Splunk live produban

884 visualizações

Publicada em

0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
884
No SlideShare
0
A partir de incorporações
0
Número de incorporações
19
Ações
Compartilhamentos
0
Downloads
27
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Splunk live produban

  1. 1. Copyright © 2014 Splunk Inc. O9mizando a resposta a incidentes Marcello Zillo Neto -­‐ Gerente Execu9vo
  2. 2. 2 Marcello Zillo Neto Gerente Execu9vo • Tecnologias de Segurança. • Arquitetura de Segurança. • A Produban é uma empresa de tecnologia que atende mais de 120 empresas, com mais de 5.500 profissionais localizados em 9 países:
  3. 3. 3 Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk ? " Casos de uso 1 -­‐ Make it simple, make it work 2 – Automação de Resposta a incidentes 3 – Detecção Avançada de Malwares 4 – Padronizando e o9mizando o CSIRT " O futuro, próximos passos
  4. 4. 4 Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk ? " Casos de uso 1 -­‐ Make it simple, make it work 2 – Automação de Resposta a incidentes 3 – Detecção Avançada de Malwares 4 – Padronizando e o9mizando o CSIRT " O futuro, próximos passos
  5. 5. 5 SIEM ou BIG Data – Dores Reais 2010 2012 2013 • SIEM de outro Fabricante X já era u9lizado. • Volume médio de 60.000 EPS. • Problemas latentes. • Performance. • Indisponibilidade. • Perda de alertas. • Limitação de crescimento. • Dificuldade na customização e criação de alertas. • Necessidade de crescimento correlacionando outras plataformas. • Decisão estratégica de aumentar inves9mento em: By 2020, 60% of enterprise information security budgets will be allocated to rapid detection and response approaches — up from less than 10% in 2014. Source: Gartner (February 2014) • Definição de Requisitos -­‐ Precisamos algo maior que um simples SIEM para os próximos 5 anos. • Execução de PoCs com duas novas Tecnologias. Fabricante Y • Decisão X e implementação do Splunk. • Mindset – mudança de postura do 9me de segurança.
  6. 6. 6 Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk? " Casos de uso 1 -­‐ Make it simple, make it work 2 – Automação de Resposta a incidentes 3 – Detecção Avançada de Malwares 4 – Padronizando e o9mizando o CSIRT " O futuro, próximos passos
  7. 7. 7 Por que Splunk? 2013 PoC (2 meses) 30.000 EPS, mesmas plataformas enviando logs, mesmos alertas , mesmo 9me. Fabricante Y • Indisponibilidades (mais de 10). • Busca por registros. • 10 vezes mais lenta. • Hardware. • Dobro de máquinas. • Alto esforço H/H para manutenção / operação. • Necessidade de criação ou customização de conectores (engessado). • Nenhuma indisponibilidade. • Busca por registros. • 100 x mais rápido que Fabricante X. • 10 x mais rápido que Fabricante Y. • Hardware. • 1/3 em relação ao Fabricante X. • 1/2 em relação do Fabricante Y. • Baixo esforço H/H para manutenção / operação. • Agilidade integração / alertas ( s/ conectores).
  8. 8. 8 Por que Splunk? 2013 PoC (2 meses) Você não precisa de milhões de alertas e Dashboards, muita informação só atrapalha Minerar alertas, customizados e “certeiros”. • Criar seus alertas e inteligência leva tempo mas é compensador. • Tratar somente o que interessa. Fabricante Y Milhões de regras e alertas pré-­‐configurados. • Você realmente precisa disso ? • Tem headcount para tratar ?
  9. 9. 9 Por que Splunk? Deploy 2014 • Fase 1 foi executada em 3 meses, integrando 7 Tecnologias. • As duas fases seguintes já estão em execução e devem integrar mais 12 Tecnologias. Windows Servers An9malware Network Plarorms IPS Security Intelligence Feeds Proxy An9spam Ac9ve Directory Fase1 Foco principal – Detecção de Malwares e comportamentos anômalos. 60 Alertas
  10. 10. 10 Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk ? " Casos de uso 1 -­‐ Make it simple, make it work 2 – Automação de Resposta a incidentes 3 – Detecção Avançada de Malwares 4 – Padronizando e o9mizando o CSIRT " O futuro, próximos passos
  11. 11. 11 Make it simple, make it work " Alertas baseados em eventos dos ADs. APP (próprio) para monitoração de a9vidades no AD com alertas e Dashboard em tempo real. AD-­‐001 Não autorizado Autorizados (Segurança)
