SÄKERHETSHANTERING OCH BIG DATA I KLARTEXT En överblick över Big Data och Security Analytics HUVUDPUNKTER Den här artikeln belyser: Hur säkerhetshanteringen blir allt mer komplex med ökade hotbilder mot it-miljöer och högre krav på compliance Hur man kan få ut mer information från redan inhämtade data genom att avlägsna höet från höstacken istället för att leta efter nålen Den kombination av infrastruktur, analysverktyg och information om hotbilder som behövs för att generera värde med Big Data Det är både spännande och en smula nedslående att jobba med it-säkerhet i dessa tider. Det finns ett ständigt flöde av nya säkerhetshot och de blir allt mer aggressiva. Myndigheter och branschorgan lägger fram fler riktlinjer kring compliance. Detta i kombination med att it-miljöernas komplexitet ökar exponentiellt gör att säkerhetshanteringen står inför ännu större utmaningar. Vidare innebär ny Big Data - teknik att avancerade analysmetoder som prediktiva analyser och avancerad statistik nu ligger inom närmare räckhåll för alla som arbetar med it-säkerhet. Som dagens säkerhetssystem ser ut har de flesta företag ganska lång väg kvar när det gäller att utnyttja denna avancerade teknik inom säkerhetshantering. De säkerhetsansvariga behöver kunna få ut mer av den information som redan har inhämtats och analyserats. De behöver också få en bättre förståelse för aktuella frågor och de utmaningar som branschen står inför när det gäller datamängder. Om företag från början har en grundläggande kapacitet för datahantering och analysfunktioner kan de sedan effektivt bygga upp och anpassa säkerhetsarbetet allt eftersom företaget utvecklas så att de sedan är redo för Big Data-utmaningar. DAGENS SÄKERHETSLANDSKAP HAR INTE PLATS FÖR SLUMPMÄSSIGT UTFORMADE SÄKERHETSRUTINER När det handlar om Big Data är volymerna så stora och informationstyperna om itsystemet och företaget så många att det inte går att bearbeta datamängderna på olika sätt från fall till fall. Dessutom har det blivit allt svårare att extrahera meningsfull information ur de data som inhämtas. Trots betydande investeringar i informationssäkerhet tycks de som ligger bakom attackerna ha övertaget. Enligt en rapport från Verizon om utredning av dataintrång från 2012 (Data Breach Investigations report) ledde 91 procent av dataintrången till åverkan på information inom bara några dagar eller ännu snabbare, och 79 procent av dataintrången upptäcktes inte förrän efter flera veckor eller ännu längre. Det finns ett antal faktorer som kan förklara detta: De som utför attackerna blir allt mer organiserade och bättre finansierade. Men medan attackerna har blivit dynamiska är dataskydden fortfarande statiska. Dagens attacker är utformade för att utnyttja svagheterna i våra användarcentrerade och mångfaldigt sammanlänkade infrastrukturer. IT-aktiverade företag blir allt mer komplexa. Företagen efterfrågar nu mycket mer öppna och anpassningsbara system, vilket skapar fantastiska nya möjligheter för samarbete, kommunikation och nytänkande. Detta ger även upphov till nya former av sårbarhet som cyberkriminella, hacktivistgrupper och regeringar har lärt sig utnyttja. Efterlevnadskontrollerna är nu ännu mer omfattande. Myndigheter och lagstiftare lägger fram allt fler riktlinjer. Företag, i synnerhet de som har flera olika typer av verksamheter eller bedriver verksamhet i flera länder, får allt svårare att hålla koll på befintliga kontrollrutiner, nya kontroller som behöver införas och huruvida dessa hanteras på ett korrekt sätt.
Den sammanlagda effekten av dessa faktorer är att säkerhetshanteringen blir mycket mer komplex med många fler förhållanden med ömsesidigt beroende och ett allt större ansvar. När fler affärsprocesser digitaliseras står säkerhetsteamen inför både möjligheter och utmaningar när det gäller inhämtning och hantering av större datamängder. Allt fler investeringar görs i verktyg för logghantering, sårbarhetsanalyser, identitetshantering och konfigurationsprocesser. Men dataintrång och andra överträdelser fortsätter att inträffa och genererar fler störningar och högre kostnader än någonsin tidigare. TRE GRUNDLÄGGANDE KONCEPT FÖR BIG DATA INOM SÄKERHETSHANTERING En äkta Big Data -strategi för säkerhetshantering måste omfatta tre aspekter infrastruktur, analysverktyg och information för att kunna motverka aktuella problem på rätt sätt. Figur 1. Big Datas grundpelare inom säkerhetshantering För att få ut värde ur inhämtade data, skapa effektiva hothanteringsaktiviteter och använda compliance för att driva fram beslut måste säkerhetsteamen arbeta enligt en Big Data -styrd metod. Detta innebär följande: En anpassningsbar infrastruktur som kan utökas horisontellt och bemöta föränderliga it-miljöer och nya säkerhetshot. Säkerhetshanteringen måste ha stöd för nya affärsinitiativ som påverkar it-systemet från nya program till nya leveransmodeller som mobilfunktioner, virtualisering, molnteknik och outsourcing. Säkerhetssystemet infrastruktur måste kunna inhämta och hantera säkerhetsinformation på ett sätt som omfattar hela företaget, i den storlek som dagens storföretag kräver både fysiskt och kostnadsmässigt. Detta innebär att man utökar systemet horisontellt snarare än vertikalt, eftersom det är praktiskt taget omöjligt att centralisera så stora datamängder. Infrastrukturen måste även enkelt kunna utökas så att den kan anpassas till nya miljöer och utvecklas snabbt så att analyserna kan identifiera nya säkerhetshot.
Analys- och visualiseringsverktyg som innehåller specialfunktioner för säkerhetsanalys. Säkerhetsteamen behöver särskilda analysverktyg som stöd I arbetet. En del analytiker behöver verktyg som underlättar grundläggande händelseidentifiering med viss beskrivande information. It-chefer behöver eventuellt bara visualiseringsmöjligheter på hög nivå och statistik för de viktigaste mättalen. Virusanalytiker behöver tillgång till återskapade misstänkta filer och verktyg som används för automatiserad testning av filerna. Nätverksanalytiker behöver tillgång till en fullständig rekonstruktion av alla loggar och all nätverksinformation som finns för en viss session för att kunna se exakt vad som hände. Information om hotbilder används för att tillämpa metoder för dataanalys på den information som inhämtas. Företagen behöver en bild av aktuella externa hot för att kunna sätta dessa i relation till den information som inhämtats internt. Denna jämförelse är viktig så att säkerhetsanalytikerna får en tydlig insikt i aktuella hot och vet vad de ska hålla utkik efter. Big Data kan inte likställas med massvis med data. Det krävs betydligt smartare analyser för att upptäcka säkerhetshot i förtid när man har en infrastruktur som inhämtar och bearbetar data i stor skala. BIG DATA GER EFFEKTIV OCH FRUKTBAR SÄKERHET En framgångsrik säkerhetshantering med Big Data kräver ett system som på snabbast möjliga och mest effektiva sätt kan extrahera och presentera de viktigaste informationsbitarna som ska analyseras. Figur 2. Krav på ett Big Data-system inom säkerhetshantering Säkerhetsföretagen måste idag anamma en Big Data -metod som omfattar följande: skapa sig en förståelse av motståndarna, avgöra vilka data som behövs för att stödja beslut samt bygga och driftsätta en modell som underlättar dessa aktiviteter. När Big Data nämns i denna kontext syftar det på att bygga en grund för användbara analyser istället för att kasta sig hejdlöst in i ett avancerat datavetenskapsprojekt. För att ett Big Data -system ska vara värdefullt för säkerhetsföretag behöver det: Eliminera omständliga manuella uppgifter som ingår i rutinmässiga skyddseller utvärderingsaktiviteter. Systemet måste minska antalet manuella repetitiva uppgifter som ingår i utredningen av ett ärende till exempel att växla mellan konsoler och genomföra samma sökning i fem olika verktyg. Även om sådana uppgifter inte kan elimineras helt över en natt bör systemet hela tiden leda till ett minskat antal steg per incident.
