Enterprise Security and Risk Management 3. Generation SIEM -Total Security Intelligence Alex Sinvani ais@dubex.dk 24. maj 2012
TRUSSEL SIEM og resten af forretningen VIRKSOMHED
Et overset angreb kan være katastofalt Når Events forbliver uopdaget, Bad Things Happen
Insidere bliver en større trussel Insider activiter bør monitoreres
Risiko/omkostning Hvorfor en SIEM løsning? Hvor lang tid tager det at handle fra det tidpunkt et problem opdages? Reducere risiko og omkostninger dramatisk ved at reducere den tid det tager for en effektiv respons! Udbedringstid
SEM SIM SIEM SIM (Security Information Management) Log management the collection, reporting and analysis of log data (primarily from host systems and applications, and secondarily from network and security devices) Regulatory compliance reporting, internal threat management and resource access monitoring. SIM supports the privileged user and resource access monitoring activities of the IT security organization, and the reporting needs of the internal audit and compliance organizations. SEM (Security Event Management) log and event data from security devices, network devices, systems and applications in real time, to provide security monitoring, event correlation and incident response. SEM supports the external and internal threat monitoring activities of the IT security organization, and improves incident management capabilities. Kilde: Gartner
Hvem tilgår mine systemer? Hvem er dine slutbrugere og hvorledes anvender de interne ressourcer? Hver bruger har flere bruger konti og IP adresser ændres konstant Har du et enterprise overblik over slut-bruger aktiviteter på tværs af konti? Stress fejl manglende evner eller kompetencer Motiver holdninger økonomi politik religion osv.
Millioner af Events Firewalls Firewalls/ VPN Intrusion Detection Systems Vulnerability Assessment Network Equipment Server and Desktop OS Anti-Virus Applications Anti Anti Databases Virus Virus Mainframes Sign-On Identity Management Directory Services User Attributes Physical Infrastructure Business Processes Kritiske events tabt i et hav af events 100s of Millions og de fleste Events angreb Per Day eller fejlkonfigurationer går oftest fuldstændigt uset hen. Overvældende antal logs Forsvar og sikkerhed oftest ø-opbygget Uge lange manuelle undersøgelser Massive false positives Heterogene konsoller Mange forskellige formater
Filtrering Firewalls/ VPN Intrusion Detection Systems Server and Network Vulnerability Desktop OS Equipment Assessment Anti-Virus Applications Databases Physical Infrastructure Identity Management Directory Services System Health Information Web Traffic Identificerede. trussler Millioner: Rå Events Kendte sårbarheder Tusinder: Sikkerhedsrelevante Events Business-critical IT assets Hundrede: Korrelerede Events
Styrke: Normalisering Z/390 Failed Login Event UNIX Failed Login Event Oracle Failed Login Event Windows Failed Login Event Kortlæser Entry Denied
Styrke: Kategorisering En fælles model for at beskrive en hvilken som helst event på tværs af enheder og enhedstyper Forstå den reelle vigtighed af events fra forskellige kilder/enheder Anvende klart sprog og enhedsuafhængig analyse Gør nytte af enheds uafhængigt indhold Uden normalisering Med normalisering Fordel: fremtidssikre din analyse og overvågning
Aktivitets Profilering Vitalt for at forbyggende vedligeholdelse og sporing Sofistikeret data-mining teknikker til at følge events samt opbygge baselines for hhv. god og dårlig aktivitet Find tidligere uopdaget opførelsesmønstre
SIEM Evolution Security Intelligence Næste evolution Prediktive løsning Log Management Imødekomme minimum standarder for compliance. SIEM Det næste skridt Aktiv løsning Offense advisering Event korrellering Bruger kontekst Network Activity & Behavior, Automatic Discovery Offense advisering Event korrellering User Kontekst Security Intelligence Forensics Adfærdsanalyse Threat Management Event korrellering Indsamling Storage Compliance Reporting Compliance Reporting Compliance Management Søgning Log Management Log Management Log Management
Security Intelligence: Next-Generation SIEM Mistænkelige Incidents Datakonsolidering 2 mia log & events per dag reduceret til 25 højprioritets offenses
Det overordnet budskab Vision Skabe værdi af maskindata Kategori definition Løsning positionering Overskriften Security Intelligence SIEM som data analyse LYT til dine DATA