  12. 12. 12 Make it simple, make it work " Alertas baseados no comportamento de navegação de usuários APP (próprio) para monitoração de a9vidades de navegação de usuários. PRX-­‐001
  13. 13. 13 Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk ? " Casos de uso 1 -­‐ Make it simple, make it work 2 – Automação de Resposta a incidentes 3 – Detecção Avançada de Malwares 4 – Padronizando e o9mizando o CSIRT " O futuro, próximos passos
  14. 14. 14 Automação de Resposta a Incidentes " Com o Splunk é possível consumir diversos Feeds de Segurança públicos e privados rapidamente. Feeds de Inteligência privados Feeds de Inteligência públicos Feeds Internos CSIRT / e-­‐mails Feeds de Segurança • Muita informação • Hashes • Endereços IP • URLs Maliciosas • Arquivos Maliciosos • C&C • Novos vetores de ataque
  15. 15. 15 Automação de Resposta a Incidentes Informação sem ação não gera inteligência Informação + Ação = Inteligência
  16. 16. 16 Automação de Resposta a Incidentes " Muita informação sem ação não vale nada… Feeds de Inteligência privados Feeds de Inteligência públicos Feeds de Segurança • Hashes • Endereços IP • URLs Maliciosas • Arquivos Maliciosos • C&C • Novos vetores de ataque Feeds Internos CSIRT / e-­‐mails Barramento de automação IPS Proxy An9malware Regras pré-­‐definidas
  17. 17. 17 Automação de Resposta a Incidentes " Algumas estazs9cas de um mês -­‐ 230 incidentes evitados Feeds de Inteligência privados Feeds de Inteligência públicos Feeds Internos CSIRT / e-­‐mails Feeds de Segurança 2.361 1.165 200 350 4.076 20.380 min. 339 h. 21 dias (2 pessoas) Tratamento manual 8.152 seg. 2.26 h. 15 dias (1 des.) Barramento de automação
  18. 18. 18 Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk ? " Casos de uso 1 -­‐ Make it simple, make it work 2 – Automação de Resposta a incidentes 3 – Detecção Avançada de Malwares 4 – Padronizando e o9mizando o CSIRT " O futuro, próximos passos
  19. 19. 19 Detecção Avançada de Malwares " A integração do Splunk com plataformas de An9malware proporciona maior rapidez na deteção e resposta a ataques, facilitando iden9ficação de estações, usuários e possíveis ambientes afetados. Dashboards e buscas poderosas agilizando a resposta do CSIRT.
  20. 20. 20 Padronizando e O9mizando o CSIRT " A u9lização do Splunk como plataforma de geração de alertas possibilitou a padronização da operação do SOC e do CSIRT, permi9ndo ganho de escala e eficiência. Plataformas de Segurança Regras Time Monit. Seg. CSIRT Time de Forense FLUXO DE TRABALHO – SOC / CSIRT Logs Alertas Time Arq. Seg. Execu9vos
  21. 21. 21 Padronizando e O9mizando o CSIRT APP (próprio) para acompanhamento de alertas e resposta a incidentes e tempo real. Temos 10 APPs próprios desenvolvidos em 6 meses
  22. 22. 22 Padronizando e O9mizando o CSIRT " Além da eficiência a u9lização do Splunk permi9u ao CSIRT da Produban. – Padronizar mais de 150 alertas e automa9zar mais de 20% das ações de resposta. – Alterar o mindset do 9me de segurança -­‐ Go Hun5ng. – Detectar e responder mais eventos por H/H. – O9mizar nosso tempo de resposta e análise forense para eventos mais complexos (nosso tempo de resposta para casos complexos diminui em cerca de 5 vezes). – Peça chave para sairmos de uma postura mais preven9va, colocando mais esforços na detecção e resposta como planejado em 2012.
  23. 23. 23 Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk ? " Casos de uso 1 -­‐ Make it simple, make it work 2 -­‐ CSIRT Automa9on 3 -­‐ Advanced Malware Detec9on 4 – Padronizando e o9mizando o CSIRT " O futuro, próximos passos
  24. 24. 24 Futuro e Próximos Passos " Finalização das Fases 2 e 3 do Projeto -­‐ 12 Tecnologias. – Mais Licenças -­‐ Splunk J. " Expansão para áreas além de IT Security. – Splunk -­‐ J. " O9mização dos logs recebidos e tratados -­‐ remoção de lixo. – Melhor uso das licenças -­‐ Produban J. " Aumento da capacidade de automação de respostas – Barramento de automação. " Intensificar o Modelo de “Fábrica para geração de regras”.
  25. 25. Se vocês esqueceram de tudo o que eu disse… 25 Postura Preven9va Postura Detecção e Resposta GAP
  26. 26. Thank You

×