detta yttre försvar vara hyfsat effektivt. Idag ser det annorlunda ut, inte minst på grund av spionprogram som samlar in data under lång tid och andra liknande avancerade hot. SBIC (Security for Business Innovation Council) definierar avancerade hot som cyberattacker som är skräddarsydda för att göra intrång i ett företags datasystem i syfte att stjäla värdefull information, t.ex. immaterialrättsliga tillgångar, plantera falsk information, störa viktiga tjänster, orsaka skador i system eller övervaka verksamhet eller handlingar. Dessa avancerade hot kommer från hacktivistgrupper, statsmakter, kriminella nätverk och andra grupper med god finansiering och specialiserade säkerhetskunskaper. Dagens angrepp hindras inte av det traditionella säkerhetssystemet med ett yttre signaturbaserat skydd som beskrivs ovan. Angriparna rekognoscerar nu för att få information om ett företags säkerhetssystem, personal och processer så att de kan utveckla metoder som utnyttjar systemets konstruktion. Med hjälp av lösenordsfiske, dataintrång i syfte att skaffa sig högre behörighet i system och andra former av sondering kan hackarna skaffa sig tillgång till känsliga systemresurser. För att undvika att bli upptäckta rör de sig i företagets nätverk med stort tålamod det kan ta dagar, veckor eller flera månader innan de är klara med sitt uppdrag. När tiden sedan är mogen utförs angreppets slutgiltiga steg. Systemintrång som kan leda till ett ökat antal avancerade angrepp verkar vara på uppgång. En rapport från Verizon om utredning av dataintrång från 2012 (Data Breach Investigations Report) spårade 855 intrång under 2011, vilket motsvarar 174 miljoner påverkade dataposter. Det är den näst högsta siffran för total årlig dataförlust sedan Verizon började föra statistik över intrång Dessutom fortsätter många företag att bunta ihop säkerhetsprogrammen med olika program för kontroll av regelefterlevnad. Efterlevnadsaktiviterna är dock långsamma, strukturerade och har så kodifierade förväntningar att de oftast gör mycket lite för att skydda it-miljöerna mot angrepp. Företagen måste tänka om när det gäller riskhantering så att deras prioriteringar bättre speglar den ökade risken för nätstölder. De måste även se över sina säkerhetsstrategier så att de även omfattar hantering av okända angrepp eller konsekvenser av ett dataintrång. Ett steg på vägen är att inse sannolikheten för att it-miljön redan har infiltrerats. Den förändrade situationen gör att säkerhetssystemet inte längre enbart måste skydda de yttre murarna från utsides hot utan även upptäcka hot i ett tidigt skede och minimera skadorna av ett eventuellt intrång. När man flyttar säkerhetshanteringens arbetsområde från de yttre murarna till företagets hjärta kan säkerhetspersonalen fokusera sina resurser på att få en så bra överblick över situationen som möjligt för att övervaka och skydda företagets mest kritiska tillgångar. sida 3

4 , september 2012 SIEM SKAPAR EN GRUND INOM SÄKERHETSHANTERING Författarkommentar Traditionella SIEM-system behövs fortfarande för att varna oss när ett misstänkt mönster upptäcks och för att man ska kunna generera så mycket nytta som möjligt ur inhämtade data det kommer inte att förändras. Men det finns mycket som behöver läggas till i SIEMsystemen så att de kan ge oss en bättre överblick och mer detaljerad kontext vid utvärdering av angrepp. Eddie Schwartz, Chief Security Officer på RSA, EMC:s säkerhetsavdelning SIEM-systemen (Security Information and Event Management) utformades för att tillhandahålla en central plats för sammanställning och lagring av säkerhetsrelaterade data (i princip endast loggar och händelseinformation) så att man får en effektiv hantering av säkerhetsincidenter och efterlevnadsrapportering. Systemen samlar in säkerhetsvarningar och loggar som har genererats av program och system i nätverket, från nätverksenheter, lagringsenheter och databaser till brandväggar, intrångsförebyggande system och antivirusprogram. SIEM-systemen hjälper till att minska den tid som säkerhetsanalytikerna ägnar åt att leta rätt på information, vilket gör att de istället kan ägna mer tid åt att åtgärda skador. Idag har cirka en tredjedel av alla företag infört särskilda informationssystem för it-säkerheten (så kallade SIM-system), och de vanligaste orsakerna till beslutet är incidentutredningar och compliancekontroller enligt en färsk rapport från Forrester Research. 1 Dagens SIEM-system kan effektivt utföra flera viktiga säkerhets- och compliancefunktioner: Rapportera aktivitet på en enhet som visar de viktigaste uppgifterna om vem, vad, var och när för kritiska händelser Upprätta normala aktivitetsnivåer för hela it-driften så att man har något att utgå från, vilket gör det lättare att upptäcka avvikande aktivitetsnivåer och aktivitetstyper Sammanställa händelseinformation, så att säkerhetsexperterna inte behöver plöja igenom var och en av alla otaliga säkerhetsvarningar som utlöses varje dag av de olika enheterna och applikationerna i företagets nätverk Tillämpa regler som definierats av säkerhetsexperter i förväg för att söka efter eventuella hot. Regler kan även användas för att sålla bort irrelevanta varningar, minska bruset och markant minska antalet händelser som behöver utredas närmare Samla loggdata på en central plats där de kan gås igenom, sammanställas i rapporter och lagras för compliancekontroller och eventuella framtida brottsutredningar Tillhandahålla bevis på compliance för interna och externa revisorer med hjälp av automatiskt genererade regelbundna rapporter. Detta är de viktigaste funktionerna i alla system för it-säkerhet och kontroll av compliance. Vissa experter hävdar till och med att om ett företag bara har råd med en enda investering i identifieringsinriktad säkerhet bör man satsa på SIEM-system som inhämtar och korrelerar säkerhetsrelaterade data, vilket kan hjälpa till att upptäcka många problem. För att kunna hantera de höga risker som de tekniskt avancerade hoten innebär räcker det dock tyvärr inte med traditionella säkerhetsmetoder förankrade i ett SIEM-system. De traditionella SIEM-systemen har blivit en nödvändighet, men det räcker inte. AVANCERADE HOT KRÄVER AVANCERAD SÄKERHET Det behövs nya säkerhetsåtgärder som kompletterar nya tänkesätt och som kan ta vid där traditionella metoder för it-säkerhet inte räcker till. Traditionella logg- och händelsecentrerade SIEM-system ger ofta en ofullständig bild av hoten mot ett företag. Det beror på att SIEM-verktygen endast inhämtar information från delar av it-infrastrukturen, vilket inte ger en total överblick. Företagets it-säkerhetsansvariga kan inte längre enbart förlita sig på loggar för att få en tillförlitlig bild av aktiviteten i nätverket. För att kunna upptäcka avvikelser måste en säkerhetsanalytiker kunna dubbellkontrollera andra typer av data t.ex. vilken tjänst en person har vars bärbara dator anslöt till en viktig server och ha tillgång till informationen på en central plats där den kan kopplas ihop med traditionell it-säkerhetsinformation. Säkerhetsteam som inser värdet av att använda olika typer av informationskällor för att 1 Forrester Research, Inc., Dissect Data to Gain Actionable Intel, augusti 2012 sida 4

5 , september 2012 upptäcka avancerade hot står nu inför ett volymmässigt problem: hur inhämtar man och analyserar dessa datamängder som traditionella it-säkerhetslösningar inte tar hänsyn till? Författarkommentar Dataintrång handlar inte längre om att snabbt ta sig in och roffa åt sig det man hinner. Majoriteten av alla dataintrång och andra typer av åverkan förra året utspelade sig under flera månader. Enligt vår erfarenhet är det mer värdefullt att skaffa sig en fullständig bild av vad som har hänt under lång tid och sedan vidta lämpliga åtgärder istället för att försöka få till incidentanalyser nästintill i realtid. Jonathan Nguyen-Duy, ansvarig chef för Global Security Services, Verizon Business De befintliga SIEM-systemen ger säkerhetsanalytikerna ett dilemma de har inte all information till hands som behövs för att få en fullständig bild av it-miljön, och de kan inte heller använda alla data som de faktiskt har på grund av att SIEM-verktygen inte kan hantera mängden rent prestandamässigt. Verktygen kanske informerar dem om att man har identifierat en virussignatur, men hur påverkar den skadliga koden verksamheten? Hur kritiskt är det angripna systemet? Hur inträffade virusangreppet? Vad mer har angripits av samma virus? Har känsliga data flyttats om eller påverkats? Traditionella