SlideShare une entreprise Scribd logo
1  sur  26
Télécharger pour lire hors ligne
Copyright 
© 
2014 
Splunk 
Inc. 
O9mizando 
a 
resposta 
a 
incidentes 
Marcello 
Zillo 
Neto 
-­‐ 
Gerente 
Execu9vo
2 
Marcello 
Zillo 
Neto 
Gerente 
Execu9vo 
• Tecnologias 
de 
Segurança. 
• Arquitetura 
de 
Segurança. 
• A 
Produban 
é 
uma 
empresa 
de 
tecnologia 
que 
atende 
mais 
de 
120 
empresas, 
com 
mais 
de 
5.500 
profissionais 
localizados 
em 
9 
países:
3 
Agenda 
" SIEM 
ou 
BIG 
Data 
– 
Dores 
reais 
" Por 
que 
Splunk 
? 
" Casos 
de 
uso 
1 
-­‐ 
Make 
it 
simple, 
make 
it 
work 
2 
– 
Automação 
de 
Resposta 
a 
incidentes 
3 
– 
Detecção 
Avançada 
de 
Malwares 
4 
– 
Padronizando 
e 
o9mizando 
o 
CSIRT 
" O 
futuro, 
próximos 
passos
4 
Agenda 
" SIEM 
ou 
BIG 
Data 
– 
Dores 
reais 
" Por 
que 
Splunk 
? 
" Casos 
de 
uso 
1 
-­‐ 
Make 
it 
simple, 
make 
it 
work 
2 
– 
Automação 
de 
Resposta 
a 
incidentes 
3 
– 
Detecção 
Avançada 
de 
Malwares 
4 
– 
Padronizando 
e 
o9mizando 
o 
CSIRT 
" O 
futuro, 
próximos 
passos
5 
SIEM 
ou 
BIG 
Data 
– 
Dores 
Reais 
2010 
2012 
2013 
• SIEM 
de 
outro 
Fabricante 
X 
já 
era 
u9lizado. 
• Volume 
médio 
de 
60.000 
EPS. 
• Problemas 
latentes. 
• Performance. 
• Indisponibilidade. 
• Perda 
de 
alertas. 
• Limitação 
de 
crescimento. 
• Dificuldade 
na 
customização 
e 
criação 
de 
alertas. 
• Necessidade 
de 
crescimento 
correlacionando 
outras 
plataformas. 
• Decisão 
estratégica 
de 
aumentar 
inves9mento 
em: 
By 2020, 60% of enterprise information 
security budgets will be allocated to rapid 
detection and response approaches — up 
from less than 10% in 2014. 
Source: Gartner (February 2014) 
• Definição 
de 
Requisitos 
-­‐ 
Precisamos 
algo 
maior 
que 
um 
simples 
SIEM 
para 
os 
próximos 
5 
anos. 
• Execução 
de 
PoCs 
com 
duas 
novas 
Tecnologias. 
Fabricante 
Y 
• Decisão 
X 
e 
implementação 
do 
Splunk. 
• Mindset 
– 
mudança 
de 
postura 
do 
9me 
de 
segurança.
6 
Agenda 
" SIEM 
ou 
BIG 
Data 
– 
Dores 
reais 
" Por 
que 
Splunk? 
" Casos 
de 
uso 
1 
-­‐ 
Make 
it 
simple, 
make 
it 
work 
2 
– 
Automação 
de 
Resposta 
a 
incidentes 
3 
– 
Detecção 
Avançada 
de 
Malwares 
4 
– 
Padronizando 
e 
o9mizando 
o 
CSIRT 
" O 
futuro, 
próximos 
passos
7 
Por 
que 
Splunk? 
2013 
PoC 
(2 
meses) 
30.000 
EPS, 
mesmas 
plataformas 
enviando 
logs, 
mesmos 
alertas 
, 
mesmo 
9me. 
Fabricante 
Y 
• Indisponibilidades 
(mais 
de 
10). 
• Busca 
por 
registros. 
• 10 
vezes 
mais 
lenta. 
• Hardware. 
• Dobro 
de 
máquinas. 
• Alto 
esforço 
H/H 
para 
manutenção 
/ 
operação. 
• Necessidade 
de 
criação 
ou 
customização 
de 
conectores 
(engessado). 
• Nenhuma 
indisponibilidade. 
• Busca 
por 
registros. 
• 100 
x 
mais 
rápido 
que 
Fabricante 
X. 
• 10 
x 
mais 
rápido 
que 
Fabricante 
Y. 
• Hardware. 
• 1/3 
em 
relação 
ao 
Fabricante 
X. 
• 1/2 
em 
relação 
do 
Fabricante 
Y. 
• Baixo 
esforço 
H/H 
para 
manutenção 
/ 
operação. 
• Agilidade 
integração 
/ 
alertas 
( 
s/ 
