Padrões de segurança fracos deixarão você vulnerável. Mas processos excessivamente sensíveis geram alarmes falsos que podem dificultar a distinção entre amigos e inimigos. E, infelizmente, esse problema é facilmente escalável.
"Nosso campus é grande", observa John McGuthry, vice-presidente e diretor de informações (CIO) da California State Polytechnic University, Pomona (Cal Poly Pomona). "Não apenas em relação ao número de alunos, mas em termos de tamanho físico. Temos cerca de 1.400 hectares e mais de 100 edifícios. Temos estábulos para cavalos. Nós temos fazendas. A expansão da nossa infraestrutura de rede e do espaço sem fio que mantemos é enorme."
E gerenciar um campus tão grande estava começando a ser um desafio para os recursos de segurança de TI da universidade. "Estávamos recebendo tantos alertas de dispositivos que a situação se tornaria difícil de lidar em breve", lembra McGuthry. "A quantidade de informações que estávamos analisando continuava aumentando. Precisávamos de uma alternativa melhor."
Mas além do tamanho do ambiente, a Cal Poly Pomona também enfrentou desafios com os diversos padrões de segurança de dados que precisa atender. Como explica McGuthry: “Temos uma força policial, portanto existem padrões de conformidade para os dados de aplicação da lei. Temos um centro de saúde, então a HIPAA entra em jogo. Temos um hotel, restaurantes, lojas; ou seja, requisitos de PCI. E junto com tudo isso, temos informações dos alunos que precisamos manter seguras."
Para enfrentar esses desafios, McGuthry queria implementar uma plataforma centralizada de gerenciamento de eventos e informações de segurança (SIEM) que pudesse oferecer recursos complexos de registro. E, após diversas conversas internas, ele se interessou em explorar os recursos oferecidos pelo IBM® Security QRadar SIEM e marcou rapidamente uma conversa inicial com uma equipe da IBM® Security.
"Após uma avaliação minuciosa do QRadar e depois de falar com a IBM, liguei para o nosso diretor de segurança da informação e disse: "Resolvido", recorda McGuthry. "Parece ser a melhor opção para a Cal Poly Pomona."
Como parte da implementação inicial do QRadar SIEM, a equipe da IBM® Security, juntamente com a equipe da Cal Poly Pomona, realizou um inventário abrangente de toda a arquitetura, criando um registro detalhado da topologia de rede e, ao mesmo tempo, identificando todas as funções de usuário com acesso a dados. Atualmente, cerca de 27.000 alunos ativos e 3.000 professores e funcionários usam o sistema regularmente.
"Também temos esse grande grupo de usuários transitórios de candidatos a cada semestre", observa Carol Gonzales, Vice-presidente associada de segurança e conformidade de TI e Diretora de segurança da informação da universidade. "Então, isso aumenta nossa base de usuários para cerca de 100.000 no total, que também diminui rapidamente. Nós também organizamos muitos eventos para a comunidade. E todos os anos temos uma cerimônia de formatura em que amigos e familiares dos estudantes vêm ao campus. É muito acesso sem fio."
Com as funções de usuário e o inventário identificados, o QRadar SIEM permite à Cal Poly Pomona centralizar, normalizar e analisar dados recebidos de mais de 84.000 dispositivos para identificar possíveis ameaças usando aprendizado de máquina e análise de comportamento. Em média, isso gera aproximadamente 44 GB de registros e relatórios por dia, o que, do ponto de vista forense, ajuda a simplificar os requisitos de conformidade e auditoria.
Mais detalhadamente, as funções de alerta acionáveis da solução IBM podem identificar locais de invasão de forma rápida e eficiente, sinalizando-os para investigação. Além disso, o QRadar SIEM oferece análises de comportamento do usuário que ajudam a equipe de segurança a identificar anomalias anteriormente indetectáveis que podem indicar ataques direcionados, ameaças internas ou outras atividades nefastas.
Além da segurança, o QRadar SIEM também ajuda com os esforços educacionais da universidade. Em particular, no data center Mitchell Hill da faculdade, os alunos da faculdade de Administração usam a tecnologia da IBM para ganhar experiência no "mundo real" enquanto estudam cibersegurança.
"É uma arquitetura isolada que reproduz nosso ambiente de produção", esclarece o Dr. Ronald E. Pike, professor associado de sistemas de informação de computador da universidade. "Os alunos da Cal Poly Pomona o usam para administrar seu próprio centro de operações de segurança gerenciado por alunos [SOC], onde podem usar o QRadar para observar o tráfego entrando e saindo do ambiente. E eles podem gerar artificialmente atividades adicionais de usuário que criam uma base constante de problemas de segurança que precisam ser resolvidos ao longo do semestre."
