Business casen ved implementering af Log Management. Claus Løppenthien, Hotel Vejlefjord, 21. maj 2015

Transkript

1 Business casen ved implementering af Log Management Claus Løppenthien, Hotel Vejlefjord, 21. maj 2015 DUBEX SECURITY & RISK MANAGEMENT UPDATE 2015

2 Overvågning - udfordringen med logning Server and Desktop OS Firewalls/ VPN Directory Services Physical Infrastructure IPS/IDS Identity Management System Health Information Network Equipment Vulnerability Assessment Alle hændelser bliver som regel logget et eller andet sted Overvældende antal logs Sikkerhedsfunktioner er oftest ø-opbygget Behov for logs fra alle typer systemer Ugelange manuelle undersøgelser ved hændelser Massivt antal false positives Heterogene konsoller Mange forskellige formater De kritiske events går tabt og bliver overset i mængden og de fleste angreb eller fejlkonfigurationer går oftest fuldstændigt uset hen. Anti-Virus Databases Applications?

3 Security Information and Event Management SIEM - Security Information and Event Management Udtrykket "SIEM" blev opfundet af Mark Nicolett og Amrit Williams (Gartner Analytikere) i 2005 SIEM-teknologien giver realtidsovervågning af sikkerhedshændelser på netværksenheder, systemer og applikationer SIEM (Security information and event management ) is a combination of two different types of technologies: SIM (Security Information Management) Focuses on log collection and report generation Log management the collection, reporting and analysis of log data (primarily from host systems and applications, and secondarily from network and security devices) Regulatory compliance reporting, internal threat management and resource access monitoring. SIM supports the privileged user and resource access monitoring activities of the IT security organization, and the reporting needs of the internal audit and compliance organizations. SEM (Security Event Management) Analyzes events in real-time using event correlation and alerting mechanism Log and event data from security devices, network devices, systems and applications in real time, to provide security monitoring, event correlation and incident response. SEM supports the external and internal threat monitoring activities of the IT security organization, and improves incident management capabilities.

4 SIEM - udviklingen til Security Intelligence Security Intelligence Næste evolution Proaktiv løsning Netwærks aktivitet & Bruger opførelse Automatisk genkendelse Offense advisering Security Intelligence Forensics Adfærdsanalyse SIEM Det næste skridt Aktiv løsning Hændelse advisering Event korrelering Bruger kontekst Log Management Imødekommer minimum standarder for compliance Indsamling Storage Søgning Compliance Reporting Log Management

5 Fra reaktiv sikkerhed til proaktiv sikkerhed Revidér, patch og blokér Tænk som en forsvarer, defense-in-depth mindset Beskyt alle aktiver Læg vægt på perimeteren Patch systemerne Brug signaturbaserede løsninger Scan endpoints for malware Hold dig opdateret Indsaml logfiler Foretag manuelle interviews Luk systemerne Spor, analysér og udbedr Tænk som en angriber, counter intelligence mindset Beskyt de mest værdifulde aktiver Læg vægt på beskyttelse af data Styrk potentielle mål og svage led Anvend sporing af uregelmæssigheder Baseline systemadfærd Anvend threat feeds Indsaml alt Automatisér korrelation og analyse Indsaml og bevar beviser

6 Modenhed i forhold til Security Intelligence Værdi Næsten realtidsmonitorering af sikkerhedsinformationer Security Intelligence Logs indsamles og gennemlæses dagligt (forsinket monitorering) Logs indsamles og rapporter gennemlæses hver måned Logs indsamles og læses i tilfælde af hændelser Logs indsamles og gemmes, men bliver aldrig brugt Logs bliver ikke indsamlet eller genoprettet Modenhed

7 SIEM/Log Management Interne og eksterne krav Inden et SIEM-projekt startes bør det identificeres hvilke krav der skal opfyldes. Eksterne krav Lovkrav Compliance-krav Krav fra partnere m.m. Interne krav Audit krav Overskuelighed Compliance-krav Simpelt Alarmering om sikkerhedshændelser Business driver bliver som regel startet af enten Sikkerhedsorganisation It-driftsorganisation

8 SIEM/Log Management Business casen Hurtig opdagelse af sikkerhedshændelser gør at skaden kan minimeres og udbedres effektivt. Hurtigere og bedre rapportering til ledelsen og øvrige interessenter Central samling af logfiler. Nemmere at holde styr på. Fra at mange kigger på logfiler i hver sin silo, er det nu få dedikerede medarbejdere Alarmer genereres automatisk på baggrund af prædefineret og/eller custom regler også på tværs af entreprisen. Eventkorrelering (Hvis A + B efterfulgt af C) Ressourcerne kan flyttes fra at kigge i og fremsøge logs til aktiv udbedring.

9 SIEM/Log Management Business casen Bedre udnyttelse af CMDB og sårbarhedsscannere Et SIEM-værktøj kan i tilfælde af brud på sikkerheden, fortælle om de angrebne servere er sårbare over for den udførte trafik. Sammenholdes dette med CMDB kan de berørte systemer hurtigt identificeres Klar rapportering over rigets tilstand Simplificerer auditeringsprocessen Compliance / ISO Simpelt at spore en bruger eller anden aktivitet på tværs af virksomhedens entreprise

10 SIEM/Log Management Business casen Ingen grund til vedligehold og opbevaring af logfiler lokalt. Alt bliver flyttet til SIEM-systemet Berigelsen af logdata gør at disse kan læses af andre. XX37, login type 11, kan nu oversættes til: Jens Peter Hansen loggede in på Exchange server 2 med cached credentials Trending i SIEM-systemerne gør det nemmere at bestemme systemernes belastning SIEM kan alarmere om fejlkonfiguration og synligøre data. Typisk kan vi reducere load på f.eks firewall med 5% Kan hjælpe helpdesk og interessenter med et bedre system indblik og derved mulighed for at give en bedre service

11 SIEM/Log Management Ønsker SIEM/Log Management-løsninger fra LogPoint og Qradar One does not fit all men vi er tæt på Dubex tilføjer Ekspertviden om SIEM Generel forståelse af trusselsbilledet i markedet Ekspertviden om andre sikkerhedsprodukter og deres integration med SIEM Sparring og dialog med jer!!!!

12 SIEM The Never Ending Story Test din SIEM-installation Ikke kun den tekniske part, men i lige så høj grad processerne omkring installationen Verificér at I indsamler de rigtige informationer Jeres infrastruktur og forretningskrav udvikler sig over tid sørg for at sikre, at SIEM-installationen følger denne udvikling Der er i øjeblikket et meget stort fokus på logningsområdet. Dette vil helt sikkert medføre nye krav.

13 Konklusion Security Intelligence vil fungere og vil give værdi Men det kræver - både initialt og over tid - ressourcer, fokus og engagement Husk kravspecifikation Hold fokus på, hvilke problemer du forsøger at løse med et Security Intelligence-system Byg din EGEN sag og KPI er f.eks.: Hurtigere reaktion på hændelser Forbedret effektivitet Automatisering af compliance processer Trinvis tilgang med fokus på "quick wins Tænk stort start småt Løbende tilpasning til organisationens miljø og øvrige krav Teknikken er vigtig, men processerne er vigtigst for at det giver værdi Gør det operationelt vær klar til at reagere Systemet har ikke værdi før procedurerne for håndtering af hændelser er på plads

14 TAK! For mere information kontakt Claus Løppenthien