splunk live produban
DESCRIPTION
TRANSCRIPT
Copyright © 2014 Splunk Inc.
O9mizando a resposta a incidentes
Marcello Zillo Neto -‐ Gerente Execu9vo
2
Marcello Zillo Neto Gerente Execu9vo
• Tecnologias de Segurança. • Arquitetura de Segurança.
• A Produban é uma empresa de tecnologia
que atende mais de 120 empresas, com mais de 5.500 profissionais localizados em 9 países:
3
Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk ? " Casos de uso
1 -‐ Make it simple, make it work 2 – Automação de Resposta a incidentes 3 – Detecção Avançada de Malwares 4 – Padronizando e o9mizando o CSIRT
" O futuro, próximos passos
4
Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk ? " Casos de uso
1 -‐ Make it simple, make it work 2 – Automação de Resposta a incidentes 3 – Detecção Avançada de Malwares 4 – Padronizando e o9mizando o CSIRT
" O futuro, próximos passos
5
SIEM ou BIG Data – Dores Reais 2010 2012 2013
• SIEM de outro Fabricante X já era u9lizado.
• Volume médio de 60.000 EPS.
• Problemas latentes. • Performance. • Indisponibilidade. • Perda de alertas. • Limitação de
crescimento. • Dificuldade na
customização e criação de alertas.
• Necessidade de crescimento correlacionando outras plataformas.
• Decisão estratégica de aumentar inves9mento em:
Source: Gartner (February 2014)
By 2020, 60% of enterprise information security budgets will be allocated to rapid detection and response approaches — up from less than 10% in 2014.
• Definição de Requisitos -‐ Precisamos algo maior que um simples SIEM para os próximos 5 anos.
• Execução de PoCs com duas novas Tecnologias.
Fabricante Y • Decisão e implementação do
Splunk.
• Mindset – mudança de postura do 9me de segurança.
X
6
Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk? " Casos de uso
1 -‐ Make it simple, make it work 2 – Automação de Resposta a incidentes 3 – Detecção Avançada de Malwares 4 – Padronizando e o9mizando o CSIRT
" O futuro, próximos passos
7
Por que Splunk? 2013 PoC (2 meses) 30.000 EPS, mesmas plataformas enviando logs, mesmos alertas , mesmo 9me.
Fabricante Y • Indisponibilidades (mais de 10).
• Busca por registros. • 10 vezes mais lenta.
• Hardware. • Dobro de máquinas.
• Alto esforço H/H para manutenção / operação.
• Necessidade de criação ou customização de conectores (engessado).
• Nenhuma indisponibilidade.
• Busca por registros. • 100 x mais rápido que Fabricante X. • 10 x mais rápido que Fabricante Y.
• Hardware. • 1/3 em relação ao Fabricante X. • 1/2 em relação do Fabricante Y.
• Baixo esforço H/H para manutenção / operação.
• Agilidade integração / alertas ( s/ conectores).
8
Por que Splunk? 2013 PoC (2 meses) Você não precisa de milhões de alertas e Dashboards, muita informação só atrapalha
Minerar alertas, customizados e “certeiros”. • Criar seus alertas e inteligência leva tempo mas
é compensador. • Tratar somente o que interessa.
Fabricante Y
Milhões de regras e alertas pré-‐configurados. • Você realmente precisa disso ? • Tem headcount para tratar ?
9
Por que Splunk? Deploy 2014
• Fase 1 foi executada em 3 meses, integrando 7 Tecnologias. • As duas fases seguintes já estão em execução e devem integrar mais 12 Tecnologias.
Windows Servers
An9malware Plarorms Network
IPS
Security Intelligence
Feeds An9spam Proxy
Ac9ve Directory
Fase1
Foco principal – Detecção de Malwares e comportamentos anômalos.
1 2 3 4
60 Alertas
10
Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk ? " Casos de uso
1 -‐ Make it simple, make it work 2 – Automação de Resposta a incidentes 3 – Detecção Avançada de Malwares 4 – Padronizando e o9mizando o CSIRT
" O futuro, próximos passos
11
Make it simple, make it work " Alertas baseados em eventos dos ADs.
APP (próprio) para monitoração de a9vidades no AD com alertas e Dashboard em tempo real.
Autorizados (Segurança) Não autorizado
AD-‐001
12
Make it simple, make it work " Alertas baseados no comportamento de navegação de usuários
APP (próprio) para monitoração de a9vidades de navegação de usuários.
