Combinando a tecnologia IBM para gerenciar melhor a segurança cibernética

Após uma completa avaliação de mercado em 2020, a Data Action (DA), fornecedora de tecnologia para bancos alternativos, firmou um contrato com a Vectra, consultoria de segurança local e especialista em serviços, para um projeto de atualização da plataforma de gerenciamento de eventos e informações de segurança (SIEM).

A solução de SIEM escolhida, IBM Security QRadar, foi implementada como dispositivos virtualizados usando VMware e armazenamento IBM FlashSystem. Embora a implementação do QRadar em dispositivos virtualizados seja comum, o uso dos controladores de armazenamento do FlashSystem de alto desempenho para esse tipo de carga de trabalho não é.

O uso da tecnologia IBM FlashCore Module (FCM) de propriedade da IBM para armazenar dados do QRadar teve um impacto significativo na capacidade do centro de operações de segurança (SOC) de analisar ameaças de segurança. O efeito geral nos tempos de resposta tem sido notável, em alguns casos contribuindo para uma redução no tempo de análise de horas para minutos em comparação com a solução de SIEM anterior.

Insights inteligentes e tempos de resposta rápidos só são possíveis quando recursos adequados de computação e armazenamento são fornecidos. As soluções de SIEM eficazes precisam ingerir grandes quantidades de dados, muitas vezes de ambientes operacionais complexos que abrangem recursos locais e na nuvem. A análise de dados complexa necessária para obter melhores insights exige o acesso a vastas quantidades de dados. Nesses ambientes, tempos de resposta rápidos só são possíveis usando armazenamento de alto desempenho e baixa latência.

Foi por esses motivos que, em 2020, após uma avaliação completa do mercado, a DA implementou o QRadar como a solução sw SIEM da organização. A solução consistia em dispositivos virtuais dentro de um cluster VMware dedicado e no uso de armazenamento FlashSystem para a retenção de todos os dados.

O QRadar é uma plataforma de gerenciamento de segurança de rede que fornece consciência e suporte de conformidade. O QRadar usa uma combinação de conhecimento de rede baseado em fluxos, correlação de eventos de segurança e avaliação de vulnerabilidade baseada em ativos.

Em seu relatório Magic Quadrant for Security Information and Event Management, a Gartner lista a IBM como líder em SIEM, e isso há 12 anos consecutivos.

O portfólio do FlashSystem é a linha de controladores de block storage da IBM, com modelos adequados para cargas de trabalho de nível básico, intermediário e avançado. Todos os modelos utilizam o IBM Spectrum Virtualize Software do IBM SAN Volume Controller para o software do sistema incorporado. Como resultado do uso do mesmo software, muitas funcionalidades normalmente encontrados apenas em soluções de ponta também estão disponíveis nos modelos de nível básico e intermediário.

No coração dos modelos IBM FlashSystem 5200, 7200, 7300, 9200 e 9500 está a tecnologia IBM FlashCore.

O IBM FlashCore é exclusivo do IBM Storage e, ao contrário das unidades de estado sólido (SSDs) usadas nas matrizes all-flash de outros fornecedores, o projeto do controlador utiliza uma variedade de técnicas para fornecer um desempenho excepcional e resiliência aprimorada.

• Experimente E/S com latência de até 70 microssegundos, ajudando a eliminar gargalos de desempenho.
  
  
• Os FCMs usam hardware integrado para redução de dados. A redução de dados ocorre tão rapidamente quanto os dados podem ser gravados nos módulos; não há impacto no desempenho.

Os FCMs são projetados para oferecer uma resistência da memória flash até sete vezes maior do que um SSD padrão do setor, o que se traduz em menos problemas para os clientes. Também significa que não é necessário perder tempo lidando com SSDs com falhas e reconstruções de unidades.

A DA evoluiu para se tornar uma provedora especializada de software e serviços para alguns dos principais bancos desafiadores de clientes da Austrália, agregadores e o setor religioso. A arquitetura de plataforma flexível da DA permite opcionalidade por meio de integrações "plug and play". O pacote de produtos da DA progrediu de plataformas bancárias centrais para um ecossistema bancário completo, sustentando o propósito da empresa: "impulsionar os serviços bancários centrais e digitais para os bancos desafiadores da Austrália".

