Xelere - IBM Security QRadar
0 recomendaciones1,063 vistas
La solución IBM QRadar proporciona inteligencia de seguridad mediante el análisis en tiempo real de datos de usuarios, aplicaciones e infraestructura para detectar amenazas y reducir riesgos. QRadar ofrece visibilidad integral, correlación avanzada y capacidades de detección de anomalías para combatir ataques cada vez más sofisticados en un entorno con recursos limitados.
Xelere - IBM Security QRadar
- 2. Agenda Situación actual Seguridad Inteligente Solución QRadar Evolución de la Solución Integración y competencia
- 3. Situación Actual: Estamos en una era de ataques constantes Fuente: IBM X-Force® Research 2013 Trend and Risk Report Sofisticación en Operación IBM X-Force declaró Año de las brechas de seguridad Fugas de información sensible Incremento del 40% en incidents de información Ataques múltiples y nuevos métodos 500,000,000+ incidentes tienden a aumentar 2011 2012 2013 SQL injection Spear phishing DDoS Third-party software Physical access Malware XSS Watering hole Undisclosed Attack types Note: Size of circle estimates relative impact of incident in terms of cost to business.
- 4. Evolución de ataques Soluciones Complejas Recursos Reducidos • Gran incremento en la cantidad de ataques. • Ataques cada vez más sofisticados. • Considerable aumento de la cantidad de malware. • Brechas de seguridad diarias. • Permanentes cambios en la infraestructura tecnológica. • Múltiples soluciones de diferentes proveedores. • Soluciones no integradas complicadas de administrar. • Herramientas insuficientes • Nuevos retos para el equipo de seguridad. • Dificultad a la hora de encontrar personal calificado. • Nuevas demandas de monitoreo y auditorías. Backdoors Persistentes Spear Phishing Malware Dirigido Situación actual: Retos del área de Seguridad
- 6. Seguridad Inteligente: Definición Seguridad Inteligente --sustantivo 1. La recolección, normalización y análisis en tiempo real de los datos generados por los usuarios, aplicaciones e infraestructura que impactan en la TI y en la postura de seguridad de una oranización. 2. Un enfoque completo para la defensa de los activos críticos de una organización, propiedad intelectual y datos privados, con capacidad de detección de anomalías, que permite realizar actividades preventivas de gestión de riesgo y vulnerabilidades. Brindar información accionable y completa para gestionar los riesgos y combatir las amenazas. La detección provee información para la mitigación y remediación
- 7. Seguridad Inteligente: Preguntas clave
- 9. Solución QRadar: Pilares de la plataforma
- 10. Inteligencia integrada que identifica automáticamente las ofensas
- 11. Capacidad para realizar análisis forense sobre incidentes
- 12. Arquitectura integrada en una única consola web
- 13. Generación de ofensas que ayudan a prevenir y remediar incidentes
- 14. Fácil de administrar e implementar
- 15. Arquitectura escalable y modular
- 16. Evolución de la Solución
- 17. Evolución basada en las necesidades de los clientes
- 20. Pieza central de todas las soluciones del portafolio de seguridad
- 21. Solución completa que permite reducir costos y aumentar visibilidad
- 22. Inteligente, integral y automatizada con capacidades únicas
- 23. !Muchas Gracias!
- 25. Seguridad para ataques dirigidos o avanzados
- 27. “Look and feel” de la herramienta
- 28. Identificar amenazas Potencial Botnet detectada Eso es lo máximo que un SIEM tradicional podría mostrar Tener visibilidad de capa de Aplicació permite detetar amenzas que otros sistemas no advertirían IRC en puerto 80 IBM Security QRadar QFlow detecta un canal encubierto Confirmación de Botnet Flujo de capa 7 contiene commandos de control e instrucción de botnet
- 29. Consolidar fuentes de datos Analizando datos de flujos y eventos Solo IBM Security QRadar utiliza flujos de capa 7 Reducción de datos 1153571 : 1Data Reduction Ratio Correlación avanzada Analizando diferentes fuentes Gran cantidad de fuentes de datos Inteligencia Información extremadamente precisa y accionable+ =
- 30. Cumplir con regulaciones Tráfico sin cifrado • IBM Security QRadar QFlow detecta un servicio de texto plano corriendo en un servidor PCI • El Requerimiento 4de PCI dicta: Cifrar la trasmisión de datos de titulares de tarjetas de crédito en redes públicas o privadas. Simplificación del cumplimiento Out-of-the-box support for major compliance and regulatory standards, automated reports, pre-defined correlation rules and dashboards Cumplimiento PCI en riesgo? Detección en tiempo real de violación de la norma
- 31. Detectar fraude interno Potencial robo de datos ¿Quién? ¿Qué? ¿Dónde? Detección de amenzas en la era “post-perímetro” User anomaly detection and application level visibility are critical to identify inside threats ¿Quién? Usuario interno ¿Qué? Datos de Oracle ¿Dónde? Gmail
- 32. Mejorar la detección de riesgos ¿Cuáles son los detalles? Información detallada de vulnerabilidades, ordenadas según el riesgo. ¿Cómo remedio la vulnerabilidad? Información accionable previa a la explotación Monitoree la red para detector riesgos asociados a configuraciones o falta de cumplimiento. Sea capaz de priorizar la mitigación de estos riesgos. ¿Qué activos son afctados? ¿Cómo debo priorizar la mitigación?
- 33. Monitorear la configuración de dispositivos de red Encontrar las Brechas antes que sus adversarios Visibilidad total y monitoreo continuo Encontrar dispositivos con configuraciones riesgosas Utilizando el conocimiento del tráfico de red y vulnerabilidades. Evaluar rápidamente el tráfico riesgoso y profundizar
- 34. Detectar comportamiento anómalo “Information security is becoming a big data and analytics problem. ...Some of the most sophisticated attacks can only be found with detailed activity monitoring to determine meaningful deviations from ‘normal’ behavior.” Neil MacDonald, Gartner, June 2012 Reportar tráfico de una dirección IP perteneciente a un país que no posee acceso remoto. Detección de anomalías capaz de identificar discrepancias significativas utilizando reglas o el umbrales previamente definidos.
- 35. Analizar flujos de red • El tráfico de red no miente. Un atacante puede borrar logs, pero no puede detener el tráfico generado en la red (flujos de datos). – Inspección de paquetes en capa 7 Ganar visibilidad de tráfico de red para detector comportamientos anómalos que de otra manera pasarían desapercibidos.
- 36. Monitorear la actividad de usuarios Integración con Identity y Access Management Conocimiento de los roles de usuarios y grupos a los que pertenece Visibilidad completa en la punta de sus dedos Usuarios, eventos, flujos, todo disponible para profundizar. Detectar actividad sospechosa ¿Por qué un usuario con privilegios se conecta desde un dispositivo externo?