SlideShare uma empresa Scribd logo

Siem on cloud times

Eduardo Alves
Eduardo Alves

O documento discute os desafios trazidos pela mudança para a nuvem para as operações de segurança e uso de SIEM. Apresenta como a complexidade crescente levou à necessidade de SOCs e SIEMs para monitoramento e resposta a incidentes de segurança. Discute os desafios da coleta de logs em nuvem e a tendência futura de automação, machine learning e novas habilidades para equipes de segurança.

Tecnologia
1 de 31
Baixar para ler offline
SIEM IN CLOUD TIMES HOW THE CLOUD AFFECTS AND CHANGES SECURITY OPERATIONS AND SIEM USE
SIEM IN CLOUD TIMES - AGENDA • Challenges, motivations and needs • SOC and SIEM • Cloud challenges • The (now) future
SIEM IN CLOUD TIMES – ABOUT ME EDUARDO ALVES • Santista • +17 anos no setor • Experience in Security Operations Centers, Cloud Computing, Security Infrastructure, Security Projects and team’s leadership • Led security teams at some major events, such as FIFA’s 2014 World Cup, Rock in Rio and ONU’s RIO+20 conference. Speaker of security conferences Mindthesec. • Has some certifications, like PMP, ISO27001 Lead Auditor, CCSK, Exin CloudF, PaloAlto ACE, MCSO, CobiT, ITIL, Comptia Security+, Fortinet NSE 3, IBM ISS – CA. Linkedin/in/edualves
SIEM IN CLOUD TIMES • Challenges, motivations and needs • SOC and SIEM • Cloud challenges • The (now) future
CHALLENGES, MOTIVATIONS AND NEEDS ...o que antes eram “AD-HOC”, problemas “pontuais, ex: Worm Melissa Explorava Macro para se auto-enviar para 50 contatos Causou: perda de produtividade ....Comprovadamente, ficou sério: Muita coisa mudou desde Captain Crunch... Com essa evolução tecnológica, houve: + Conectividade + Volumetria + Complexidade + Sofisticação Logo, aumentaram-se muito as possibilidades de exploração
CHALLENGES, MOTIVATIONS AND NEEDS E novos modelos “comerciais”
CHALLENGES, MOTIVATIONS AND NEEDS • https://www.darkreading.com/perimeter/iot-botnets-by-the- numbers/d/d-id/1330924? Provider OVH atacado por um DDoS de IoT Fonte: Cisco Viabilizados por mais oferta:
Fato: Cybersecurity tornou-se foco CHALLENGES, MOTIVATIONS AND NEEDS
CHALLENGES, MOTIVATIONS AND NEEDS • Fatos: • Aumento da complexidade, vetores de ataque e “acessibilidade” a ataques • Reconhecimento da importância do tema • Geram necessidades: • Funções de Security Officer, IT Security, Security Analyst, etc, etc para ações pontuais • E com o crescimento, é preciso foco: • Aqui entra o Security Operations Center !
SIEM IN CLOUD TIMES • Challenges, motivations and needs • SOC and SIEM • Cloud challenges • The (now) future
SOC AND SIEM Funções essenciais de um SOC: 1. Monitorar 2. Reagir a incidentes
SOC AND SIEM SOC SOC http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf https://www.nist.gov/cyberframework
SOC AND SIEM E TEM O LADO OBSCURO: Socorrista (Bombeiro) Configurar coletores novos, administrar fluxos de logs, normalizar e reorganizar logs de fontes que foram atualizadas.... E ISSO LEVA MUITO TEMPO ! Enquanto isso os incidentes não param ! Tier 1 Tier 2 Tier 3 Tier 4 Faz monitoria, triagem, atende telefone, recebe primeiros tickets, olha caixa abuse e de contato... Atendimentos mais focados (por plataforma/tecnologia/ fabricante) Reagir a Incidentes e casos investigativos ou de maior gravidade (CSIRT apartado em muitos casos) Coordena ações, faz Followup, Revisões de relatórios e relacionamento
SOC AND SIEM SIEM – Security Information and Event Management SIM – Security Information Management SEM – Security Event Management
SOC AND SIEM Security Devices: FW, AV, IPS, etc Network: Router, Switch, VPN Servers: OS, Webserver, AppServ Mobile/Cloud Syslog, WMI, coletor nativo, ODBC, SFTP e outros 1. COLETA 3. Agregação 4. Engine Central: Console de gestão, dashboard, Reporting, Alarmes/alertas, correlações, Thread Intelligence 5. Archive 2. Normalização Pesquisas básicas, busca de logs recentes, coleta de dados preliminares, etc
