Zkušenosti z nasazení a provozu systémů SIEM

Transkript

1 Zkušenosti z nasazení a provozu systémů SIEM ict Day Kybernetická bezpečnost Milan Šereda, 2014

2 Agenda Souhrn, co si má posluchač odnést, přínosy: Představení firmy Co je to SIEM a k čemu slouží Problematika jeho nasazení a provozu Opakující se bolavá místa Doporučení jak se jim vyhnout Shrnutí na závěr 2

3 Představení společnosti ixperta SE Jsme česká společnost zaměřená na konzultace, dodávky a implementace IT a komunikačních řešení, která vznikla v roce 2012 a navazuje na zkušenosti a odbornost společnosti Unify (dříve Siemens Enterprise Communications). V roce 2014 máme přes 50 zaměstnanců, z nichž většina jsou specialisté s nejvyšší odborností a zaměřením na aplikace, integraci, hlasové a datové komunikace, infrastrukturu a bezpečnost. ixperta SE poskytuje služby a řešení zákazníkům nejenom v České republice, ale působí i v zahraničí (Evropa, USA, Turecko). Specializujeme se na bezpečnostní produkty následujících výrobců: 3

4 Situace v ICT Bezpečnost: Externí služby: Hrozby: Událos ti; bezpečnost -ních Záznamy systémů interních informačních systémů a kom. infrastruktury Statistiky toků Interní zdroje: Informace: Funguje vše, jak má? Není zde nějaký problém? 4

5 Proč bezpečnostní monitoring / SIEM Řeší problémy: složitá hledání, různé formáty a místa ukládání, krátká životnost logu, neloguje se,... Pohledy na ICT z různé výšky abstrakce, dohledání detailů (vč. toků apod.), obsaženo vše, co se stalo v ICT Spojování souvislostí (korelace událostí) 5

6 Architektura Zdroje logů, toků, událostí, zranitelností, : Celé ICT: Výsledek skenování zranitelností aktiv Vstupy: Seznam aktiv / Risk analýza Metody: push a pull Protokoly: standarní i proprietární Neagentské/agentské začlenění Sběr Filtrace Korelace Normalizace Reakce: Bezpečnostní komponenty Identity uživatelů Identity počítačů SIEM: Archivace Int./Ext Storage Sumarizace Prezence Konzole/ web GUI Komunikační komponenty HelpDesk, Ticket sys. Číselníky Silný skript. jazyk Výstupy: Online pohledy Historické pohledy Reporty Uživatelé: Provozní oddělení Bezp. správci Vedení Interní audit Compliance 6

7 Zavedení řešení SIEM není tak snadné, jak se zdá!!! 7

8 TOP 5 bolavých míst SIEM 1. Chybí vazba na strategii organizace a business požadavky zdůvodnění je to potřebné 2. Není vazba na informační bezpečnost, chybí provázání s procesy (BP, RA, IM,...) 3. Bezpečnost ICT není řešena na všech vrstvách nemonitoruje se všude, kde je to potřeba SIEM je jen zobrazovátko 4. Problematika začlenění stávajících zdrojů logů nepřipravenost, vícenáklady, dopad na SLA 5. Nejsou zajištěny odborné služby nutné pro provoz a rozvoj velké ambice na začátku, změny: zdroje, pohledy; expertní služby Zadání Analýza a návrh Implementace Provoz a údržba Rozvoj 8

9 1. doporučení: Informační bezpečnost procesní přístup základní krok k systémovému řešení 9

10 Možné přístupy organizací k bezpečnosti Neřeší ji, management má jiné priority, není vůle Řeší ji ad-hoc, tj. jen při zaznamenaném incidentu Řeší ji intuitivně, není formalizována Řeší jen oblasti, kterým rozumí RIZIKO Management řeší rizika jen na úrovni řízení firmy (ERM) Používají zákl. rámec IB, mají nastaveny základní procesy Propojují procesní přístup (IB) s tech. opatřeními na základě AR IB zavedena, účinnost opatření ve vztahu BP a AR je objektivně měřena, je kladen důraz na rozvoj, jsou aplikovány nástroje pro: odstranění složitých/ opakujících se/ rutinních úkolů, např.: monitorování účinnosti bezpečnosti a provozu řízení incidentů řízení přístupu do sítě,... A jak řešíte bezpečnost vy? 10

11 2. doporučení: Nutnost řešit bezpečnost na všech vrstvách ICT různorodost a hustota použitých opatření se odráží v kvalitě SIEM výstupů 11

12 Model bezpečnosti na všech vrstvách (zjednodušený): Internet, SP a Cloud Bezpečnost na perimetru Bezpečnostní brána Hrozby smluvní služby Koncová zařízení: Stanice, notebooky, chytrá zařízení Prostředí organizace Bezpečnost sítě Infrastruktura působí na organizaci Bezpečnost datového centra: Fyzické a virtuální servery Opatření 1 - n Kompletní Nástroje řízení a bezpečnostní monitoringu monitoring na všech důležitých místech + logy = kvalitní výstup 12

13 3. doporučení: Odborné služby pro provoz a rozvoj nutná prerekvizita k fungování 13

14 Služby bezpečnosti nad řešením + Abstrakce - Konzultace, podněty k rozvoji (PoC) Služby k procesů m IB Služby nad řešením a technologiemi Řešení a jeho technologie (SBC, SIEM, NBAD, NAC, MDM, ) Služby IB, formální zavedení, udržování a rozvoji procesů IB (bezpečnostní politika, analýza rizik, zvládání incidentů apod. ) Rozšířená podpora, přidaná hodnota, konfigurační změny, údržba a rozvoj, expertní práce, znalosti a dovednosti, šablony, reporty, dokumenty Dodávka produktu HW/SW/licence, základní instalace, dokumentace, školení a nutná podpora Výběr podle toho, jaký požadavek má být plněn a pro koho (IT/provoz, bezp. manažer apod.) 14

15 Závěrečné shrnutí 1. SIEM je žhavým tématem 2. K SIEM a celé bezpečnosti musí být přistupováno koncepčně, vč. procesního přístupu (BP, RA) 3. Bezpečnost v organizaci je třeba řešit na všech vrstvách zajistit tím i zdroje logů 4. K implementaci a provozu jsou potřeba odborné služby specializovaného partnera 15

16 Děkuji za pozornost Prostor pro dotazy