verktyg presenterar inte säkerhetsrelaterad information på ett meningsfullt och åtgärdsfrämjande sätt, och de saknar tydliga gränssnitt och visualiseringsmöjligheter som speglar säkerhetsanalytikernas tankebanor. Detta är orsaken till att företag som idag använder SIEM-system bara får ut en bråkdel av det önskade värdet från dessa verktyg. Det är ett mycket viktigt problem. Eftersom it-säkerhetssystemet är företagets yttersta skydd mot angrepp behöver säkerhetsanalytikerna tillgång till användbar information med så stort omfång och djup som möjligt. SIEM-systemen måste nå en högre grad av praktisk nytta för att de ska vara till hjälp för säkerhetsanalytikerna och göra deras arbete mer effektivt och verkningsfullt. När så mycket står på spel behöver företagen även göra en uppriktig utvärdering av säkerhetssystemets ålder och inse vilka risker som finns, för att kunna fatta ett slutgiltigt beslut kring huruvida de ska hantera it-säkerheten internt, outsourca säkerhetslösningen till en MSSP-leverantör (Managed Security Service Provider) eller utforma någon sorts hybridlösning. SIEM-SYSTEMETS FÖRVANDLING TILL EN OMFATTANDE PLATTFORM FÖR SÄKERHETSANALYS Författarkommentar Dagens SIEM-system tillhandahåller inte den överblick, bredd och djup som behövs för att verkligen kunna identifiera intrång direkt när de sker. Vi behöver mer kompletta datakällor och överblick över nätverkstrafik, vilket innebär att vi måste förändra hur vi lagrar, hanterar, bearbetar och modellerar data. Vi måste göra informationen mer användbar inte bara mer data, men bättre data. Brian Girardi, Senior Director inom produktledning på RSA, EMC:s säkerhetsavdelning Dagens SIEM-system kan inte hålla jämna steg med de stora volymerna och mängderna med information som rör it-säkerhet, i synnerhet nu när företagen lägger till allt mer infrastruktur, program och till och med molntjänster i sina it-miljöer. För att hjälpa företagen att få fullständig kontroll över situationen behöver SIEM-verktygen använda big data -analyser kapacitet att bearbeta datamängder som är enormt mycket större, mer olikartade och mycket mer dynamiska än den säkerhetsinformation som inhämtas av de flesta företag idag. Analysverktygen behöver även integrera extern information om hotbilder, vilket kan bidra med hjälpsam kontext så att angrepp kan upptäckas snabbare. För att få den överblick, rörlighet och snabbhet som behövs för att hantera avancerade hot måste SIEM-systemen utvecklas till ett centralt genomgripande system för säkerhetsanalyser i stor skala. Nästa generations SIEM-system måste ha stor kapacitet inom fyra viktiga områden. Genomgripande överblick Angreppen måste först upptäckas innan de kan stoppas. Säkerhetsanalysplattformarna bör ha stöd för full rekonstruktion av aktiviteter så att analytikerna har all tillgänglig information som behövs för att avgöra vad som är bästa åtgärden mot ett eventuellt problem. En fullständig övervakning av alla nätverkspaket som kombineras med loggar, händelser, information om hotbilder och andra datakällor möjliggör en djupare insyn i säkerhetshoten genom: Identifiering av skadlig kod Det blir allt svårare att upptäcka hoten på grund av att de är maskerade så att de liknar helt vanlig trafik i nätverket. Vid en fullständig övervakning av nätverkspaket inhämtas och återskapas filer och sedan sker en stor del av den analys som behövs för att hitta tecken på skadlig aktivitet automatiskt sida 5

6 , september 2012 Kartläggning av inkräktarnas aktiviteter inuti nätverket När någon väl har tagit sig in i ett företags nätverk rör sig inkräktaren mellan olika system för att samla in den information som behövs för att verkställa ett angrepp. På grund av att klienter i nätverket ofta är obevakade blir övervakningen av den totala nätverkstrafiken ett viktigt verktyg för att upptäcka inkräktarens undanskymda rörelser eftersom allt sker i företagets nätverk Bevis på otillåtna aktiviteter System som kan övervaka den totala nätverkstrafiken spelar in fullständiga sessioner som visar en inkräktares exakta aktiviteter, inklusive eventuell utsmuggling av data. Eftersom många avancerade angrepp förblir oupptäckta till dess att skadan har skett behöver säkerhetsanalytikerna kunna utvärdera skadan. En rekonstruktion av