inteligencia de seguridad en tiempo real para aumentar la
TRANSCRIPT
Inteligencia de seguridad en tiempo real para aumentar la visibilidad y mejorar la protección de los activos de información
Informe oficialSentinel
Índice página
Gestione los registros sin esfuerzos y obtenga la información procesable que necesita para mejorar a adopción de medidas de seguridad de su empresa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1Supervisión de la actividad del usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2Una solución flexible, ampliable y fácil de implantar . . . . . . . . . . . . . . . . . . . . . . .3Informes adaptados al destinatario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4Detección eficaz de anomalías . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4Cómo puede ayudarle NetIQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6Conclusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8Acerca de NetIQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
1www.netiq.com
Gestione los registros sin esfuerzos y obtenga la información procesable que necesita para mejorar a adopción de medidas de seguridad de su empresaLas empresas están realizando sus actividades de nuevas maneras, gracias a nuevas tecnologías informáticas como la virtualización, el cloud computing y la movilidad, que están cambiando el modo en que los usuarios interactúan con la información y entre sí.
A medida que la empresa aumenta su nivel de interconexión y distribución, se incrementa su
agilidad; pero los especialistas en seguridad de la información hacen frente a desafíos nuevos
relacionados con el mantenimiento de una seguridad y controles de supervisión eficaces.
Con el objetivo de cumplir los requisitos de conformidad, seguramente ya ha implantado una
herramienta para recopilar y gestionar registros, pero ¿le proporciona información y análisis
en tiempo real sobre los eventos de seguridad? ¿Puede eliminar la complejidad de la gran
cantidad de datos de seguridad generados y obtener la visibilidad que necesita para aplicar
controles continuos basados en directivas y hacer frente a las crecientes amenazas cada vez
más sofisticadas?
Incluso puede darse el caso de que su herramienta de gestión de registros no cumpla por
completo los requisitos de conformidad: las normas de conformidad están cambiando,
2
Informe oficialInteligencia de seguridad en tiempo real para aumentar la visibilidad y mejorar la protección de los activos de información
y con frecuencia no basta con recopilar registros. Para reducir el riesgo de no superar una
auditoría, necesitará elaborar informes que le ayuden a revisar anomalías y demostrar que
lleva a cabo dichas revisiones frente a auditores cada vez más meticulosos.
Supervisión de la actividad del usuarioDe acuerdo con el informe de investigación de Verizon de 2011 sobre vulneraciones de la
seguridad informática, el 86 % de las empresas que sufrieron una vulneración no lo supieron
hasta que se les comunicó por medios externos (por lo general, un organismo encargado
del cumplimiento de la ley). De este porcentaje de empresas, un 70 % disponía de datos
suficientes en sus archivos de registro para prevenir la vulneración, pero dicha información
pasó desapercibida. Es evidente que, aun cuando las empresas recopilan los datos
adecuados, tienen serios problemas para interpretarlos con la suficiente antelación,
en el mejor de los casos .
Cuando se trata de información de seguridad y gestión de eventos, las personas son a
menudo el eslabón débil, especialmente cuando predominan los procesos manuales. Buscar
manualmente en los registros para identificar eventos de seguridad consume mucho tiempo
y a menudo no proporciona la inteligencia de seguridad suficiente para adoptar medidas
concretas .
Cuanto más se tarde en encontrar una vulneración, más tiempo tiene el atacante para
aprovecharse de un punto débil. Incluso cuando detecta un aviso, ¿puede identificar de
dónde procede, o quién está comprometiendo su seguridad? ¿Y puede hacerlo con la
suficiente rapidez para identificar problemas que se estén produciendo en tiempo real?
En un entorno en el que tanto los presupuestos como el personal de los equipos no crecen
(cuando no se recortan), su empresa debe trabajar de manera más eficiente para maximizar
todos sus recursos. Cuantos más aspectos de información de seguridad y gestión de eventos
pueda automatizar —el seguimiento, la correlación e incluso la corrección, por ejemplo—
más rápidamente detectará y resolverá anomalías, y más tiempo y esfuerzo podrá dedicar
su equipo a investigar problemas reales .
Más aún, si puede asociar la información de seguridad y la gestión de eventos con las
posibilidades de supervisión de la actividad de usuarios, podrá vincular a los usuarios a
acciones específicas realizadas en diferentes sistemas. Esto simplificará en gran medida la
conformidad. Por otro lado, cuanto más visual sea el modo en que presenta la información,
más fácil será para todos entenderla, ya sean especialistas o no.