Använda verksamhetskontexten för att visa säkerhetsanalytikerna vilka områden som påverkas mest. Säkerhetsteamen måste kunna kartlägga systemen de övervakar och sköter om, hela vägen ut till de kritiska tillämpningar och affärsprocesser som systemen används för. De måste ha förståelse för beroendeförhållanden mellan systemen och tredje parter, till exempel tjänsteleverantörer, och ha en bild av itmiljöns aktuella tillstånd ur ett sårbarhetsperspektiv samt ur ett complianceperspektiv. Endast presentera den mest relevanta informationen för säkerhetsanalytikerna. De som arbetar med it-säkerhet brukar prata om att minska antalet falsklarm. I verkligheten är situationerna oftast mer nyanserade och det handlar inte om falska hot jämfört med riktiga hot. Istället är det systemens uppgift att eliminera brus och ge säkerhetsanalytikerna en fingervisning så att de kan rikta in sig på de saker som får störst effekt. Systemet behöver även tillhandahålla stödjande data på ett sätt som understryker vad som sannolikt är de största problemen och varför. Förstärka de mänskliga resurserna. Systemet kan underlätta för säkerhetsanalytikerna så att dessa kan ägna sin tid åt att analysera de allra viktigaste sakerna. Detta omfattar bland annat inbyggd teknik för att identifiera vilka problem som har högst prioritet, samt en informationstjänst angående aktuella hotbilder som använder den inbyggda tekniken för att identifiera inkräktarnas senaste verktyg, tekniker och metoder. Se bortom horisonten. Att försvara sig mot nutidens säkerhetshot är en kamp mot klockan. Systemet måste tillhandahålla tidiga varningar och så småningom en prediktiv modell som bygger på att extern information om hot kopplas samman med kunskap om det interna läget, så att säkerhetsteamet kan övergå från passiva till aktiva försvarsåtgärder och förebyggande aktiviteter. SÄKERHETSANALYSER: EN METOD I FLERA STEG INOM BIG DATA Avancerad teknik som prediktiva analyser och statistisk interferens kommer troligtvis att vara viktiga metoder i framtiden, men det är viktigt att säkerhetsteamen tar ett steg i taget och börjar med att fokusera på det grundläggande. Börja med att driftsätta en säker infrastruktur som kan växa i takt med företaget. Detta omfattar en arkitektur som inte bara inhämtar detaljerad information om loggar, nätverkssessioner, sårbarhetspunkter, konfigurationer och identiteter, men som även samlar in mänsklig kunskap om vad systemen gör och hur de fungerar. Även om man börjar i liten skala måste systemet vara baserat på en robust och distribuerad systemarkitektur så att det är skalbart när kraven förändras. Systemet måste ha stöd för logiska förtroendedomäner, bland annat rättsförvaltningsområden, samt data för affärsenheter eller olika projekt. Systemet måste kunna manipulera och sammanställa dessa data snabt och enkelt (t.ex. visa alla loggar, nätverkssessioner och genomsökningsresultat från en viss IP-adress och dess kommunikation med ett produktionssystem). Utnyttja grundläggande analysverktyg för att automatisera repetitiva mänskliga interaktioner. Ett mål på lite kortare sikt är ofta att skapa en modell som korrelerar information visuellt för att minska antalet steg som en människa behöver för att samla all information i en enda vy (t.ex. visa alla loggar och nätverkssessioner som involverar system som används för att bearbeta kreditkortstransaktioner, och som är sårbara för en attack mot andra delar av verksamheten).
Skapa visualiseringar och generera utdata som stödjer de viktigaste säkerhetsfunktionerna. En del säkerhetsanalytiker behöver bara se de mest misstänkta händelserna och lite beskrivande stöduppgifter. Virusanalytiker behöver en lista i prioritetsordning över misstänkta filer och orsaker till varför dessa filer är suspekta. Nätverksanalytiker behöver detaljerade resultat från komplexa söksträngar. Andra behöver gå igenom regelbundna compliancerapporter eller allmänna rapporter som används för att identifiera tendenser eller förbättringsområden i systemet. Systemet måste även vara öppet så att ett annat system kan komma åt data och använda dem för att vidta åtgärder mot en inkräktare, t.ex. sätta dem i karantän eller förstärka övervakningen av deras aktiviteter. Figur 3. Steg för att implementera Big Data inom säkerhetshantering Lägg till fler metoder för smarta analyser. Först i denna fas kan mer komplexa analyser tillämpas för att stödja dessa roller. Analyserna kan omfatta en kombination av olika analysmetoder, t.ex. definierade regler som identifierar misstänkt dåligt/godkänt beteende. Analyserna kan även inbegripa mer avancerade beteendeprofiler och baslinjemetoder som utnyttjar mer avancerad statistik, t.ex. bayesisk inferens eller prediktiv modellering. Dessa analysmetoder kan användas tillsammans för att skapa en influensmodell en modell som kombinerar olika indikatorer för att poängsätta problem som systemet har upptäckt så att analytikern lättare kan hitta de områden som behöver tillsyn omgående. Förbättra modellen kontinuerligt. När systemet väl har driftsatts behöver det finjusteras kontinuerligt för att kunna hantera de ständigt föränderliga hotbilderna och förändringar inom företaget. Systemet måste kunna justera regler och anpassa modeller för att eliminera brus, utnyttja ytterligare intern och extern information samt använda självlärande funktioner för att förbättra systemets totala lyckandefrekvens. Systemet behöver utvecklas och utökas för att hantera förändringar i it-miljön allt eftersom nya tjänster och program läggs till, vilket skapar en ständigt pågående utvecklings- och förbättringsprocess. Hela tiden måste systemet utnyttja extern information som indata i modellen. Det innebär att systemet måste ha en automatiserad metod för att inhämta externa flöden från hotinformationstjänster, strukturerad information som bland annat blacklists, regler eller söksträngar, ostrukturerad information som bland annat pastebin-meddelanden, Twitter-flöden eller IRC-chattar samt information från internmeddelandeprogram eller anteckningar från interna telefonsamtal eller möten. Systemet måste även underlätta samarbeten kring delad kunskap. Systemet bör dela med sig av sökresultat eller ostrukturerad information, antingen publikt eller på kontrollerad väg till betrodda intressegrupper, eller endast när det finns information som måste spridas.
