IMPLEMENTERING AV EN SYSTEMARKITEKTUR FÖR SÄKERHETSANALYS. Solution Brief

Transkript

1 IMPLEMENTERING AV EN SYSTEMARKITEKTUR FÖR SÄKERHETSANALYS Solution Brief

2 SAMMANFATTNING Nya säkerhetshot kräver en ny form av säkerhetshantering. De som arbetar med it-säkerhet behöver en systemarkitektur som kan hantera datamängder av mycket större volym och omfattning än tidigare, och som dessutom förser dem med verktyg som snabbt identifierar de mest akuta problemen. De behöver även extern information om de senaste verktygen, teknikerna och processerna som används inom hackervärlden, och möjlighet att spåra och hantera de åtgärder som vidtas till följd av de hot som identifieras. 99 procent av dataintrången ledde till datapåverkan inom bara några dagar eller ännu tidigare, och 85 procent av intrången upptäcktes inte förrän efter flera veckor eller ännu senare års rapport om utredning av dataintrång från Verizon (Data Breach Investigations report) TRADITIONELLA SÄKERHETSMETODER FUNGERAR INTE Enligt 2012 års rapport om utredning av dataintrång från Verizon ledde 99 procent av dataintrången till åverkan på information inom bara några dagar eller ännu tidigare, och 85 procent av dataintrången tog flera veckor eller ännu längre att upptäcka. Detta innebär en rejäl utmaning för de som ansvarar för it-säkerheten eftersom hoten ofta kan dröja sig kvar i de angripna miljöerna under en längre tid. Ju längre tid inkräktarna får vara kvar, desto mer data kommer de över och desto mer digital skada kan de orsaka. Detta beror i allmänhet på att dagens säkerhetssystem inte är utformade för att kunna avvärja de allt mer tekniskt avancerade angreppen. Traditionella säkerhetssystem är ofta: - Signaturbaserade: De letar efter kända sekvenser av skadlig kod som baseras på tidigare identiska angrepp - Inriktade på ett yttre försvar: De koncentrerar sig på att förebygga eller upptäcka hot när de är på väg in i företaget - Drivna av compliance: De har utformats så att de uppfyller krav från revisorer eller specifika myndighetskrav istället för att anpassas efter vad som är de största riskerna för företaget Samtidigt blir hoten allt mer tekniskt avancerade. Dagens säkerhetshot är: Föränderliga: Inkräktarna räknar ut vilka sätt företag skyddar sig på och använder anpassade tekniker för att undvika att bli upptäckta av många vanliga system som används för att identifiera och förebygga angrepp Fokuserade: De är ofta väldigt målinriktade och är ibland bara inriktade på en viss typ av företag, ibland till och med ett enda företag Smarta: Inkräktarna använder en lång rad metoder för lösenordsfiske och annan sondering samt utnyttjar tekniska kryphål för att ta sig in i företagets system och undvika att bli upptäckta Detta betyder att företagen behöver tänka i nya banor angående de verktyg och säkerhetsåtgärder som de använder som skydd. Hotbilder under ständig utveckling Kriminella Småkriminella Osofistikerade Organiserad brottslighet Organiserade, sofistikerade leverantörskedjor Aktörer på statsnivå Organisationer som hanterar personuppgifter, regeringar, försvarsindustrin, organisationer med mycket immateriella rättigheter Ej statsanknutna aktörer Terrorister Organisationer som hanterar personuppgifter, myndigheter, kritisk infrastruktur Enstaka personer som är emot etablissemanget Hacktivister, tillfället gör tjuven sida 2