Cuando se trata de información de seguridad y gestión de eventos, las personas son a menudo el eslabón débil, especialmente cuando predominan los procesos manuales.
3www.netiq.com
Una solución flexible, ampliable y fácil de implantar
En el mercado existen muchas herramientas de gestión de registros, incluidas algunas
gratuitas. Pero si la herramienta que utiliza solamente sirve para gestionar registros, y usted
busca proteger su empresa, deberá contar con otras herramientas o software para incorporar
funciones de seguridad adicionales. Por desgracia, esto puede causar trastornos en la
actividad empresarial o dar lugar a problemas de implantación o integración . Si su entorno
tecnológico o su modelo operativo está cambiando, es posible que una herramienta estática
o poco flexible no se adapte a sus necesidades empresariales en evolución. Asimismo, puede
ser incapaz de afrontar nuevos tipos de amenazas y posibles vulnerabilidades, o superar
los retos que plantean la gestión y el acceso de usuarios con privilegios. Idealmente, usted
implementará una única solución que proporcione tanto prestaciones de gestión de registros
como gestión de la información y los eventos de seguridad (SIEM), lo que aporta inteligencia
y visibilidad en tiempo real sobre sus sistemas empresariales, y facilita la neutralización de
amenazas de seguridad, mejora las operaciones y aplica controles mediante directivas.
Si su entorno tecnológico o modelo operativo están cambiando, es posible que una herramienta estática o poco flexible no se adapte a sus necesidades empresariales en continua evolución.
fig. 1
La supervisión de la actividad del usuario vincula a los usuarios con acciones específicas aunque tengan lugar en diferentes sistemas.
4
Informe oficialInteligencia de seguridad en tiempo real para aumentar la visibilidad y mejorar la protección de los activos de información
Informes adaptados al destinatario
Generar informes adecuados para diferentes partes del negocio es esencial para garantizar
que se comprenden claramente los riesgos y las amenazas, y para satisfacer los requisitos
de conformidad y auditoría. Si su empresa utiliza una simple herramienta de gestión
de registros, la tarea de generación de informes puede desbordarle. Recopilar los datos,
exportarlos a una aplicación como Microsoft Excel para interpretarlos y, a continuación,
presentar la información visualmente empleando una aplicación como Microsoft PowerPoint
es un proceso tedioso y propenso a errores .
Con una herramienta más sofisticada, puede generar informes fácil y rápidamente —en
algunos casos en cuestión de segundos— mediante plantillas predefinidas que brindan
multitud de posibilidades de formato gráfico. Puede incluir la información jerarquizada de
modo que se adapte a todos los destinatarios, como, por ejemplo, información del máximo
nivel resumida para los directores de riesgo (CRO) y directores de seguridad (CSO), y
existe la posibilidad de ampliar el detalle de los datos para conocer información y pruebas
asociadas a los eventos notificados, así como datos comparativos o históricos donde proceda.
No solo ahorrará tiempo y reducirá el riesgo de errores, sino que también será capaz de
presentar la información de un modo más claro y accesible que satisfará a sus diferentes
destinatarios. Además, al mostrar el ahorro de tiempo y dinero conseguido con las potentes
funciones de búsqueda e información dinámica, puede demostrar rápidamente el retorno
de la inversión que ha logrado respecto a las implantaciones manuales o tácticas previas de
gestión de registros .
Detección eficaz de anomalías
A menudo es difícil identificar si un evento representa un problema potencial o real que
requiere ser investigado. Después de todo, hay anomalías que no están asociadas a una
amenaza o vulneración de la seguridad. Por ejemplo, si una tarde concreta el número de
inicios de sesión aumenta repentinamente, perturbando el patrón normal, puede explicar
fácilmente el pico anómalo basándose en ciclos conocidos de operaciones empresariales y
los sistemas relacionados con ellos . Dicho pico puede deberse a que los socios han accedido
a una aplicación de seguimiento de ventas, lo que hacen solamente el último día de cada
trimestre fiscal.
Una vista unidimensional de la desviación respecto de la línea de referencia no ofrecerá la
inteligencia de seguridad necesaria para ayudarle a identificar problemas reales. Necesita
una herramienta capaz de recopilar eventos e identificar automáticamente incoherencias
en el entorno de su empresa, sin crear reglas de correlación que le exigen determinar
exactamente qué es lo que busca.
Al mostrar el ahorro de tiempo y dinero conseguido con las potentes funciones de búsqueda e información dinámica, puede demostrar rápidamente el retorno de la inversión que ha logrado respecto a las implantaciones manuales o tácticas previas de gestión de registros.
