Systém detekce a pokročilé analýzy KBU napříč státní správou

Transkript

1 Systém detekce a pokročilé analýzy KBU napříč státní správou Stanislav Bárta Vedoucí oddělení analýzy síťového NÚKIB Kamil Doležel Technical Service & Support spol. s r. o Praha

2 Motivace

3 Motivace Stav Potřeba Cíle Projekt nedostatečné kapacity monitoringu sítí ministerstev zvýšit síťovou bezpečnost strategických sítí státu sběr a analýza dat ze sond detekce událostí v jedné síti nedetekovatelných monitoring hrozeb rozmístit síťové sondy do vybraných sítí státu centralizovaný sběr a vyhodnocování dat ze sond analytické vyhodnocení nalezených hrozeb a včasné varování síťové sondy ve státní správě centrální analytický software

4 Projekt

5 Projektový pohled Projekt Aktuální stav systém detekce kybernetických bezpečnostních incidentů ve vybraných informačních systémech veřejné správy rozmístění síťových sond u vybraných partnerů vybudovaný analytický systém Realizace Partneři 3 ministerstva a přímo řízené organizace

6 Síťové sondy S cílem Rozmístění Proti hrozbám zvýšit bezpečnost vybraných sítí splnění části požadavků kladených zákonem č. 181/2014 Sb. uvnitř sítě i na jejím perimetru DoS/DDoS útoky, zapojení do BOTNET sítí, komunikace do sítí a na adresy se špatnou reputací, malware, skenování sítě, brute-force pokusy o prolomení autentizace u služeb nabízených sítí

7 Analytický software pro GovCERT.CZ

8 Základní požadavky Předpoklad Očekáváno zpracování velkého objemu dat snadná rozšiřitelnost bezpečnostní události síťové toky funkcionalita běžná pro SIEM (ale navíc ) tvorba alertů a reportů schopnost zpracování flow záznamů prohledávání dat s drill-down analýzou napojení na externí databáze vlastní vizualizace

9 Vstupy Flow Události pro vzájemnou korelaci napříč resorty IPFIX obohaceny o informace až do L7 scan, brute-force DoS/DDoS malware botnet (koncový uzel, kontakt s C&C, doména spojovaná s botnetem,... ) reputace (IP/doména se špatnou reputací) Odkud Externí databáze jen z perimetru organizace threat info z GovCERT.CZ Botnet Feed, Shadow Server, apod. geoip zapojení do tor sítě

10 Analýza dat Reaktivní Využití Proaktivní Využití Výstupy vyhodnocování událostí řešení incidentů vlastní vstupní události korelované události korelované flow záznamy detekce síťových anomálií (NBA) vyhledávání možných problémů vizualizací a drill-down analýzy připravené dashboardy zpětná vazba resortům

11 Další rozvoj

12 Rozšiřování prostředí Zapojení další organizace Posílení infrastruktura konektivita, úložiště, výpočetní výkon Rozšiřování prostředí analytického sw zpracování větších objemů dat

13 Technické řešení projektu Splunk for Enterprise Security

14 Požadavky na technické řešení Požadavky Architektura SIEM funkce Detekce anomálií Zpracování událostí v řádu statisíců za sekundu Odhalování anomálií (automatizovaně) Specifické dashboardy a vizualizace vysoký stupeň redundance Snadný rozvoj Korelace, aktiva drill down dashboardy a reporting Šetření incidentů Machine Learning kontextuální korelace

15 Tradiční SIEM vs Big Data koncept Tradiční SIEM Splunk Datové zdroje omezené jakékoliv zařízení Podpora specifických zdrojů obtížná snadná Doplňující informace obtížné snadné realtime nebo historické Custom Reporty aplikace třetích stran součástí řešení Rychlost vyhledávání nízká vysoká Korelace obtížné (pravidla) snadné (pomocí vyhledávání) Detekce chování založeno na pravidlech Machine Learning Integrace omezená REST API Škálovatelnost omezená snadná až na úroveň petabytů

16 Splunk Enterprise Security Univerzální platforma Monitor and Alert Report and Analyze Custom Dashboards Online Services Packaged Applications Storage Online Shopping Cart Smartphones and Devices Security Desktops Telecoms Web Services Energy Meters Custom Applications Web Clickstreams GPS Location Messaging Call Detail Records Servers Networks Databases Threat Intelligence Firewall Authentication Asset & CMDB Employee Info External Lookups Threat Intelligence Applications Data Stores

17 Architektura řešení

18 Investigace incidentů Funkcionalita Přínosy Kombinace raw událostí, akcí a anotačních poznámek (vyhledávání, pohledů, filtrů a stavu událostí) Zkoumání souvislostí mezi událostmi Automatické vytváření reportů o šetření Lepší pochopení, vizualizace a záznam detailu útoku pro vícestupňové hrozby Práce v týmu Sdílení informací

19 Splunk Machine learning

20 Příklady Vyhledání

21 Příklady dashboardů - OverView

22 Příklady dashboardů - Connections

23 Příklady dashboardů - Chord

24 Příklady dashboardů - Sankey

25 Q&A

26 Děkujeme za pozornost! Stanislav Bárta, Kamil Doležel,