Gestión de la Información de Seguridad, factor crítico en ... · Proliferación de tecnologías...
Transcript of Gestión de la Información de Seguridad, factor crítico en ... · Proliferación de tecnologías...
Gestión de la Información de Seguridad, factor crítico en la Empresa
Foro de Auditoría y Seguridad, FAST 2006
Xavier GarciaResponsable de Preventa, Área de Seguridad
2
GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS
A G E N D A¿Qué es la Gestión de la Información de Seguridad?
La Visión Global de SymantecSoluciones Tecnológicas: SSIM y MSS¿Por qué Symantec?
1
2
3
4
3
GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS
Gestión de la Información de SeguridadLa Problemática
Complejidad Amenazas más rápidas y complejas - Slammerinfectó 90% de los servidores desprotegidos en 10 minutosDisminución de la ventana “vulnerabilidad –exploit” – 6.4 días*Ataques por día para organizaciones – 13.6**Proliferación de tecnologías
Cumplimiento de NormativasFalta de reporting y controles TICoste cumplimiento - $3M por $1B en ventas***
CostePérdidas totales anuales debido a a ataques -$141,496,560 – 2004**
Source: *Symantec Security Threat Report ; *CSI/FBI Computer Crime and Security Survey June 2004: ***A.R. C. Morgan Research, Feb 2005)
4
GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS
Estudio de un Cliente Symantec
Multinacional – oficinas regionales; gestión independiente de la seguridadObligada por cumplimiento SOXEntorno Multifabricante - Symantec,CheckPoint, Cisco, ISS, Enterasys, JuniperVolumen de información de seguridad
Firewalls: 23.4 GB/day > 164 GB/weekIDS: 36K alerts/day > 252Kalerts/week
VA: 3 new vulnerabilities/dayAlerta temprana: 4 alerts/day
Un mes típicoIdentificación de ataques
• 9,481,688 log/alerts by firewall and IDS
• 620 security events• 2 incidents requiring immediate
attention
*Financial services sector
5
GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS
Problemática de la Gestión de Información de Seguridad (SIM)
6
GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS
Gestión de Incidentes
7
GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS
La Gestión de la Información de Seguridad,factor crítico en la Empresa
Gestión de la Información de Seguridad, factor crítico en la Empresa
La Visión Global de Symantec
9
GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS
Es necesaria una aproximación de Consultoría
Gestión de Incidentes:Es necesario un proceso de gestión de incidentesReducir el tiempo de detección de un incidente y reaccionarMejor para la integración de SOC’s
A nivel de Negocio:Es necesario un análisis del impacto del negocio en los activos internosEstablecer reportes a nivel ejecutivo
Tecnología SIM:Se necesitan procesos organizacionales bien definidos para maximizar el ROIEs necesaria una planificación cuidadosa para:• Dimansionamiento• Retención de Datos• Dashboard• Modelo de clasificación de activos• Reglas de Correlación
10
GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS
Metodología de la Gestión de la Información Fase 1: Requerimientos y análisis del modelo organizacional
1.1: Assess requirements, security operations and incident management model1.2: Select and analysis event source e data management1.3: Evaluate Security Operation Centre integration or development1.4: Define list of components and materials
Fase 2: Diseño y modelo de Despliegue2.1: Capacity planning by event rate, data retention, network utilization2.2: Establish business impact analysis (BIA) and asset classification model2.3: Define or review existent Incident Management Model 2.4 Establish Key Security Indicator and monitoring model2.5: Detailed project design, plan and deployment scenarios
Fase 3: Implantación de la solución tecnológica3.1: Install and configure core platform components3.2: Install and configure event collector3.3: Classify critical business asset3.4: Configure dashboard, KSI, user access, threat view, reports, alarms, etc.
Fase 4: Seguimiento y afinado del modelo4.1: Refine correlation rules, alarms, reports, dashboard and users management4.2: Knwoledge transfer4.3: Integration with help desk systems4.4: Integration with Symantec ESM policy compliance system4.5: Analyze incident and event data and improvement the platform4.6: Improvement incident response model
SIM requirements and organizational model
analysis
In depth Design & Deployment model
SIM implementation
Tuning, optional components and
follow-up
1
2
3
4
Gestión de la Información de Seguridad, factor crítico en la Empresa
Tecnologías de Symantec: SSIM
Global Security IntelligenceLatest vulnerabilities and safeguardGlobal malicious attack signaturesMalicious IPs and URLsCorrelation rules
Inputs
Desktop, Gateway and Server SecurityAntivirus, spyware, adwareMail and groupware securityAntispam and content filteringServer, HOST IDS, FW
Perimeter and Network SecurityFirewall/VPNRouters and switchesNetwork IDS/IPS
Security Information Manager 9550Correlation Appliance Distributed Security
Information Manager 9500Collection Appliance
SecurityInformation
Manager
Collect, Filter, Aggregate, Correlate
Store, Query, Audit, Report
Information Security
SIM 4.0 WWSMC Demo Board 10Symantec Confidential
IT Operations
WorkflowRemediateTicketsTasks
Analyze, Prioritize, Respond
Policy + Threat + Intelligence + Asset
Compliance and Vulnerability Management
Host and network complianceHost and network vulnerabilityAsset discovery/management
13
GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS
Protección y Respuesta proactivas
Sólo Symantec puede integrar información de Inteligencia de Seguridad con correlación dinámica con el fin de proteger y responder ante amenazas
Única solución capaz de integrar información de Inteligencia DeepSighten la toma de decisiones
Automáticamente correla eventos de seguridad internos con información mundial de actividad maliciosaActualización continua de información proveniente de DeepSight y Symantec Security Response La información de alerta temprana permite llevar avance sobre las amenazas que se propagan rápidamente
14
GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS
Soporte MultifabricantePerimeter & Network Supported Products
CheckPoint FW-1Cisco PIXCisco IDS ISS RealSecure SiteProtectorEnterasys Network DragonSNORT log sensorJuniper Netscreen
Operating System & Database Supported Products
Microsoft SQL Server for Symantec Antivirus solutionsMicrosoft Windows Event Log
Symantec Supported Security Solutions
SAV Corp 10.0SNS 7100 SeriesSGS 5600 Series
3rd-party NVA Supported Products
NessusTenable Vulnerability Assessment
Helpdesk RelaysPeregrine ServiceCenter helpdesk relay
Symantec Collector StudioAvailable through the Symantec Technology Partner Alliance Program
Gestión de la Información de Seguridad, factor crítico en la Empresa
Tecnologías de Symantec: MSS
16
GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS
Solución global de SymantecSOC (Security Operations Center)
Red global de 6 SOCMás de 600 clientes de 40 países distintosMás de 3000 dispositivos de seguridad monitorizadosRecogida de eventos de seguridad de 22.000 dispositivos, entre dispositivos monitorizados y sondas de DeepSight480 millones de líneas de log analizadas cada día47 TeraBytes de datos de log online
17
GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS
SLAs y KPIs
Garantía de Disponibilidad del SOC: 99.9%Notificación de Eventos de Emergencia: antes de 10 minutos desde la determinación de la violación o intento de violaciónInforme Mensual: envío dentro de los 5 primeros díaslaborables del mesRegistro de auditoría:
Todos los parámetros que regulan estos SLAs son reportados puntualmente en el Informe Mensual, con una indicación clara del cumplimiento de cada SLA.
18
GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS
Soporte MultifabricanteFirewalls:
Check PointCiscoJuniper/NetScreenSymantec
Integrated Security Appliances:ISSJuniper/NetScreenSymantec
Host-Based IDS/IPS:CiscoISSSymantec
Network-Based IDS/IPS:CiscoEnterasysMcAfeeISSJuniper/NetscreenSnortSymantecTippingPoint
Router Firewalls:Cisco IOS
19
GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS
Retorno en Inversión de Seguridad
87% de los clientes MSS por más de seis meses evitaron al menos un ataquesevero
Percent of Com panies Detecting Severe Events by Client Tenure
0
1020
30
40
5060
70
8090
100
1-3 4-6 7- 9 10-12 13-15 16-18 19+
C l i e n t Te n u r e ( Mo n t h s )
20
GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS
Gestión Proactiva de la Información de Seguridad
Baseline RiskExposure
Correlate, Analyze & Prioritize
Maintain &Monitor
Protect &Remediate
Global Security Intelligence
Gestión de la Información de Seguridad, factor crítico en la Empresa
¿Por qué Symantec?
22
GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS
Sistema Global para la Detección de Amenazas
Symantec SOCs + Symantec
Support+ Symantec Monitored Countries + Symantec Security
Response Labs25,000 Registered Sensors
in 180 Countries+
Redwood City, CA
Santa Monica, CA
Calgary, Canada
Springfield, OR Waltham, MA
Dublin, Ireland
Alexandria, VA
London, England
Berlin, GermanyTokyo, Japan
Sydney, Australia
Over 4,300 Managed Security Devices + 120 Million Symantec Systems Worldwide
23
GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS
Mercado de la Gestión de la Información de Seguridad
24
GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS
Conclusiones
La Gestión de la Información de Seguridad es un problema
Symantec es la soluciónMetodologíaTecnología líder
Symantec, líder mundial en Seguridad
Líder en Servicios de Alerta TempranaLíder en soluciones de Gestión de la Información de Seguridad