Datashield y RSA tienen una larga historia, que se remonta a 2009. RSA NetWitness sigue siendo una solución SIEM preferida por muchos clientes. La plataforma es especialmente poderosa para utilizar la captura completa de paquetes, lo que permite a los analistas realizar investigaciones forenses en profundidad.
La única desventaja que escuchamos de muchos es que RSA NetWitness puede ser un desafío para navegar y configurar.
Durante los últimos meses, RSA ha avanzado mucho en el desarrollo de RSA NetWitness Platform en un SIEM más evolucionado y dirigido por el usuario que proporciona herramientas de supervisión, detección e investigación de seguridad en una única plataforma unificada. RSA ha lanzado nuevas capacidades innovadoras, una experiencia de usuario rediseñada e invirtió más en la funcionalidad principal para aumentar la velocidad de detección y respuesta a las amenazas.
Dedicamos este post a analizar RSA NetWitness.
Indice
¿Qué es RSA NetWitness?
RSA NetWitness Suite (anteriormente RSA Security Analytics) es una plataforma de monitorización construida sobre la arquitectura NetWitness Investigator. La plataforma proporciona herramientas de análisis forense y de red para investigar incidentes, analizar paquetes de datos y trabajar con datos y registros de terminales.
Básicamente, el motor RSA NetWitness Suite captura, inspecciona y analiza datos, que luego se etiquetan con indicadores y atributos de amenazas. La plataforma alerta a los administradores sobre anomalías y comportamientos inusuales de la red, y proporciona conjuntos de reglas configurados e informes preempaquetados para facilitar el uso y una rápida implementación.
Con RSA NetWitness Suite, los clientes pueden detectar y tomar medidas sobre amenazas emergentes y avanzadas que otras defensas de seguridad pueden pasar por alto, y hacerlo en minutos, en lugar de horas o días. También pueden utilizar la plataforma para generar informes que cumplan con los requisitos de cumplimiento normativo de la ley Sarbanes-Oxley , HIPAA , el estándar de seguridad de datos de la industria de tarjetas de pago y otros.
RSA Live es el sistema de entrega de inteligencia sobre amenazas basado en la web que utilizan los clientes de RSA NetWitness Suite. RSA Live no está disponible como producto independiente; está integrado con RSA NetWitness Suite.
El acceso a las fuentes de datos de RSA Live permite a los clientes combinar información de inteligencia del servicio con sus propios datos dentro de RSA NetWitness Suite, lo que les permite aplicar inteligencia de amenazas actual y relevante a su entorno. La forma en que se operacionalizan los datos de RSA Live es un diferenciador clave en la industria.
Los datos de RSA Live se convierten en metadatos en los que se puede hacer clic dentro del producto, lo que permite que el código abierto y otra inteligencia se fusionen con los propios datos del cliente, lo que los hace más valiosos.
Una suscripción a RSA NetWitness Suite incluye informes y alertas de amenazas, inteligencia comunitaria de código abierto, protocolos comunes e informes de comando y control , identificación de kits de explotación, indicadores de compromiso y de día cero , y niveles de riesgo priorizados.
También incluye una serie de funciones de RSA FirstWatch: una lista negra de amenazas, dominios avanzados con etiquetas de amenazas persistentes, proxies sospechosos y redes maliciosas.
Historia
La transición de NetWitness para convertirse en una unidad de negocios independiente marca otro paso en su notable viaje. Iniciado hace casi un cuarto de siglo como un proyecto de investigación de inteligencia de EE. UU. Para realizar análisis de seguridad del tráfico de red, hoy NetWitness es reconocido por su posición de liderazgo en los mercados Evolved SIEM y XDR .
Los clientes de NetWitness incluyen muchas de las organizaciones más grandes, complejas y preocupadas por la seguridad del mundo. La profundidad y riqueza del kit de herramientas de investigación de NetWitness, con visibilidad integral, análisis avanzados de IA y funciones de automatización y orquestación de incidentes, permiten a los clientes de NetWitness defenderse de las amenazas cibernéticas avanzadas.
A lo largo de su larga e histórica existencia, NetWitness ha luchado por el lado bueno en uno de los concursos más dinámicos de la historia: la guerra entre los sombreros negros y los defensores. Esta es la historia de esa evolución.
Los primeros años
NetWitness se originó en 1997 como un proyecto de investigación de la Agencia de Inteligencia de los Estados Unidos administrado por CTX Corporation, una consultora con sede en Viena, donde la mayoría de los empleados tenían una autorización de seguridad de alto secreto. NetWitness se creó a medida para ayudar a los analistas a comprender grandes volúmenes de datos de red capturados. CTX vio el valor de la tecnología en amplios casos de uso y obtuvo permiso para venderla en otros compromisos.
En 2002, CTX fue adquirida por ManTech International Corporation, que desarrolló aún más la tecnología para ayudar a las agencias federales de aplicación de la ley en las investigaciones penales.
En 2006, ManTech lanzó NetWitness como un spin-out privado para llevar su tecnología de análisis de redes al mercado comercial mundial. NetWitness se ofreció como una solución de software empaquetada y fue adoptada por algunas de las principales organizaciones del mundo, muchas de las cuales todavía dependen de NetWitness hasta el día de hoy. Como empresa privada, NetWitness redirigió el desarrollo para crear una solución empresarial.
RSA Investments y el advenimiento de SIEM
En 2011, RSA adquirió NetWitness y lo combinó con RSA enVision SIEM en un mensaje de seguridad combinado. Durante este período, enVision fue líder en un mercado SIEM en transición. Los registros SIEM, originalmente centrados en el cumplimiento normativo, se utilizaban cada vez más para análisis de seguridad. Aprovechando esta tendencia, RSA combinó enVision y NetWitness para brindar a NetWitness un alcance empresarial aún mayor, una inspección profunda de paquetes y análisis de registros en un lenguaje de metadatos común.
Manteniéndose fiel a sus orígenes basados en la consultoría, RSA Professional Services introdujo los servicios de Respuesta a Incidentes (IR) basados en NetWitness. Los expertos en cazadores de amenazas de RSA aún ofrecen IR en retenedor o bajo demanda, codo con codo con clientes de todo el mundo. Debido a que NetWitness se utiliza continuamente para investigaciones del mundo real en entornos complejos, los datos que captura proporcionan a RSA una entrada constante e importante para dar forma al desarrollo de productos de NetWitness; este circuito de retroalimentación ha sido un factor crítico para que NetWitness mantenga el liderazgo y la relevancia durante décadas.
Las inversiones de RSA ofrecieron capacidades de análisis de registros y redes estrechamente integradas, aumentadas con herramientas forenses y de detección de amenazas enriquecidas, y en 2014 la nueva combinación se renombró como RSA Security Analytics, y luego se renombró una vez más en 2016 como RSA NetWitness Suite.
En 2012, NetWitness adquirió Silicium Security y su insignia Enterprise Compromise Assessment Tool (ECAT). Integrado con NetWitness, ECAT, que más tarde cambió el nombre de NetWitness Endpoint , brinda a los cazadores de amenazas una herramienta poderosa para detectar anomalías basadas en endpoints que otras soluciones pasan por alto.
SIEM evolucionado
En 2018, NetWitness adquirió Fortscale, una empresa pionera en análisis de entidades y comportamiento del usuario (UEBA). Se agregó Security Orchestration, Automation & Response con NetWitness Orchestrator. Sobre la base de los sólidos cimientos de NetWitness, la evolución de UEBA y SOAR introdujo RSA NetWitness Platform, una solución integral de detección y respuesta de amenazas y SIEM evolucionado.
En 2020, NetWitness lanzó IoT Security Monitor, un servicio en la nube para monitorizar y alertar sobre dispositivos y sistemas de Internet de las cosas. La integración con NetWitness agrega un vector de visibilidad importante para los dispositivos basados en IP.
Futuros XDR
La evolución de NetWitness se ha alineado de lleno con la próxima gran evolución del mercado: XDR o eXtended Detection & Response. XDR abarca todas las capacidades SIEM evolucionadas existentes (visibilidad, integración, análisis y automatización), pero enfatiza la integración y el soporte de un solo proveedor, ya que los modelos antiguos de seguridad de combinación no pueden mantenerse al día con los desafíos sofisticados y emergentes.
El soporte en la nube es clave para XDR. Recientemente, NetWitness lanzó Detect AI, un componente de análisis SaaS puro en la nube para NetWitness Platform. El siguiente es NetWitness Cloud SIEM, una oferta de SaaS (software como servicio) que abarca tanto software como infraestructura. En la tubería está Big Bang, un módulo de análisis de big data para NetWitness que proporcionará descubrimiento, caracterización y priorización de activos, con análisis continuos que detectan nuevos activos, así como cambios en la importancia de los activos.
NetWitness: la próxima era
En 2006, RSA Security, independiente desde su fundación en 1982 por los legendarios científicos de cifrado Ron Rivest, Adi Shamir y Leonard Adleman, fue adquirida por EMC. Operó como RSA, la División de Seguridad de EMC hasta 2016, cuando Dell y EMC se fusionaron para formar Dell EMC.
RSA operó como una unidad independiente de Dell Technologies hasta 2020, cuando se separó como una organización independiente en una venta a un consorcio liderado por Symphony Technology Group (STG). Reformulado como una unidad de negocio independiente, NetWitness se está reorientando para centrarse exclusivamente en las oportunidades y requisitos del mercado XDR.
Esta evolución es técnica y lógicamente coherente con la herencia de NetWitness, desde su génesis como proyecto de investigación de una agencia de inteligencia, hasta su función actual y futura de proteger a las organizaciones más conscientes de la seguridad del mundo.
El nuevo logotipo rinde homenaje a esa herencia, presenta la próxima generación de NetWitness para servir a los clientes y marca el siguiente capítulo en el legado largo e histórico de esta solución.
Beneficios
Estos son los principales beneficios de usar RSA NetWitness:
- RSA NetWitness UEBA aprovecha el aprendizaje automático no supervisado e incluye modelos de aprendizaje automático basados en datos de registro y datos de proceso de endpoints profundos, para detectar rápidamente anomalías en el comportamiento de los usuarios y descubrir amenazas desconocidas, anormales y sofisticadas en evolución.
- La solución RSA NetWitness Endpoint está completamente integrada con RSA NetWitness Platform para proporcionar un contexto adicional para la detección y respuesta, y un RSA NetWitness Endpoint Insights Agent gratuito para capturar datos estáticos de endpoints y Microsoft Registros de Windows.
- Ofrece flujos de trabajo de respuesta nativa y capacidad SOAR en RSA NetWitness Orchestrator. Es un multiplicador de fuerza para los centros de operaciones de seguridad (SOC) para estandarizar, escalar, medir y adaptar continuamente sus operaciones de seguridad.
- Dispone de una interfaz de usuario rediseñada e intuitiva: fácil de usar tanto para expertos como para analistas menos experimentados.
- Proporciona una representación visual de amenazas para acelerar el reconocimiento de la dinámica de amenazas e identificar el alcance completo del ataque.
- Proporciona visibilidad en la nube mediante la captura de datos de proveedores de nube de terceros, como Amazon Web Services, Azure vTAP y muchos otros.
- Capacidad para encontrar y decodificar base64 y hexadecimal, y profundizar en las sesiones de red con investigaciones de red rediseñadas.
- Descifrado SSL entrante, análisis de páginas web comprimidas y mediciones de entropía para ayudar a las organizaciones a obtener información valiosa y metadatos sobre el tráfico cifrado; sin esta visibilidad, el atacante tiene una clara ventaja.
- Capacidad de ejecutarse en dispositivos RSA, hardware proporcionado por el cliente, entornos virtuales y en la nube. Ahora, con capacidades de conmutación por error de alta disponibilidad ampliadas para el host de servidor de la plataforma RSA NetWitness, así como un proceso de copia de seguridad y restauración sin inconvenientes para todo su entorno.