angreppet är ofta det mest effektiva sättet att göra analyser och brottsutredningar efteråt. Det är viktigt att nästa generations SIEM-system omfattar fullständig övervakning av nätverkspaket och möjlighet till sessionsrekonstruktion så att säkerhetsanalytikerna kan utreda och prioritera hoten. Dagens traditionella SIEM-verktyg kan till exempel säga Jag vet att din dator kommunicerade med en server som innehåller skadlig kod, men de kan inte se vad som faktiskt utbyttes mellan dem. När övervakning av nätverkspaket och återuppspelning av sessioner kombineras med loggdata och annan information kan detta ge djupare kunskap om vad som pågick, och säkerhetsanalytikerna kan bedöma aktivitetens signifikans. Dessa detaljerade utredningsmöjligheter kan hjälpa säkerhetsexperterna att snabbare motverka hoten och minska skadorna från avancerade angrepp. Djupare analyser och snabbare utredningar Säkerhetsanalyssystemen måste vara tillräckligt sofistikerade för att kunna kombinera olikartade data för att upptäcka tecken på avancerade angrepp. Till exempel bör systemen göra sökningar med hjälp av beteendemönster och riskfaktorer inte bara statiska regler och kända signaturer. Säkerhetsanalyssystemen bör också ta hänsyn till det relativa värdet på företagets tillgångar och flagga händelser som associeras med värdefulla tillgångar. Genom att tillämpa en riskbaserad metod som utnyttjar kraften i big data, kan plattformar för säkerhetsanalys eliminera kända och bra aktiviteter och minska bruset, vilket kraftigt reducerar mängden information som säkerhetsanalytikerna måste gå igenom på jakt efter nya hot mot företaget. Djupare automatiserade analyser presenterar saker av eventuellt intresse för säkerhetsanalytikerna med frekvensbeskrivningar som det här händer ofta eller det här händer sällan. Med hjälp av detta kan säkerhetsanalyssystemen utföra prioriteringar åt säkerhetsanalytikerna och markera händelser som de bör titta närmare på. Automatiserade och smarta analyser är en viktig del i de nya plattformarna för säkerhetsanalys, men de ersätter inte det mänskliga omdömet. Istället påvisar de ställen där det mänskliga omdömet och dess unika organisations- och domänkunskaper bör tillämpas. Kort och gott hjälper säkerhetsanalyssystemen de säkerhetsansvariga att identifiera hot i en mycket större skala än tidigare och på nya sätt, så att analytikerna kan förstå incidenterna i tid för att hinna vidta åtgärder vid ett avancerat angrepp. Skalbarhet i enorm skala När SIEM-systemen utvecklas till säkerhetsanalysplattformar måste de utökas i storlek och omfattning för att hantera den enorma mängden säkerhetsrelaterade informationstyper, som kommer både inifrån företaget och utifrån. När man gör djupare analyser av nätverkstrafiken mellan många olika typer av enheter och på andra ställen i nätverket mångfaldigas datamängderna som säkerhetsanalysplattformarna måste hantera. Och samtidigt som integreringen med den allra senaste hotinformationen från externa källor omvandlar säkerhetskonsolen till en säkerhetsinformationscentral innebär det också utmaningar när det gäller skalbarhet. För att hantera dagens hotbilder måste säkerhetsanalysplattformarna omfatta funktioner som en distribuerad lagringsarkitektur i flera skikt och en analysmotor som normaliserar och bearbetar stora olikartade datamängder i mycket hög hastighet. Datalagringen och analyskapaciteten måste ökas samtidigt linjärt. sida 6

7 , september 2012 Kritisk säkerhetsinformation samlad i en enda vy För att ha tillgång till all information och kunna se händelser i deras kontext måste säkerhetsanalytikerna kunna komma åt all information när som helst. Förutom att inhämta data från nätverket bör säkerhetsanalysplattformarna automatiskt samköra data med den senaste hotinformationen från leverantörer, federala myndigheter, branschorganisationer, open source-nätverk och andra källor. Eftersom plattformen förser säkerhetsanalytikerna med all potentiellt relevant information slipper analytikerna ägna åtskilliga timmar åt att inhämta informationen manuellt. Att centralisera den stora mängden tillämplig information i en och samma analysplattform är absolut nödvändigt för att analytikerna ska få en snabb översikt över it-miljön och se händelser i