SOC AND SIEM Devices SIEM Regras de correlação: https://otx.alienvault.com/ Thread Intelligence ex: Indicators of Compromisse – IOC’s • Alertar um Scanneamento | Fontes: IDS ou IPS ou Endpoint, Alvo, IP Origem • Múltiplas sessões TCP parcialmente abertas | Fontes: Webserver, Router, switch ou Firewall, IP Origem • Consultas internas/externas ou externas/internas a porta UDP 67 e IP não está na listagem de IP’s oficiais – (DHCP fake) | Fonte: DHCP, Firewall, router ou switch Fonte: alienvault
SIEM IN CLOUD TIMES • Challenges, motivations and needs • SOC and SIEM • Cloud challenges • The (now) future
CLOUD CHALLENGES
CLOUD CHALLENGES • Qual o desafio para a TI/Security ? • Provedores oferecem soluções para viabilizar negócios de forma mais rápida e mais barata • Mas estão em datacenters em qualquer local do mundo, os dados podem estar replicados em qualquer parte (PII)
CLOUD CHALLENGES Compliance ? Resposta a incidentes ? Desconhecimento de aplicações e usos ? WhatsApp, office365, Google Docs.... A formas seguras de se usar Cloud... Responsabilidades: Fonte: https://pen-testing.sans.org/blog/2012/07/05/pen-testing-in-the-cloud
CLOUD CHALLENGES
CLOUD CHALLENGES Demo: https://sandbox.platform9.net/ Fonte: https://www.openstack.org/
CLOUD CHALLENGES Security Devices: FW, AV, IPS, etc Network: Router, Switch, VPN Servers: OS, Webserver, AppServ Mobile/Cloud Syslog, WMI, coletor nativo, ODBC, SFTP e outros + FATOR LINK E CONECTIVIDADE COLETOR Agregador e Normalizador Engine Central: Console de gestão, dashboard, Reporting, Alarmes/alertas, correlações, Thread Intelligence Archive Offprimise, everywhere !
CLOUD CHALLENGES IaaS • Agent • Syslog • Sftp PaaS • App/runtime • API SaaS • API SIEM – CLOUD desafios na coleta:
CLOUD CHALLENGES 1. Data breaches 2. Insufficient identity, credential, and access management 3. Insecure interfaces and application programming interfaces (APIs) 4. System vulnerabilities 5. Account hijacking 6. Malicious insiders 7. Advanced persistent threats (APTs) 8. Data loss 9. Insufficient due diligence 10. Abuse and nefarious use of cloud services 11. Denial of service (DoS) 12. Shared technology vulnerabilities https://downloads.cloudsecurityalliance.org/assets/research/top-threats/treacherous-12-top-threats.pdf
SIEM IN CLOUD TIMES • Challenges, motivations and needs • SOC and SIEM • Cloud challenges • The (now) future
THE (NOW) FUTURE Fonte: https://www.rightscale.com/blog/cloud-industry-insights/cloud-computing-trends-2018-state-cloud-survey
THE (NOW) FUTURE Microserviço, imagem tudo embarcado Características de autoscaling, tende a ser elástico e perder rastreabilidade Logs dinâmicos -> desafio de centralizar logs Cababilities -> DDoS Uso desenfreado de API’s https://blog.docker.com/2016/09/4-biggest-questions-docker-vmworld-2016/ Docker: Microserviços / DevOps
THE (NOW) FUTURE Tier 1 Tier 2 Tier 3 Tier 4 Faz monitoria, triagem, atende telefone, recebe primeiros tickets, olha caixa abuse e de contato... Atendimentos mais especializados (por plataforma/tecnologia/ fabricante) Resposta a Incidentes e casos investigativos ou de maior gravidade Coordena ações, faz Followup AUTOMAÇÃO Detecção, busca de informações preliminares Followups, maiores dados e rapidez na resposta Referências e casos de soluções para a tomada de decisão Melhorar a detecção e reação
THE (NOW) FUTURE • AI – tomada de decisão, minerar informações, automação • Machine Learning - auxilio a detecção e analise != regras de correlação • New Skills for Security Staff • Industria se adequando (Sqrrl (roots NSA)) Mas a velha máxima ainda se mantem: FAÇA O BÁSICO, MANTENHA TUDO ATUALIZADO !!!!!
SIEM IN CLOUD TIMES OBRIGADO PELA SEU TEMPO E ATENÇÃO ! linkedin/in/edualves

Recomendados

CLASS 2016 - Rafael Soares
CLASS 2016 - Rafael SoaresCLASS 2016 - Rafael Soares
CLASS 2016 - Rafael SoaresTI Safe
 
CLASS 2016 - Palestra Carlos Mandolesi
CLASS 2016 - Palestra Carlos MandolesiCLASS 2016 - Palestra Carlos Mandolesi
CLASS 2016 - Palestra Carlos MandolesiTI Safe
 
CLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo CardosoCLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo CardosoTI Safe
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoTI Safe
 
CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes TI Safe
 
CLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau BrancoCLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau BrancoTI Safe
 
CLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesCLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesTI Safe
 
Windows 2003 sem suporte: por que você deveria se preocupar
Windows 2003 sem suporte: por que você deveria se preocuparWindows 2003 sem suporte: por que você deveria se preocupar
Windows 2003 sem suporte: por que você deveria se preocuparSymantec Brasil
 

Recomendados

CLASS 2016 - Rafael Soares
CLASS 2016 - Rafael SoaresCLASS 2016 - Rafael Soares
CLASS 2016 - Rafael SoaresTI Safe
 
CLASS 2016 - Palestra Carlos Mandolesi
CLASS 2016 - Palestra Carlos MandolesiCLASS 2016 - Palestra Carlos Mandolesi
CLASS 2016 - Palestra Carlos MandolesiTI Safe
 
CLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo CardosoCLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo CardosoTI Safe
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoTI Safe
 
CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes TI Safe
 
CLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau BrancoCLASS 2016 - Palestra Nicolau Branco
CLASS 2016 - Palestra Nicolau BrancoTI Safe
 
CLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesCLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesTI Safe
 
Windows 2003 sem suporte: por que você deveria se preocupar
Windows 2003 sem suporte: por que você deveria se preocuparWindows 2003 sem suporte: por que você deveria se preocupar
Windows 2003 sem suporte: por que você deveria se preocuparSymantec Brasil
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreiraAntar Ferreira
 
Be Aware Webinar - TECNOLOGIA AVANÇADA PARA DEFENDER O SEU AMBIENTE DE FORMA ...
Be Aware Webinar - TECNOLOGIA AVANÇADA PARA DEFENDER O SEU AMBIENTE DE FORMA ...Be Aware Webinar - TECNOLOGIA AVANÇADA PARA DEFENDER O SEU AMBIENTE DE FORMA ...
Be Aware Webinar - TECNOLOGIA AVANÇADA PARA DEFENDER O SEU AMBIENTE DE FORMA ...Symantec Brasil
 
TOP 5 Desafios na Gestão de Vulnerabilidades
TOP 5 Desafios na Gestão de VulnerabilidadesTOP 5 Desafios na Gestão de Vulnerabilidades
TOP 5 Desafios na Gestão de VulnerabilidadesFlavio Shiga
 
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Symantec Brasil
 
CLASS 2016 - Palestra Rafael Sampaio
CLASS 2016 - Palestra Rafael SampaioCLASS 2016 - Palestra Rafael Sampaio
CLASS 2016 - Palestra Rafael SampaioTI Safe
 
Self Defending Network
Self Defending NetworkSelf Defending Network
Self Defending Networkpaulo.cotta
 
Segurança da informação - Aula 1 - Apresentação da disciplina
Segurança da informação - Aula 1 - Apresentação da disciplinaSegurança da informação - Aula 1 - Apresentação da disciplina
Segurança da informação - Aula 1 - Apresentação da disciplinaCleber Fonseca
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Alexandre Freire
 
Segurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraSegurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraVinícius Schmidt
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
Tdc 2020 gerenciamento de incidente neste novo mundo
Tdc 2020 gerenciamento de incidente neste novo mundoTdc 2020 gerenciamento de incidente neste novo mundo
Tdc 2020 gerenciamento de incidente neste novo mundoFelipe Klerk Signorini
 
Evento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialEvento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialTI Safe
 
Boris Kuszka (Red Hat) - Tecnologias para diminuir o time-to-market
Boris Kuszka (Red Hat) - Tecnologias para diminuir o time-to-marketBoris Kuszka (Red Hat) - Tecnologias para diminuir o time-to-market
Boris Kuszka (Red Hat) - Tecnologias para diminuir o time-to-marketAgile Trends
 
Splunk live produban
Splunk live produbanSplunk live produban
Splunk live produbanSplunk
 
Iasapoa eca eda
Iasapoa eca edaIasapoa eca eda
Iasapoa eca edaGuilherme Elias
 
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...Frederico Garcia Costa
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
 
Dss 3
Dss 3Dss 3
Dss 3Jean Carlos da Silva
 
Estruturando um SaaS Multi-tenant no ecossistema AWS
Estruturando um SaaS Multi-tenant no ecossistema AWSEstruturando um SaaS Multi-tenant no ecossistema AWS
Estruturando um SaaS Multi-tenant no ecossistema AWSmatheuscmpm
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"Symantec Brasil
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Antonio Carlos Scola - MSc
 

Mais conteúdo relacionado

Mais procurados

Be Aware Webinar - TECNOLOGIA AVANÇADA PARA DEFENDER O SEU AMBIENTE DE FORMA ...
Be Aware Webinar - TECNOLOGIA AVANÇADA PARA DEFENDER O SEU AMBIENTE DE FORMA ...Be Aware Webinar - TECNOLOGIA AVANÇADA PARA DEFENDER O SEU AMBIENTE DE FORMA ...
Be Aware Webinar - TECNOLOGIA AVANÇADA PARA DEFENDER O SEU AMBIENTE DE FORMA ...Symantec Brasil
 
TOP 5 Desafios na Gestão de Vulnerabilidades
TOP 5 Desafios na Gestão de VulnerabilidadesTOP 5 Desafios na Gestão de Vulnerabilidades
TOP 5 Desafios na Gestão de VulnerabilidadesFlavio Shiga
 
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Symantec Brasil
 
CLASS 2016 - Palestra Rafael Sampaio
CLASS 2016 - Palestra Rafael SampaioCLASS 2016 - Palestra Rafael Sampaio
CLASS 2016 - Palestra Rafael SampaioTI Safe
 
Self Defending Network
Self Defending NetworkSelf Defending Network
Self Defending Networkpaulo.cotta
 
Segurança da informação - Aula 1 - Apresentação da disciplina
Segurança da informação - Aula 1 - Apresentação da disciplinaSegurança da informação - Aula 1 - Apresentação da disciplina
Segurança da informação - Aula 1 - Apresentação da disciplinaCleber Fonseca
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 

Mais procurados (8)

Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
Be Aware Webinar - TECNOLOGIA AVANÇADA PARA DEFENDER O SEU AMBIENTE DE FORMA ...
Be Aware Webinar - TECNOLOGIA AVANÇADA PARA DEFENDER O SEU AMBIENTE DE FORMA ...Be Aware Webinar - TECNOLOGIA AVANÇADA PARA DEFENDER O SEU AMBIENTE DE FORMA ...
Be Aware Webinar - TECNOLOGIA AVANÇADA PARA DEFENDER O SEU AMBIENTE DE FORMA ...
 
TOP 5 Desafios na Gestão de Vulnerabilidades
TOP 5 Desafios na Gestão de VulnerabilidadesTOP 5 Desafios na Gestão de Vulnerabilidades
TOP 5 Desafios na Gestão de Vulnerabilidades
 
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
 
CLASS 2016 - Palestra Rafael Sampaio
CLASS 2016 - Palestra Rafael SampaioCLASS 2016 - Palestra Rafael Sampaio
CLASS 2016 - Palestra Rafael Sampaio
 
Self Defending Network
Self Defending NetworkSelf Defending Network
Self Defending Network
 
Segurança da informação - Aula 1 - Apresentação da disciplina
Segurança da informação - Aula 1 - Apresentação da disciplinaSegurança da informação - Aula 1 - Apresentação da disciplina
Segurança da informação - Aula 1 - Apresentação da disciplina
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 

