Systém detekce a pokročilé analýzy KBU napříč státní správou Stanislav Bárta Vedoucí oddělení analýzy síťového provozu @ NÚKIB Kamil Doležel Technical Director @ Service & Support spol. s r. o. 25. 10. 2018 Praha
Motivace
Motivace Stav Potřeba Cíle Projekt nedostatečné kapacity monitoringu sítí ministerstev zvýšit síťovou bezpečnost strategických sítí státu sběr a analýza dat ze sond detekce událostí v jedné síti nedetekovatelných monitoring hrozeb rozmístit síťové sondy do vybraných sítí státu centralizovaný sběr a vyhodnocování dat ze sond analytické vyhodnocení nalezených hrozeb a včasné varování síťové sondy ve státní správě centrální analytický software
Projekt
Projektový pohled Projekt Aktuální stav systém detekce kybernetických bezpečnostních incidentů ve vybraných informačních systémech veřejné správy rozmístění síťových sond u vybraných partnerů vybudovaný analytický systém Realizace 2015 2018 Partneři 3 ministerstva a přímo řízené organizace
Síťové sondy S cílem Rozmístění Proti hrozbám zvýšit bezpečnost vybraných sítí splnění části požadavků kladených zákonem č. 181/2014 Sb. uvnitř sítě i na jejím perimetru DoS/DDoS útoky, zapojení do BOTNET sítí, komunikace do sítí a na adresy se špatnou reputací, malware, skenování sítě, brute-force pokusy o prolomení autentizace u služeb nabízených sítí
Analytický software pro GovCERT.CZ
Základní požadavky Předpoklad Očekáváno zpracování velkého objemu dat snadná rozšiřitelnost bezpečnostní události síťové toky funkcionalita běžná pro SIEM (ale navíc ) tvorba alertů a reportů schopnost zpracování flow záznamů prohledávání dat s drill-down analýzou napojení na externí databáze vlastní vizualizace
Vstupy Flow Události pro vzájemnou korelaci napříč resorty IPFIX obohaceny o informace až do L7 scan, brute-force DoS/DDoS malware botnet (koncový uzel, kontakt s C&C, doména spojovaná s botnetem,... ) reputace (IP/doména se špatnou reputací) Odkud Externí databáze jen z perimetru organizace threat info z GovCERT.CZ Botnet Feed, Shadow Server, apod. geoip zapojení do tor sítě
Analýza dat Reaktivní Využití Proaktivní Využití Výstupy vyhodnocování událostí řešení incidentů vlastní vstupní události korelované události korelované flow záznamy detekce síťových anomálií (NBA) vyhledávání možných problémů vizualizací a drill-down analýzy připravené dashboardy zpětná vazba resortům
Další rozvoj
Rozšiřování prostředí Zapojení další organizace Posílení infrastruktura konektivita, úložiště, výpočetní výkon Rozšiřování prostředí analytického sw zpracování větších objemů dat
Technické řešení projektu Splunk for Enterprise Security
Požadavky na technické řešení Požadavky Architektura SIEM funkce Detekce anomálií Zpracování událostí v řádu statisíců za sekundu Odhalování anomálií (automatizovaně) Specifické dashboardy a vizualizace vysoký stupeň redundance Snadný rozvoj Korelace, aktiva drill down dashboardy a reporting Šetření incidentů Machine Learning kontextuální korelace
Tradiční SIEM vs Big Data koncept Tradiční SIEM Splunk Datové zdroje omezené jakékoliv zařízení Podpora specifických zdrojů obtížná snadná Doplňující informace obtížné snadné realtime nebo historické Custom Reporty aplikace třetích stran součástí řešení Rychlost vyhledávání nízká vysoká Korelace obtížné (pravidla) snadné (pomocí vyhledávání) Detekce chování založeno na pravidlech Machine Learning Integrace omezená REST API Škálovatelnost omezená snadná až na úroveň petabytů
Splunk Enterprise Security Univerzální platforma Monitor and Alert Report and Analyze Custom Dashboards Online Services Packaged Applications Storage Online Shopping Cart Smartphones and Devices Security Desktops Telecoms Web Services Energy Meters Custom Applications Web Clickstreams GPS Location Messaging Call Detail Records Servers Networks Databases Threat Intelligence Firewall Authentication Asset & CMDB Employee Info External Lookups Threat Intelligence Applications Data Stores
Architektura řešení
Investigace incidentů Funkcionalita Přínosy Kombinace raw událostí, akcí a anotačních poznámek (vyhledávání, pohledů, filtrů a stavu událostí) Zkoumání souvislostí mezi událostmi Automatické vytváření reportů o šetření Lepší pochopení, vizualizace a záznam detailu útoku pro vícestupňové hrozby Práce v týmu Sdílení informací
Splunk Machine learning
Příklady Vyhledání
Příklady dashboardů - OverView
Příklady dashboardů - Connections
Příklady dashboardů - Chord
Příklady dashboardů - Sankey
Q&A
Děkujeme za pozornost! Stanislav Bárta, s.barta@nukib.cz Kamil Doležel, dolezel@sands.cz