Alsidige data Alternative kilder Kerne IT Kundeorienteret IT Shipping RFID PC ere Web tjenester Data Warehouse Indkøbskurv Cloud Sikkerhed Udviklere GPS/Mobil Energi Servere Tele App Support Online tjenester Virtuel Produktion Netværk Messaging Storage Clickstream Fysisk
Alsidige data Alternative kilder Kerne IT Kundeorienteret IT GPS/Mobil Shipping RFID PC ere Web Services Maskindata volumen, kilder og typer eksploderer Udviklere Servere Energi Online Services Markeds trends gør disse data Tele værdifulde App for forretningen Support Netværk Sikkerhed Data Warehouse 80-95% af en organisations data er unstruktureret Lageres gerne i siloer Produktion Storage Messaging Indkøbskurv Nye teknologier bidrager til data-tilvæksten (mobile enheder, sensorer, GPS, virtualisering, cloud) Indeholder kategoriske registreringer af aktivitet og opførelse Clickstream Cloud Virtuel Fysisk
Maskin Data mangler Standarder Tag f.eks. egenudviklet applikationslogs: Log formater ukendt og udokumenteret indhold kan spænde over flere linjer Eksisterende applikationer kan begynde at generere helt nye meddelelser baseret på ny kode Traditionelle styringsværktøjer er afhængige af skrøbelige skemaer, som fejler når log formater ændres ####<Sep 24, 2009 2:52:38 PM PDT> <Warning> <EJB> <virt3> < mys '224' for queue: 'weblogic.kernel.default (self-tuning)'> <<an <BEA-010065> <MessageDrivenBean threw an Exception in onmessag javax.ejb.ejbexception: nested exception is: javax.ejb.object primary key '10011968' was not found by ' findbyprimarykey'.. javax.ejb.ejbexception: nested exception is: javax.ejb.objectn primary key '10011968' was not found by ' findbyprimarykey'. at com.sun.j2ee.blueprints.opc.customerrelations.ejb.mailorderapp almdb.java:140) at weblogic.ejb.container.internal.mdlistener.execute(md at weblogic.ejb.container.internal.mdlistener.transactio at weblogic.ejb.container.internal.mdlistener.onmessage( at weblogic.jms.client.jmssession.onmessage(jmssession.j at weblogic.jms.client.jmssession.execute(jmssession.jav at weblogic.jms.client.jmssession$useforrunnable.run(jms at weblogic.work.serverworkmanagerimpl$workadapterimpl.r at weblogic.work.executethread.execute(executethread.jav [Thu Sep at weblogic.work.executethread.run(executethread.java:18 24 14:57:33 2009] [error] [client 10.2.1.44] ap_proxy enter_order_information.screen at backend host '127.0.0.1/7001 'CONNECTION_REFUSED [os error=0, line 1739 of../nsapi/url.cpp 127.0.0.1:7001', referer: http://10.2.1.223/petstore/cart.do?a
Varieret og under konstant forandring 100 af producenter 1000 af formater Samme enhedstype Meget forskellige formater Samme producent Mange forskellige formater 009-9-18 8:27:58 Local7.Notice 192.168.202.1 Oct 15 2008 00:00:21 ASA VDN1 : %ASA 5 106100: access list inbound denied Sep 24 2009 09:59:28 192.168.2.1 ns5gt-wlan: NetScreen device_id=ns5gt-wlan [No Name]system-notification- 00257(traffic): start_time="2009-09- 24 09:59:28 Intrusion Detection System Jul 28 2009 15:39:18 '<?xml version="1.0" encoding="utf-8" standalone="yes"?><events Cisco Security Agent Fri Sep 18_18:20:01_PDT_2009 peizhuwxp02 64.104.161.154 2389 449 2 009-06-01 19:51:28.343 The process 'C: Ironport Email Security 1253289166.13 306 1.1.1.1 TCP_MISS/200 4215 GET http://photose.ak.fbcdn.net/hphotos-ak-snc1/
Værdifuldt for It & Forretningen Indeholder et absolut registre af aktiviteter og opførelse Vedligeholde oppetid og SLAer Tilsikre system sikkerhed Tilsikre data sikkerhed Imødekomme compliance mandater Indeholder vigtige nye indsigter for It og forretningen Kundeopførelse og oplevelser Produkt og service forbrug End-to-end transaktions synlighed Bruger IP Handling Login Resultat Bruger IP Produkt Kategori 10.2.1.44 - [25/Sep/2009:09:52:30-0700] 10.2.1.80 - - [25/Jan/2010:09:52:30-0700] type=user_login msg=audit(1253898008.056:199891): "GET user /petstore/product.screen pid=25702 uid=0 auid=4294967295 msg='acct="taylor": exe="/usr/sbin/sshd"?product_id=av-cb-01 (hostname=?, HTTP/1.1" 200 9967 "http:// addr=10.2.1.48, terminal=sshd res=failed)' category.screen?category_id=birds" "Mozilla/5.0 ( Linux) "JSESSIONID=xZDTK81Gjq9gJLGWnt2NXrJ2tpGZb1
Dashboards og Views til enhver Nye niveauer af synlighed og indsigt for IT og forretningen Auditør IT Ledelse Marketing & Markeds Analytikkere Andre ledere & forretningsejere Kombiner maskinedata med traditionelle forretningsdata - få nye indsigter i tendenser og adfærd hos kunder, tjenester og systemer. 21
Partnere & leverandører Drift Rådgivning Kompetence Certificeringer Support
Elementer for effektiv SIEM Governance Mennesker Teknik Processer
TAK Alex Sinvani ais@dubex.dk Mobil: +45 2623 8400