Xelere - IBM Security QRadar
-
Upload
xelere-seguridad -
Category
Technology
-
view
581 -
download
2
Transcript of Xelere - IBM Security QRadar
Solución IBM QRadar
Agenda
Situación actual
Seguridad Inteligente
Solución QRadar
Evolución de la Solución
Integración y competencia
Situación Actual: Estamos en una era de ataques constantes
Fuente: IBM X-Force® Research 2013 Trend and Risk Report
Sofisticación en Operación
IBM X-Force declaróAño de las brechas de
seguridad
Fugas de informaciónsensible
Incremento del 40%en incidents de información
Ataques múltiples y nuevosmétodos
500,000,000+ incidentestienden a aumentar
2011 2012 2013
SQL injection
Spear phishing
DDoS Third-party software
Physical access
Malware XSS Watering hole
UndisclosedAttack types
Note: Size of circle estimates relative impact of incident in terms of cost to business.
Evolución de ataques Soluciones Complejas Recursos Reducidos
• Gran incremento en la cantidad de ataques.
• Ataques cada vez mássofisticados.
• Considerable aumento de la cantidad de malware.
• Brechas de seguridad diarias.
• Permanentes cambios en la infraestructura tecnológica.
• Múltiples soluciones de diferentes proveedores.
• Soluciones no integradascomplicadas de administrar.
• Herramientas insuficientes
• Nuevos retos para el equipode seguridad.
• Dificultad a la hora de encontrar personal calificado.
• Nuevas demandas de monitoreo y auditorías.
Backdoors
Persistentes
Spear Phishing
Malware Dirigido
Situación actual: Retos del área de Seguridad
Seguridad Inteligente
Seguridad Inteligente: Definición
Seguridad Inteligente
--sustantivo
1. La recolección, normalización y análisis en tiempo real de los datos generados por los usuarios, aplicaciones e infraestructura que impactan en la TI y en la postura de seguridad de una oranización.
2. Un enfoque completo para la defensa de los activos críticos de una organización, propiedad intelectual y datos privados, con capacidad de detección de anomalías, que permite realizar actividades preventivas de gestión de riesgo y vulnerabilidades.
Brindar información accionable y completa para gestionar los riesgos y combatir las amenazas. La detección provee información para la
mitigación y remediación
Seguridad Inteligente: Preguntas clave
Solución QRadar
Solución QRadar: Pilares de la plataforma
Inteligencia integrada que identifica automáticamente las ofensas
Capacidad para realizar análisis forense sobre incidentes
Arquitectura integrada en una única consola web
Generación de ofensas que ayudan a prevenir y remediar incidentes
Fácil de administrar e implementar
Arquitectura escalable y modular
Evolución de la Solución
Evolución basada en las necesidades de los clientes
Liderazgo reconocido
Integración y Competencia
Pieza central de todas las soluciones del portafolio de seguridad
Solución completa que permite reducir costos y aumentar visibilidad
Inteligente, integral y automatizada con capacidades únicas
!Muchas Gracias!
Slides adicionales
Seguridad para ataques dirigidos o avanzados
Arquitectura escalable
“Look and feel” de la herramienta
Identificar amenazas
Potencial Botnet detectadaEso es lo máximo que un SIEM tradicional podría mostrar
Tener visibilidad de capa de Aplicació permite detetar amenzas que otros sistemas no advertirían
IRC en puerto 80IBM Security QRadar QFlowdetecta un canal encubierto
Confirmación de Botnet
Flujo de capa 7 contiene
commandos de control e instrucción
de botnet
Consolidar fuentes de datos
Analizando datos de flujos y
eventos
Solo IBM Security QRadar utiliza
flujos de capa 7
Reducción de datos
1153571 : 1Data Reduction Ratio
Correlación avanzada
Analizando diferentes fuentes
Gran cantidad de fuentes de datos
InteligenciaInformación extremadamente
precisa y accionable+ =
Cumplir con regulaciones
Tráfico sin cifrado
• IBM Security QRadar QFlow detecta un servicio de texto plano corriendo en un servidor PCI
• El Requerimiento 4de PCI dicta: Cifrar la trasmisión de datos de titulares de tarjetas de crédito
en redes públicas o privadas.
Simplificación del cumplimiento
Out-of-the-box support for major compliance and regulatory standards, automated reports, pre-defined correlation rules and dashboards
Cumplimiento PCI en riesgo?
Detección en tiempo real de
violación de la norma
Detectar fraude interno
Potencial robo de
datos
¿Quién? ¿Qué?
¿Dónde?
Detección de amenzas en la era “post-perímetro”User anomaly detection and application level visibility
are critical to identify inside threats
¿Quién?
Usuario interno
¿Qué?
Datos de Oracle
¿Dónde?
Gmail
Mejorar la detección de riesgos
¿Cuáles son los
detalles?
Información detallada
de vulnerabilidades,
ordenadas según el
riesgo.
¿Cómo remedio la
vulnerabilidad?
Información accionable previa a la explotaciónMonitoree la red para detector riesgos asociados a
configuraciones o falta de cumplimiento.Sea capaz de priorizar la mitigación de estos riesgos.
¿Qué activos son afctados?
¿Cómo debo priorizar la mitigación?
Monitorear la configuración de dispositivos de red
Encontrar las Brechas antes que sus adversarios
Visibilidad total y monitoreocontinuo
Encontrar dispositivos con
configuraciones riesgosas
Utilizando el conocimiento del
tráfico de red y vulnerabilidades.
Evaluar rápidamente el tráfico
riesgoso y profundizar
Detectar comportamiento anómalo
“Information security is becoming a big data and analytics problem. ...Some of the most sophisticated attacks can only be found with detailed
activity monitoring to determine meaningful deviations from ‘normal’ behavior.”
Neil MacDonald, Gartner, June 2012
Reportar tráfico de una dirección IP perteneciente a un país que no posee acceso remoto.
Detección de anomalías capaz de identificar discrepancias significativas utilizando reglas o el
umbrales previamente definidos.
Analizar flujos de red
• El tráfico de red no miente. Un atacante puede borrar logs, pero no puede detener eltráfico generado en la red (flujos de datos).
– Inspección de paquetes en capa 7
Ganar visibilidad de tráfico de red para detector comportamientosanómalos que de otra manera pasarían desapercibidos.
Monitorear la actividad de usuarios
Integración con Identity
y Access Management
Conocimiento de los roles
de usuarios y grupos a los
que pertenece
Visibilidad completa en la punta de sus dedos
Usuarios, eventos, flujos, todo disponible para profundizar.
Detectar actividad sospechosa
¿Por qué un usuario con
privilegios se conecta desde un
dispositivo externo?