5www.netiq.com
La herramienta que elija debe permitirle analizar anomalías desde un número virtualmente
ilimitado de perspectivas, y proporcionarle la capacidad de examinar una anomalía
basándose en cualquier combinación de atributos y períodos de tiempo. Esto le dotará de
la flexibilidad y el control que necesita para buscar los patrones de eventos y las relaciones
de causa-efecto que podrían indicar una desviación de la norma, además de ayudarle a
determinar la naturaleza exacta de una amenaza.
Podría, por ejemplo, percatarse de la siguiente secuencia: Un administrador crea una
cuenta de usuario con privilegios que, inmediatamente, se utiliza para acceder a un servidor
concreto y copiar información desde él a un dispositivo de almacenamiento externo. En
cuanto se cierra la sesión, la cuenta se borra y los registros correspondientes se eliminan
del servidor de archivos. Con esta inteligencia de seguridad, estará mejor informado: puede
ver de manera más rápida y sencilla el patrón que apunta a una anomalía, sin necesidad de
correlacionar manualmente las series de eventos. Y, por tanto, puede ponerse a investigar lo
ocurrido con mayor rapidez .
_______________________________________________________________
La herramienta que elija debe permitirle analizar anomalías desde un número virtualmente ilimitado de perspectivas y proporcionarle la capacidad de examinar una anomalía basándose en cualquier combinación de atributos y períodos de tiempo.
fig. 2
La consola de seguridad pone a su alcance datos de inteligencia procesables y en tiempo real.
6
Informe oficialInteligencia de seguridad en tiempo real para aumentar la visibilidad y mejorar la protección de los activos de información
Idealmente, su herramienta le proporcionará métodos visuales y automatizados para el
análisis de anomalías. Un método visual, como una consola, le ayuda a analizar líneas
de referencia y tendencias mediante la búsqueda de picos y valles en la actividad y
comparándolos con el modelo de comportamiento normal. Al poder visualizar datos
históricos y en tiempo real, será capaz de generar una mayor inteligencia de seguridad, tanto
si se trata de recrear el estado histórico del sistema en el momento en que tuvo lugar una
anomalía concreta, como entender el modo en que su postura respecto de la seguridad y la
conformidad evoluciona con el tiempo .
Con toda la eficacia del análisis visual, su potencia se ve reforzada al complementarla
con una herramienta de detección automatizada de anomalías que le proporciona mayor
profundidad, flexibilidad y alcance en la identificación de desviaciones.
Cuando la herramienta detecta un evento que se desmarca de la actividad normal, genera
instantáneamente una alerta en tiempo real que notifica a un especialista de seguridad
la necesidad de intervenir. Incluso podrá configurar esta herramienta para iniciar
automáticamente un proceso de corrección acorde con sus procesos internos, como
desactivar la cuenta del usuario .
Cómo puede ayudarle NetIQ
NetIQ comprende la importancia que supone —y los retos que plantea— obtener la
inteligencia de seguridad en tiempo real que permita a las empresas mejorar sus posturas
generales de seguridad y tomar decisiones mejor fundadas .
Las soluciones SIEM tradicionales que proporcionan funciones avanzadas suelen ser muy
complejas. Para obtener una mayor rentabilidad de las posibilidades que brinda SIEM, los
clientes necesitan soluciones sencillas de usar e implantar, que se adapten rápidamente a sus
entornos en continua evolución y que proporcionen información de inteligencia verdadera
y procesable —la información adecuada, en el momento preciso y a los destinatarios que
corresponda— para poder identificar y resolver las amenazas a la seguridad.
NetIQ® Sentinel™ 7 ofrece una gama completa de funciones SIEM que elimina la
complejidad introducida por otros kits de herramientas SIEM y maximiza la capacidad del
equipo de seguridad para alinear SIEM con las necesidades de la empresa .
NetIQ Sentinel 7 ofrece una gama completa de funciones SIEM que elimina la complejidad introducida por otros kits de herramientas SIEM y maximiza la capacidad del equipo de seguridad para alinear SIEM con las necesidades de la empresa.
7www.netiq.com
NetIQ Sentinel 7 combina la gestión de registros con la gestión SIEM en una misma solución
unificada. Proporciona a las organizaciones visibilidad en tiempo real en el espectro
completo de las actividades de TI para mitigar las amenazas a la seguridad, mejorar las
operaciones de seguridad y aplicar automáticamente controles mediante directivas a través
de entornos físicos, virtuales y de nube.
Además, proporciona a las organizaciones una solución SIEM más eficiente mediante
la combinación de inteligencia en tiempo real, detección de anomalías y capacidades de
supervisión de la actividad del usuario, para proporcionar un mecanismo de alerta temprana
y una evaluación más precisa de las actividades de TI. Y puesto que su instalación y uso
revisten menor complejidad de lo que es habitual en sistemas SIEM, pone la inteligencia de
seguridad al alcance de todas las empresas .
_______________________________________________________________
Puesto que su instalación y uso revisten menor complejidad de lo que es habitual en sistemas SIEM, Sentinel pone la inteligencia de seguridad al alcance de todas las empresas.
TIEMPO REAL
Consola de inteligencia de seguridad
Creación y prueba de la función de correlación de seguridad
Motor de correlación
Motor de detección de anomalías
CONTEXTO
Datos de identidadInformación de activosInformación de vulnerabilidad
BUS DE MENSAJES Eventos
BUSCAR
ALMACÉNDE
EVENTOS
Cortafuegos Aplicaciones Sistemasoperativos
Sistemas de gestión de identidades
IPS Escáner de vulnerabilidades
fig. 3
Los componentes clave de la arquitectura de NetIQ Sentinel proporcionan las prestaciones de inteligencia y visibilidad en tiempo real de eventos de TI que necesitan las empresas.
8
Informe oficialInteligencia de seguridad en tiempo real para aumentar la visibilidad y mejorar la protección de los activos de información
NetIQ Sentinel ofrece una perfecta integración con la gestión de identidades para vincular
a los usuarios a actividades específicas a través de todos los entornos. Como resultado, es
más fácil identificar los riesgos graves, acelerar significativamente la velocidad de reacción y
solucionar rápidamente las amenazas e infracciones de seguridad antes de que afecten a la
actividad de la empresa .
Conclusión
Con una solución sencilla y potente de gestión de registros y SIEM como NetIQ Sentinel,
obtendrá la inteligencia de seguridad que necesita para cumplir con los requisitos de
conformidad y proteger mejor su empresa. Podrá hacer un mejor uso del tiempo y los
recursos, mediante procesos automatizados que evitarán al personal de seguridad tener que
realizar tediosas tareas manuales y les permitirán concentrarse en aspectos verdaderamente
importantes. Además, podrá proporcionar a las partes interesadas de su empresa informes
gráficos que les permitirán entender el planteamiento de seguridad de la empresa y confiar
plenamente en las actividades de su equipo .
Acerca de NetIQ
NetIQ es una compañía mundial de software para empresas de TI con un enfoque intensivo
en el éxito del cliente. Los clientes y partners eligen NetIQ para afrontar de manera rentable
los retos que plantea la protección de la información y para gestionar la complejidad y el
dinamismo de los entornos de aplicaciones con un alto grado de distribución .
Nuestra cartera de productos incluye soluciones automatizadas de identidad, seguridad y
control, además de gestión de operaciones de TI, para ayudar a las empresas a ofrecer, medir
y gestionar servicios informáticos de forma segura a través de entornos físicos, virtuales
y de nube. Estas soluciones y nuestro enfoque práctico enfocado al cliente para resolver
desafíos persistentes de TI, garantizan que las empresas sean capaces de reducir el gasto, la
complejidad y el riesgo .
Para obtener más información acerca de nuestras reconocidas soluciones de software, visite
www.netiq.com
Los clientes y partners eligen NetIQ para afrontar de manera rentable los retos que plantea la protección de la información y para gestionar la complejidad y el dinamismo de los entornos de aplicaciones con un alto grado de distribución.
562-ES1009-003 | Q | 06/16 | © 2016 NetIQ Corporation y sus filiales. Reservados todos los derechos. NetIQ, el logotipo NetIQ y Sentinel son marcas comerciales o marcas comerciales registradas de NetIQ Corporation en Estados Unidos. Los demás nombres de compañías y productos pueden ser marcas comerciales de sus respectivos propietarios.
www.netiq.com
NetIQArgentina+54 11 5258 8899
Chile+56 2 2864 5629 Colombia+57 1 622 2766
México+52 55 5284 2700
Panamá+507 2 039291
España+34 91 781 5004
Venezuela+58 212 267 6568
[email protected]/communitieswww.netiq.com
Para obtener una lista completa de nuestras oficinas en América del Norte, Europa, Oriente Medio, África, Asia-Pacífico y América Latina, visite www.netiq.com/contacts.
www.netiq.com