3 TRADITIONELLA SIEM-SYSTEM ÄR EN BRA BÖRJAN RSA har länge levererat branschledande SIEM-lösningar och anser att traditionella SIEM-system är värdefulla när det gäller att tillhandahålla: Rapporter om enhetsaktivitet som ger viktiga uppgifter om vem, vad, var och när vid kritiska händelser Grundläggande varningar om kända sekvenser med hjälp av korrelationsregler, som kan uppmärksamma de mest flagranta eller misstänkta aktiviteterna i datasystemet Bevis på compliance för interna och externa revisorer genom regelbundna rapporter som skapas på automatisk väg istället för att genereras manuellt vid varje granskning eller utvärdering Central inblick i olika aktivitetskällor som samlas in så att de säkerhetsansvariga kan fatta snabbare beslut baserat på information som inhämtats från flera olika källor Säkerhetsteamen behöver snabbt kunna avgöra hur ett angrepp har skett för att minska inkräktarnas tidsfönster, det vill säga den tid som förflyter mellan intrånget i företagsnätverket och den tidpunkt då det upptäcks, så att de kan vidta åtgärder för att förhindra liknande angrepp i framtiden. Dagens situation innebär dock att man måste ta hänsyn till nya krav. Det är inte bara enstaka hackare och amatörer som nu ligger bakom säkerhetshoten utan även sofistikerade kriminella nätverk och till och med regeringar i andra länder. Inkräktarna utnyttjar mycket avancerad teknik som till exempel hjälper dem att röja undan sina spår i loggfiler och minimera antalet granskningsbara aktiviteter. I detta avseende har traditionella SIEMsystem visats vara otillräckliga. Företagen måste nu anamma mer avancerade metoder för att motarbeta dessa säkerhetshot. FÖRETAGEN BEHÖVER MER EFFEKTIVA SÄKERHETSHANTERINGSLÖSNINGAR I och med dagens avancerade hotbilder behöver säkerhetsteamen snabbt kunna avgöra hur ett angrepp har skett för att minska inkräktarnas tidsfönster, det vill säga den tid som förflyter mellan intrånget i företagsnätverket och den tidpunkt då det upptäcks, så att de kan vidta åtgärder för att förhindra liknande angrepp i framtiden. RSA anser att företag behöver en plattform med större verkningsgrad som kan motverka fler säkerhetsproblem, eftersom: Avancerade angrepp kräver att man har överblick över företagets totala nätverkstrafik och loggar med händelsedata: enbart nätverkstrafikdata eller loggar med händelsedata innehåller inte tillräckligt med information för identifiering och utredning av den nya typen av angrepp Säkerheten är nu ett Big Data-problem för säkerhetsanalytiker: Säkerhetsanalytikerna behöver nu gräva bland mycket större, mer dynamiska och olikartade datamängder för att identifiera avancerade angrepp, vilket kräver en samkörning av intern och extern information Kompromisser är oundvikliga: Det är inte realistiskt att ha som mål att kunna stoppa exakt alla angrepp vid tröskeln, men det är bra att kunna reagera snabbt för att minimera skador och på så sätt se till att verksamheten påverkas på minsta möjliga sätt RSA Security Management and Compliance sida 3

