Gestión de la Información de Seguridad, factor crítico en la Empresa

Foro de Auditoría y Seguridad, FAST 2006

Xavier GarciaResponsable de Preventa, Área de Seguridad

2

GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS

A G E N D A¿Qué es la Gestión de la Información de Seguridad?

La Visión Global de SymantecSoluciones Tecnológicas: SSIM y MSS¿Por qué Symantec?

1

2

3

4

3

GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS

Gestión de la Información de SeguridadLa Problemática

Complejidad Amenazas más rápidas y complejas - Slammerinfectó 90% de los servidores desprotegidos en 10 minutosDisminución de la ventana “vulnerabilidad –exploit” – 6.4 días*Ataques por día para organizaciones – 13.6**Proliferación de tecnologías

Cumplimiento de NormativasFalta de reporting y controles TICoste cumplimiento - $3M por $1B en ventas***

CostePérdidas totales anuales debido a a ataques -$141,496,560 – 2004**

Source: *Symantec Security Threat Report ; *CSI/FBI Computer Crime and Security Survey June 2004: ***A.R. C. Morgan Research, Feb 2005)

4

GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS

Estudio de un Cliente Symantec

Multinacional – oficinas regionales; gestión independiente de la seguridadObligada por cumplimiento SOXEntorno Multifabricante - Symantec,CheckPoint, Cisco, ISS, Enterasys, JuniperVolumen de información de seguridad

Firewalls: 23.4 GB/day > 164 GB/weekIDS: 36K alerts/day > 252Kalerts/week

VA: 3 new vulnerabilities/dayAlerta temprana: 4 alerts/day

Un mes típicoIdentificación de ataques

• 9,481,688 log/alerts by firewall and IDS

• 620 security events• 2 incidents requiring immediate

attention

*Financial services sector

5

GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS

Problemática de la Gestión de Información de Seguridad (SIM)

6

GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS

Gestión de Incidentes

7

GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS

La Gestión de la Información de Seguridad,factor crítico en la Empresa

Gestión de la Información de Seguridad, factor crítico en la Empresa

La Visión Global de Symantec

9

GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS

Es necesaria una aproximación de Consultoría

Gestión de Incidentes:Es necesario un proceso de gestión de incidentesReducir el tiempo de detección de un incidente y reaccionarMejor para la integración de SOC’s

A nivel de Negocio:Es necesario un análisis del impacto del negocio en los activos internosEstablecer reportes a nivel ejecutivo

Tecnología SIM:Se necesitan procesos organizacionales bien definidos para maximizar el ROIEs necesaria una planificación cuidadosa para:• Dimansionamiento• Retención de Datos• Dashboard• Modelo de clasificación de activos• Reglas de Correlación

10

GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS

Metodología de la Gestión de la Información Fase 1: Requerimientos y análisis del modelo organizacional

1.1: Assess requirements, security operations and incident management model1.2: Select and analysis event source e data management1.3: Evaluate Security Operation Centre integration or development1.4: Define list of components and materials

Fase 2: Diseño y modelo de Despliegue2.1: Capacity planning by event rate, data retention, network utilization2.2: Establish business impact analysis (BIA) and asset classification model2.3: Define or review existent Incident Management Model 2.4 Establish Key Security Indicator and monitoring model2.5: Detailed project design, plan and deployment scenarios

Fase 3: Implantación de la solución tecnológica3.1: Install and configure core platform components3.2: Install and configure event collector3.3: Classify critical business asset3.4: Configure dashboard, KSI, user access, threat view, reports, alarms, etc.

Fase 4: Seguimiento y afinado del modelo4.1: Refine correlation rules, alarms, reports, dashboard and users management4.2: Knwoledge transfer4.3: Integration with help desk systems4.4: Integration with Symantec ESM policy compliance system4.5: Analyze incident and event data and improvement the platform4.6: Improvement incident response model

SIM requirements and organizational model

analysis

In depth Design & Deployment model

SIM implementation

Tuning, optional components and

follow-up

1

2

3

4

Gestión de la Información de Seguridad, factor crítico en la Empresa

Tecnologías de Symantec: SSIM

Global Security IntelligenceLatest vulnerabilities and safeguardGlobal malicious attack signaturesMalicious IPs and URLsCorrelation rules

Inputs

Desktop, Gateway and Server SecurityAntivirus, spyware, adwareMail and groupware securityAntispam and content filteringServer, HOST IDS, FW

Perimeter and Network SecurityFirewall/VPNRouters and switchesNetwork IDS/IPS

Security Information Manager 9550Correlation Appliance Distributed Security

Information Manager 9500Collection Appliance

SecurityInformation

Manager

Collect, Filter, Aggregate, Correlate

Store, Query, Audit, Report

Information Security

SIM 4.0 WWSMC Demo Board 10Symantec Confidential

IT Operations

WorkflowRemediateTicketsTasks

Analyze, Prioritize, Respond

Policy + Threat + Intelligence + Asset

Compliance and Vulnerability Management

Host and network complianceHost and network vulnerabilityAsset discovery/management

