PROPOJUJEME SVĚTY podnikových komunikací, infrastruktury a software OBECNÉ PRINCIPY SIEM AXENTA ING. KAREL SIMECEK, PH.D. 5.11.2015
CO JE CO? LM lokalizuje klíčové slova Aug 20 12:00:28 monitor.axenta sshd[27805]: Accepted publickey for pjankovsky from 192.168.200.2 port 50767 ssh2 EM proměnné a hodnoty SIEM přidá kontextová data raw_timestamp Aug 20 12:00:28 vyhledávání raw_timestamp Aug 20 12:00:28 g_hostname monitor.axenta g_hostname monitor.axenta facility Aug 20 sshd 12:00:28 monitor.axenta sshd[27805]: Accepted g_zone publickey servers.siem for pjankovsky from 192.168.200.2 port event_id 50767 ssh2 Accepted publickey user_id pjankovsky s_ip 192.168.200.2 s_port 50767 protocol ssh2 LM sběr log záznamů, archivace, EM parsování log záznamů pro pokročilé vyhledávání facility sshd a reporting event_id Accepted publickey SIEM nsm_type korelace, auth.os.login.grant kontextové vstupy, Alert Management, user_id pjankovsky Incident Management user_ldap AXENTA\Peter Jankovsky s_ip 192.168.200.2 s_zone users.vpn priority 25 t_port 22
K ČEMU JE SIEM? Dodává událostem ICT a Business interpretaci!!! Event Host A: Server D connection lost; fd=67. Host B: DB connection error from Server E Host C: ODBC driver write error on Server E Taxonomy taxonomy: connection.error taxonomy: connection.error taxonomy: connection.error produkt SIEM Rešení SIEM/SOC Correlation engine Context data Topology Inventory Alert SLA Potřebujete korelační scénáře! Potřebujete kontextové informace!!! Core-business Router A have have an a error trouble Server Portal E is is failed Server Mail D is is failed failed
IMPLEMENTAČNÍ SOUČINNOST VÝSTAVBY SIEM Výrobce Dodavatel Zákazník Implementace Executive Summary Worfklow&Eskalace Korelace&Scénáře Metriky Incidenty Alerty S O C R e p o rt y S I E M Parsing&Normalizace Události Instalace Integrace&Interface LOG data
NÁROČNOST SPRÁVY INCIDENTŮ SOC Operator CIRT/CERT Parsing Normalization SOC SIEM LOG Event Alert Incident Action Vizualization Filtering Scoring Jak vypadá bezpečnost? Co dělá bezpečnost pro bezpečnost businesu? Analyze Correlation Rules Evaluation 1x týdně realtime Security Analyst Trendy Soulad s normami Jaký business byl ovlivněn? Potřebujete určit co se děje, kdo to způsobuje a kdo má co řešit!!!! Jak vysoké jsou ztráty? Jaké incidenty bylyřešeny?
10 let know-how Axenta
CO CHCI? SUPER SIEM => CÍL
CO POTŘEBUJI OD SIEM? => POČÁTEK Business funkce Eskalace skutečných problémů Notifikace na garanty procesů Reporting prostředí, aktiv, hrozeb, zranitelností Vyšetřování a analýzy Technické funkce Data collection Data aggregation Data normalization Event correlation Komponenty Log management Aggregation server Threat/Correlation server Central management
BANKA POTŘEBAČNB COMPLIANCE 4 core aplikace 2 datová centra 1 lokalita Syslog-NG 40% Log Korelace SIEM 60% Log Vyšetřování 100% Log Archivace Log Log + Event management Vyhledávání Technické hrozby Opatření Syslog Storage Box
ENERGETICKÁ SPOLEČNOST POTŘEBA INCIDENT RESPONSE N core aplikací 3 datová centra (800 serverů) 14 elektráren + 6 REAS + 1 Head-quater CMDB Nesoulady Aktualizace Elektrárna Centrala Aktiva Kontext SIEM REAS Agregace Rozlišení Incident Response
ENERGETICKÁ SPOLEČNOST POTŘEBA INCIDENT RESPONSE N core aplikací 3 datová centra (800 serverů) 14 elektráren + 6 REAS + 1 Head-quater Chybí dashboard Application Database System Network Log Log + Event??? management SIEM
ENERGETICKÁ SPOLEČNOST POTŘEBA INCIDENT RESPONSE N core aplikací 3 datová centra (800 serverů) 14 elektráren + 6 REAS + 1 Head-quater Architektura Application Database System Network SIEM Vyhledávání Reporting Log + Event management
KARETNÍ SPOLEČNOST POTŘEBA PCI DSS COMPLIANCE 4 core aplikace 2 datová centra 1 lokalita Řešil se nástroj, nikoliv účel nástroje business funkce SIEM Požadován Chci ArcSight Event management Implementován Chci Dodavatele Degradace kvality Log management Užíván Chci Know-How
Co je to SOC?
CO JE TO SOC? A HLAVNĚ, CO NENÍ SOC! Security Operation Center Bezpečnostní Provozní Centrum X SOC není Managed Security Services Externí a Interní penetrační testy Konfigurace pravidel firewallů, WAF, NAC, DLP, atp.,...
CO JE TO SOC? A HLAVNĚ, CO NENÍ SOC! SOC -> Incident Response Team (CSIRT) 1. Proces Incident Response - řešení incidentů 2. Proces Troubleshoting řešení provozních/bezpečnostních nesouladů 3. CSIRT tým osoby pověřené zvládáním a odstraněním následků incidentu SOC a priorita z Kybernetického zákona Kybernetický zákon ustavuje +/- 85 požadavků. Více než polovina požadavků mimo rámec SOC
SOC -> INCIDENT RESPONSE (CSIRT/CERT) Log Management Archivace, vyhledávaní SIEM Korelace + Reporting + Dashboardy Tickety Service Desk / Help Desk Procesy Interní předpisy a postupy Assety IP plány, CMDB, kategorizace
SOC & KYBERNETICKÝ ZÁKON Fyzická bezpečnost Ochrana integrity komunikačních sítí Ověřování identity uživatelů Řízení přístupových oprávnění Ochrana před škodlivým kódem Zaznamenávání činností Detekce kybernetických bezpečnostních událostí Sběr a vyhodnocení kybernetických bezpečnostních událostí Aplikační bezpečnost Šifrovací prostředky Ostatní technologie podporující org. a tech. opatření
Co hledám pro zlepšení bezpečnosti?
NÁSTROJ NEBO TÝM NEBO SLUŽBA? Nástroj Tým Služba Činnost Utáhnutí šroubku Vědět, který šroubek Cena 20 Kč 1980 Kč
NÁSTROJ DOHLEDOVÁNÍ JAKÉ VLASTNOSTI JE POTŘEBA BRÁT V ÚVAHU? Pozorováním systému/prostředí měníme jeho chování čím více monitorujeme, tím hůře to funguje (aneb četný ping/snmp dotaz vede k pádu systému) Nelze udržet online centrální evidenci všech změn v systému topologické změny v zapojení, práce techniků, změny v okolních informačních systémech, Celý systém se postupně vyvíjí (a dlouho bude ve výstavbě) nové verze aplikací, protokolů, informačních systémů, požadavků, Předpoklad uzavřeného světa (CWA) neplatí to, že o něčem nevím neznamená, že se to neděje. to, že něco nevidím neznamená, že to neexistuje.
ÚROVNĚ VYSPĚLOSTI DOHLEDOVÉHO SYSTÉMU Úroveň 4: Adaptace Úroveň 3: Předvídání situací adaptace dohledování na základě zpětné vazby od uživatele, z prostředí pro-aktivní dohled včasné upozornění pro předcházení situacím Úroveň 2: Rozpoznávání a hodnocení situací Úroveň 1: Filtrování a směrování událostí pokročilý dohled rozpoznání významných situací na základě zpracování událostí, historie a dalších souvisejících informací základní dohled výběr zajímavých událostí a jejich předání lidem Úroveň 0: Sběr událostí úložiště logů sběr, čištění a validace událostí
UŽIVATEL V ROLI VYHLEDÁVAČE reakce rozhodování prohledávání, porovnávání, ověřování, Měření, logy, alerty, exporty,
UŽIVATEL V ROLI SUPERVISORA reakce rozhodování Informace stojící za pozornost Filtrování Korelace Validace Měření, logy, alerty, exporty,
Příklad SOC Axenta Advanced SOC
JAK SE STAVÍ SOC JAKO SYSTÉM? 2. Aktiva 4. Zpřesnění 3. Reakce 3. Analýza dat 1. Sběr dat 2. Aktiva
JAK SE STAVÍ SOC JAKO SLUŽBA? 3. Připojení na SOC 1. Sběr dat 2. Aktiva 10/5 nebo 24/7 operátor + analytik + auditor SOC + CSiRT rychlost reakce = schopnost detekce + nové korelační metody
Výhody přínosů od Axenta
AXENTA PORTFOLIO IN MAGIC QUADRANT CHALLENGE LEADER CORRELATION SCENARIOS MONITORING SIEM SECURITY AUDITS Power of interest Training FILE INTEGRITY CHECKING WAF QUALITY ASSURANCE CATEGORIZATION OF INFORMATIONS LOG MNGMT DATA OR CONTEXT VISUALISATION SMARTGRID SECURITY Privileged Identity Monitoring Blindspotter SOC BASIC VISIONARY Complexity of functionality
PŘÍNOSY AXENTA V SIEM A SOC Provozní zkušenosti se SIEM nástroji 10 let (6 let Axenta) Implementační zkušenosti SIEM nástrojů 6 let. Know-how v detekci symptomů a neobvyklých jevů 12 let Knowledge v Incident Response 12 let
SIEM Instalace komponent Konfigurace technických funkcí Provoz technických funkcí Služby a podpora BEZPEČNOST JE FORMA INTERPRETACE KVALITY SLUŽEB Axenta 10 let praxe v bezpečnosti SOC Implementace procesů Konfigurace workflow Provoz služeb Know-how Knowledge 31
Normy Zákon Kodex Bezpečnostní znalosti SOC Tým Data Aplikace Diskuse Infrastruktura