2. 2
Marcello
Zillo
Neto
Gerente
Execu9vo
• Tecnologias
de
Segurança.
• Arquitetura
de
Segurança.
• A
Produban
é
uma
empresa
de
tecnologia
que
atende
mais
de
120
empresas,
com
mais
de
5.500
profissionais
localizados
em
9
países:
3. 3
Agenda
" SIEM
ou
BIG
Data
–
Dores
reais
" Por
que
Splunk
?
" Casos
de
uso
1
-‐
Make
it
simple,
make
it
work
2
–
Automação
de
Resposta
a
incidentes
3
–
Detecção
Avançada
de
Malwares
4
–
Padronizando
e
o9mizando
o
CSIRT
" O
futuro,
próximos
passos
4. 4
Agenda
" SIEM
ou
BIG
Data
–
Dores
reais
" Por
que
Splunk
?
" Casos
de
uso
1
-‐
Make
it
simple,
make
it
work
2
–
Automação
de
Resposta
a
incidentes
3
–
Detecção
Avançada
de
Malwares
4
–
Padronizando
e
o9mizando
o
CSIRT
" O
futuro,
próximos
passos
5. 5
SIEM
ou
BIG
Data
–
Dores
Reais
2010
2012
2013
• SIEM
de
outro
Fabricante
X
já
era
u9lizado.
• Volume
médio
de
60.000
EPS.
• Problemas
latentes.
• Performance.
• Indisponibilidade.
• Perda
de
alertas.
• Limitação
de
crescimento.
• Dificuldade
na
customização
e
criação
de
alertas.
• Necessidade
de
crescimento
correlacionando
outras
plataformas.
• Decisão
estratégica
de
aumentar
inves9mento
em:
By 2020, 60% of enterprise information
security budgets will be allocated to rapid
detection and response approaches — up
from less than 10% in 2014.
Source: Gartner (February 2014)
• Definição
de
Requisitos
-‐
Precisamos
algo
maior
que
um
simples
SIEM
para
os
próximos
5
anos.
• Execução
de
PoCs
com
duas
novas
Tecnologias.
Fabricante
Y
• Decisão
X
e
implementação
do
Splunk.
• Mindset
–
mudança
de
postura
do
9me
de
segurança.
6. 6
Agenda
" SIEM
ou
BIG
Data
–
Dores
reais
" Por
que
Splunk?
" Casos
de
uso
1
-‐
Make
it
simple,
make
it
work
2
–
Automação
de
Resposta
a
incidentes
3
–
Detecção
Avançada
de
Malwares
4
–
Padronizando
e
o9mizando
o
CSIRT
" O
futuro,
próximos
passos
7. 7
Por
que
Splunk?
2013
PoC
(2
meses)
30.000
EPS,
mesmas
plataformas
enviando
logs,
mesmos
alertas
,
mesmo
9me.
Fabricante
Y
• Indisponibilidades
(mais
de
10).
• Busca
por
registros.
• 10
vezes
mais
lenta.
• Hardware.
• Dobro
de
máquinas.
• Alto
esforço
H/H
para
manutenção
/
operação.
• Necessidade
de
criação
ou
customização
de
conectores
(engessado).
• Nenhuma
indisponibilidade.
• Busca
por
registros.
• 100
x
mais
rápido
que
Fabricante
X.
• 10
x
mais
rápido
que
Fabricante
Y.
• Hardware.
• 1/3
em
relação
ao
Fabricante
X.
• 1/2
em
relação
do
Fabricante
Y.
• Baixo
esforço
H/H
para
manutenção
/
operação.
• Agilidade
integração
/
alertas
(
s/
conectores).
8. 8
Por
que
Splunk?
2013
PoC
(2
meses)
Você
não
precisa
de
milhões
de
alertas
e
Dashboards,
muita
informação
só
atrapalha
Minerar
alertas,
customizados
e
“certeiros”.
• Criar
seus
alertas
e
inteligência
leva
tempo
mas
é
compensador.
• Tratar
somente
o
que
interessa.
Fabricante
Y
Milhões
de
regras
e
alertas
pré-‐configurados.
• Você
realmente
precisa
disso
?
• Tem
headcount
para
tratar
?
9. 9
Por
que
Splunk?
Deploy
2014
• Fase
1
foi
executada
em
3
meses,
integrando
7
Tecnologias.
• As
duas
fases
seguintes
já
estão
em
execução
e
devem
integrar
mais
12
Tecnologias.
Windows
Servers
An9malware
Network
Plarorms
IPS
Security
Intelligence
Feeds
Proxy
An9spam
Ac9ve
Directory
Fase1
Foco
principal
–
Detecção
de
Malwares
e
comportamentos
anômalos.
60
Alertas
10. 10
Agenda
" SIEM
ou
BIG
Data
–
Dores
reais
" Por
que
Splunk
?
" Casos
de
uso
1
-‐
Make
it
simple,
make
it
work
2
–
Automação
de
Resposta
a
incidentes
3
–
Detecção
Avançada
de
Malwares
4
–
Padronizando
e
o9mizando
o
CSIRT
" O
futuro,
próximos
passos
11. 11
Make
it
simple,
make
it
work
" Alertas
baseados
em
eventos
dos
ADs.
APP
(próprio)
para
monitoração
de
a9vidades
no
AD
com
alertas
e
Dashboard
em
tempo
real.
AD-‐001
Não
autorizado
Autorizados
(Segurança)
12. 12
Make
it
simple,
make
it
work
" Alertas
baseados
no
comportamento
de
navegação
de
usuários
APP
(próprio)
para
monitoração
de
a9vidades
de
navegação
de
usuários.
PRX-‐001
13. 13
Agenda
" SIEM
ou
BIG
Data
–
Dores
reais
" Por
que
Splunk
?
" Casos
de
uso
1
-‐
Make
it
simple,
make
it
work
2
–
Automação
de
Resposta
a
incidentes
3
–
Detecção
Avançada
de
Malwares
4
–
Padronizando
e
o9mizando
o
CSIRT
" O
futuro,
próximos
passos
14. 14
Automação
de
Resposta
a
Incidentes
" Com
o
Splunk
é
possível
consumir
diversos
Feeds
de
Segurança
públicos
e
privados
rapidamente.
Feeds
de
Inteligência
privados
Feeds
de
Inteligência
públicos
Feeds
Internos
CSIRT
/
e-‐mails
Feeds
de
Segurança
• Muita
informação
• Hashes
• Endereços
IP
• URLs
Maliciosas
• Arquivos
Maliciosos
• C&C
• Novos
vetores
de
ataque
15. 15
Automação
de
Resposta
a
Incidentes
Informação
sem
ação
não
gera
inteligência
Informação
+
Ação
=
Inteligência
16. 16
Automação
de
Resposta
a
Incidentes
" Muita
informação
sem
ação
não
vale
nada…
Feeds
de
Inteligência
privados
Feeds
de
Inteligência
públicos
Feeds
de
Segurança
• Hashes
• Endereços
IP
• URLs
Maliciosas
• Arquivos
Maliciosos
• C&C
• Novos
vetores
de
ataque
Feeds
Internos
CSIRT
/
e-‐mails
Barramento
de
automação
IPS
Proxy
An9malware
Regras
pré-‐definidas
17. 17
Automação
de
Resposta
a
Incidentes
" Algumas
estazs9cas
de
um
mês
-‐
230
incidentes
evitados
Feeds
de
Inteligência
privados
Feeds
de
Inteligência
públicos
Feeds
Internos
CSIRT
/
e-‐mails
Feeds
de
Segurança
2.361
1.165
200
350
4.076
20.380
min.
339
h.
21
dias
(2
pessoas)
Tratamento
manual
8.152
seg.
2.26
h.
15
dias
(1
des.)
Barramento
de
automação
18. 18
Agenda
" SIEM
ou
BIG
Data
–
Dores
reais
" Por
que
Splunk
?
" Casos
de
uso
1
-‐
Make
it
simple,
make
it
work
2
–
Automação
de
Resposta
a
incidentes
3
–
Detecção
Avançada
de
Malwares
4
–
Padronizando
e
o9mizando
o
CSIRT
" O
futuro,
próximos
passos
19. 19
Detecção
Avançada
de
Malwares
" A
integração
do
Splunk
com
plataformas
de
An9malware
proporciona
maior
rapidez
na
deteção
e
resposta
a
ataques,
facilitando
iden9ficação
de
estações,
usuários
e
possíveis
ambientes
afetados.
Dashboards
e
buscas
poderosas
agilizando
a
resposta
do
CSIRT.
20. 20
Padronizando
e
O9mizando
o
CSIRT
" A
u9lização
do
Splunk
como
plataforma
de
geração
de
alertas
possibilitou
a
padronização
da
operação
do
SOC
e
do
CSIRT,
permi9ndo
ganho
de
escala
e
eficiência.
Plataformas
de
Segurança
Regras
Time
Monit.
Seg.
CSIRT
Time
de
Forense
FLUXO
DE
TRABALHO
–
SOC
/
CSIRT
Logs
Alertas
Time
Arq.
Seg.
Execu9vos
21. 21
Padronizando
e
O9mizando
o
CSIRT
APP
(próprio)
para
acompanhamento
de
alertas
e
resposta
a
incidentes
e
tempo
real.
Temos
10
APPs
próprios
desenvolvidos
em
6
meses
22. 22
Padronizando
e
O9mizando
o
CSIRT
" Além
da
eficiência
a
u9lização
do
Splunk
permi9u
ao
CSIRT
da
Produban.
– Padronizar
mais
de
150
alertas
e
automa9zar
mais
de
20%
das
ações
de
resposta.
– Alterar
o
mindset
do
9me
de
segurança
-‐
Go
Hun5ng.
– Detectar
e
responder
mais
eventos
por
H/H.
– O9mizar
nosso
tempo
de
resposta
e
análise
forense
para
eventos
mais
complexos
(nosso
tempo
de
resposta
para
casos
complexos
diminui
em
cerca
de
5
vezes).
– Peça
chave
para
sairmos
de
uma
postura
mais
preven9va,
colocando
mais
esforços
na
detecção
e
resposta
como
planejado
em
2012.
23. 23
Agenda
" SIEM
ou
BIG
Data
–
Dores
reais
" Por
que
Splunk
?
" Casos
de
uso
1
-‐
Make
it
simple,
make
it
work
2
-‐
CSIRT
Automa9on
3
-‐
Advanced
Malware
Detec9on
4
–
Padronizando
e
o9mizando
o
CSIRT
" O
futuro,
próximos
passos
24. 24
Futuro
e
Próximos
Passos
" Finalização
das
Fases
2
e
3
do
Projeto
-‐
12
Tecnologias.
– Mais
Licenças
-‐
Splunk
J.
" Expansão
para
áreas
além
de
IT
Security.
– Splunk
-‐
J.
" O9mização
dos
logs
recebidos
e
tratados
-‐
remoção
de
lixo.
– Melhor
uso
das
licenças
-‐
Produban
J.
" Aumento
da
capacidade
de
automação
de
respostas
–
Barramento
de
automação.
" Intensificar
o
Modelo
de
“Fábrica
para
geração
de
regras”.
25. Se
vocês
esqueceram
de
tudo
o
que
eu
disse…
25
Postura
Preven9va
Postura
Detecção
e
Resposta
GAP