Em 2017, a divisão de rede Aruba da Hewlett Packard Enterprise anunciou o Aruba 360 Secure Fabric, uma solução abrangente de segurança de rede. Essa solução protege a rede corporativa em 360 graus contra ameaças externas e internas à rede em um perímetro de segurança em constante mudança, com o advento de dispositivos sem fio e serviços em nuvem.
A solução é construída com base em vários componentes principais. Primeiro de tudo, é uma infraestrutura segura e confiável. Os equipamentos de rede da Aruba foram projetados desde o início em termos de segurança máxima. Os controladores modernos podem fornecer processamento de alta velocidade (até 100 Gbit / s) do tráfego de rede, levando em consideração a função Deep packet inspeção (DPI). Associado a isso, está o surgimento do protocolo especializado Advanced Monitoring (AMON), projetado para transferir uma grande quantidade de informações diversas entre os controladores WLAN e o sistema de controle e serve como uma fonte adicional de informações para os sistemas de segurança.
O próximo componente da fábrica do Aruba 360 é o Aruba ClearPass Infrastructure Access Control System, que pertence à família de produtos de software sob o nome Network Access Control (NAC). Este produto merece uma consideração detalhada e planejamos dedicar uma série separada de artigos a ele. Vamos começar examinando por que, em condições modernas, é impossível confiar apenas no perímetro da segurança da rede e de onde vem a necessidade de sistemas SIEM.
O perímetro de segurança é construído com base na profunda integração de soluções de parceiros localizadas na interface com redes não seguras e o segmento DMZ. São dispositivos que fornecem firewall, análise de assinatura dos dados transmitidos, funcionam com tráfego criptografado, auditoria criptográfica etc.
É difícil para os invasores superar os sistemas de segurança clássicos acima mencionados que protegem o perímetro das redes corporativas; geralmente, eles escolhem uma abordagem diferente para os ataques. Um ataque pode ser construído com base na introdução e distribuição de código malicioso através do equipamento dos funcionários da empresa. Um usuário legítimo pode perder ou deixar seu dispositivo corporativo sem vigilância, conectar-se a redes Wi-Fi públicas inseguras. Outra opção comum para criar um ponto de partida para um ataque é enviar ao usuário um link falso ou um anexo de email mal-intencionado, o que permite injetar posteriormente o código malicioso no computador de um usuário legítimo. Recentemente, mais e mais vezes vemos exemplos de ações maliciosas usando dispositivos de IoT, cujos principais pontos fracos são as configurações "padrão" e o software antigo com vulnerabilidades conhecidas (por exemplo, quase ninguém instala patches em câmeras IP executando o Windows 95 ou MS DOS).
Às vezes, um funcionário de uma organização pode se tornar um invasor e começar a coletar dados corporativos valiosos com a finalidade de chantagem ou lucro comercial. No ano passado, ransomware como WannaCry e Pyetya foram espalhados ativamente. Antes do surgimento do ransomware de propagação automática, o malware era espalhado de três maneiras: baixando de sites, por email ou de mídia física, como dispositivos USB maliciosos. Portanto, para infectar um dispositivo ou sistema com um programa de ransomware, era necessário o envolvimento humano em um grau ou outro.
Os invasores aprenderam a usar técnicas de engenharia social e, no futuro, essas habilidades apenas melhorarão. Segundo os analistas, se uma organização depende apenas da tecnologia para corrigir vulnerabilidades de segurança, isso resolverá apenas 26% dos problemas. Se as organizações usarem apenas políticas para resolver problemas de segurança, isso eliminará apenas 10% dos problemas; e se eles usarem apenas o treinamento do usuário - apenas 4%. Portanto, é necessário controlar todos os três aspectos de segurança no agregado. Adicione a isso uma escassez aguda de pessoal de TI qualificado, capaz de processar informações sobre eventos de rede o mais rápido possível e fazer um veredicto inequívoco e correto sobre o status de segurança.
Nesse caso, os sistemas chamados SIEM (gerenciamento de informações e eventos de segurança) podem ser salvos, projetados para coletar uma ampla variedade de eventos de segurança de informações e ajudar os centros de segurança de rede (SOC) a analisar eventos e criar relatórios. Mas mesmo eles, como se viu, não conseguem dar uma imagem completa devido à complexidade do processamento de informações por seres humanos e ao grande número de falsos positivos. De acordo com um
relatório analítico para pequenas empresas com receita inferior a US $ 100 milhões, a investigação do incidente leva cerca de 10 minutos. Nas empresas com número de funcionários de 1.001 a 5.000, em 26 de 85 respondentes, o tempo de investigação de um incidente pode levar de 20 minutos a uma hora. As principais conclusões dessas estatísticas podem ser que, se cada analista gasta muito do seu tempo de trabalho investigando um incidente de segurança e pode haver 10 ou mais desses incidentes, a investigação de incidentes de segurança pode esgotar todos os recursos humanos disponíveis.
De acordo com o mesmo relatório, os sistemas SIEM podem gerar até 10.000 eventos por minuto, que incluem alarmes falsos e às vezes requerem análise imediata de pessoal. A separação de um sinal do ruído não é uma palavra vazia no caso dos sistemas SIEM. Nesse caso, sistemas com inteligência artificial podem ajudar os departamentos de segurança. Para ser continuado!