Vejen til succesfuld Security Intelligence. Alex Sinvani Søborg, 4. juni 2013

Transkript

1 Vejen til succesfuld Security Intelligence Alex Sinvani Søborg, 4. juni 2013

2 Security Intelligence: Next-Generation SIEM Mistænkelige Incidents Datakonsolidering 300 mio log & events per dag reduceres til 6 højprioritet offenses Datakonsolidering 1 mia log & events per dag reduceres til 20 højprioritet offenses

3 Elementer for effektiv Security Intelligence Governance Mennesker Teknik Processer

4 Den organisatoriske udfordring Mennesker Compliant: Teknik Processer Governance KPI Top Forretningsprocesser KPI Ledelse Services KPI Mellemledelse Systemer KPI Drift medarbejdere Infrastruktur

5 Security Intelligence livscyklus Implementering Fortolkning af output Design af løsning Output Teknologisk løsning Ændringer ift. processer og org. Kravspec oversættelse af forretnings krav til teknik Validering af findings Risk ift. org/proces/tekn

6 Security Intelligence stadier Spæd Vækst Moden

7 Security Intelligence evolution - faserne Spæd SIM fokuseret Compliance fokuseret indhold Borg mentalitet Vækst Stærkere SEM muligheder og evner (real-time overvågning) Usupporteret kilde og egenudviklet applikationer Egenmonitorering Miljøorienteret modellering

8 Security Intelligence evolution - faserne Moden Udvikle igangsættelsesproces Supplementer med eksterne trussels kilder Forretningskontekst Bruger opførelsesanalyse Applikations opførelsesanalyse Aggressiv normalisering og korrellering Opsporing af anomalier Advanced Persistent Thread Awareness Detaljeret prioritering og respons logik

9 Security Intelligence evolution - faserne Omfangsrig plan Incident håndterings procedure Fuld 24/7 ingen inden for normal arbejdstid Systematisk håndhævelse af mål og procedurer Ledelsesinformation Uafhængig audit (Governance) enhed Kort- og langsigtet strategisk planlægning Roadmap Funktionalitetsforbedringer

10 Eksterne trussels kilder IP kilder (lister) SRI Malware Threat Center SANS ISC - DShield Project HoneyPot Zeus Tracker SpyEye Tracker M.fl. Domian kilder (lister) Malware Domain List Malware Patrol Malware Domains Zues Tracker SpyEye Tracker Symantec DeepSight

11 Security Intelligence udrulning & Lifecycle Definere krav Use cases vs. producent litteratur Forretningsbehov vs. teknisk funktionalitet Indkøb Finde projekt sponsor Leverandør udvælgelse SIEM vs. MSSP Design Scope Arkitektur Overvejelser Stackholders Ledelsen Styregrupper Påtage sig Risk Advisor rollen internt i nirksomheden

12 Security Intelligence udrulning & Lifecycle Udrulning Et engageret projekt team Non-prod gennemgang Validering Content levering Tilføje indhold Anvendeligt indhold Eftervise succes

13 Andre vigtige projekt overvejelser Checkliste Storage (hastighed vs. retention) Skalerbarhed Arkitektur design EPS (Events per Second) Vendor licensing protection (TCO) Agents vs. Agent-less Event source transparency Deployment team udvikling & koordinering IOPS Event kilder (trafik vs. log) Personel Non-production miljøer Load balancing Business continuity Firewall porte Authentication & authorization Content promotion process Performance Netværksbåndbredde Appliances vs. software Sikre sporbarhed på events O&M transition Slutbruger/klient/mgmt forventninger Roadmap (fasedelt udrulning) Producent content packages SLA er 24x7 vs. 8x5 Projekt planlægning (involvere alle interesenter tidligt) Professional Services Roadmap

14 Best Practice Scope Spis elefanten i små bider (faseopdelt tilgang) Start med basis (NIST , osv) Pluk de lavt hængende frugter Sponsorskab Vis succes Husk at fremtidig funding og ressourcer tildeles oppefra og ned Levere forståeligt, let fordøjelig og relevant information Reklamere for løsningen skab synlighed!

15 Grundlæggende trusselsanalyse Event baseret IDS systemet rapportere Signatur X som er rettet mod Host Y, VA scanneren ser at Y er sårbar = BINGO! Regel baseret Hvis X + Y + Z så gør A, eller hvis X gentager sig mere end 3 gange i intervallet Y så gør Z. Risiko baseret Hvis attack type = Destructive (f.eks. Buffer Overflow vs. SYN Scan) og target = critical asset (testserver vs. prodserver) og reporting device = trustworthy (SourceFire RNA vs. Snort) så åben en Trusselsadvisering og eskalere en trussels instans. Anomali baseret Hvis trafikken på port X overstiger fra normalfravigelsen af historiske trafikmønstre, så kan der være tale om et problem eller trussel (f.eks. En ny orm, bot eller en applikation).

16 Hvad kan Security Intelligence gøre? Håndhæve HR Code of Conduct Hjælpe forretningsenheder med at opnå deres kvalitetsmål Vurdere interne såvel som eksterne bedrageriindikatorer Levere situationsbevidsthed og anomalianalyse på infrastrukturen og data Identificere tredjepart sikkerhedstrusler og kompromiser Oprydning i infrastruktur og overblik

17 Hvad plejer vi at finde? Gamle & nye virus aktiviteter Peer2peer Udenlandsk beaconing på lukkede netværk Antivirus forbedringer Forbudt brugeraktiviteter Botnet aktiviteter Mistænkelige producentaktiviteter Embedsmisbrug Content brud DNS fejl.

18 Hvad kan man gøre? Udvikle og vedligeholde en kort- og langsigtet strategi 3 måneders plan på implementering 1/2/3 årig strategi Trusler som det forventes at identificere Informationskilder som det måske forventes at der skal monitoreres Storage, personel, administration, træning, footprint, hardware, budget, event-flow, processer og revision Videre management integration

19 Hvad kan man gøre? Use case beskrivelse Vedligehold en projektplan Udarbejd arkitektur diagrammer Afgør hvilke målbare performance indikatorer, der skal følges Brainstorm mulige eventkilder Promovere Security Intelligence som et forretningsredskab (BI) og sælge eller videreføre information/event management til andre forretningsenheder

20 Hvorfor lykkes angreb? Angrebene anvender overbevisende social engineering metoder Udnytter eksempelvis information fra sociale netværk Mangelfuld Endpoint sikkerhed - værktøjer er ikke brugt effektivt Brugerne har for mange rettigheder Manglende korrelering af datakilder APT angreb udnytter hullerne mellem sikkerhedsmekanismerne Manglende integration og intelligens på tværs af værktøjer APT trafik kan ligne normal netværkstrafik i forhold til overvågningsværktøjer

21 Security Intelligence & Big Data der enabler forretningen Forøg værdien af forretningen Forbindelse med kunder Integration med samarbejdspartnere Myndiggør medarbejderne Understøtter dataintegritet og tilgængelighed Sikre dataintegritet Forbedre beslutningskvalitet Undgå civile / strafferetlige sanktioner Forbedring af brand / omdømme Optimer og beskyt værdien af informationsaktiver Administrer omkostninger ROI (Return On Investment) Forbundet Produktive Pålidelig Omkostningsbevidst Besparelser Omkostniger

22 Forretningsmæssig værdi af anvendelsen af Big Data Værdi: Risikostyring Værdi: Forretningsunderstøttelse Produktivitetstab - Indirekte konsekvenser (mistet salg, mistet konkurrenceevne, mistet troværdighed) Juridiske konsekvenser (manglende overholdelse af kontrakter, lovgivning m.m.) Udvidelse af forretningen Flere salgskanaler, kundeservice, fastholdelse af kunder Nye kundesegmenter og forøget omsætning, billigere leverance og konkurrencemæssige fordele Understøttelse af brand Hurtigere reaktionsevne SLA overholdelse til kunder og leverandører Interne compliancekrav Persondataloven Regulatorisk compliance PCI DSS EU Data Protection Act Konkurrencemæssige compliance Standarder - COBIT, ISO27002 Besparelser forbedring af forretningsprocesser Undgåede udgifter skalerbarhed Brug af eksisterende ressourcer Effektivitet behov for færre ressourcer, nye og forbedrede forretningsprocesser Værdi: Opretholde Compliance Værdi: Optimering af omkostninger

23 360 it-sikkerhed Dubex tilbyder: Analyse af behov Sikkerheds- og risikoanalyser Rådgivning og analyse af sikkerhedsløsninger Specifikation og design af sikkerhedsløsning og system Sikkerhedsløsninger Support, projekt- & konsulentydelser Overvågning Drift & vedligeholdelse Security as a Service

24 Konsulentbistand & projektledelse DUBEX PROJEKTFORLØB

25 Dubex & Security Intelligence Hvilke ressourcer investerer Dubex i Security Intelligence? Løbende opfølgning på det aktuelle trusselsbillede Løbende research af sikkerhedsmarkedet Studier af Gartner rapporter, Forrester m.fl. Interne test og benchmarking af markedsførende løsninger Feedback og erfaringer fra vores kunder Brede kompetencer der dækker alle aspekter i forhold til risiko håndtering Netværk, gateway, malware, sandbox, endpoint, patch, SIEM m.m. Træning af teknisk personale - deltagelse i produktkurser og særlig træning kombineret med 15 års erfaring med it-sikkerhed

26 IBM Qradar IBM Business Partner Dubex har i mange år arbejdet med Qradar Den største danske forhandler Flest implementeringer SIEM and Security specialization Den forhandler med størst kompetencer og mest erfaring i Norden Dubex er Danmarks største Qradar kompetencecenter

27 Samarbejde Sådan kan et stærkt samarbejde begynde 1. Vi afstemmer behov, ønsker og udviklingsmuligheder på et indledende møde 2. Dubex løsningsspecialister tager udgangspunkt i specifikke behov 3. Gennemførelse af PoC der giver overblik og synlighed 4. Workshop med lederteamet i din virksomhed

28 TAK! For mere information kontakt