Semelhante a Siem on cloud times

Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Alexandre Freire
 
Segurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraSegurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraVinícius Schmidt
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
Tdc 2020 gerenciamento de incidente neste novo mundo
Tdc 2020 gerenciamento de incidente neste novo mundoTdc 2020 gerenciamento de incidente neste novo mundo
Tdc 2020 gerenciamento de incidente neste novo mundoFelipe Klerk Signorini
 
Evento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialEvento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialTI Safe
 
Boris Kuszka (Red Hat) - Tecnologias para diminuir o time-to-market
Boris Kuszka (Red Hat) - Tecnologias para diminuir o time-to-marketBoris Kuszka (Red Hat) - Tecnologias para diminuir o time-to-market
Boris Kuszka (Red Hat) - Tecnologias para diminuir o time-to-marketAgile Trends
 
Splunk live produban
Splunk live produbanSplunk live produban
Splunk live produbanSplunk
 
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...Frederico Garcia Costa
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
 
Estruturando um SaaS Multi-tenant no ecossistema AWS
Estruturando um SaaS Multi-tenant no ecossistema AWSEstruturando um SaaS Multi-tenant no ecossistema AWS
Estruturando um SaaS Multi-tenant no ecossistema AWSmatheuscmpm
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"Symantec Brasil
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Antonio Carlos Scola - MSc
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxpce19791
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMSpark Security
 
Gestão de incidente com Elastic SIEM
Gestão de incidente com Elastic SIEMGestão de incidente com Elastic SIEM
Gestão de incidente com Elastic SIEMElasticsearch
 
Desenvolvedores, a Segurança precisa de vocês
Desenvolvedores, a Segurança precisa de vocêsDesenvolvedores, a Segurança precisa de vocês
Desenvolvedores, a Segurança precisa de vocêsVinicius Oliveira Ferreira
 

Semelhante a Siem on cloud times (20)

Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais Análise de Ameaças Cibernéticas em Protocolos Industriais
Análise de Ameaças Cibernéticas em Protocolos Industriais
 
Segurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraSegurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - Dextra
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015
 
Tdc 2020 gerenciamento de incidente neste novo mundo
Tdc 2020 gerenciamento de incidente neste novo mundoTdc 2020 gerenciamento de incidente neste novo mundo
Tdc 2020 gerenciamento de incidente neste novo mundo
 
Evento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialEvento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrial
 
Boris Kuszka (Red Hat) - Tecnologias para diminuir o time-to-market
Boris Kuszka (Red Hat) - Tecnologias para diminuir o time-to-marketBoris Kuszka (Red Hat) - Tecnologias para diminuir o time-to-market
Boris Kuszka (Red Hat) - Tecnologias para diminuir o time-to-market
 
Splunk live produban
Splunk live produbanSplunk live produban
Splunk live produban
 
Iasapoa eca eda
Iasapoa eca edaIasapoa eca eda
Iasapoa eca eda
 
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
Cloud Native Microservices - Rumo a uma Arquitetura de Microsserviços Nativos...
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
 
Dss 3
Dss 3Dss 3
Dss 3
 
Estruturando um SaaS Multi-tenant no ecossistema AWS
Estruturando um SaaS Multi-tenant no ecossistema AWSEstruturando um SaaS Multi-tenant no ecossistema AWS
Estruturando um SaaS Multi-tenant no ecossistema AWS
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptx
 
Road Show - Arcsight ETRM
Road Show - Arcsight ETRMRoad Show - Arcsight ETRM
Road Show - Arcsight ETRM
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
 
Gestão de incidente com Elastic SIEM
Gestão de incidente com Elastic SIEMGestão de incidente com Elastic SIEM
Gestão de incidente com Elastic SIEM
 
Sophos Central
Sophos CentralSophos Central
Sophos Central
 
Desenvolvedores, a Segurança precisa de vocês
Desenvolvedores, a Segurança precisa de vocêsDesenvolvedores, a Segurança precisa de vocês
Desenvolvedores, a Segurança precisa de vocês
 

Siem on cloud times

  • 1. SIEM IN CLOUD TIMES HOW THE CLOUD AFFECTS AND CHANGES SECURITY OPERATIONS AND SIEM USE
  • 2. SIEM IN CLOUD TIMES - AGENDA • Challenges, motivations and needs • SOC and SIEM • Cloud challenges • The (now) future
  • 3. SIEM IN CLOUD TIMES – ABOUT ME EDUARDO ALVES • Santista • +17 anos no setor • Experience in Security Operations Centers, Cloud Computing, Security Infrastructure, Security Projects and team’s leadership • Led security teams at some major events, such as FIFA’s 2014 World Cup, Rock in Rio and ONU’s RIO+20 conference. Speaker of security conferences Mindthesec. • Has some certifications, like PMP, ISO27001 Lead Auditor, CCSK, Exin CloudF, PaloAlto ACE, MCSO, CobiT, ITIL, Comptia Security+, Fortinet NSE 3, IBM ISS – CA. Linkedin/in/edualves
  • 4. SIEM IN CLOUD TIMES • Challenges, motivations and needs • SOC and SIEM • Cloud challenges • The (now) future
  • 5. CHALLENGES, MOTIVATIONS AND NEEDS ...o que antes eram “AD-HOC”, problemas “pontuais, ex: Worm Melissa Explorava Macro para se auto-enviar para 50 contatos Causou: perda de produtividade ....Comprovadamente, ficou sério: Muita coisa mudou desde Captain Crunch... Com essa evolução tecnológica, houve: + Conectividade + Volumetria + Complexidade + Sofisticação Logo, aumentaram-se muito as possibilidades de exploração
  • 6. CHALLENGES, MOTIVATIONS AND NEEDS E novos modelos “comerciais”
  • 7. CHALLENGES, MOTIVATIONS AND NEEDS • https://www.darkreading.com/perimeter/iot-botnets-by-the- numbers/d/d-id/1330924? Provider OVH atacado por um DDoS de IoT Fonte: Cisco Viabilizados por mais oferta:
  • 8. Fato: Cybersecurity tornou-se foco CHALLENGES, MOTIVATIONS AND NEEDS
  • 9. CHALLENGES, MOTIVATIONS AND NEEDS • Fatos: • Aumento da complexidade, vetores de ataque e “acessibilidade” a ataques • Reconhecimento da importância do tema • Geram necessidades: • Funções de Security Officer, IT Security, Security Analyst, etc, etc para ações pontuais • E com o crescimento, é preciso foco: • Aqui entra o Security Operations Center !
  • 10. SIEM IN CLOUD TIMES • Challenges, motivations and needs • SOC and SIEM • Cloud challenges • The (now) future
  • 11. SOC AND SIEM Funções essenciais de um SOC: 1. Monitorar 2. Reagir a incidentes
  • 13. SOC AND SIEM E TEM O LADO OBSCURO: Socorrista (Bombeiro) Configurar coletores novos, administrar fluxos de logs, normalizar e reorganizar logs de fontes que foram atualizadas.... E ISSO LEVA MUITO TEMPO ! Enquanto isso os incidentes não param ! Tier 1 Tier 2 Tier 3 Tier 4 Faz monitoria, triagem, atende telefone, recebe primeiros tickets, olha caixa abuse e de contato... Atendimentos mais focados (por plataforma/tecnologia/ fabricante) Reagir a Incidentes e casos investigativos ou de maior gravidade (CSIRT apartado em muitos casos) Coordena ações, faz Followup, Revisões de relatórios e relacionamento
  • 14. SOC AND SIEM SIEM – Security Information and Event Management SIM – Security Information Management SEM – Security Event Management
  • 15. SOC AND SIEM Security Devices: FW, AV, IPS, etc Network: Router, Switch, VPN Servers: OS, Webserver, AppServ Mobile/Cloud Syslog, WMI, coletor nativo, ODBC, SFTP e outros 1. COLETA 3. Agregação 4. Engine Central: Console de gestão, dashboard, Reporting, Alarmes/alertas, correlações, Thread Intelligence 5. Archive 2. Normalização Pesquisas básicas, busca de logs recentes, coleta de dados preliminares, etc
  • 16. SOC AND SIEM Devices SIEM Regras de correlação: https://otx.alienvault.com/ Thread Intelligence ex: Indicators of Compromisse – IOC’s • Alertar um Scanneamento | Fontes: IDS ou IPS ou Endpoint, Alvo, IP Origem • Múltiplas sessões TCP parcialmente abertas | Fontes: Webserver, Router, switch ou Firewall, IP Origem • Consultas internas/externas ou externas/internas a porta UDP 67 e IP não está na listagem de IP’s oficiais – (DHCP fake) | Fonte: DHCP, Firewall, router ou switch Fonte: alienvault
  • 17. SIEM IN CLOUD TIMES • Challenges, motivations and needs • SOC and SIEM • Cloud challenges • The (now) future
  • 19. CLOUD CHALLENGES • Qual o desafio para a TI/Security ? • Provedores oferecem soluções para viabilizar negócios de forma mais rápida e mais barata • Mas estão em datacenters em qualquer local do mundo, os dados podem estar replicados em qualquer parte (PII)
  • 20. CLOUD CHALLENGES Compliance ? Resposta a incidentes ? Desconhecimento de aplicações e usos ? WhatsApp, office365, Google Docs.... A formas seguras de se usar Cloud... Responsabilidades: Fonte: https://pen-testing.sans.org/blog/2012/07/05/pen-testing-in-the-cloud
  • 23. CLOUD CHALLENGES Security Devices: FW, AV, IPS, etc Network: Router, Switch, VPN Servers: OS, Webserver, AppServ Mobile/Cloud Syslog, WMI, coletor nativo, ODBC, SFTP e outros + FATOR LINK E CONECTIVIDADE COLETOR Agregador e Normalizador Engine Central: Console de gestão, dashboard, Reporting, Alarmes/alertas, correlações, Thread Intelligence Archive Offprimise, everywhere !
  • 24. CLOUD CHALLENGES IaaS • Agent • Syslog • Sftp PaaS • App/runtime • API SaaS • API SIEM – CLOUD desafios na coleta:
  • 25. CLOUD CHALLENGES 1. Data breaches 2. Insufficient identity, credential, and access management 3. Insecure interfaces and application programming interfaces (APIs) 4. System vulnerabilities 5. Account hijacking 6. Malicious insiders 7. Advanced persistent threats (APTs) 8. Data loss 9. Insufficient due diligence 10. Abuse and nefarious use of cloud services 11. Denial of service (DoS) 12. Shared technology vulnerabilities https://downloads.cloudsecurityalliance.org/assets/research/top-threats/treacherous-12-top-threats.pdf
  • 26. SIEM IN CLOUD TIMES • Challenges, motivations and needs • SOC and SIEM • Cloud challenges • The (now) future
  • 27. THE (NOW) FUTURE Fonte: https://www.rightscale.com/blog/cloud-industry-insights/cloud-computing-trends-2018-state-cloud-survey
  • 28. THE (NOW) FUTURE Microserviço, imagem tudo embarcado Características de autoscaling, tende a ser elástico e perder rastreabilidade Logs dinâmicos -> desafio de centralizar logs Cababilities -> DDoS Uso desenfreado de API’s https://blog.docker.com/2016/09/4-biggest-questions-docker-vmworld-2016/ Docker: Microserviços / DevOps
  • 29. THE (NOW) FUTURE Tier 1 Tier 2 Tier 3 Tier 4 Faz monitoria, triagem, atende telefone, recebe primeiros tickets, olha caixa abuse e de contato... Atendimentos mais especializados (por plataforma/tecnologia/ fabricante) Resposta a Incidentes e casos investigativos ou de maior gravidade Coordena ações, faz Followup AUTOMAÇÃO Detecção, busca de informações preliminares Followups, maiores dados e rapidez na resposta Referências e casos de soluções para a tomada de decisão Melhorar a detecção e reação
  • 30. THE (NOW) FUTURE • AI – tomada de decisão, minerar informações, automação • Machine Learning - auxilio a detecção e analise != regras de correlação • New Skills for Security Staff • Industria se adequando (Sqrrl (roots NSA)) Mas a velha máxima ainda se mantem: FAÇA O BÁSICO, MANTENHA TUDO ATUALIZADO !!!!!
  • 31. SIEM IN CLOUD TIMES OBRIGADO PELA SEU TEMPO E ATENÇÃO ! linkedin/in/edualves