GRUNDLÄGGANDE INFRASTRUKTUR BEREDER VÄGEN FÖR MER SOFISTIKERAD TEKNIK Säkerhetsteamen kan öka chanserna för ett framgångsrikt säkerhetssystem avsevärt om de implementerar Big Data i säkerhetsarbetet genom att först skapa en skalbar systemarkitektur och sedan driftsätta verktyg som eliminerar uppgifter som inte ger något mervärde. Detta ger snabba vinster, en solid plattform och frigör resurser bland personalen som kan koncentrera sig på driftsättning och hantering av mer komplexa analysverktyg. Om detta görs på rätt sätt uppnås följande fördelar: Säkerhetsanalytikernas effektivitet ökar. Antalet problem per dag som analytikerna kan hantera ökar från några få till dussintals och ännu fler. Minskar inkräktarnas tidsfönster och därmed risken för hot mot företaget. Analytikerna får lättare att automatiskt hitta de saker som mest sannolikt kan orsaka problem och kan stänga ner dem innan de påverkar verksamheten negativt. Utan en god grund eller tydliga och konkreta mål riskerar Big Data-initiativ att bli ett famlande i mörker som inte ger några av de förväntade vinsterna. SÄKERHETSHANTERING MED RSA: EN STABIL GRUND FÖR INFRASTRUKTUR, ANALYSER OCH INFORMATION RSA:s tjänsteutbud inom säkerhetshantering förser kunder med: Omfattande överblick över infrastrukturen. RSA erbjuder en beprövad infrastruktur som kan inhämta alla typer av säkerhetsinformation, i stor skala och från alla typer av informationskällor. Genom detta kan analytikerna granska information om avancerade hot och användaraktivitet på en och samma plats, med hjälp av data som inhämtats direkt från nätverket eller viktiga system. RSA:s infrastruktur utgör även en enhetlig systemarkitektur för analyser i realtid och nästan realtid samt historiska sökningar. På så sätt får man en omfattande metod för varningar i realtid, utredande analyser, statistik och tendenser samt historisk lagring och arkivering. Anpassningsbara analyser. RSA-plattformen förser analytikerna med verktyg för att göra snabba utredningar bland annat intuitiva verktyg för utredningar som presenteras för snabb analys, med detaljerade indelningar och bifogad verksamhetskontext som underlättar beslutsprocessen. Med RSA:s metod kan man inrikta sig på de mest misstänkta användarna och slutpunkterna som är anslutna till infrastrukturen och tecken på skadlig aktivitet genom signaturlösa analyser. Återuppspelning av fullständiga sessioner ger möjlighet att återskapa och se exakt vad som hände.
Information som leder till handling. Information från RSA om hotbilder hjälper säkerhetsanalytikerna att få ut så mycket som möjligt av RSA-produkterna genom att dessa omfattar informationsflöden angående aktuella säkerhetshot. RSA:s hotundersökningsteam tillhandahåller unik information från en grupp säkerhetsexperter och allt är inbyggt i verktygen via regler, rapporter, parsersystem och övervakningslistor. På så sätt får analytikerna kännedom om hot från data som inhämtats från företaget och kan prioritera handlingsåtgärder med hjälp av information från verksamheten som visar förhållandet mellan de involverade systemen och verksamhetsfunktionerna som systemen upprätthåller. Optimerad incidenthantering. RSA:s produkter hjälper säkerhetsteamen att strömlinjeforma de olikartade aktiviteterna som rör beredskap och åtgärder genom att tillhandahålla ett arbetsflödessystem för definition och aktivering av åtgärdsprocesser. De omfattar dessutom verktyg för att hålla koll på aktuella öppna ärenden, tendenser och viktiga lärdomar. Branschledande tjänster som hjälper er att förbereda, upptäcka och åtgärda incidenter. Plattformen kan integreras med RSA:s produktportfölj och verktyg från tredje part för informationsutbyte med det stora utbudet av verktyg som behövs för identifiering och hantering av incidenter samt compliance. KONTAKTA OSS Om du vill veta mer om hur EMC:s produkter, tjänster och lösningar kan hjälpa dig och ditt företag med utmaningar inom it kontakta en lokal representant eller en auktoriserad återförsäljare, eller besök oss på www.emc.com/rsa. EMC 2, EMC, EMC-logotypen, [lägg till andra tillämpliga produktvarumärken i alfabetisk ordning] är registrerade varumärken eller varumärken som tillhör EMC Corporation i USA och andra länder. VMware [lägg till ytterligare enligt ovan vid behov] är registrerade varumärken eller varumärken som tillhör VMware, Inc., i USA och andra jurisdiktioner. Copyright 2012 EMC Corporation. Med ensamrätt. Publicerat i USA. 0812 Översikt över lösningar HSMCBD0812 EMC anser att informationen i detta dokument är korrekt vid tidpunkten för publicering. Informationen kan komma att ändras utan föregående meddelande.