conectores).
8 
Por 
que 
Splunk? 
2013 
PoC 
(2 
meses) 
Você 
não 
precisa 
de 
milhões 
de 
alertas 
e 
Dashboards, 
muita 
informação 
só 
atrapalha 
Minerar 
alertas, 
customizados 
e 
“certeiros”. 
• Criar 
seus 
alertas 
e 
inteligência 
leva 
tempo 
mas 
é 
compensador. 
• Tratar 
somente 
o 
que 
interessa. 
Fabricante 
Y 
Milhões 
de 
regras 
e 
alertas 
pré-­‐configurados. 
• Você 
realmente 
precisa 
disso 
? 
• Tem 
headcount 
para 
tratar 
?
9 
Por 
que 
Splunk? 
Deploy 
2014 
• Fase 
1 
foi 
executada 
em 
3 
meses, 
integrando 
7 
Tecnologias. 
• As 
duas 
fases 
seguintes 
já 
estão 
em 
execução 
e 
devem 
integrar 
mais 
12 
Tecnologias. 
Windows 
Servers 
An9malware 
Network 
Plarorms 
IPS 
Security 
Intelligence 
Feeds 
Proxy 
An9spam 
Ac9ve 
Directory 
Fase1 
Foco 
principal 
– 
Detecção 
de 
Malwares 
e 
comportamentos 
anômalos. 
60 
Alertas
10 
Agenda 
" SIEM 
ou 
BIG 
Data 
– 
Dores 
reais 
" Por 
que 
Splunk 
? 
" Casos 
de 
uso 
1 
-­‐ 
Make 
it 
simple, 
make 
it 
work 
2 
– 
Automação 
de 
Resposta 
a 
incidentes 
3 
– 
Detecção 
Avançada 
de 
Malwares 
4 
– 
Padronizando 
e 
o9mizando 
o 
CSIRT 
" O 
futuro, 
próximos 
passos
11 
Make 
it 
simple, 
make 
it 
work 
" Alertas 
baseados 
em 
eventos 
dos 
ADs. 
APP 
(próprio) 
para 
monitoração 
de 
a9vidades 
no 
AD 
com 
alertas 
e 
Dashboard 
em 
tempo 
real. 
AD-­‐001 
Não 
autorizado 
Autorizados 
(Segurança)
12 
Make 
it 
simple, 
make 
it 
work 
" Alertas 
baseados 
no 
comportamento 
de 
navegação 
de 
usuários 
APP 
(próprio) 
para 
monitoração 
de 
a9vidades 
de 
navegação 
de 
usuários. 
PRX-­‐001
13 
Agenda 
" SIEM 
ou 
BIG 
Data 
– 
Dores 
reais 
" Por 
que 
Splunk 
? 
" Casos 
de 
uso 
1 
-­‐ 
Make 
it 
simple, 
make 
it 
work 
2 
– 
Automação 
de 
Resposta 
a 
incidentes 
3 
– 
Detecção 
Avançada 
de 
Malwares 
4 
– 
Padronizando 
e 
o9mizando 
o 
CSIRT 
" O 
futuro, 
próximos 
passos
14 
Automação 
de 
Resposta 
a 
Incidentes 
" Com 
o 
Splunk 
é 
possível 
consumir 
diversos 
Feeds 
de 
Segurança 
públicos 
e 
privados 
rapidamente. 
Feeds 
de 
Inteligência 
privados 
Feeds 
de 
Inteligência 
públicos 
Feeds 
Internos 
CSIRT 
/ 
e-­‐mails 
Feeds 
de 
Segurança 
• Muita 
informação 
• Hashes 
• Endereços 
IP 
• URLs 
Maliciosas 
• Arquivos 
Maliciosos 
• C&C 
• Novos 
vetores 
de 
ataque
15 
Automação 
de 
Resposta 
a 
Incidentes 
Informação 
sem 
ação 
não 
gera 
inteligência 
Informação 
+ 
Ação 
= 
Inteligência
16 
Automação 
de 
Resposta 
a 
Incidentes 
" Muita 
informação 
sem 
ação 
não 
vale 
nada… 
Feeds 
de 
Inteligência 
privados 
Feeds 
de 
Inteligência 
públicos 
Feeds 
de 
Segurança 
• Hashes 
• Endereços 
IP 
• URLs 
Maliciosas 
• Arquivos 
Maliciosos 
• C&C 
• Novos 
vetores 
de 
ataque 
Feeds 
Internos 
CSIRT 
/ 
e-­‐mails 
Barramento 
de 
automação 
IPS 
Proxy 
An9malware 
Regras 
pré-­‐definidas
17 
Automação 
de 
Resposta 
a 
Incidentes 
" Algumas 
estazs9cas 
de 
um 
mês 
-­‐ 
230 
incidentes 
evitados 
Feeds 
de 
Inteligência 
privados 
Feeds 
de 