Além disso, a tecnologia IBM auxilia com aulas especializadas com foco em auditoria de TI, bem como no gerenciamento holístico de segurança, particularmente em como as várias áreas de cibersegurança se inter-relacionam.
"Eles também organizam uma série de competições no data center estudantil", acrescenta Pike. "E o QRadar é fundamental para ajudar a monitorar essas atividades, fornecendo dados claros de avaliação sobre o desempenho do concorrente."
O QRadar SIEM oferece uma visibilidade abrangente de toda a rede do campus. E a tecnologia da IBM facilita a detecção de ataques direcionados a vulnerabilidades não identificadas anteriormente, bem como ameaças avançadas e persistentes. Tudo isso permite à Cal Poly Pomona a identificar os pontos fracos da segurança e as invasões com muito mais rapidez. Além disso, a solução reduz automaticamente o número de alertas diários potenciais para entre 20 e 40 itens que requerem investigação.
"Não podemos verificar tudo, então o QRadar agrega e destaca os detalhes que realmente merecem nossa atenção", explica Gonzales. "Por exemplo, tivemos um incidente há alguns meses onde detectamos alterações não autorizadas em vários desktops no mesmo departamento. Com o QRadar, identificamos e reconfiguramos esses sistemas na mesma semana. Também adicionamos facilmente um widget ao nosso dashboard que nos permite ficar de olho nesse departamento caso o problema volte a ocorrer."
E além do valor entregue pela Tecnologia, Gonzales também ficou satisfeita com o suporte oferecido pela equipe da IBM® Security. Como ela observa: “Apreciamos muito a avaliação de valor que fazemos juntos, em que a IBM nos ajuda a descobrir como trabalhar de maneira mais inteligente. Essas avaliações nos ajudam a saber quais ataques precisam ser priorizados. Eles nos ensinam a deixar que o QRadar faça o trabalho por nós em vez de tentarmos gerenciar a ferramenta."
McGuthry continua, acrescentando: "Além do desempenho de um produto, o atendimento importa muito. E os especialistas que a IBM nos enviou foram de grande valia para a nossa universidade."
Fundada em 1938, a Cal Poly Pomona (link externo a ibm.com) é uma universidade politécnica líder que se concentra no aprendizado experimental e na descoberta prática. A universidade fica localizada em Pomona, Califórnia, e é composta por nove faculdades acadêmicas distintas que, juntas, oferecem cursos de bacharelado em 94 áreas e 39 programas de mestrado.
Legal
© Copyright IBM Corporation 2023. IBM corporation, New orchard road, Armonk, NY 10504
Produzido nos Estados Unidos da América, novembro de 2023.
IBM, o logotipo IBM, ibm.com, IBM® Security e QRadar são marcas comerciais ou marcas registradas da International Business Machines Corporation nos Estados Unidos e/ou em outros países. Outros nomes de produtos e serviços podem ser marcas comerciais da IBM ou de outras empresas. Uma lista atual de marcas comerciais da IBM está disponível em ibm.com/legal/copyright-trademark.
Este documento é atual na data de sua publicação inicial, podendo ser alterado pela IBM a qualquer momento. Nem todas as ofertas estão disponíveis em todos os países em que a IBM opera.
Todos os exemplos de clientes citados ou descritos são apresentados como ilustrações da forma como alguns clientes utilizaram produtos da IBM e os resultados que podem ter alcançado. Os custos e características de desempenho ambientais reais vão variar, dependendo das configurações e condições específicas dos clientes. Geralmente não é possível garantir os resultados esperados, pois os resultados de cada cliente dependerão inteiramente dos sistemas e serviços adquiridos. AS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO SÃO FORNECIDAS NO ESTADO EM QUE SE ENCONTRAM, SEM QUALQUER GARANTIA, EXPRESSA OU IMPLÍCITA, INCLUINDO SEM QUAISQUER GARANTIAS DE COMERCIALIZAÇÃO, ADEQUAÇÃO A DETERMINADO FIM E QUALQUER GARANTIA OU CONDIÇÃO DE NÃO INFRAÇÃO. A garantia dos produtos IBM está estipulada nos termos e condições dos contratos que regem o fornecimento desses produtos.
Declaração de boas práticas de segurança: nenhum sistema ou produto de TI deve ser considerado completamente seguro, e nenhuma medida de produto, serviço ou segurança pode ser completamente eficaz na prevenção de uso ou acesso inadequado. A IBM não garante que nenhum de seus sistemas, produtos ou serviços estejam imunes nem que tornarão sua empresa imune a condutas maliciosas ou ilegais por parte de terceiros.
O cliente é responsável por garantir o cumprimento de todas as lei e regulamentações aplicáveis. A IBM não fornece conselho jurídico tampouco representa ou garante que seus serviços ou produtos garantirão que o cliente esteja em conformidade com qualquer lei ou regulamentação.