13

GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS

Protección y Respuesta proactivas

Sólo Symantec puede integrar información de Inteligencia de Seguridad con correlación dinámica con el fin de proteger y responder ante amenazas

Única solución capaz de integrar información de Inteligencia DeepSighten la toma de decisiones

Automáticamente correla eventos de seguridad internos con información mundial de actividad maliciosaActualización continua de información proveniente de DeepSight y Symantec Security Response La información de alerta temprana permite llevar avance sobre las amenazas que se propagan rápidamente

14

GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS

Soporte MultifabricantePerimeter & Network Supported Products

CheckPoint FW-1Cisco PIXCisco IDS ISS RealSecure SiteProtectorEnterasys Network DragonSNORT log sensorJuniper Netscreen

Operating System & Database Supported Products

Microsoft SQL Server for Symantec Antivirus solutionsMicrosoft Windows Event Log

Symantec Supported Security Solutions

SAV Corp 10.0SNS 7100 SeriesSGS 5600 Series

3rd-party NVA Supported Products

NessusTenable Vulnerability Assessment

Helpdesk RelaysPeregrine ServiceCenter helpdesk relay

Symantec Collector StudioAvailable through the Symantec Technology Partner Alliance Program

Gestión de la Información de Seguridad, factor crítico en la Empresa

Tecnologías de Symantec: MSS

16

GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS

Solución global de SymantecSOC (Security Operations Center)

Red global de 6 SOCMás de 600 clientes de 40 países distintosMás de 3000 dispositivos de seguridad monitorizadosRecogida de eventos de seguridad de 22.000 dispositivos, entre dispositivos monitorizados y sondas de DeepSight480 millones de líneas de log analizadas cada día47 TeraBytes de datos de log online

17

GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS

SLAs y KPIs

Garantía de Disponibilidad del SOC: 99.9%Notificación de Eventos de Emergencia: antes de 10 minutos desde la determinación de la violación o intento de violaciónInforme Mensual: envío dentro de los 5 primeros díaslaborables del mesRegistro de auditoría:

Todos los parámetros que regulan estos SLAs son reportados puntualmente en el Informe Mensual, con una indicación clara del cumplimiento de cada SLA.

18

GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS

Soporte MultifabricanteFirewalls:

Check PointCiscoJuniper/NetScreenSymantec

Integrated Security Appliances:ISSJuniper/NetScreenSymantec

Host-Based IDS/IPS:CiscoISSSymantec

Network-Based IDS/IPS:CiscoEnterasysMcAfeeISSJuniper/NetscreenSnortSymantecTippingPoint

Router Firewalls:Cisco IOS

19

GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS

Retorno en Inversión de Seguridad

87% de los clientes MSS por más de seis meses evitaron al menos un ataquesevero

Percent of Com panies Detecting Severe Events by Client Tenure

0

1020

30

40

5060

70

8090

100

1-3 4-6 7- 9 10-12 13-15 16-18 19+

C l i e n t Te n u r e ( Mo n t h s )

20

GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS

Gestión Proactiva de la Información de Seguridad

Baseline RiskExposure

Correlate, Analyze & Prioritize

Maintain &Monitor

Protect &Remediate

Global Security Intelligence

Gestión de la Información de Seguridad, factor crítico en la Empresa

¿Por qué Symantec?

22

GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS

Sistema Global para la Detección de Amenazas

Symantec SOCs + Symantec

Support+ Symantec Monitored Countries + Symantec Security

Response Labs25,000 Registered Sensors

in 180 Countries+

Redwood City, CA

Santa Monica, CA

Calgary, Canada

Springfield, OR Waltham, MA

Dublin, Ireland

Alexandria, VA

London, England

Berlin, GermanyTokyo, Japan

Sydney, Australia

Over 4,300 Managed Security Devices + 120 Million Symantec Systems Worldwide

23

GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS

Mercado de la Gestión de la Información de Seguridad

24

GESTIÓN DE LA INFORMACIÓN DE SEGURIDAD, FACTOR CRÍTICO EN LA EMPRESA | BE FEARLESS

Conclusiones

La Gestión de la Información de Seguridad es un problema

Symantec es la soluciónMetodologíaTecnología líder

Symantec, líder mundial en Seguridad

Líder en Servicios de Alerta TempranaLíder en soluciones de Gestión de la Información de Seguridad

Gestión de la Información de Seguridad, factor crítico en la Empresa

Gracias

Xavier_Garcia@symantec.com