Inteligência 
públicos 
Feeds 
Internos 
CSIRT 
/ 
e-­‐mails 
Feeds 
de 
Segurança 
2.361 
1.165 
200 
350 
4.076 
20.380 
min. 
339 
h. 
21 
dias 
(2 
pessoas) 
Tratamento 
manual 
8.152 
seg. 
2.26 
h. 
15 
dias 
(1 
des.) 
Barramento 
de 
automação
18 
Agenda 
" SIEM 
ou 
BIG 
Data 
– 
Dores 
reais 
" Por 
que 
Splunk 
? 
" Casos 
de 
uso 
1 
-­‐ 
Make 
it 
simple, 
make 
it 
work 
2 
– 
Automação 
de 
Resposta 
a 
incidentes 
3 
– 
Detecção 
Avançada 
de 
Malwares 
4 
– 
Padronizando 
e 
o9mizando 
o 
CSIRT 
" O 
futuro, 
próximos 
passos
19 
Detecção 
Avançada 
de 
Malwares 
" A 
integração 
do 
Splunk 
com 
plataformas 
de 
An9malware 
proporciona 
maior 
rapidez 
na 
deteção 
e 
resposta 
a 
ataques, 
facilitando 
iden9ficação 
de 
estações, 
usuários 
e 
possíveis 
ambientes 
afetados. 
Dashboards 
e 
buscas 
poderosas 
agilizando 
a 
resposta 
do 
CSIRT.
20 
Padronizando 
e 
O9mizando 
o 
CSIRT 
" A 
u9lização 
do 
Splunk 
como 
plataforma 
de 
geração 
de 
alertas 
possibilitou 
a 
padronização 
da 
operação 
do 
SOC 
e 
do 
CSIRT, 
permi9ndo 
ganho 
de 
escala 
e 
eficiência. 
Plataformas 
de 
Segurança 
Regras 
Time 
Monit. 
Seg. 
CSIRT 
Time 
de 
Forense 
FLUXO 
DE 
TRABALHO 
– 
SOC 
/ 
CSIRT 
Logs 
Alertas 
Time 
Arq. 
Seg. 
Execu9vos
21 
Padronizando 
e 
O9mizando 
o 
CSIRT 
APP 
(próprio) 
para 
acompanhamento 
de 
alertas 
e 
resposta 
a 
incidentes 
e 
tempo 
real. 
Temos 
10 
APPs 
próprios 
desenvolvidos 
em 
6 
meses
22 
Padronizando 
e 
O9mizando 
o 
CSIRT 
" Além 
da 
eficiência 
a 
u9lização 
do 
Splunk 
permi9u 
ao 
CSIRT 
da 
Produban. 
– Padronizar 
mais 
de 
150 
alertas 
e 
automa9zar 
mais 
de 
20% 
das 
ações 
de 
resposta. 
– Alterar 
o 
mindset 
do 
9me 
de 
segurança 
-­‐ 
Go 
Hun5ng. 
– Detectar 
e 
responder 
mais 
eventos 
por 
H/H. 
– O9mizar 
nosso 
tempo 
de 
resposta 
e 
análise 
forense 
para 
eventos 
mais 
complexos 
(nosso 
tempo 
de 
resposta 
para 
casos 
complexos 
diminui 
em 
cerca 
de 
5 
vezes). 
– Peça 
chave 
para 
sairmos 
de 
uma 
postura 
mais 
preven9va, 
colocando 
mais 
esforços 
na 
detecção 
e 
resposta 
como 
planejado 
em 
2012.
23 
Agenda 
" SIEM 
ou 
BIG 
Data 
– 
Dores 
reais 
" Por 
que 
Splunk 
? 
" Casos 
de 
uso 
1 
-­‐ 
Make 
it 
simple, 
make 
it 
work 
2 
-­‐ 
CSIRT 
Automa9on 
3 
-­‐ 
Advanced 
Malware 
Detec9on 
4 
– 
Padronizando 
e 
o9mizando 
o 
CSIRT 
" O 
futuro, 
próximos 
passos
24 
Futuro 
e 
Próximos 
Passos 
" Finalização 
das 
Fases 
2 
e 
3 
do 
Projeto 
-­‐ 
12 
Tecnologias. 
– Mais 
Licenças 
-­‐ 
Splunk 
J. 
" Expansão 
para 
áreas 
além 
de 
IT 
Security. 
– Splunk 
-­‐ 
J. 
" O9mização 
dos 
logs 
recebidos 
e 
tratados 
-­‐ 
remoção 
de 
lixo. 
– Melhor 
uso 
das 
licenças 
-­‐ 
Produban 
J. 
" Aumento 
da 
capacidade 
de 
automação 
de 
respostas 
– 
Barramento 
de 
automação. 
" Intensificar 
o 
Modelo 
de 
“Fábrica 
para 
geração 
de 
regras”.
Se 
vocês 
esqueceram 
de 
tudo 
o 
que 
eu 
disse… 
25 
Postura 
Preven9va 
Postura 
Detecção 
e 
Resposta 
GAP
Thank 
You