kontext, vilket gör att de snabbare kan fatta beslut. DE TRADITIONELLA SIEM-SYSTEMENS STYRKOR SIEM-SYSTEMENS BEGRÄNSNINGAR SÄKERHETSANALYSER UTÖKAR SIEM-SYSTEMENS STYRKOR OCH TAR ITU MED BEGRÄNSNINGARNA Ger automatiserad inhämtning, arkivering och rapportering av loggar och händelsedata från många olika källor, från nätverksenheter och servrar till brandväggar och antivirusprogram Skapar en enhetlig lagringsplats för säkerhetsrelaterade data, så att data som behövs i en utredning finns samlade på ett enda ställe Informationsarkitekturen i traditionella SIEM-system är inte anpassad för att hantera säkerhetsinformation i så stora variationer och volymer som nu finns tillgängliga och som behövs för att uppnå god överblick över hela företaget Trots att SIEM-systemen inhämtar loggar och händelser från en stor mängd olika system är dess överblick begränsad till de data som finns i de inhämtade loggarna, vilka ofta endast utgör en bråkdel av all aktivitet som skulle kunna vara relevant Tillhandahåller en distribuerad dataarkitektur för inhämtning av säkerhetsinformation i big data -storlek (hundratals terabyte och ännu mer). Sådana plattformar normaliserar och analyserar dessutom enorma mängder med olikartade data i mycket hög hastighet Registrerar nätverkstrafik, och vissa avancerade plattformar för säkerhetsanalys erbjuder till och med registrering av hela nätverkspaket och återskapning av sessioner för att upptäcka och utreda hur inkräktarna lyckades infiltrera it-miljön och vad de gjorde efter att de tog sig in. Avancerade plattformar för säkerhetsanalys kan även automatiskt inhämta information om hotbilder från externa källor, vilket ger värdefulla insikter i hotmiljön utanför företaget Slår samman loggdata för att skapa en omfattande lagringsplats för viktiga säkerhetsrelaterade datamängder Tillhandahåller färdiga kontrollrapporter, som kan vara viktiga när man behöver påvisa efterlevnad av myndighetsoch branschkrav Ger ett grundläggande varningssystem för kända sekvenser med hjälp av korrelationsregler SIEM-systemen kan innehålla stora mängder data, men det finns ofta brister i användbarheten. De flesta uppvisar svagheter när det gäller förmågan att underlätta för analytiker vid tidsberoende incidentutredningar Det må vara viktigt att kunna påvisa efterlevnad, men det ger inte kontroll över säkerhetsrisker och det förstärker inte företagets säkerhet Upptäckter är beroende av att man i förväg känner till attacksignaturer eller vilken metod inkräktarna kommer att använda. Vid avancerade hotbilder finns det ofta inga befintliga signaturer och det är svårt att förutspå inkräktarnas exakta beteende Levererar den höga prestanda som krävs för utredningar som utformas från fall till fall, och tillhandahåller ett användargränssnitt vars syfte är att komplettera hur säkerhetsanalytikerna genomför sina utredningar Tillhandahåller bevis på efterlevnad som ett resultat av ett säkerhetsfokuserat program Skapar en enhetlig plattform för inhämtning av säkerhetsinformation från den totala it-miljön. Upptäckter är inte beroende av signaturer eller statiska korrelationsregler utan baseras istället på dynamiska jämförelser mot normala beteenden och misstänkta aktiviteter som kan tyda på intrång. Genom detta går det snabbare att identifiera aktiva hot som inte har någon signatur och det minskar antalet incidenter som analytikerna behöver utreda sida 7

8 , september 2012 SLUTSATS Framgångsrika ledare med säkerhetsansvar inser att säkerhetsarbetet måste bedrivas som om it-miljön redan har infiltrerats. Utmaningen består i att hitta de största farorna. Traditionella säkerhetsverktyg är mästare på att följa regler som anges av säkerhetspersonalen ( leta efter det här, inte det där ). Säkerhetsanalysplattformar hittar däremot avvikelser som analytikerna inte hade en aning om. Mänsklig interaktion kommer alltid att behövas, men säkerhetsanalyssystemen utökar synfältet och ger hoten ett smalare nålsöga att slinka igenom, vilket genererar snabbare och korrekta beslut. Säkerhetsanalyssystemen ger företagen överblick över situationen och beslutsunderlag för att motverka avancerade angrepp, och innebär även andra betydande verksamhetsfördelar utöver bara rent skydd. Genom att dessa kapaciteter integreras i en