1. guia de soluções
Splunk para segurança
Apoiando uma abordagem de Big-dada para Inteligência
de Segurança
Os novos desafios da segurança Splunk: inteligência de segurança e dados
O papel da segurança de TI está em expansão, impulsionado grandes
por novos casos de uso de segurança em evolução, com Uma abordagem de segurança que aplica as análises do padrão
implicações de risco para as empresas. Kevin Mandia, da de atividades dos usuários sobre os dados mais sigilosos da
Mandiant, estima que haja “milhares de empresa que possuem empresa, que está em sintonia com os riscos empresariais.
malwares APT (Ameaça Persistente Avançada) ativos". Esses Quanto mais dados operacionais e de segurança forem
malwares são deixados através de ataques direcionados de coletados, melhor será a percepção dos riscos empresariais.
adversários persistentes. A atual abordagem convencional Coletar e correlacionar os dados a partir das mais amplas
fornece as principais razões para a proliferação das ameaças fontes possíveis é o primeiro passo para obter a visibilidade da
à segurança: sua infraestrutura e melhorar a postura de segurança.
• Em muitas empresas, as defesas de perímetro As análises baseadas em comportamento são o próximo
permanecem o foco principal para a equipe de segurança passo em uma abordagem de inteligência de segurança. Em
• Os sistemas baseados em assinaturas e regras usados cooperação com a empresa, identifique seus ativos digitais
pelas equipes de segurança não conseguem acompanhar mais importantes. Eles poderiam ser armazenamentos
a enxurrada de novos ataques de dados de informações de identificação pessoal (PII),
propriedade intelectual, e-mails internos ou outras
• As SIEMs se ajustam principalmente para coletar os informações retidas nos sistemas que sejam de alto valor
dados de sistemas baseados em assinatura ou baseados para os invasores. O último passo é aplicar uma abordagem
em regras "baseada em ator", para entender o modus operandi e
• Incidentes de segurança identificados na ausência de os métodos dos adversários potenciais. As analistas de
dados contextuais a partir de operações de TI inteligência de segurança devem se perguntar regularmente:
• Os relatórios "enlatados" deram a impressão de que • Quem seria o meu alvo para acessar dados e sistemas
pensamento e análise críticos não são necessários que contenham o maior valor de dados coletados?
• Sistemas que não possuem escala e análises necessárias • Que métodos eu poderia usar para facilitar a propagação
para mapear as ameaças potenciais contra grandes camuflada de malwares?
conjuntos de dados por longos períodos • Como posso ter certeza de que as minhas comunicações
Essa mentalidade e abordagem de segurança convencionais de controle e comando não foram detectadas?
não abrangem as "ameaças desconhecidas" de malwares mais • Que alterações devo fazer ao host para garantir que
novos e sofisticados que: meus malwares permaneçam residentes na empresa?
• Aproveitam os dados de sites de mídia social que são • Como as anormalidades nos meus dados da máquina se
compatíveis com engenharia social pareceriam no caso de uma tentativa de exfiltração de
• Obtêm entrada em rede através de usuários finais e os e-mail ou uma transferência de PII para fora da empresa?
pontos finais • Quais serviços de rede do host devem ser monitorados
em busca de alterações?
• Evitam a detecção (técnicas baixas e lentas redefinidas)
• Quais comportamentos do malware podem ser
• Usam padrões de ataque exclusivos que permitem que o diferenciados de dados de log com base em horário do
malware seja disfarçado como um aplicativo "normal" dia, duração e local de origem?
Com um conjunto muito mais amplo de possíveis vetores de Uma abordagem baseada em comportamento das ameaças
ataque e ataques mais inovadores e direcionados provenientes persistentes avançadas usando análises de padrões permite
de adversários persistentes, a quantidade e os tipos de uma abordagem avançada da detecção de ameaças, como
dados analisados
devem ser ampliados. Uma abordagem de recomendado pelo Security for Business Innovation Council.
inteligência de segurança é aquela que observa as ameaças
É importante observar a abordagem de dados grandes
conhecidas, conforme informadas por sistemas baseados em
para ameaças desconhecidas não substitui a abordagem
assinatura e regras, e observa as ameaças desconhecidas,
tradicional para monitorar ameaças conhecidas. Observar
usando análises extensas sobre os comportamentos dos
ameaças conhecidas usando elementos de uma abordagem
usuários do sistema. As atividades normais dos usuários
convencional de segurança ainda é uma exigência.
precisam ser monitoradas para entender os padrões de
acesso, uso e localização baseados em tempo.