Contenu connexe

En vedette

BVMF and Splunk
BVMF and SplunkBVMF and Splunk
BVMF and SplunkSplunk
 
Vtex - Splunk live! 2014 São Paulo
Vtex - Splunk live! 2014 São Paulo Vtex - Splunk live! 2014 São Paulo
Vtex - Splunk live! 2014 São Paulo Splunk
 
SplunkLive! São Paulo 2014 - Overview by markus zirn
SplunkLive! São Paulo 2014 -  Overview by markus zirnSplunkLive! São Paulo 2014 -  Overview by markus zirn
SplunkLive! São Paulo 2014 - Overview by markus zirnSplunk
 
Exxon - SplunkLive! São Paulo 2015
Exxon - SplunkLive! São Paulo 2015Exxon - SplunkLive! São Paulo 2015
Exxon - SplunkLive! São Paulo 2015Splunk
 
Splunk live! Inteligência operacional em um mundo de bigdata
Splunk live! Inteligência operacional em um mundo de bigdataSplunk live! Inteligência operacional em um mundo de bigdata
Splunk live! Inteligência operacional em um mundo de bigdataSplunk
 
Case Study: Increasing Produban's Critical Systems Availability and Performance
Case Study: Increasing Produban's Critical Systems Availability and PerformanceCase Study: Increasing Produban's Critical Systems Availability and Performance
Case Study: Increasing Produban's Critical Systems Availability and PerformanceCA Technologies
 
American Family Insurance Shifts to a Mobile-First Development Strategy with ...
American Family Insurance Shifts to a Mobile-First Development Strategy with ...American Family Insurance Shifts to a Mobile-First Development Strategy with ...
American Family Insurance Shifts to a Mobile-First Development Strategy with ...CA Technologies
 
SplunkLive! Hamburg / München Advanced Session
SplunkLive! Hamburg / München Advanced SessionSplunkLive! Hamburg / München Advanced Session
SplunkLive! Hamburg / München Advanced SessionGeorg Knon
 
Customer Presentation - Financial Services Organization
Customer Presentation - Financial Services OrganizationCustomer Presentation - Financial Services Organization
Customer Presentation - Financial Services OrganizationSplunk
 
Visibilidade de negócios em impressão de nota fiscal
Visibilidade de negócios em impressão de nota fiscalVisibilidade de negócios em impressão de nota fiscal
Visibilidade de negócios em impressão de nota fiscalSplunk
 
99 Taxi - SplunkLive! São Paulo 2015
99 Taxi - SplunkLive! São Paulo 201599 Taxi - SplunkLive! São Paulo 2015
99 Taxi - SplunkLive! São Paulo 2015Splunk
 
Splunk live introdução
Splunk live introduçãoSplunk live introdução
Splunk live introduçãoSplunk
 
Building an Analytics - Enabled SOC Breakout Session
Building an Analytics - Enabled SOC Breakout Session Building an Analytics - Enabled SOC Breakout Session
Building an Analytics - Enabled SOC Breakout Session Splunk
 
Splunk app for stream
Splunk app for stream Splunk app for stream
Splunk app for stream csching
 
Splunk as a_big_data_platform_for_developers_spring_one2gx
Splunk as a_big_data_platform_for_developers_spring_one2gxSplunk as a_big_data_platform_for_developers_spring_one2gx
Splunk as a_big_data_platform_for_developers_spring_one2gxDamien Dallimore
 
Apresentacao_insitucional_v12
Apresentacao_insitucional_v12Apresentacao_insitucional_v12
Apresentacao_insitucional_v12Leandro Ginane
 
SMARCOS PHILIPS RESEARCH LABS Poster Demo
SMARCOS PHILIPS RESEARCH LABS Poster DemoSMARCOS PHILIPS RESEARCH LABS Poster Demo
SMARCOS PHILIPS RESEARCH LABS Poster DemoSmarcos Eu
 

En vedette (20)

BVMF and Splunk
BVMF and SplunkBVMF and Splunk
BVMF and Splunk
 
Vtex - Splunk live! 2014 São Paulo
Vtex - Splunk live! 2014 São Paulo Vtex - Splunk live! 2014 São Paulo
Vtex - Splunk live! 2014 São Paulo
 
SplunkLive! São Paulo 2014 - Overview by markus zirn
SplunkLive! São Paulo 2014 -  Overview by markus zirnSplunkLive! São Paulo 2014 -  Overview by markus zirn
SplunkLive! São Paulo 2014 - Overview by markus zirn
 
Exxon - SplunkLive! São Paulo 2015
Exxon - SplunkLive! São Paulo 2015Exxon - SplunkLive! São Paulo 2015
Exxon - SplunkLive! São Paulo 2015
 
Splunk live! Inteligência operacional em um mundo de bigdata
Splunk live! Inteligência operacional em um mundo de bigdataSplunk live! Inteligência operacional em um mundo de bigdata
Splunk live! Inteligência operacional em um mundo de bigdata
 
Gestão de incidentes e resiliência das infraestruturas críticas de internet
Gestão de incidentes e resiliência das infraestruturas críticas de internetGestão de incidentes e resiliência das infraestruturas críticas de internet
Gestão de incidentes e resiliência das infraestruturas críticas de internet
 
Case Study: Increasing Produban's Critical Systems Availability and Performance
Case Study: Increasing Produban's Critical Systems Availability and PerformanceCase Study: Increasing Produban's Critical Systems Availability and Performance
Case Study: Increasing Produban's Critical Systems Availability and Performance
 
American Family Insurance Shifts to a Mobile-First Development Strategy with ...
American Family Insurance Shifts to a Mobile-First Development Strategy with ...American Family Insurance Shifts to a Mobile-First Development Strategy with ...
American Family Insurance Shifts to a Mobile-First Development Strategy with ...
 
SplunkLive! Hamburg / München Advanced Session
SplunkLive! Hamburg / München Advanced SessionSplunkLive! Hamburg / München Advanced Session
SplunkLive! Hamburg / München Advanced Session
 
Customer Presentation - Financial Services Organization
Customer Presentation - Financial Services OrganizationCustomer Presentation - Financial Services Organization
Customer Presentation - Financial Services Organization
 
Csirt
CsirtCsirt
Csirt
 
Visibilidade de negócios em impressão de nota fiscal
Visibilidade de negócios em impressão de nota fiscalVisibilidade de negócios em impressão de nota fiscal
Visibilidade de negócios em impressão de nota fiscal
 
99 Taxi - SplunkLive! São Paulo 2015
99 Taxi - SplunkLive! São Paulo 201599 Taxi - SplunkLive! São Paulo 2015
99 Taxi - SplunkLive! São Paulo 2015
 