A DA opera nacionalmente com mais de 200 funcionários em Adelaide, Sydney, Melbourne e Brisbane e melhora a experiência bancária de mais de 1,6 milhão de australianos por meio de suas plataformas bancárias e digitais centrais, impulsionando 300 milhões de transações de clientes em 2,6 milhões de contas todos os dias.

A oferta da DA é única; ele configura, migra, hospeda, oferece suporte local, integra e mantém os serviços de tecnologia em um ambiente de nuvem pública e privada. Inerente a isso está um modelo comprovado de ponta a ponta com um único proprietário para entrega de serviços, governança e comunicação. Isso elimina os problemas de integração e a propriedade potencial de problemas associados à crescente complexidade e interoperabilidade de um ambiente de TI de vários fornecedores.

A abordagem de parceria robusta da DA garante que seus clientes mantenham a capacidade de aprimorar continuamente seus serviços para os membros. Atualmente, a DA tem mais de 200 parceiros em sua plataforma para garantir as melhores soluções para gerar valor para os membros.

A abordagem de plataforma de mercado da DA permite flexibilidade e escolha de parceiros para manter a tensão competitiva e a velocidade de entrega, e fornece parcerias adequadas para o propósito de seus clientes. A equipe de parcerias da DA trabalha em estreita colaboração com as equipes de produtos, clientes e soluções para garantir que as soluções gerem valor aos clientes e seus membros.

A DA gerencia diretamente uma grande parte da superfície voltada para a internet de seus clientes de serviços financeiros. Como resultado, a DA tem um insight exclusivo e pode observar padrões de ameaças à medida que se move pelo setor mútuo.

A DA oferece um recurso de cibersegurança robusto e multicamadas para proteger seus serviços bancários hospedados. Os processos da DA garantem operação rigorosa e confiável de controles preventivos, bem como recursos ensaiados, estruturados e em toda a organização para detectar, responder e se recuperar caso ocorra um incidente.

A DA protege seus produtos usando uma gama completa de serviços e tecnologias de segurança, para manter as empresas e seus clientes seguros. Isso inclui firewalls de aplicações da web, firewalls de última geração e proteção de endpoints, monitoramento abrangente de segurança, gerenciamento de vulnerabilidades e testes de penetração externos regulares.

O SIEM é uma plataforma crítica para a DA, permitindo recursos de cibersegurança por meio de:

• Ingestão e processamento de um volume muito alto de dados de atividades do ambiente da DA.
  
  
• Realização de análise de dados de segurança nesses dados para tentar identificar e alertar a DA sobre atividades potencialmente maliciosas no ambiente.
  
  
• Comparação da atividade no ambiente da DA com indicadores conhecidos de comprometimento para alertar a DA sobre uma possível violação de segurança.
  
  
• Habilitação da triagem de alertas de segurança e da investigação forense a ser realizada.
  
  
• Armazenamento de dados de eventos de segurança com alta resiliência e integridade para atender aos requisitos de conformidade da DA.
  
  
• Apoio a várias equipes na análise de atividades em todo o ambiente para auxiliar na solução de problemas operacionais.

Sem uma plataforma forte, a DA teria uma probabilidade reduzida de detectar incidentes de segurança e uma eficácia reduzida na resposta aos incidentes de segurança identificados. A DA também seria incapaz de atender aos requisitos de conformidade para o monitoramento e retenção de dados relevantes para a segurança.

A implementação do SIEM que esse projeto substituiu era uma solução baseada em um dispositivo de hardware que estava chegando ao fim de ciclo.

As principais áreas de foco que a DA queria melhorar com a atualização eram:

•  Reduzir a sobrecarga na manutenção da ingestão de dados ao selecionar uma plataforma com uma biblioteca robusta de analisadores prontos para uso que correspondam às suas fontes de dados.
  
  
• Melhorar os casos de uso de monitoramento de segurança prontos para uso para reduzir sua sobrecarga administrativa.
  
  
• Escolher uma plataforma que tenha demonstrado P&D e investimento contínuos.
  
  
• Melhorar a resiliência geral de ingestão de dados.
  
  
• Remover o acoplamento de hardware para melhorar as restrições na expansão da capacidade de armazenamento. O custo para expandir o armazenamento na plataforma legada para aumentar o desempenho era altamente não competitivo em comparação com a tecnologia de armazenamento atual.
  
  
• Melhorar o desempenho de consultas complexas e grandes. Era comum que uma consulta levasse 12 horas, o que poderia prejudicar o tempo de resposta durante uma violação. Ela diagnosticou a restrição ao desempenho do armazenamento resultante da execução de discos magnéticos.
  
  
• Melhorar a capacidade de realizar investigações forenses em conjuntos de dados mais antigos. O recurso de backup e recuperação na plataforma legada era tudo ou nada, tornando a restauração de dados fora do período de retenção atual extremamente desafiadora.

O QRadar trabalha principalmente em torno do conceito de coletar, analisar e examinar eventos e fluxos.

Eventos são dados que indicam que algo de interesse ocorreu, como dados sendo permitidos através de um firewall, usuários fazendo registro em sistemas e bancos de dados sendo acessados. Os eventos são os dados fundamentais dos SIEMs. Os eventos são gerados por dispositivos, como roteadores e servidores de rede, bem como por aplicações. Os logs são bancos de dados de dados de eventos.

Fluxos são dados de pacotes de rede obtidos ao se conectar diretamente a dispositivos de rede e monitorar o tráfego que passa por eles. Os fluxos contêm informações como endereço IP de origem e destino, a quantidade de dados transferidos e até mesmo a aplicação que está sendo usada. Os fluxos podem ser cruciais na detecção de certos tipos de ataques. Observe que o pacote de rede real não é capturado ou armazenado — apenas o cabeçalho ou as primeiras centenas de bytes de uma transmissão de rede são.

Para entender melhor como o QRadar processa os dados que recebe de servidores e dispositivos de rede, pense na operação do sistema IBM Security QRadar como segmentado em três camadas:

• Coleta de dados
  A coleta de dados é a camada que reúne dados de segurança, como eventos e fluxos, coletados da rede cliente. Essa camada coleta, analisa e normaliza os dados antes de encaminhá-los para a próxima camada para processamento e armazenamento adicionais.

• Processamento de dados
  Após os dados serem coletados, a camada de processamento executa o processamento em tempo real dos dados de eventos e fluxos usando o Custom Rules Engine (CRE) do QRadar. O CRE é responsável por gerar delitos e alertas. Essa também é a camada na qual os dados são gravados no armazenamento.
  
  O processamento de dados do QRadar é realizado em paralelo, em vários processadores. Uma arquitetura com dados armazenados próximos ao processador, com busca e correlação ocorrendo em vários processadores de forma altamente distribuída, contribui significativamente para um alto desempenho geral do sistema.

• Pesquisas de dados
  A camada superior é o console e fornece a interface do usuário do QRadar. O resultado dos dados coletados e processados é apresentado por meio de dashboards, relatórios e pesquisas. O console exibe a investigação de delitos e pode gerar alertas. Os administradores utilizam o console para gerenciar o QRadar.

Essa segmentação se aplica a qualquer estrutura de implementação do QRadar, independentemente do tamanho, complexidade, número ou fontes de log ou módulos instalados ou anexados a ela.

Conforme mencionado anteriormente, a Gartner listou o QRadar como líder de SIEM em seu relatório Magic Quadrant for Security Information and Event Management. O QRadar é reconhecido como líder por muitas razões, mas o avançado gerenciamento de índices do produto é uma de suas funcionalidades de destaque.

O valor da indexação é maximizado quando se entende o que os usuários de dados estão procurando e, em seguida, habilitam índices para as propriedades pesquisadas com frequência. A funcionalidade de gerenciamento de índices fornece estatísticas aos administradores sobre quais propriedades estão sendo pesquisadas e quais pesquisas estão usando índices. Os administradores podem, então, ativar, ajustar ou até mesmo desabilitar índices para melhorar o desempenho geral.

Contrapondo-se aos benefícios decorrentes de habilitar a indexação de propriedades adicionais, também há possíveis desvantagens. A indexação adicional afeta o desempenho do sistema quando os dados são gravados e requer capacidade de armazenamento adicional. Ao usar os FCMs da IBM, essas duas desvantagens são efetivamente mitigadas. Projetados para ambientes corporativos de alto desempenho, os FCMs são capazes de ingerir volumes consistentemente altos de dados e, ao mesmo tempo, aplicar compactação de dados em linha; ao usar E/S acelerada por hardware, os FCMs são únicos em sua capacidade de alcançar tudo isso sem qualquer penalidade de desempenho.

A DA implementou a solução QRadar SIEM em um cluster VMware dedicado que consiste em dois servidores físicos dedicados. Os requisitos de armazenamento para o ambiente são provisionados a partir de um IBM FlashSystem 7200 dedicado conectado diretamente aos hosts.