och samma säkerhetslösning minskar den totala ägandekostnaden samtidigt som plattformens användbarhet ökar. Genom att investera i säkerhetsanalyssystem i stället för traditionella SIEM-lösningar kan företag framtidssäkra sina plattformar gentemot de ständigt växande hoten samtidigt som man får en mycket skalbar lagringsplats för information som kan användas av många olika funktioner och affärsenheter. Genom analysplattformarnas automatiserade uppgifter och stödjande kontext blir säkerhetsanalytikerna mer produktiva. Och om insatserna fokuseras på att skydda företagets mest värdefulla tillgångar blir säkerhetsarbetet mer strategiskt inriktat för företaget. sida 8

9 , september 2012 OM FÖRFATTARNA Brian Girardi Senior Director inom produktledning, RSA, EMC:s säkerhetsavdelning Brian Girardi övervakar utvecklingen av avancerade säkerhetsanalyser och hanteringslösningar på RSA, EMC:s säkerhetsavdelning. Han började på företaget när EMC köpte NetWitness Brian Girardi var en av grundarna till NetWitness och ligger bakom många av de analyskoncept och metoder som NetWitness-programmet använder idag. På NetWitness ansvarade han för strategisk produktpositionering och marknadsföring och teknikstrategier, och han definierade produktfunktioner och genomförde produktlanseringar. Han har arbetat med informationssäkerhet i över 13 år och utvecklat innovativa lösningar och tjänster åt federala polismyndigheter, amerikanska underrättelsetjänsten och kommersiella företag. Han har även publicerat böcker om informationssäkerhet samt innehar patent inom området. Brian Girardi har en kandidatexamen i maskinteknik och en magisterexamen i elektroteknik från Virginia Tech. David Martin vice VD och Chief Security Officer, EMC Corp. David Martin leder EMC:s branschledande Global Security Organization som fokuserar på att skydda företagets mångsiffriga tillgångar och omsättning. Han är EMC:s högsta säkerhetschef och ansvarar för EMC:s varumärkesförtroende gentemot kunderna och för att tillhandahålla affärssäkerhet i hela världen. David Martin är CISSP-certifierad och förser EMC med erfarenhet inom informationssäkerhet och företagsledning som han har samlat på sig under mer än tio års arbete med affärssäkerhet inom interngranskning, utveckling av säkerhetstjänster och konsulttjänster. Innan David Martin började på EMC byggde han upp och ledde företag inom säkerhetskonsultbranschen med fokus på kritisk infrastruktur, teknik, bank- och vårdsektorn, där han utvecklade och levererade säkerhetsprogram, incidentåtgärder, utredningar, policyer och utvärderingsrutiner. David Martin har en högskoleingenjörsexamen i tillverkningssystemteknik och anlitas ofta av amerikanska kongressen och andra amerikanska myndigheter som expert inom it-säkerhetsfrågor för storföretag. Jonathan Nguyen-Duy ansvarig chef för Global Security Services, Verizon Business Jonathan Nguyen-Duy är ansvarig chef för produktledning inom hanterade säkerhetstjänster på Verizon Business. Han ansvarar för utveckling av säkerhetslösningar för en rad olika säkerhetshot och efterlevnadskrav. Under de senaste tre åren har hans team utvecklat anti-ddos, ryktesbaserade korrelationsanalyser och en ny generation molnbaserade säkerhetstjänster. Under denna tid har Verizon växt och blivit ledande inom säkerhetsbranschen och världens största leverantör av hanterade säkerhetstjänster. Innan Jonathan Nguyen-Duy fick sin nuvarande tjänst ansvarade han för utveckling av Verizons rutiner för verksamhetskontinuitet, fysiska säkerhetslösningar, hanterade lagringstjänster och värdtjänster. Innan han började på Verizon arbetade han som Regional Director of Operations för centralamerika inom den amerikanska utrikestjänsten. Jonathan Nguyen-Duy har över 15 års erfarenhet inom informationssäkerhet och riskhantering och har arbetat med att hjälpa företag och myndigheter att hantera problem i samband med väpnade konflikter, civila oroligheter, strejker, naturkatastrofer, terroristattacker, strömavbrott, sjukdomsutbrott, industrispionage och en lång rad olika hot inom it-säkerhet. Han är en erkänd expert inom säkerhet och driftskontinuitet, och anlitas ofta som föredragshållare på branschevenemang och ingår i flera specialistgrupper inom it-säkerhet. Jonathan Nguyen-Duy har en MBA-examen i it-marknadsföring och internationella affärer samt en kandidatexamen i internationell ekonomi från George Washington University. sida 9

10 , september 2012 Mario Santana vice VD för Secure Information Services, Terremark, ett bolag inom Verizon Mario Santana började arbeta inom SIS-gruppen på Terremark Worldwide i januari Där ledde han analysgruppen inom SIS och anlitades som konsult av Terremarks kunder angående säkerhets-, teknik- och riskhanteringsfrågor. Efter att Terremark gick ihop med Verizon 2011 arbetade Mario Santana med att bygga upp och integrera en ny förstklassig säkerhetsorganisation, han utvecklade nya strategier, strömlinjeformade driftsprocesserna och såg till att den skickliga personalen behölls. Tidigare i sin karriär har Mario Santana grundat ett företag inom identitetshanteringsteknik, varit konsult för SteelCloud, Inc. och arbetat med it i över 25 år. Han har arbetat för otaliga företag på Fortune 1000-listan runt om i världen, bland annat inom finans-, vård- och utbildningsinstitut, flygplatssäkerhet och flygbolag, butikskoncerner samt företag inom teknik och juridik. Han har varit projektledare inom säkerhet och riskhantering med inriktning på bolagsstyrning, tekniska utredningar och elektronisk bevisanskaffning, incidentåtgärder, immaterialrättsintrång, insiderbrott samt utvärdering av nätverk, system och applikationer. Mario Santas specialistområden är medvetenhet, utvärdering och sanering av säkerhetshot, användning av nätverksinstrument, säkerhetsadministrering och compliance. Eddie Schwartz vice VD och CISO, RSA, EMC:s säkerhetsavdelning Eddie Schwartz är CISO (Chief Information Security Officer) på RSA och har 25 års erfarenhet från informationssäkerhetsbranschen. Tidigare har han varit delägare och högsta säkerhetschef på NetWitness (uppköpt av EMC), CTO på ManTech, EVP och General Manager på Global Integrity (uppköpt av INS), SVP för Operations of Guardent (uppköpt av VeriSign), CISO på Nationwide Insurance, dataspecialist på CSC samt innehaft en tjänst hos USA:s utrikesdepartement. Eddie Schwartz har varit rådgivare åt ett antal nystartade säkerhetsföretag och har varit med i it-kommittén BITS (Executive Committee for the Banking Information Technology Secretariat). Eddie Schwartz har en tvärvetenskaplig kandidatexamen i informationssäkerhet och en magisterexamen i informatik från George Mason University School of Management. Dean Weber CTO för webbsäkerhet på CSC Dean Weber är chef och CTO för CyberSecurity-enheten på CSC, där han står för visioner och råd inom utveckling av lösningar och ger support angående strategiska initiativ inom webbsäkerhet. Han har mer än 30 års erfarenhet av informationssäkerhet och fysisk säkerhet, och började på CSC efter en tid som CTO på Applied Identity som nyligen köptes av Citrix. Tidigare i sin karriär var Dean Weber Chief Security Architect på Teros som är en ledande tillverkare av säkerhetsgateways för applikationer och som också har köpts av Citrix. Han ansvarade för utveckling och implementering av lösningar i praktiken, bland annat utvärdering och informationsinhämtning hos TruSecure/ICSA Labs (numera Verizon Business Security Solutions). Dean Weber deltog även vid grundandet av en stor amerikansk återförsäljare inom säker systemarkitekturutformning och driftsättning med uppdrag inom både offentlig och privat sektor, och under många år fungerade han som teknisk vice VD. Dessutom tjänstgjorde han flera år i den amerikanska flottan där han arbetade med fysisk och elektronisk säkerhet. Dean Weber anlitas ofta som föredragshållare på evenemang inom informationssäkerhet som InfoWorld, ITEC, InfoSec Europe, InfraGard, Secret Service Security Roundtable, ISSA och andra sammanslutningar. sida 10

11 , september 2012 SÄKERHETSLÖSNINGAR Produkterna och tjänsterna som beskrivs nedan ligger i linje med de råd som ges i denna säkerhetssammanfattning från RSA. Det är inte en uttömmande lista på tillämpliga lösningar utan kan användas som en utgångspunkt för säkerhets- och riskansvariga som vill veta mer om några av de lösningar och tjänster som finns tillgängliga. Hanterade säkerhetstjänster från CSC CSC:s hanterade säkerhetstjänster levereras via integrerade säkerhetscentraler runt om i världen och utgör ett intressant alternativ till egen hantering av säkerhetsuppgifterna. Med CSC:s hanterade säkerhetstjänster kan företag med strikt budget och begränsad tillgång till personal med rätt kompetens leva upp till säkerhetskraven på ett effektivare sätt i tider med intensifierade myndighetskrav och ständigt växande säkerhetshot. Det kompletta tjänsteutbudet tillhandahåller skräddarsydd webbsäkerhet, från grundläggande övervakning och hantering till sofistikerade analyser och de allra senaste skydden inom it-säkerhet samt avancerad hotdetektering, information om globala hotbilder, fullständig överblick, bolagsrisk och compliancefunktioner. Idag är CSC en av få leverantörer av hanterade säkerhetstjänster som är helt leverantörsoberoende. CSC arbetar med mellanstora och stora företag och integrerar de bästa verktygen från ett brett spektrum av ledande leverantörer med CSC:s idéer. RSA Security Analytics RSA Security Analytics har utformats för att ge företag överblick över situationen så att de kan åtgärda de mest angelägna problemen. RSA Security Analytics ger överblick över företagets totala nätverkstrafik och loggar med händelsedata, och hjälper företag att få en omfattande bild av it-systemet så att säkerhetsanalytikerna snabbt kan prioritera hot, utreda dem, fatta beslut om sanering och vidta åtgärder. RSA Security Analytics-lösningens distribuerade systemarkitektur har utformats för inhämtning och analys av enorma mängder information hundratals terabyte och ännu mer i mycket hög hastighet med flera olika analysmodeller. Lösningen kan även integrera extern hotinformation om de senaste verktygen, tekniker och processer som används i hackervärlden och kan hjälpa företag att spåra och vidta åtgärder mot säkerhetsproblem som identifierats av systemet. RSA Security Analyticsplattformen planeras att släppas på marknaden i slutet av Hanterade säkerhetstjänster från Verizon Verizon är en global it-, säkerhets- och kommunikationspartner för företag och myndigheter och har ett av världens största publika IP-nätverk. Verizon har det mest omfattande utbudet av hanterade säkerhetstjänster och har över experter i 30 länder. Verizon använder sin patentskyddade SEAM-korrelationsanalys (State and Event Analysis Machine) och klassificeringsteknik för att filtrera bort miljontals ofarliga säkerhetshändelser och eskalerar endast incidenter som mer sannolikt utgör verkliga hot. Med denna teknik, i kombination med en stor mängd information om hotbilder och sårbarheter som genereras av Verizons omfattande globala nätverk, kan företaget hantera massor av olika nätangrepp och se till att uppfylla efterlevnadskraven. Det är därför som Verizon anses vara branschledande inom it-säkerhet av analysföretagen Gartner, Forrester, Frost & Sullivan med flera. Detta är också anledningen till att tusentals stora företag och myndigheter förlitar sig på Verizon för att skydda affärsinformation och de system där informationen finns, samt upprätthålla säkerhetsstandarder och regler. sida 11

12 Säkerhetssammanfattning från RSA, oktober 2011 OM RSA RSA, EMC:s säkerhetsavdelning, är den ledande leverantören av lösningar inom säkerhets-, risk- och efterlevnadshantering som hjälper företag att växa. RSA hjälper världsledande företag att nå framgång genom att lösa deras mest komplexa och känsligaste säkerhetsutmaningar. Utmaningarna omfattar bland annat hantering av företagsrisker, skydd av mobila plattformar, skydd av virtuella miljöer och molntjänster samt efterlevnad av gällande regelverk. RSA tillhandahåller överblick och tillförlitlighet för miljontals användare och deras transaktioner samt de data som transaktionerna genererar, genom en kombination av verksamhetskritiska kontroller av och för identiteter, kryptering och nyckelhantering, SIEM-system, skydd mot dataförlust och bedrägerier samt branschledande egrc-funktioner och konsulttjänster. Mer information finns på och EMC 2, EMC, EMC-logotypen, RSA, envision, Archer och RSA-logotypen är registrerade varumärken eller varumärken som tillhör EMC Corporation i USA och andra länder. Alla andra produkter eller tjänster som nämns är varumärken som tillhör respektive företag. Copyright 2012 EMC Corporation. Med ensamrätt. Publicerat i USA. h11031-siem_brf_0912