4 Personer med stor erfarenhet inom it-säkerhet vänder sig nu till RSA för hjälp i detta syfte: Samla in allt som händer i min infrastruktur. Tidigare säkerhetsåtgärder har varit beroende av information om kända hot för att avgöra vilka data som ska inhämtas från aktiviteter i systemmiljön. Men när de tekniskt avancerade angreppen blir allt mer föränderliga är det svårare att kunna förutse hur hoten ser ut i förväg, och när ett angrepp väl dyker upp är det stor risk att säkerhetsteamen inte har all information som behövs för att kunna vidta rätt åtgärder. Detta betyder att med dagens hotbilder behöver de kunna registrera exakt alla aktiviteter som pågår. Hjälp mig identifiera de främsta måltavlorna och hoten. I en stor och komplex it-infrastruktur är det svårt att hålla reda på vad alla system gör och på vilka sätt de kan angripas. Säkerhetsteamen behöver ett verktyg som hjälper dem att identifiera den information, de verksamhetsprocesser och de stödresurser som är mest kritiska för företaget, så att de kan bedöma vilken hotbild som finns mot företaget. Jag vill kunna utreda och prioritera incidenter. I en stor och komplex it-infrastruktur finns det även ofta så många saker att ta itu med att säkerhetsteamen behöver mer vägledning för att identifiera vad som är mest akut och vad som kan orsaka störst påverkan på verksamheten. De behöver därför tillgång till mer information om incidenternas verksamhetskontext och hur kritiska de påverkade systemen och processerna är. Jag vill kunna åtgärda incidenterna. Att åtgärda incidenter kan vara en invecklad process från utvärdering av skador till kommunikation, botemedel och rensning som kräver samordning av resurser från flera olika ansvarsområden, inom både it-säkerhet och andra delar av företaget. Säkerhetsteamen behöver kunna sätta igång och samordna alla aktiviteter så att verksamheten påverkas så lite som möjligt. FULLSTÄNDIG ÖVERBLICK ÖVER NÄTVERKET ÄR ETT KRAV Det kan vara mycket svårt att upptäcka de mest avancerade angreppen. Ofta finns deras mest tydliga spår i nätverket, från det att de tar sig in i it-miljön, sprider ut sig i systemet och filtrerar ut data till en bestämd destination. Av denna anledning behövs en fullständig övervakning av nätverkspaket för att: Identifiera skadlig kod som kommer in i miljön och prioritera åtgärder angående detta. Moderna varianter av skadlig kod är mycket lika helt vanliga filer som passerar genom nätverket, men med fullständig övervakning av nätverkspaket kan företag isolera och återskapa körbara filer samt automatiskt utföra en stor del av den analys som behövs för att identifiera tecken på skadliga syften. Detta hjälper de som analyserar den skadliga koden att avgöra vilka problem som ska åtgärdas först. Spåra inkräktarnas aktiviteter i systemet när de väl har tagit sig in. När en inkräktare har fått in en fot i företagets nätverk rör de sig ofta från klient till klient och samlar in den information som behövs för att utföra nästa steg i angreppet. Eftersom klienterna sällan övervakas centralt behövs en fullständig övervakning av nätverkstrafiken för att få överblick över sådana typer av perifera aktiviteter inom företagssystemet. Bevisa exakt vad som hände och vilken information som stals. Många avancerade hot upptäcks inte förrän angreppet pågår, eller till och med efter att det har slutförts. I detta skede behöver säkerhetsteamen kunna bedöma skadorna genom att återskapa angreppet och se vilken information, om någon, som har läckt ut från företaget och om den var krypterad eller inte. RSA:S METOD ERBJUDER EN KOMPLETT SÄKERHETSLÖSNING SOM TÄCKER IN HELA SYSTEMET RSA:s säkerhetslösning baseras på fyra huvuddelar (se figur) En Big Data-metod för säkerhetshantering. Med RSA:s distribuerade systemarkitektur kan kunderna inhämta och analysera säkerhetsdata med större volym och hastighet än någonsin tidigare. sida 4

5 Ett samlat system för säkerhetsanalyser. RSA tillhandahåller en gemensam uppsättning verktyg för analys av säkerhetsdata med stöd för de vanligaste aktiviteterna som varningar och rapporter samt analyser av skadlig kod. Ett regelskikt som sammanlänkar säkerhetsanalyserna med verksamheten. RSA:s unika produktportfölj hjälper kunderna att effektivisera informationsinhämtandet från företagen angående affärskritiska processer och system samt de företagskrav som finns när det gäller skydd av dem. Information om hotbilder som förser kunderna med de allra senaste uppgifterna. RSA förser sina produkter med aktuell och användbar information om hotbilder så att företagen kan tillämpa informationen specifikt i sina egna systemmiljöer. Analyser och rapporter RSA Security Analytics Datainhämtning Insamling av nätverkspaket Arkivering Korttidsarkivering av loggar och paketdata Utredningar Säkerhetsrapporter och varningar Analyser av skadlig kod Inhämtning av loggdata Långtidsarkivering av loggar Compliancerapporter och brottsundersökande analyser Information om hotbilder RSA:s metod förser kunderna med: Omfattande överblick. RSA:s produktportfölj ger en oöverträffad överblick över allt som händer i infrastrukturen. Infrastruktur med stöd för informationsinhämtning utan begränsningar: Möjlighet att samla in många olika typer av säkerhetsinformation, i stor skala och från många olika källor En samlad överblick över nätverkstrafiken och loggdata: Information om avancerade hot och användaraktivitet kan granskas på en och samma plats med hjälp av data som inhämtats direkt från nätverket eller andra viktiga system Smidiga analyser. RSA tillhandahåller verktyg som förser utredarna med detaljerad information på enklast möjliga sätt. Plattform för snabba utredningar: intuitiva verktyg för utredningar som presenteras för snabb analys, med detaljerade indelningar och infogad verksamhetskontext för att underlätta beslutsprocessen Återuppspelning av sessioner och signaturfria analyser: verktyg som används för att inrikta sig på de mest misstänkta användarna och klienterna som är anslutna till infrastrukturen och tecken på skadlig aktivitet. Även möjlighet att återskapa och spela upp exakt vad som hände Information som leder till åtgärder. Information från RSA om hotbilder hjälper säkerhetsanalytikerna att få ut så mycket som möjligt av RSA-produkterna genom att dessa omfattar informationsflöden angående aktuella hot. Information om aktuella hot samkörs med inhämtade data: unik information från en grupp säkerhetsexperter är integrerad i våra verktyg och tillämpas genom regler, rapporter och övervakningslistor för att få insikt i eventuella angrepp med hjälp av de data som har inhämtats från företaget sida 5