Embora capaz de implementação em uma arquitetura totalmente tolerante a falhas, a solução de SIEM, conforme implementada atualmente, tem apenas coleta e recuperação de logs altamente disponíveis. Os dispositivos QRadar Processor e QRadar Console não têm redundância, mas como dispositivos virtuais terão a flexibilidade de poder migrar entre hosts ESXi.

A avaliação do projeto de atualização do SIEM da DA incluiu testes que utilizaram como benchmark os tempos de resposta das ações normalmente conduzidas ao investigar casos. Com a solução QRadar agora totalmente operacional, as ações realizadas durante uma investigação recente de alta prioridade foram registradas. Com cada ação, os seguintes dados foram anotados:

• O período histórico em relação ao qual a consulta de cada ação foi executada
  
  
• O tamanho dos conjuntos de dados analisados (quando relevante)
  
  
• O tempo necessário para a conclusão das ações

O período histórico e os tamanhos dos conjuntos de dados são publicados para fornecer contexto à complexidade e à escala da análise que está sendo realizada.

Para fins de comparação, a equipe de cibersegurança da DA forneceu tempos de conclusão relativos para os quais havia uma ação equivalente no SIEM anterior. Embora a comparação dos resultados em ambos os sistemas de SIEM executando testes lado a lado tivesse sido o ideal, isso não foi possível, pois a solução de SIEM anterior foi desativada quando o QRadar estava operacional.

Embora o reconhecimento dos tempos de conclusão citados para a solução de SIEM anterior sejam estimativas, eles ainda são relevantes por vários motivos:

• Os tempos estimados de conclusão são baseados no julgamento de membros altamente qualificados da equipe, que estavam muito familiarizados com ambos os sistemas.
  
  
• Como parte do projeto de atualização do SIEM da DA, o desempenho relativo do QRadar foi testado em relação ao sistema existente — a melhoria significativa no desempenho geral foi um fator importante na escolha final desse produto em relação a outras possíveis soluções.
  
  
• Os logs e dados da solução de SIEM anterior foram mantidos e podem ser usados para verificar o desempenho em ações equivalentes.

O mais relevante, porém, é que os tempos de conclusão de todas as ações comparáveis no QRadar são de magnitude mais rápida do que os do sistema de SIEM anterior. É razoável argumentar que, mesmo que uma grande margem de erro seja adicionada aos tempos de conclusão estimados listados para a solução de SIEM anterior, as ações do QRadar serão concluídas em significativamente menos tempo. O que antes levava horas para ser concluído, agora leva minutos. Da mesma forma, os relatórios que levavam minutos para serem executados agora estão sendo concluídos em segundos.

Em 2020, a DA realizou um projeto para substituir sua solução de SIEM anterior. Embora o planejamento de negócios de cada organização precise de uma estratégia robusta de cibersegurança, a importância de uma organização que fornece serviços bancários fundamentais para cooperativas de crédito, bancos e outras instituições financeiras não pode ser exagerada. Após um processo de avaliação minucioso, a DA firmou um contrato com a Vectra para substituir sua solução de SIEM existente pelo QRadar em execução em um ambiente virtualizado e usando o armazenamento do FlashSystem.

Tanto nos testes iniciais de benchmark quanto no uso em tempo real, a implementação do QRadar demonstrou ser uma ferramenta extremamente eficaz e poderosa para investigar eventos relacionados à segurança. A implementação dos componentes do QRadar em um cluster VMware oferece muitos benefícios: um espaço físico menor e menos custos de energia, com maior flexibilidade e escalabilidade futura. Ao incorporar o armazenamento do FlashSystem com a tecnologia IBM FCM, a DA está se beneficiando de soluções projetadas para alto desempenho e confiabilidade.

Usando uma combinação de recursos de otimização de índices do QRadar e uma plataforma de armazenamento de alto desempenho, a DA conseguiu reduzir significativamente os tempos comuns de execução de consultas de minutos para segundos. Isso resultou em melhorias demonstráveis em todos os tipos de casos de uso do SIEM na DA, incluindo resposta a incidentes, avaliações regulares do ambiente e geração de relatórios. Uma análise mais rápida de eventos de segurança resulta em melhor triagem e resposta a incidentes, o que é conhecido por reduzir o impacto geral. Avaliações de ambiente mais rápidas reduzem o tempo gasto e a frustração dos analistas de segurança, criando mais tempo para o trabalho produtivo.

Com a adoção do QRadar e da tecnologia IBM FlashCore, a DA agora executa análises e relatórios de incidentes em frações do tempo que a solução de SIEM anterior era capaz de fazer. Enquanto o custo médio de uma violação de dados é de milhões de dólares, o valor de negócios de qualquer solução que ajude a oferecer taxas de detecção mais rápidas é evidente, proporcionando possíveis economias em termos de tempo e dinheiro.

Embora a implementação dos controladores de armazenamento do FlashSystem equipados com FCMs seja um fator significativo, é simplista afirmar que esse é o único motivo para as melhorias de desempenho. Os ganhos de desempenho também podem ser atribuíveis ao próprio produto QRadar, especialmente em relação aos seus recursos de gerenciamento de índices. Quaisquer que sejam as causas para os níveis de melhoria de desempenho, a combinação das tecnologias da IBM demonstrou, no caso da DA, ser muito eficaz no atendimento às metas e aos objetivos de segurança da organização.

Ex-chefe de Cibersegurança da Data Action

Simeon Finch (BCompSc, MCSE, VCAP) é o Ex-chefe de Cibersegurança da DA, com responsabilidade de ponta a ponta para a equipe de cibersegurança, tecnologias, processos de conformidade e estratégia.

Simeon tem mais de 20 anos de experiência em uma variedade de funções de TI, incluindo liderança técnica, arquitetura e liderança em cibersegurança. Simeon tem o certificado TOGAF, é arquiteto de segurança certificado pela SABSA, e contribuiu para projetos de grande escala, como o Critical Infrastructure Centre do Governo Federal dos EUA, voltado para a legislação de cibersegurança no setor de energia e para o open banking nos serviços financeiros.

Analista Líder de Cibersegurança, DA

Lucien Dabrowski é Analista Líder de Cibersegurança na DA, responsável pelo monitoramento de segurança, tratamento de incidentes, garantia de entrega de requisitos cibernéticos regulatórios e de conformidade, bem como a melhoria contínua da maturidade de cibersegurança da DA para permitir a prevenção, detecção, resposta e recuperação eficazes de ameaças cibernéticas.

Lucien tem mais de oito anos de experiência em cibersegurança, com formação em infraestrutura de TIC. Ele é um defensor do SIEM, tendo projetado, implementado e operado várias plataformas de SIEM em grande escala. Lucien oferece ativamente mentoria e orientação de tecnologia tanto para a DA quanto para a comunidade em geral.

Especialista em Produtos Técnicos, IBM

Brendan Scott (MIT, BEng) é Especialista em Produtos Técnicos na IBM, com foco principal no suporte a clientes e parceiros na A/NZ com o portfólio do IBM Systems Storage.

Brendan tem mais de 25 anos de experiência em diversas funções e setores de TI. Em uma carreira de 10 anos na IBM, Brendan tem maximizado o valor de clientes e parceiros usando soluções de hardware e software da IBM, fornecendo consultoria e orientação técnicas.

Gerente de Soluções de Cibersegurança, Vectra

Jesse é responsável pela adoção geral, consultoria, implementação e suporte contínuo de soluções de segurança e serviços de segurança gerenciados relevantes. Ele trabalha em estreita colaboração com as equipes de consultoria de segurança, testes de penetração, centro de operações de segurança (SOC) e resposta a incidentes da Vectra para dar suporte à base de clientes da Vectra na região da ANZ.

A DA é uma empresa de tecnologia criada como uma cooperativa em 1986 por um conjunto de cooperativas de crédito locais e bancos mútuos na Austrália para hospedar serviços bancários fundamentais. Essa orgulhosa herança de ser criada pelos bancos mútuos para os bancos mútuos permanece no centro dos negócios da DA hoje.

A Vectra é uma importante empresa de cibersegurança, operada e pertencente a australianos. Oferece serviços de consultoria especializada, serviços de segurança gerenciados e soluções de segurança em toda a Ásia-Pacífico desde 2001. A equipe da Vectra oferece uma gama diversificada de experiência e recursos, que incluem, entre outros, consultoria em governança, risco e conformidade (GRC), teste de penetração e avaliação de vulnerabilidades, segurança de endpoint, segurança de rede, segurança de identidade, segurança na nuvem, SIEM gerenciado e resposta a incidentes.