SIEM Mozek pro identifikaci kybernetických útoků Jan Kolář 4.2.2014, Praha, Cyber Security konference 2014
Agenda Prvky bezpečnosti IT Monitoring bezpečnosti IT (MBIT) Co je bezpečnostní incident? Jak začít s MBIT? Výběr vhodného řešení pro MBIT Postupy implementace MBIT Služby a řešení Simac v oblasti MBIT Závěr 2
Prvky bezpečnosti IT Používaná řešení k zabezpečení IT Prevenční Detekční Testovací Řídící Co z nich můžeme získat Samotná informace o porušení pravidla bez kontextu již nestačí 3
Monitoring bezpečnosti IT Proč monitorovat Prevenční nástroje nestačí, o bezpečnosti je potřeba mít zpětnou vazbu Nařízení ISO, norem, směrnic, auditů Co monitorovat Systémy o jejichž úrovni zabezpečení potřebujeme mít zpětnou vazbu Jak monitorovat Sběr relevantních informací Vyhodnocování informací Proces pro řešení bezpečnostního incidentu 4
Co je bezpečnostní incident? Událost od IPS nebo neúspěšný pokus o přihlášení? Nárůst objemu síťového provozu? Detekce nového zařízení v síti? K O N T E X T Modifikace souborových dat? Detekce malware na koncové stanici? Změna privilegií přístupových práv? A co je false positive? 5
Jak začít s MBIT Co je kritické pro obchodování Vaší společnosti? Co tedy potřebuji sledovat? Co potřebuji v monitorovacím nástroji vidět? Jakých zařízení a systémů se monitoring týká? Jaké události ze systémů jsou pro mě relevantní? Po jak dlouhou dobu chceme uchovávat data? Jakých interních procesů se to týká? 6
Výběr vhodného řešení pro MBIT Potřebuji opravdu SIEM anebo pouze řešení pro zpracovávání logů, tedy Log Management? Potřebuji silný bezpečnostní nástroj s logikou pro vyhodnocování a korelaci událostí se správou a evidencí incidentů, anebo nástroj na interpretaci logů? Mám dostatečně vzdělané lidi pro práci s MBIT anebo chci MBIT jako službu? Jak nejlépe ochránit stávající investice do bezpečnostních řešení? 7
Log Management vždy dříve než SIEM! Deploy log management functions before you attempt a wide-scale implementation of real-time event management. Gartner, 2009 8
Funkce SIEM Kolekce logů Agregace Normalizace Filtrace Korelace Notifikace Reporting Workflow pro řešení incidentů Archivace 9
Architektury SIEM All in One Nižší pořizovací a režijní náklady Snadnější integrace do prostředí Nízká propustnost Jeden kritický bod Malá škálovatelnost Distribuovaná architektura Rozložení zátěže dle funkcí Kolekce, Archivace a Korelace Vyšší propustnost řízena počtem serverů s jednotlivou funkcí Vyšší pořizovací a režijní náklady Vyšší nároky na obsluhu a údržbu 10
Který SIEM si vybrat? 11
Jak správně dojít k SIEM? Uvědomění si, co chci SIEM vyřešit Přesvědčení se, že SIEM je ta nejlepší cesta Definice zadání Analýza trhu na vhodná řešení Upřesnění požadavků a rozsahu pro SIEM Zhodnotit objem dat pro logování Testování 2-3 vybraných řešení Finální výběr řešení Definice plánu a procesů na řešení incidentů 12 Implementace řešení
Postupy implementace MBIT v praxi Analýza, analýza, analýza,... Příprava implementačního projektu tabulky, tabulky, tabulky,... Realizace Akceptační testy Zkušební provoz 13
Nejlepší praktiky při nasazování řešení MBIT Dodržovat zmíněný logický postup pro výběr a implementaci řešení MBIT Implementovat Log Management vždy dříve než SIEM Začít u nejjednoduššího Rozšiřovat funkcionalitu postupně Nastavit procesy a plány pro řešení bezpečnostních incidentů před nasazením SIEM Kontinuální zaměření na to, co chci pomocí 14 SIEM řešit
Nejhorší praktiky při nasazování řešení MBIT Prostě něco koupíme Koupím, zapojím a čekám... Rozsah MBIT určíme až něco koupíme Výrobce SIEM mi řekne jak a co logovat Nepřipravenost prostředí (synchronizace času) Něco svítí červeně ale nevím co s tím Špatně nastavené procesy Nedodržování kontinuity MBIT Neustále je málo místa pro ukládání logů 15
Služby a řešení Simac v oblasti MBIT Analýza současného stavu a návrh řešení pro MBIT Implementaci MBIT Vypracování integračních příruček pro logování Vypracování návrhu procesů spojených s MBIT Servis a služby spojené s MBIT Implementace a provozování řešení spojených s MBIT na straně zákazníka Pomoc s vyhodnocováním bezpečnostních incidentů i formou služby Pravidelné bezpečnostní audity, vytvoření 16 bezpečnostních politik
Simac. Personal for everyone. 17
Dotazy? 18