Enterprise Security and Risk Management

Transkript

1 Enterprise Security and Risk Management 3. Generation SIEM -Total Security Intelligence Alex Sinvani 24. maj 2012

2 TRUSSEL SIEM og resten af forretningen VIRKSOMHED

3 Et overset angreb kan være katastofalt Når Events forbliver uopdaget, Bad Things Happen

4 Insidere bliver en større trussel Insider activiter bør monitoreres

5 Risiko/omkostning Hvorfor en SIEM løsning? Hvor lang tid tager det at handle fra det tidpunkt et problem opdages? Reducere risiko og omkostninger dramatisk ved at reducere den tid det tager for en effektiv respons! Udbedringstid

6 SEM SIM SIEM SIM (Security Information Management) Log management the collection, reporting and analysis of log data (primarily from host systems and applications, and secondarily from network and security devices) Regulatory compliance reporting, internal threat management and resource access monitoring. SIM supports the privileged user and resource access monitoring activities of the IT security organization, and the reporting needs of the internal audit and compliance organizations. SEM (Security Event Management) log and event data from security devices, network devices, systems and applications in real time, to provide security monitoring, event correlation and incident response. SEM supports the external and internal threat monitoring activities of the IT security organization, and improves incident management capabilities. Kilde: Gartner

7 Hvem tilgår mine systemer? Hvem er dine slutbrugere og hvorledes anvender de interne ressourcer? Hver bruger har flere bruger konti og IP adresser ændres konstant Har du et enterprise overblik over slut-bruger aktiviteter på tværs af konti? Stress fejl manglende evner eller kompetencer Motiver holdninger økonomi politik religion osv.

8 Millioner af Events Firewalls Firewalls/ VPN Intrusion Detection Systems Vulnerability Assessment Network Equipment Server and Desktop OS Anti-Virus Applications Anti Anti Databases Virus Virus Mainframes Sign-On Identity Management Directory Services User Attributes Physical Infrastructure Business Processes Kritiske events tabt i et hav af events 100s of Millions og de fleste Events angreb Per Day eller fejlkonfigurationer går oftest fuldstændigt uset hen. Overvældende antal logs Forsvar og sikkerhed oftest ø-opbygget Uge lange manuelle undersøgelser Massive false positives Heterogene konsoller Mange forskellige formater

9 Filtrering Firewalls/ VPN Intrusion Detection Systems Server and Network Vulnerability Desktop OS Equipment Assessment Anti-Virus Applications Databases Physical Infrastructure Identity Management Directory Services System Health Information Web Traffic Identificerede. trussler Millioner: Rå Events Kendte sårbarheder Tusinder: Sikkerhedsrelevante Events Business-critical IT assets Hundrede: Korrelerede Events

10 Styrke: Normalisering Z/390 Failed Login Event UNIX Failed Login Event Oracle Failed Login Event Windows Failed Login Event Kortlæser Entry Denied

11 Styrke: Kategorisering En fælles model for at beskrive en hvilken som helst event på tværs af enheder og enhedstyper Forstå den reelle vigtighed af events fra forskellige kilder/enheder Anvende klart sprog og enhedsuafhængig analyse Gør nytte af enheds uafhængigt indhold Uden normalisering Med normalisering Fordel: fremtidssikre din analyse og overvågning

12 Aktivitets Profilering Vitalt for at forbyggende vedligeholdelse og sporing Sofistikeret data-mining teknikker til at følge events samt opbygge baselines for hhv. god og dårlig aktivitet Find tidligere uopdaget opførelsesmønstre

13 SIEM Evolution Security Intelligence Næste evolution Prediktive løsning Log Management Imødekomme minimum standarder for compliance. SIEM Det næste skridt Aktiv løsning Offense advisering Event korrellering Bruger kontekst Network Activity & Behavior, Automatic Discovery Offense advisering Event korrellering User Kontekst Security Intelligence Forensics Adfærdsanalyse Threat Management Event korrellering Indsamling Storage Compliance Reporting Compliance Reporting Compliance Management Søgning Log Management Log Management Log Management

14 Security Intelligence: Next-Generation SIEM Mistænkelige Incidents Datakonsolidering 2 mia log & events per dag reduceret til 25 højprioritets offenses

15 Det overordnet budskab Vision Skabe værdi af maskindata Kategori definition Løsning positionering Overskriften Security Intelligence SIEM som data analyse LYT til dine DATA

16 Alsidige data Alternative kilder Kerne IT Kundeorienteret IT Shipping RFID PC ere Web tjenester Data Warehouse Indkøbskurv Cloud Sikkerhed Udviklere GPS/Mobil Energi Servere Tele App Support Online tjenester Virtuel Produktion Netværk Messaging Storage Clickstream Fysisk