Splunk live introdução
Splunk live introduçãoSplunk live introdução
Splunk live introdução
 
Building an Analytics - Enabled SOC Breakout Session
Building an Analytics - Enabled SOC Breakout Session Building an Analytics - Enabled SOC Breakout Session
Building an Analytics - Enabled SOC Breakout Session
 
Splunk app for stream
Splunk app for stream Splunk app for stream
Splunk app for stream
 
Splunk as a_big_data_platform_for_developers_spring_one2gx
Splunk as a_big_data_platform_for_developers_spring_one2gxSplunk as a_big_data_platform_for_developers_spring_one2gx
Splunk as a_big_data_platform_for_developers_spring_one2gx
 
Apresentacao_insitucional_v12
Apresentacao_insitucional_v12Apresentacao_insitucional_v12
Apresentacao_insitucional_v12
 
SMARCOS PHILIPS RESEARCH LABS Poster Demo
SMARCOS PHILIPS RESEARCH LABS Poster DemoSMARCOS PHILIPS RESEARCH LABS Poster Demo
SMARCOS PHILIPS RESEARCH LABS Poster Demo
 
12 Days of #Powerpoint
12 Days of #Powerpoint12 Days of #Powerpoint
12 Days of #Powerpoint
 

Similaire à Splunk live produban

Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016João Rufino de Sales
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"Symantec Brasil
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar OliveiraTI Safe
 
O desafio da gerência no século XXI
O desafio da gerência no século XXIO desafio da gerência no século XXI
O desafio da gerência no século XXIPaulo Mattos
 
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...Symantec Brasil
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Brasil
 
Introdução a Segurança da Informação
Introdução a Segurança da InformaçãoIntrodução a Segurança da Informação
Introdução a Segurança da InformaçãoRafael De Brito Marques
 
Guia para inteligência operacional
Guia para inteligência operacionalGuia para inteligência operacional
Guia para inteligência operacionalSplunk
 
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...TI Safe
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxpce19791
 
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...Alexandre Freire
 
KASPERSKY LAB: Soluções Corporativas
KASPERSKY LAB: Soluções CorporativasKASPERSKY LAB: Soluções Corporativas
KASPERSKY LAB: Soluções CorporativasBravo Tecnologia
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azureEnrique Gustavo Dutra
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Symantec Brasil
 
My Cloud Computing Presentation V3
My Cloud Computing Presentation V3My Cloud Computing Presentation V3
My Cloud Computing Presentation V3namplc
 

Similaire à Splunk live produban (20)

Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira
 
O desafio da gerência no século XXI
O desafio da gerência no século XXIO desafio da gerência no século XXI
O desafio da gerência no século XXI
 
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec Cynic
 
Introdução a Segurança da Informação
Introdução a Segurança da InformaçãoIntrodução a Segurança da Informação
Introdução a Segurança da Informação
 
Guia para inteligência operacional
Guia para inteligência operacionalGuia para inteligência operacional
Guia para inteligência operacional
 
Siem on cloud times
Siem on cloud timesSiem on cloud times
Siem on cloud times
 
2016 kaspersky
2016 kaspersky2016 kaspersky
2016 kaspersky
 
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
 
Kaspersky 2014
Kaspersky 2014Kaspersky 2014
Kaspersky 2014
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptx
 
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
 
Auditoria em Mainframe. (Eugênio Fernandes)
Auditoria em Mainframe. (Eugênio Fernandes)Auditoria em Mainframe. (Eugênio Fernandes)
Auditoria em Mainframe. (Eugênio Fernandes)
 
KASPERSKY LAB: Soluções Corporativas
KASPERSKY LAB: Soluções CorporativasKASPERSKY LAB: Soluções Corporativas
KASPERSKY LAB: Soluções Corporativas
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
 
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio  Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
 
My Cloud Computing Presentation V3
My Cloud Computing Presentation V3My Cloud Computing Presentation V3
My Cloud Computing Presentation V3
 

Splunk live produban

  • 1. Copyright © 2014 Splunk Inc. O9mizando a resposta a incidentes Marcello Zillo Neto -­‐ Gerente Execu9vo
  • 2. 2 Marcello Zillo Neto Gerente Execu9vo • Tecnologias de Segurança. • Arquitetura de Segurança. • A Produban é uma empresa de tecnologia que atende mais de 120 empresas, com mais de 5.500 profissionais localizados em 9 países:
  • 3. 3 Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk ? " Casos de uso 1 -­‐ Make it simple, make it work 2 – Automação de Resposta a incidentes 3 – Detecção Avançada de Malwares 4 – Padronizando e o9mizando o CSIRT " O futuro, próximos passos
  • 4. 4 Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk ? " Casos de uso 1 -­‐ Make it simple, make it work 2 – Automação de Resposta a incidentes 3 – Detecção Avançada de Malwares 4 – Padronizando e o9mizando o CSIRT " O futuro, próximos passos
  • 5. 5 SIEM ou BIG Data – Dores Reais 2010 2012 2013 • SIEM de outro Fabricante X já era u9lizado. • Volume médio de 60.000 EPS. • Problemas latentes. • Performance. • Indisponibilidade. • Perda de alertas. • Limitação de crescimento. • Dificuldade na customização e criação de alertas. • Necessidade de crescimento correlacionando outras plataformas. • Decisão estratégica de aumentar inves9mento em: By 2020, 60% of enterprise information security budgets will be allocated to rapid detection and response approaches — up from less than 10% in 2014. Source: Gartner (February 2014) • Definição de Requisitos -­‐ Precisamos algo maior que um simples SIEM para os próximos 5 anos. • Execução de PoCs com duas novas Tecnologias. Fabricante Y • Decisão X e implementação do Splunk. • Mindset – mudança de postura do 9me de segurança.
  • 6. 6 Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk? " Casos de uso 1 -­‐ Make it simple, make it work 2 – Automação de Resposta a incidentes 3 – Detecção Avançada de Malwares 4 – Padronizando e o9mizando o CSIRT " O futuro, próximos passos
  • 7. 7 Por que Splunk? 2013 PoC (2 meses) 30.000 EPS, mesmas plataformas enviando logs, mesmos alertas , mesmo 9me. Fabricante Y • Indisponibilidades (mais de 10). • Busca por registros. • 10 vezes mais lenta. • Hardware. • Dobro de máquinas. • Alto esforço H/H para manutenção / operação. • Necessidade de criação ou customização de conectores (engessado). • Nenhuma indisponibilidade. • Busca por registros. • 100 x mais rápido que Fabricante X. • 10 x mais rápido que Fabricante Y. • Hardware. • 1/3 em relação ao Fabricante X. • 1/2 em relação do Fabricante Y. • Baixo esforço H/H para manutenção / operação. • Agilidade integração / alertas ( s/ conectores).
  • 8. 8 Por que Splunk? 2013 PoC (2 meses) Você não precisa de milhões de alertas e Dashboards, muita informação só atrapalha Minerar alertas, customizados e “certeiros”. • Criar seus alertas e inteligência leva tempo mas é compensador. • Tratar somente o que interessa. Fabricante Y Milhões de regras e alertas pré-­‐configurados. • Você realmente precisa disso ? • Tem headcount para tratar ?
  • 9. 9 Por que Splunk? Deploy 2014 • Fase 1 foi executada em 3 meses, integrando 7 Tecnologias. • As duas fases seguintes já estão em execução e devem integrar mais 12 Tecnologias. Windows Servers An9malware Network Plarorms IPS Security Intelligence Feeds Proxy An9spam Ac9ve Directory Fase1 Foco principal – Detecção de Malwares e comportamentos anômalos. 60 Alertas
  • 10. 10 Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk ? " Casos de uso 1 -­‐ Make it simple, make it work 2 – Automação de Resposta a incidentes 3 – Detecção Avançada de Malwares 4 – Padronizando e o9mizando o CSIRT " O futuro, próximos passos
  • 11. 11 Make it simple, make it work " Alertas baseados em eventos dos ADs. APP (próprio) para monitoração de a9vidades no AD com alertas e Dashboard em tempo real. AD-­‐001 Não autorizado Autorizados (Segurança)
  • 12. 12 Make it simple, make it work " Alertas baseados no comportamento de navegação de usuários APP (próprio) para monitoração de a9vidades de navegação de usuários. PRX-­‐001
  • 13. 13 Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk ? " Casos de uso 1 -­‐ Make it simple, make it work 2 – Automação de Resposta a incidentes 3 – Detecção Avançada de Malwares 4 – Padronizando e o9mizando o CSIRT " O futuro, próximos passos
  • 14. 14 Automação de Resposta a Incidentes " Com o Splunk é possível consumir diversos Feeds de Segurança públicos e privados rapidamente. Feeds de Inteligência privados Feeds de Inteligência públicos Feeds Internos CSIRT / e-­‐mails Feeds de Segurança • Muita informação • Hashes • Endereços IP • URLs Maliciosas • Arquivos Maliciosos • C&C • Novos vetores de ataque
  • 15. 15 Automação de Resposta a Incidentes Informação sem ação não gera inteligência Informação + Ação = Inteligência
  • 16. 16 Automação de Resposta a Incidentes " Muita informação sem ação não vale nada… Feeds de Inteligência privados Feeds de Inteligência públicos Feeds de Segurança • Hashes • Endereços IP • URLs Maliciosas • Arquivos Maliciosos • C&C • Novos vetores de ataque Feeds Internos CSIRT / e-­‐mails Barramento de automação IPS Proxy An9malware Regras pré-­‐definidas
  • 17. 17 Automação de Resposta a Incidentes " Algumas estazs9cas de um mês -­‐ 230 incidentes evitados Feeds de Inteligência privados Feeds de Inteligência públicos Feeds Internos CSIRT / e-­‐mails Feeds de Segurança 2.361 1.165 200 350 4.076 20.380 min. 339 h. 21 dias (2 pessoas) Tratamento manual 8.152 seg. 2.26 h. 15 dias (1 des.) Barramento de automação
  • 18. 18 Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk ? " Casos de uso 1 -­‐ Make it simple, make it work 2 – Automação de Resposta a incidentes 3 – Detecção Avançada de Malwares 4 – Padronizando e o9mizando o CSIRT " O futuro, próximos passos
  • 19. 19 Detecção Avançada de Malwares " A integração do Splunk com plataformas de An9malware proporciona maior rapidez na deteção e resposta a ataques, facilitando iden9ficação de estações, usuários e possíveis ambientes afetados. Dashboards e buscas poderosas agilizando a resposta do CSIRT.
  • 20. 20 Padronizando e O9mizando o CSIRT " A u9lização do Splunk como plataforma de geração de alertas possibilitou a padronização da operação do SOC e do CSIRT, permi9ndo ganho de escala e eficiência. Plataformas de Segurança Regras Time Monit. Seg. CSIRT Time de Forense FLUXO DE TRABALHO – SOC / CSIRT Logs Alertas Time Arq. Seg. Execu9vos
  • 21. 21 Padronizando e O9mizando o CSIRT APP (próprio) para acompanhamento de alertas e resposta a incidentes e tempo real. Temos 10 APPs próprios desenvolvidos em 6 meses
  • 22. 22 Padronizando e O9mizando o CSIRT " Além da eficiência a u9lização do Splunk permi9u ao CSIRT da Produban. – Padronizar mais de 150 alertas e automa9zar mais de 20% das ações de resposta. – Alterar o mindset do 9me de segurança -­‐ Go Hun5ng. – Detectar e responder mais eventos por H/H. – O9mizar nosso tempo de resposta e análise forense para eventos mais complexos (nosso tempo de resposta para casos complexos diminui em cerca de 5 vezes). – Peça chave para sairmos de uma postura mais preven9va, colocando mais esforços na detecção e resposta como planejado em 2012.
  • 23. 23 Agenda " SIEM ou BIG Data – Dores reais " Por que Splunk ? " Casos de uso 1 -­‐ Make it simple, make it work 2 -­‐ CSIRT Automa9on 3 -­‐ Advanced Malware Detec9on 4 – Padronizando e o9mizando o CSIRT " O futuro, próximos passos
  • 24. 24 Futuro e Próximos Passos " Finalização das Fases 2 e 3 do Projeto -­‐ 12 Tecnologias. – Mais Licenças -­‐ Splunk J. " Expansão para áreas além de IT Security. – Splunk -­‐ J. " O9mização dos logs recebidos e tratados -­‐ remoção de lixo. – Melhor uso das licenças -­‐ Produban J. " Aumento da capacidade de automação de respostas – Barramento de automação. " Intensificar o Modelo de “Fábrica para geração de regras”.
  • 25. Se vocês esqueceram de tudo o que eu disse… 25 Postura Preven9va Postura Detecção e Resposta GAP