IBM QRadar, Guardium a Identity Governance v Česke Správě Sociálního Zabezpečení PODPORA NAPLNĚNÍ ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Ludek Subrt IBM Security consultant, SIOC competency leader CEE April 2019
IBM QRadar
IBM QRadar Umožňuje soustředění na nejdůležitější bezpečnostní problémy Úplná viditelnost Prioritizace hrozeb Automatizované vyšetřování Proaktivní vyhledávání Endpointy Síťová aktivita Datová aktivita Uživatelé a identity Interní hrozby Externí hrozby Threat intelligence Informace o konfiguracích Zranitelnosti a hrozby Cloudová rizika Zranitelnosti Aplikační aktivita Kritická data Cloudové platformy
QRadar Security Intelligence Platform USE CASE DETEKCE POKROČILÝCH HROZEB DETEKCE INTERNÍCH HROZEB ŘÍZENÍ RIZIKA A ZRANITELNOSTÍ KRITICKÁ DATA & GDPR ODPOVĚĎ NA INCIDENT BEZPEČNOST CLOUDU DODRŽOVÁNÍ NOREM A NAŘÍZENÍ IBM Security App Exchange AUTOMATIZACE DASHBOARDY VIZUALIZACE WORKFLOWS REPORTING ANALYTICKÝ ENGINE BEZPEČNOSTNÍ ANALYTIKA DETEKCE V REÁLNÉM ČASE STROJOVÉ UČENÍ POKROČILÉ VYHLEDÁVÁNÍ BEHAVIORÁLNÍ ANALÝZA UMĚLÁ INTELIGENCE THREAT HUNTING KOLABORAČNÍ PLATFORMY KOMPLETNÍ PŘEHLED DATA STORE ENDPOINTY VHLED DO SÍTĚ CLOUD APLIKACE IDENTITY ZRANITELNOSTI KONFIGURACE ASSETY ULOŽIŠTĚ 3 STRAN X-Force Exchange MODELY NASAZENÍ ON PREM AS A SERVICE CLOUD HYBRID HW, SW, VM SaaS, Managed Service AWS, Azure, Google Cloud On-prem, SaaS, IaaS 4
IBM Guardium
Přístup Guardia k ochraně kritických dat Monitoring dat a souborů Dynamické blokování a maskování dat. Nalezení a klasifikace zranitelností v DB Nalezení a klasifikace citlivých dat IBM Guardium Data Protection Automatizace tvorby záznamů pro audit 6 IBM Security
Guardium Data Protection (GDP) Content aware monitoring Databázově agnostické řešení Behaviorální analýza Korelace historických dat Možnost blokovat nežádoucí akce před samotným provedením Monitoring i lokálně připojených privilegovaných uživatelů Nízké výkonové nároky, maximální zatížení DB serveru do 5% Snadná implementace bez nutnosti změn architektury sítě 7 IBM Security
Guardium & QRadar Zlepšení výkonu analýz QRadar Ušetření síťového provozu a EPS Bezpečnostní události Reakce na změny v síti Fileshare Big Data Data Warehouse Databáze Aplikace Síťové prvky Bezpečnostní prvky Servery Mainframe Zlepšení výkonu bez nativního logování SQL provoz Operace v reálném čase Guardium Analýza a reakce v reálném čase 8 IBM Security
Identity Governance and Intelligence (IGI)
IBM Security Identity Governance and Intelligence Analytics Compliance Lifecycle Lifecycle Udělování přístupových práv na základě definovaných politik Udělování přístupových práv dle požadavků, pomocí uživatelského samoobslužného rozhraní Reportování historie přístupů pro audit Compliance Revize přístupů a jejich certifikace, včetně odvolání přístupů Konfigurace a validace politik principu nejnižších privilegií Konfigurace a validace dělení povinností (SoD) Reportování souladu s předpisy Analytics Řízení rolí, jejich modelování a vytěžování Životní cyklus rolí Optimalizace rolí a přístupů Klasifikace přístupů na základě rizika Enterprise Edition veškerá funkcionalita 10 IBM Security
Architektura Adresář HR AD Databáze Databáze SAP Vlastní aplikace IGI Directory Server Windows systém Linux systém Administrátor 11 IBM Security
Jak to funguje dohromady? 12 IBM Security
Zákon o kybernetické bezpečnosti a k tomu vztažené Use case
Dle 22 článek 2 bod d) stanovuje zaznamenávání 1. přihlašování a odhlašování ke všem účtům, a to včetně neúspěšných pokusů, 2. činností provedených administrátory, 3. úspěšné i neúspěšné manipulace s účty, oprávněními a právy, 4. neprovedení činností v důsledku nedostatku přístupových práv a oprávnění, 5. činností uživatelů, které mohou mít vliv na bezpečnost informačního a komunikačního systému, 6. zahájení a ukončení činností technických aktiv, 7. kritických i chybových hlášení technických aktiv a 8. přístupů k záznamům o událostech, pokusy o manipulaci se záznamy o událostech a změny nastavení nástrojů pro zaznamenávání událostí 14 IBM Security
Příklad postupu odvození use case 2. činností provedených administrátory, 3. úspěšné i neúspěšné manipulace s účty, oprávněními a právy, Odtud můžeme odvodit například následující use case ad 2) ad 3) Neschválené změny provedeny administrátory Resetování hesla Změny uživatelských jmen a účtů Změny na skupinách Změny uživatelských oprávnění 15 IBM Security
Od use case k pravidlu v QRadaru Krok 1: definování systémů a aplikací na kterých chceme tento scénář monitorovat. Krok 2: porozumění, jak vypadá záznam v logu danou událost, případně její vygenerování. Příklad: resetování hesla Windows log Event 4723 uživatel mění své heslo An attempt was made to change an account's password. Subject: Security ID: WIN-R9H529RIO4Y\Administrator Account Name: Administrator Account Domain: WIN-R9H529RIO4Y Logon ID: 0x1fd23 Target Account: Security ID: WIN-R9H529RIO4Y\Administrator Account Name: Administrator Account Domain: WIN-R9H529RIO4Y 16 IBM Security
Od use case k pravidlu v QRadaru Windows log Event 4724 privilegovaný uživatel mění heslo jinému uživateli An attempt was made to reset an account's password. Subject: Security ID: WIN-R9H529RIO4Y\Administrator Account Name: Administrator Account Domain: WIN-R9H529RIO4Y Logon ID: 0x1fd23 Target Account: Security ID: WIN-R9H529RIO4Y\bob Account Name: bob Account Domain: WIN-R9H529RIO4Y Linux log Linux nám zapisuje změny/resety hesla viz níže včetně syslog hlavičky: <85>Jan 17 06:50:22 debian9 passwd[1087]: pam_unix(passwd:chauthtok): password changed for testuser 17 IBM Security
Building bloky v QRadaru 18 IBM Security
Vysledne pravidlo a jeho response Apply ZKB_Reset_Hesla on events which are detected by the local system when an event matches any of the following ZKB_ResetHesla_Linux, ZKB_ResetHesla_WIN_self, ZKB_ResetHesla_WIN_other 19 IBM Security
Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and / or capabilities referenced in these materials may change at any time at IBM s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may betrademarks or service marks of others. Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM DOES NOT WARRANT THAT ANYSYSTEMS, PRODUCTS OR SERVICES ARE IMMUNE FROM, OR WILL MAKE YOUR ENTERPRISE IMMUNE FROM, THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.