6 Prioriterade åtgärder baseras på verksamhetskontext: användning av information från företaget som visar sambandet mellan de inblandade systemen och de verksamhetsfunktioner som systemen upprätthåller Optimerad processhantering. RSA:s produkter hjälper säkerhetsteamen att strömlinjeforma de många olika aktiviteterna som rör beredskap och åtgärder. Teknik och tjänster för total säkerhet och compliance: ett arbetsflödessystem för definition och aktivering av åtgärdsprocesser, plus verktyg för att spåra aktuella öppna ärenden, tendenser och viktiga lärdomar. Vi erbjuder även branschledande tjänster som hjälper er att förbereda, upptäcka och åtgärda incidenter Integrerat i ett system för säkerhet och compliance: Integration med RSA:s produktportfölj och verktyg från tredje part för informationsutbyte med det stora antalet verktyg som behövs för identifiering och hantering av incidenter och compliance i realtid. VARFÖR BÖR RSA TA HAND OM SÄKERHETSHANTERINGEN? RSA har en unik möjlighet att hjälpa kunderna att nå sina mål på följande sätt: OM RSA EMC:s säkerhetsavdelning RSA är den ledande leverantören av lösningar inom säkerhets-, risk- och efterlevnadshantering för växande företag. RSA hjälper världsledande företag att nå framgång genom att lösa deras mest komplexa och känsligaste säkerhetsutmaningar. Utmaningarna omfattar bland annat hantering av företagsrisker, skydd av mobila plattformar, skydd av virtuella miljöer och molntjänster samt efterlevnad av gällande regelverk. RSA tillhandahåller överblick och tillförlitlighet för miljontals användare och deras transaktioner samt de data som transaktionerna genererar, genom en kombination av verksamhetskritiska kontroller av och för identiteter, kryptering och nyckelhantering, SIEM-system, skydd mot dataförlust och bedrägerier, kontinuerlig nätverksövervakning samt branschledande egrc-funktioner och konsulttjänster. Mer information finns på och RSA erbjuder en unik produktportfölj som riktar sig mot de viktigaste problemen vid tekniskt avancerade angrepp Nätverksövervakning med RSA NetWitness utgör den enda plattformen som ger total överblick över fullständiga nätverkssessioner och loggdata från hela företaget Med övervakningsprogrammet RSA NetWitness har RSA den enda enhetliga plattformen för utredningar i realtid som omfattar automatiska analyser av avancerade angrepp och hittills okänd skadlig kod RSA har en välbeprövad och skalbar plattform som ger en komplett bild av situationen på hela företaget används just nu av sju företag på Fortune 10-listan och hos 70 procent av de federala myndigheterna i USA RSA integrerar unik åtgärdsfrämjande information om hotbilder i produkterna RSA är en ledande leverantör av hotinformation från övervakning av hackeraktiviteter som pågår i dolda nätverk Hotundersökningsteamet för RSA NetWitness Live spårar över fem miljoner IP-adresser och domäner samt hundratals unika källor till skadlig kod RSA uppdaterar och distribuerar innehållet i sitt hotinformationsarkiv dynamiskt varje timme via RSA NetWitness Live RSA riktar in sig på aktörerna, processerna och de tekniska utmaningarna inom säkerhet och compliance RSA är en ledande leverantör av tjänster som hjälper till med incidentberedskap samt åtgärder och sanering RSA erbjuder den enda lösningen som har stöd för både it-säkerhetsaspekter och affärsaspekter genom integrering med plattformen RSA Archer egrc RSA erbjuder en enhetlig plattform som ger stöd för hantering av compliance, säkerhetshot, incidenter och verksamhetskontinuitet EMC 2, EMC, EMC-logotypen, RSA, NetWitness och RSA-logotypen är registrerade varumärken eller varumärken som tillhör EMC Corporation i USA och andra länder. Alla andra produkter eller tjänster som nämns är varumärken som tillhör respektive företag. Copyright 2012 EMC Corporation. Med ensamrätt. Publicerat i USA. h9093 impsa sb 0412