PRX-‐001
13
Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk ? " Casos de uso
1 -‐ Make it simple, make it work 2 – Automação de Resposta a incidentes 3 – Detecção Avançada de Malwares 4 – Padronizando e o9mizando o CSIRT
" O futuro, próximos passos
14
Feeds de Segurança
Automação de Resposta a Incidentes " Com o Splunk é possível consumir diversos Feeds de Segurança públicos e privados rapidamente.
Feeds de Inteligência privados
Feeds Internos
Feeds de Inteligência públicos
• Muita informação CSIRT / e-‐mails
• Hashes • Endereços IP • URLs
Maliciosas • Arquivos
Maliciosos • C&C • Novos
vetores de ataque
15
Automação de Resposta a Incidentes
Informação sem ação não gera inteligência
Informação + Ação = Inteligência
16
Automação de Resposta a Incidentes " Muita informação sem ação não vale nada…
Feeds de Segurança
Feeds de Inteligência privados • Hashes
• Endereços IP • URLs
Maliciosas • Arquivos
Maliciosos • C&C • Novos
vetores de ataque
Feeds Internos
Feeds de Inteligência públicos
CSIRT / e-‐mails Barram
ento de
automação IPS
Proxy
An9malware
Regras pré-‐definidas
17
Automação de Resposta a Incidentes " Algumas estazs9cas de um mês -‐ 230 incidentes evitados
Feeds de Segurança
Feeds de Inteligência privados
Feeds Internos
Feeds de Inteligência públicos
CSIRT / e-‐mails
2.361 1.165 200
4.076 350
20.380 min. 339 h.
21 dias (2 pessoas)
Tratamento manual
8.152 seg. 2.26 h.
15 dias (1 des.)
Barramento de automação
18
Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk ? " Casos de uso
1 -‐ Make it simple, make it work 2 – Automação de Resposta a incidentes 3 – Detecção Avançada de Malwares 4 – Padronizando e o9mizando o CSIRT
" O futuro, próximos passos
19
Detecção Avançada de Malwares " A integração do Splunk com plataformas de An9malware proporciona maior rapidez na deteção e resposta a ataques, facilitando iden9ficação de estações, usuários e possíveis ambientes afetados.
Dashboards e buscas poderosas agilizando a resposta do CSIRT.
20
Padronizando e O9mizando o CSIRT " A u9lização do Splunk como plataforma de geração de alertas possibilitou a padronização da operação do SOC e do CSIRT, permi9ndo ganho de escala e eficiência.
Plataformas de Segurança
Regras
Time Monit. Seg.
CSIRT Time de Forense
FLUXO DE TRABALHO – SOC / CSIRT
Logs Alertas
Time Arq. Seg.
Execu9vos
21
Padronizando e O9mizando o CSIRT APP (próprio) para acompanhamento de alertas e resposta a incidentes e tempo real.
Temos 10 APPs próprios desenvolvidos em 6 meses
22
Padronizando e O9mizando o CSIRT " Além da eficiência a u9lização do Splunk permi9u ao CSIRT da Produban.
– Padronizar mais de 150 alertas e automa9zar mais de 20% das ações de resposta.
– Alterar o mindset do 9me de segurança -‐ Go Hun5ng.
– Detectar e responder mais eventos por H/H.
– O9mizar nosso tempo de resposta e análise forense para eventos mais complexos (nosso tempo de resposta para casos complexos diminui em cerca de 5 vezes).
– Peça chave para sairmos de uma postura mais preven9va, colocando mais esforços na detecção e resposta como planejado em 2012.
23
Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk ? " Casos de uso
1 -‐ Make it simple, make it work 2 -‐ CSIRT Automa9on 3 -‐ Advanced Malware Detec9on 4 – Padronizando e o9mizando o CSIRT
" O futuro, próximos passos
24
Futuro e Próximos Passos " Finalização das Fases 2 e 3 do Projeto -‐ 12 Tecnologias.
– Mais Licenças -‐ Splunk J.
" Expansão para áreas além de IT Security. – Splunk -‐ J.
" O9mização dos logs recebidos e tratados -‐ remoção de lixo. – Melhor uso das licenças -‐ Produban J.
" Aumento da capacidade de automação de respostas – Barramento de automação.
" Intensificar o Modelo de “Fábrica para geração de regras”.
25
Se vocês esqueceram de tudo o que eu disse…
Postura Preven9va
Postura Detecção e Resposta
GAP
Thank You