17 Alsidige data Alternative kilder Kerne IT Kundeorienteret IT GPS/Mobil Shipping RFID PC ere Web Services Maskindata volumen, kilder og typer eksploderer Udviklere Servere Energi Online Services Markeds trends gør disse data Tele værdifulde App for forretningen Support Netværk Sikkerhed Data Warehouse 80-95% af en organisations data er unstruktureret Lageres gerne i siloer Produktion Storage Messaging Indkøbskurv Nye teknologier bidrager til data-tilvæksten (mobile enheder, sensorer, GPS, virtualisering, cloud) Indeholder kategoriske registreringer af aktivitet og opførelse Clickstream Cloud Virtuel Fysisk

18 Maskin Data mangler Standarder Tag f.eks. egenudviklet applikationslogs: Log formater ukendt og udokumenteret indhold kan spænde over flere linjer Eksisterende applikationer kan begynde at generere helt nye meddelelser baseret på ny kode Traditionelle styringsværktøjer er afhængige af skrøbelige skemaer, som fejler når log formater ændres ####<Sep 24, :52:38 PM PDT> <Warning> <EJB> <virt3> < mys '224' for queue: 'weblogic.kernel.default (self-tuning)'> <<an <BEA > <MessageDrivenBean threw an Exception in onmessag javax.ejb.ejbexception: nested exception is: javax.ejb.object primary key ' ' was not found by ' findbyprimarykey'.. javax.ejb.ejbexception: nested exception is: javax.ejb.objectn primary key ' ' was not found by ' findbyprimarykey'. at com.sun.j2ee.blueprints.opc.customerrelations.ejb.mailorderapp almdb.java:140) at weblogic.ejb.container.internal.mdlistener.execute(md at weblogic.ejb.container.internal.mdlistener.transactio at weblogic.ejb.container.internal.mdlistener.onmessage( at weblogic.jms.client.jmssession.onmessage(jmssession.j at weblogic.jms.client.jmssession.execute(jmssession.jav at weblogic.jms.client.jmssession$useforrunnable.run(jms at weblogic.work.serverworkmanagerimpl$workadapterimpl.r at weblogic.work.executethread.execute(executethread.jav [Thu Sep at weblogic.work.executethread.run(executethread.java: :57: ] [error] [client ] ap_proxy enter_order_information.screen at backend host ' /7001 'CONNECTION_REFUSED [os error=0, line 1739 of../nsapi/url.cpp :7001', referer:

19 Varieret og under konstant forandring 100 af producenter 1000 af formater Samme enhedstype Meget forskellige formater Samme producent Mange forskellige formater :27:58 Local7.Notice Oct :00:21 ASA VDN1 : %ASA : access list inbound denied Sep :59: ns5gt-wlan: NetScreen device_id=ns5gt-wlan [No Name]system-notification (traffic): start_time=" :59:28 Intrusion Detection System Jul :39:18 '<?xml version="1.0" encoding="utf-8" standalone="yes"?><events Cisco Security Agent Fri Sep 18_18:20:01_PDT_2009 peizhuwxp :51: The process 'C: Ironport Security TCP_MISS/ GET

20 Værdifuldt for It & Forretningen Indeholder et absolut registre af aktiviteter og opførelse Vedligeholde oppetid og SLAer Tilsikre system sikkerhed Tilsikre data sikkerhed Imødekomme compliance mandater Indeholder vigtige nye indsigter for It og forretningen Kundeopførelse og oplevelser Produkt og service forbrug End-to-end transaktions synlighed Bruger IP Handling Login Resultat Bruger IP Produkt Kategori [25/Sep/2009:09:52: ] [25/Jan/2010:09:52: ] type=user_login msg=audit( :199891): "GET user /petstore/product.screen pid=25702 uid=0 auid= msg='acct="taylor": exe="/usr/sbin/sshd"?product_id=av-cb-01 (hostname=?, HTTP/1.1" " addr= , terminal=sshd res=failed)' category.screen?category_id=birds" "Mozilla/5.0 ( Linux) "JSESSIONID=xZDTK81Gjq9gJLGWnt2NXrJ2tpGZb1

21 Dashboards og Views til enhver Nye niveauer af synlighed og indsigt for IT og forretningen Auditør IT Ledelse Marketing & Markeds Analytikkere Andre ledere & forretningsejere Kombiner maskinedata med traditionelle forretningsdata - få nye indsigter i tendenser og adfærd hos kunder, tjenester og systemer. 21

22 Partnere & leverandører Drift Rådgivning Kompetence Certificeringer Support

23 Elementer for effektiv SIEM Governance Mennesker Teknik Processer

24 TAK Alex Sinvani Mobil: