SIEM hvilken løsning skal du vælge? Claus Løppenthien, cll@dubex.dk Dubex A/S, 12. maj 2015



Relaterede dokumenter
Business casen ved implementering af Log Management. Claus Løppenthien, Hotel Vejlefjord, 21. maj 2015

Enterprise Security and Risk Management

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Security & Risk Management Summit

SIEM - centralnervesystemet i indsamling og generering af it-indsigt

Sådan får du styr på de digitale risici

OPDAG ANGREB OG REAGÉR HURTIGT

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

Security & Risk Management Summit 2016

Managing Risk Enabling Growth. Jacob Herbst, CTO, Dubex A/S Søborg, den 7. november 2013

Security & Risk Management Update 2017

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S

MOC On-Demand Administering System Center Configuration Manager [ ]

Køreplan ift. EU-persondataforordningen - processer og kontroller

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017

KMD s tilgang til cybertrussler. Public

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

EFFEKTIV OG SKALERBAR HÅNDTERING AF SÅRBARHEDER. F-Secure Radar

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

Lars Neupart Director GRC Stifter, Neupart

Softwareløsninger til dit netværk

Hvorfor bruge Managed Security Services & Security Analytics Center?

Windows Server SBS/EBS. Claus Petersen Sr. PTS Core Infrastructure

Hvad kommer ITIL V3 og Cobit til at betyde for IT-supporten? Ole Westergaard Westergaard CSM

Hvad er InfoPath? Et program i Microsoft Office System En desktop applikation Platformen for en ny generation af elektroniske formularer

Sikker Drift. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer

Identity Access Management

Online kursus: Certified Information Security Manager (CISM)

Vejen til succesfuld Security Intelligence. Alex Sinvani Søborg, 4. juni 2013

HACKERNE BLIVER BEDRE, SYSTEMERNE BLIVER MERE KOMPLEKSE OG PLATFORMENE FORSVINDER HAR VI TABT KAMPEN? MARTIN POVELSEN - KMD

Velkommen VI BYGGER DANMARK MED IT

Real-time Lokations Systemer for sundheds sektoren

IPC WiCloud TM 24/7 Monitoreret LAN/Wifi/WAN

Sikker Drift. Sikker Drift Light. Sikker Drift Standard. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer

Kundecase: Sådan skaber Blue Coat s løsninger værdi hos Haldor Topsøe. Peter Sindt psi@dubex.dk Copenhagen,

Er der hackere på linien?

Vejen til en succesfuld APT-sikkerhed. Jacob Herbst Søborg, 23. maj 2013

Cyber og Sundhed. Hvad sker der og hvordan? Morten von Seelen, Cyber Ops

PEMS RDE Workshop. AVL M.O.V.E Integrative Mobile Vehicle Evaluation

Mobility-strategi Hvordan kommer du i gang?

Peter Melsen, CTO LogPoint/ImmuneSecurity & Henrik Christiansen, CTO EnergiMidt Infrastruktur

Fokus på intern it sikkerhed

EZENTA BESKYTTER DANSKE VIRKSOMHEDER

Apps indtager transport & logistik. Nodes, DSB & Nordsense

Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz Søborg, 7. november 2013

SAS USER FORUM DENMARK 2017 USER FORUM. Rune Nordtorp

Hvorfor opgradere til Microsoft 365? Få en kort introduktion til Microsoft 365 og de 7 største grunde til at opgradere

Field & Network level Industrial Security to guarantee top performance in production

Sikker Drift. Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer og virksomhedens IT.

Sikker Drift. Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer og virksomhedens IT.

Til Økonomiudvalget. Sagsnr Dokumentnr Bilag 1 til indstilling til Økonomiudvalget

Har det en værdi og hvordan kommer du i gang?

It-direktør Nils Lau Frederiksen

Online Backup. ndgå hovedbrud hvis uheldet er ude! fra kr. 125 pr. md

page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE

EPJ udviking visionen og vejen derhen

Field & Network level Industrial Security to guarantee top performance in production

Hvordan sikres investeringen i eksisterende systemer, når skyen tages i brug. Carsten Rasmussen, CTO, Capgemini Danmark A/S IDC Cloud Computing 2011

Integrated Total Facility Management for Real Estate, Infrastructure & Facility Management

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

Security & Risk Management Summit

Microsoft Pinpoint Guide

CYBERTRUSLEN. Januar Lars Hermind Landechef Danmark

One Step Ahead 2011: Fremsyn

Forordningens sikkerhedskrav

Konkrete erfaringer - kan infrastrukturen beskytte mod Malware/APT? Og hvad gør man når der har været ubudne gæster?

Security & Risk Management Update 2017

IT-sikkerhed som et byggeprojekt?

WORDCAMP 2015 DANMARK. Vi har et ansvar for vores kunders kunder

Fra IT-sikkerhedsovervågning til security intelligence

Prioriter IT-budgettet Microsofts model til sikring af at investeringerne understøtter forretningsstrategien optimalt

DYNAMICS AX 2012 RAPIDVALUE FÅ OVERBLIK OG SE NYE MULIGHEDER. John T. Hummelgaard & John Petersen Maj 2013

SEAMON net access system

SCOM & SCCM PAYBACK TIME!

Opdag avancerede angreb hurtigt så du kan agere på dem. Henrik Larsson, Senior Security Consultant, Dubex Vejlefjord den 21.

Vore IIoT fokus områder

Arkitektur, der understøtter risikostyring i den digitaliserede virksomhed. Jan Johannsen SE Manager Nordics

SEARCH Hjørnestenen i dynamiske, brugercentrerede portaler. Søhuset - Hørsholm Tirsdag den 11. november 2008

Hvilke initativer kræver implementering af EUpersondataforordningen. værktøjer. Klaus Kongsted, Dubex. Horsens, 13. maj 2016

Teknologispredning i sundhedsvæsenet DK ITEK: Sundhedsteknologi som grundlag for samarbejde og forretningsudvikling

Sådan etableres en moderne sikkerhedsinfrastruktur, der kan håndtere et skiftende trusselsbilede

TDC DDoS trusselsrapport for 2017

Sonlinc er den forretningsudviklende partner, der solidt forankret i forsyningssektoren leverer den højeste kundeværdi.

FleeDa (DBK Fleetmap Database) Installationsvejledning til installation af VPN og FleeDa klient på egen PC (Juli 2017)

SEAMON network monitoring system

Velkommen til Solution Day 2012

Hvad er Secure endpoints?

H AC K ING OG D ATASIKKERHED I SU N DHEDSVÆSENET

Enkelt Nemt Effektivt Skalérbart

Fundamental sikkerhed: Dubex Managed Security Services. Dubex A/S, den 9. april 2015

Udtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne

Ingen kompromier - Bedste beskyttelse til alle computerere CLIENT SECURITY

Yderligere information om IRM Her kan du finde en online demo af programmet, brugervejledninger, whitepapers, teknisk information mv.

Vær i kontrol! Compliantkan du være ved et tilfælde!

CIP-optimering uden risiko for fødevaresikkerheden

TDC - Alcatel Network Analyzer. Baseret på materiale fra mødet i VULA-videreudvikling 11. april 2014

Det gør det nemt og overskueligt for kunden og muligt for JN Data at levere sikker og stabil IT-drift effektivt - og til en attraktiv pris.

CONNECTING PEOPLE AUTOMATION & IT

Transkript:

SIEM hvilken løsning skal du vælge? Claus Løppenthien, cll@dubex.dk Dubex A/S, 12. maj 2015

Overvågning - udfordringen med logning Server and Desktop OS Firewalls/ VPN Directory Services Physical Infrastructure IPS/IDS Identity Management System Health Information Network Equipment Vulnerability Assessment Alle hændelser bliver som regel logget et eller andet sted Overvældende antal logs Sikkerhedsfunktioner er oftest ø-opbygget Behov for logs fra alle typer systemer Ugelange manuelle undersøgelser ved hændelser Massive false positives Heterogene konsoller Mange forskellige formater De kritiske events går tabt og bliver overset i mængden og de fleste angreb eller fejlkonfigurationer går oftest fuldstændigt uset hen. Anti-Virus Databases Applications?

Security Information and Event Management SIEM - Security Information and Event Management Udtrykket "SIEM" blev opfundet af Mark Nicolett og Amrit Williams (Gartner Analytikere) i 2005 SIEM-teknologien giver realtids overvågning af sikkerhedshændelser på netværksenheder, systemer og applikationer SIEM (Security information and event management ) is a combination of two different types of technologies: SIM (Security Information Management) Focuses on log collection and report generation Log management the collection, reporting and analysis of log data (primarily from host systems and applications, and secondarily from network and security devices) Regulatory compliance reporting, internal threat management and resource access monitoring. SIM supports the privileged user and resource access monitoring activities of the IT security organization, and the reporting needs of the internal audit and compliance organizations. SEM (Security Event Management) Analyzes events in real-time using event correlation and alerting mechanism Log and event data from security devices, network devices, systems and applications in real time, to provide security monitoring, event correlation and incident response. SEM supports the external and internal threat monitoring activities of the IT security organization, and improves incident management capabilities.

SIEM - udviklingen mod Security Intelligence Security Intelligence Næste evolution Prædiktiv løsning Network Activity & Behavior Automatic Discovery Offense advisering Security Intelligence Forensics Adfærdsanalyse SIEM Det næste skridt Aktiv løsning Incident advisering Eventkorrellering Bruger kontekst Log Management Imødekomme minimum standarder for compliance Indsamling Storage Søgning Compliance Reporting Log Management

Fra reaktiv sikkerhed til proaktiv sikkerhed Revidér, patch og blokér Tænk som en forsvarer, defense-in-depth mindset Beskyt alle aktiver Læg vægt på perimeteren Patch systemerne Brug signaturbaserede løsninger Scan endpoints for malware Hold dig opdateret Indsaml logfiler Foretag manuelle interviews Luk systemerne Spor, analysér og udbedr Tænk som en angriber, counter intelligence mindset Beskyt de mest værdifulde aktiver Læg vægt på beskyttelse af data Styrk potentielle mål og svage led Anvend sporing af uregelmæssigheder Baseline systemadfærd Anvend threat feeds Indsaml alt Automatisér korrelation og analyse Indsaml og bevar beviser

Modenhed i forhold til Security Intelligence Værdi Næsten realtidsmonitorering af sikkerhedsinformationer Security Intelligence Logs indsamles og gennemlæses dagligt (forsinket monitorering) Logs indsamles og rapporter gennemlæses hver måned Logs indsamles og læses i tilfælde af hændelser Logs indsamles og gemmes, men bliver aldrig brugt Logs bliver ikke indsamlet eller genoprettet Modenhed

SIEM/Log Management konkurrentlandskab

SIEM/Log Management interne og eksterne krav Inden et SIEM-projekt startes bør det identificeres, hvilke krav der skal opfyldes. Eksterne krav Lovkrav Compliance-krav Krav fra partnere mm. Interne krav Auditkrav Overskuelighed Compliance-krav Simpelt Alarmering om sikkerhedshændelser Business driver bliver som regel startet af enten sikkerhedsorganisation it-driftsorganisation

SIEM/Log Management ønsker SIEM/Log Management-løsninger fra LogPoint og Qradar One does not fit all men vi er tæt på Løsningerne skal give Centralt interface Overblik over hele enterprisen gennem dashboards og rapporter Nær realtids alarmer og analyse Da logfilerne er søgbare på tværs af entreprisen, bliver tiden det tager at fremsøge de relevante logs reduceret fra timer til sekunder. Tid til at reagere på alarmer i stedet for at kigge i logfiler Nedsættelse af tiden som det tager at identificere en sikkerhedshændelse og herefter handle på denne. Dubex tilføjer Ekspertviden om SIEM Generel forståelse af trusselsbilledet i markedet Ekspertviden om andre sikkerhedsprodukter og deres integration til SIEM Sparring og dialog med jer!!!!

SIEM hvad skal jeg vælge? Der er mange SIEM-løsninger derude Hvad skal jeg være opmærksom på? Licensbetingelser Integration til eksisterende systemer Integration til kritiske applikationer Eventkorellering mod regelsæt Regler og alarmer Hvor meget skal I selv bygge og hvad kommer out of the box? Rapporter Hvor nemt er det at lave egne rapporter? Hvordan kan de formateres? Lav ikke rapporter som ingen gider læse

SIEM hvad skal jeg vælge? Eksterne data Flowdata Storage Tiered storage Hvem er brugerne af systemet? It-sikkerhed It-operation Helpdesk Andre som kan bruge de indsamlede data

SIEM hvad skal jeg vælge? Der findes mange SIEM-løsninger One does not fit all. Brug de foregående informationer til jeres kravspecifikation Brug Dubex som trusted advisor så I får det bedste match

SIEM The Never Ending Story Test din SIEM-installation Ikke kun den tekniske del, men i lige så høj grad processerne omkring installationen Verificér at I indsamler de rigtige informationer Jeres infrastruktur og forretningskrav udvikler sig over tid sørg for at sikre at SIEM-installationen følger denne udvikling Der er i øjeblikket et meget stort fokus på logningsområdet. Dette vil helt sikkert medføre nye krav.

Konklusion Security Intelligence vil fungere og vil give værdi Men det kræver - både initialt og over tid - ressourcer, fokus og engagement Husk kravspecifikation Hold fokus på hvilke problemer du forsøger at løse med et Security Intelligence-system Byg din EGEN sag og KPI er f.eks.: Hurtigere reaktion på hændelser Forbedret effektivitet Automatisering af compliance-processer Trinvis tilgang med fokus på "quick wins Tænk stort start småt Løbende tilpasning til organisationen miljø og øvrige krav Teknikken er vigtig, men processerne er vigtigst for at det giver værdi Gør det operationelt vær klar til at reagere Systemet har ikke værdi før procedurerne for håndtering af hændelser er på plads

TAK! For mere information kontakt Claus Løppenthien cll@dubex.dk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback