SIEM hvilken løsning skal du vælge? Claus Løppenthien, cll@dubex.dk Dubex A/S, 12. maj 2015
Overvågning - udfordringen med logning Server and Desktop OS Firewalls/ VPN Directory Services Physical Infrastructure IPS/IDS Identity Management System Health Information Network Equipment Vulnerability Assessment Alle hændelser bliver som regel logget et eller andet sted Overvældende antal logs Sikkerhedsfunktioner er oftest ø-opbygget Behov for logs fra alle typer systemer Ugelange manuelle undersøgelser ved hændelser Massive false positives Heterogene konsoller Mange forskellige formater De kritiske events går tabt og bliver overset i mængden og de fleste angreb eller fejlkonfigurationer går oftest fuldstændigt uset hen. Anti-Virus Databases Applications?
Security Information and Event Management SIEM - Security Information and Event Management Udtrykket "SIEM" blev opfundet af Mark Nicolett og Amrit Williams (Gartner Analytikere) i 2005 SIEM-teknologien giver realtids overvågning af sikkerhedshændelser på netværksenheder, systemer og applikationer SIEM (Security information and event management ) is a combination of two different types of technologies: SIM (Security Information Management) Focuses on log collection and report generation Log management the collection, reporting and analysis of log data (primarily from host systems and applications, and secondarily from network and security devices) Regulatory compliance reporting, internal threat management and resource access monitoring. SIM supports the privileged user and resource access monitoring activities of the IT security organization, and the reporting needs of the internal audit and compliance organizations. SEM (Security Event Management) Analyzes events in real-time using event correlation and alerting mechanism Log and event data from security devices, network devices, systems and applications in real time, to provide security monitoring, event correlation and incident response. SEM supports the external and internal threat monitoring activities of the IT security organization, and improves incident management capabilities.
SIEM - udviklingen mod Security Intelligence Security Intelligence Næste evolution Prædiktiv løsning Network Activity & Behavior Automatic Discovery Offense advisering Security Intelligence Forensics Adfærdsanalyse SIEM Det næste skridt Aktiv løsning Incident advisering Eventkorrellering Bruger kontekst Log Management Imødekomme minimum standarder for compliance Indsamling Storage Søgning Compliance Reporting Log Management
Fra reaktiv sikkerhed til proaktiv sikkerhed Revidér, patch og blokér Tænk som en forsvarer, defense-in-depth mindset Beskyt alle aktiver Læg vægt på perimeteren Patch systemerne Brug signaturbaserede løsninger Scan endpoints for malware Hold dig opdateret Indsaml logfiler Foretag manuelle interviews Luk systemerne Spor, analysér og udbedr Tænk som en angriber, counter intelligence mindset Beskyt de mest værdifulde aktiver Læg vægt på beskyttelse af data Styrk potentielle mål og svage led Anvend sporing af uregelmæssigheder Baseline systemadfærd Anvend threat feeds Indsaml alt Automatisér korrelation og analyse Indsaml og bevar beviser
Modenhed i forhold til Security Intelligence Værdi Næsten realtidsmonitorering af sikkerhedsinformationer Security Intelligence Logs indsamles og gennemlæses dagligt (forsinket monitorering) Logs indsamles og rapporter gennemlæses hver måned Logs indsamles og læses i tilfælde af hændelser Logs indsamles og gemmes, men bliver aldrig brugt Logs bliver ikke indsamlet eller genoprettet Modenhed
SIEM/Log Management konkurrentlandskab
SIEM/Log Management interne og eksterne krav Inden et SIEM-projekt startes bør det identificeres, hvilke krav der skal opfyldes. Eksterne krav Lovkrav Compliance-krav Krav fra partnere mm. Interne krav Auditkrav Overskuelighed Compliance-krav Simpelt Alarmering om sikkerhedshændelser Business driver bliver som regel startet af enten sikkerhedsorganisation it-driftsorganisation
SIEM/Log Management ønsker SIEM/Log Management-løsninger fra LogPoint og Qradar One does not fit all men vi er tæt på Løsningerne skal give Centralt interface Overblik over hele enterprisen gennem dashboards og rapporter Nær realtids alarmer og analyse Da logfilerne er søgbare på tværs af entreprisen, bliver tiden det tager at fremsøge de relevante logs reduceret fra timer til sekunder. Tid til at reagere på alarmer i stedet for at kigge i logfiler Nedsættelse af tiden som det tager at identificere en sikkerhedshændelse og herefter handle på denne. Dubex tilføjer Ekspertviden om SIEM Generel forståelse af trusselsbilledet i markedet Ekspertviden om andre sikkerhedsprodukter og deres integration til SIEM Sparring og dialog med jer!!!!
SIEM hvad skal jeg vælge? Der er mange SIEM-løsninger derude Hvad skal jeg være opmærksom på? Licensbetingelser Integration til eksisterende systemer Integration til kritiske applikationer Eventkorellering mod regelsæt Regler og alarmer Hvor meget skal I selv bygge og hvad kommer out of the box? Rapporter Hvor nemt er det at lave egne rapporter? Hvordan kan de formateres? Lav ikke rapporter som ingen gider læse
SIEM hvad skal jeg vælge? Eksterne data Flowdata Storage Tiered storage Hvem er brugerne af systemet? It-sikkerhed It-operation Helpdesk Andre som kan bruge de indsamlede data
SIEM hvad skal jeg vælge? Der findes mange SIEM-løsninger One does not fit all. Brug de foregående informationer til jeres kravspecifikation Brug Dubex som trusted advisor så I får det bedste match
SIEM The Never Ending Story Test din SIEM-installation Ikke kun den tekniske del, men i lige så høj grad processerne omkring installationen Verificér at I indsamler de rigtige informationer Jeres infrastruktur og forretningskrav udvikler sig over tid sørg for at sikre at SIEM-installationen følger denne udvikling Der er i øjeblikket et meget stort fokus på logningsområdet. Dette vil helt sikkert medføre nye krav.
Konklusion Security Intelligence vil fungere og vil give værdi Men det kræver - både initialt og over tid - ressourcer, fokus og engagement Husk kravspecifikation Hold fokus på hvilke problemer du forsøger at løse med et Security Intelligence-system Byg din EGEN sag og KPI er f.eks.: Hurtigere reaktion på hændelser Forbedret effektivitet Automatisering af compliance-processer Trinvis tilgang med fokus på "quick wins Tænk stort start småt Løbende tilpasning til organisationen miljø og øvrige krav Teknikken er vigtig, men processerne er vigtigst for at det giver værdi Gør det operationelt vær klar til at reagere Systemet har ikke værdi før procedurerne for håndtering af hændelser er på plads
TAK! For mere information kontakt Claus Løppenthien cll@dubex.dk