Cases Aplicações no governo

Case NetWitness

Em 2007, os Estados Unidos adotaram a Comprehensive National Cyber Initiative (CNCI, ou Iniciativa Cibernética Nacional Abrangente). Um componente importante desse programa é a Trusted Internet Connection (TIC, ou Conexão Confiável com a Internet), estabelecida no memorando OMB M-08-05 de novembro de 2007, desenvolvido especificamente para melhorar a segurança das redes de agências federais.

A TIC reduz o risco para os dados do governo, consolidando o número de pontos de conexão à Internet, estabelecendo controles de segurança comum em todos os níveis das agências e departamentos, e fornecendo recursos para monitoramento adequado para o tráfego – melhorando assim a capacidade de resposta a incidentes.

Um cronograma de implementação acelerada de TIC exigiu que as agências do poder executivo trabalhassem rapidamente. O cliente da NetWitness, uma grande secretaria de estado, dispunha de apenas três meses para concluir as tarefas de documentar as conexões de rede existentes em todos os escritórios, avaliar os planos de arquitetura técnica e políticas de segurança e criar um plano de ação com metas para a implementação de TIC até junho de 2008. A secretaria também usou o projeto de consolidação de TIC para desenvolver um Centro de Operações de Segurança (SOC, na sigla em inglês) para fornecer monitoramento com qualidade e nível consistentes em todos os componentes.

“Tínhamos que olhar seriamente para nossa estratégia de segurança e encontrar a melhor combinação de tecnologias de monitoramento de próxima geração que nos permitisse implementar uma arquitetura de TIC eficiente. Em longo prazo, também precisávamos enfrentar ameaças avançadas e implementar melhores processos para tornar a nossa equipe de operações mais eficiente”, afirmou o CISO assistente daquela secretaria.

Avaliação do NetWitness

Devido ao seu papel fundamental na infraestrutura de segurança nacional, a secretaria de estado era alvo constante de ataques por uma grande variedade de ameaças, desde crackers inexperientes até entidades patrocinadas por outros países, organizações criminosas e militantes políticos. Graças aos anos de experiência da equipe e o uso de ampla variedade de tecnologias, a agência era capaz de efetivamente rechaçar a maioria das tentativas de intrusão. No entanto, a detecção e a mitigação de ameaças persistentes avançadas permaneciam um sério desafio.
A secretaria de estado tinha que tratar essa lacuna obtendo mais visibilidade das redes e aprimorando a inteligência de ameaças, consolidando tudo isso em uma arquitetura de TIC. Integrar uma solução de monitoramento e análise de segurança de rede a fim de complementar tecnologias existentes de IDS e gerenciamento de eventos e informações de segurança (SIEM) foi considerado fundamental para proporcionar um nível muito mais detalhado de recursos de análise e capacidade de resposta a incidentes. As equipes de segurança e arquitetura colaboraram com os colegas de outras agências governamentais. O CISO de uma agência de inteligência recomendou o NetWitness NextGen, uma tecnologia utilizada com sucesso em problemas semelhantes há vários anos.

“Meus colegas falavam muito bem do NextGen, afirmando que ele proporcionava a amplitude e a profundidade necessárias para total visibilidade de rede, aplicativos, contexto e conteúdo de usuários”, afirmou o CISO dessa secretaria. “Devido à complexidade do nosso ambiente, estávamos um pouco céticos ao iniciar o processo de avaliação, mas em pouco tempo vimos que a solução era entusiasmante.”

O NetWitness NextGen é uma solução para monitoramento de segurança de rede projetada explicitamente para ajudar a combater ameaças avançadas de segurança cibernética. A solução é baseada em full packet capture e análises de sessão. Ele utiliza as técnicas mais abrangentes e avançadas de modelagem de sessão de rede para fornecer análises de segurança muito específicas e detalhadas a partir de terabytes de dados.

Usando o SIEMLink, a secretaria de estado aproveitou os insights e a inteligência da camada de aplicativo para aumentar as medidas de segurança existentes e acelerar os processos de segurança operacional. O fluxo de trabalho resultante atuou como um multiplicador de forças para melhorar a eficiência e a eficácia da equipe de segurança.

Sucesso instantâneo

A implantação inicial do NetWitness começou com uma prova de conceito realizada em duas semanas. O departamento implementou os dispositivos do NetWitness NextGen na rede de produção, emulando o local desses dispositivos na configuração de TIC, com acesso completo aos dados de produção. As equipes de suporte do governo e do contratante trabalharam com os engenheiros da NetWitness, composta por profissionais habilitados com décadas de experiência trabalhando na vanguarda da segurança de TI.

Durante duas semanas de testes reais, a agência foi capaz de descobrir violações potenciais externas para segurança de dados e um incidente de vazamento de dados criado por um funcionário. Esses incidentes foram ignorados pelas tecnologias de segurança existentes na agência e considerados incidentes críticos por parte da alta administração da secretaria.

Melhorias operacionais

A compra inicial e a implantação da primeira fase foram excelentes. O estreito relacionamento de trabalho entre o pessoal da NetWitness e a equipe de projeto de TIC resultou na implementação praticamente sem problemas e melhorias operacionais significativas nas operações das equipes de segurança e análise de ameaças da secretaria. Com base no sucesso inicial do projeto, o cliente lançou oficialmente a sua estratégia centralizada de SOC, fornecendo resultados de análises de eventos centralizadas e coordenação, resposta e geração de relatórios de incidentes. Segundo um dos engenheiros seniores do governo:

“Consistentemente, mais de 60% de nossas vitórias confirmadas agora são atribuídas aos dados que obtemos da infraestrutura NetWitness, ao contrário da combinação de outras tecnologias que implantamos e usamos”.

Desfrute do conhecimento

As ameaças enfrentadas por nossos clientes são avançadas e eles são muito exigentes. Eles são especialistas em segurança com anos de experiência e uma percepção apurada dos desafios que suas empresas enfrentam. O NetWitness se destaca no trabalho com essa base de usuários experientes, cuja carga de trabalho e requisitos forçam os limites de qualquer plataforma.

Sobre a NetWitness

O foco absolutamente concentrado na base de usuários avançados, juntamente com amplo conhecimento da NetWitness a respeito de ameaças avançadas resultaram no máximo aproveitamento de todos os recursos da solução NextGen pela secretaria de estado desde o primeiro dia.

Durante duas semanas de testes reais, a agência foi capaz de descobrir violações potenciais externas para segurança de dados e um incidente de vazamento de dados criado por um funcionário.

O NetWitness ajuda os clientes a combaterem ameaças avançadas à segurança cibernética através do fornecimento de um nível sem precedentes de conhecimento sobre o que está acontecendo em suas redes, além do insight necessário para executarem ações definitivas.

A solução de monitoramento de segurança NetWitness NextGen recebeu inúmeros reconhecimentos por sua inovação e se tornou parte extremamente importante das operações diárias de nossos clientes. É essa combinação de riqueza de dados de aplicativos e contexto que diferencia os produtos patenteados da NetWitness de qualquer outra solução disponível no mercado.