Nástroje pro korelace a vyhodnocování bezpečnostních událostí (jak se vyznat v množství bezpečnostních událostí) David Vorel Technický konzultant - Simac Technik ČR, a.s. 1
Osnova Obecný úvod Proč vůbec ukládat a zpracovávat události? Zdroje bezpečnostní události Centrální uložiště surových událostí Reálný proces nasazení Postupy při implementaci v prostředí Technologie SIEM, SIM, SEM a LM obecně Funkce SIEM Architektura prostředí SIEM Kolekce Normalizace Filtrace Agregace Korelace Notifikace Reportování 2
Proč vůbec ukládat a zpracovávat události? Dodržování standardů a dobrých praktik Přehled a orientace v prostředí Dodržování vnitrofiremních směrnic Potřebné diagnostické informace Zpětné ověření aktivit Uživatelů Procesů Požadavek auditorů a regulátorů 3
Bezpečnostní události (...Informace, Informace, Informace...) Způsob sběru Syslog a Syslog-NG Databáze HTTP FTP WMI Prosté soubory SNMP OPSEC, CPMI SDEE, RDEP Čas sběru V reálném čase Výhody Nevýhody Dávkově Výhody Nevýhody 4
Bezpečnostní události (zdroje logování) Logy operačních systému (Windows, Linux, IOS, BSD, Solaris, AIX, HP-UIX, BeOS...) Authentication, Authorization a Accounting (AAA) Active Directory LDAP Radius Kerberos IAS NIS C2 Audit obecně 5
Bezpečnostní události (zdroje logování) Firewaly Access Control Databáze DHCP DNS Virtualizace Netflow UTM IDS VPN WIFI Mobilní platformy 6
Centralizované uložiště Bezpečnostní logy na jediném místě Výhody Možnost jednotné delegace ACL pro uživatele a IP Snažší manipulace při zálohách a obnovách Připojení svazků DAS Možnost redundance centrálního uložiště (DRBD) Nevýhody Jeden kriticky bod Uložiště musí provozovat služby pro přistup (NFS, Samba, FTP, RSync..) 7
SIEM, SIM, SEM a LM obecně SIM Security Information Management Security Incident Managament SEM Security Event Management Security Event Monitoring LM Log Management SIEM Security Information and Event Management 8
Funkce SIEM Kolekce, Agregace, Normalizace, Filtrace, Korelace, Notifikace, Reporting, Archivace bezpečnostních událostí Přiřazení identifikovaných zranitelností aktivům (Risk Management, Risk Assesment) Vyhledávací logika při práci s uloženými daty Obsahové tabulky s možností reference do pravidel Evidence síťových rozsahů a účelu jejich použití Evidence a hodnocení aktiv ITC Přímá Integrace s Netflow či jeho nepřímá podpora - L3 vs L7 Schopnost sledování stavů zdrojů a jejich vitality, statistické informace Možnost segmentace Organizačních jednotek (OU) Učící mechanismy s detekcí anomalii (anomaly detection) 9
Architektura prostředí pro SIEM 10
Architektura SIEM (vše v jednom) Jediný server s co nejvyšším výkonném (2x Quad Core, 16GB RAM) Kolem 5000 EPS (2x Quad Core, 8GB RAM) Výhody Nižší pořizovací a režijní náklady Snadnější integrace v prostředí Nevýhody Malá propustnost Kritický bod Malá škálovatelnost 11
Architektura SIEM (distribuované řešení) Výhody Propustnost dle počtu serverů Rozložení zátěže Kolekce Archivace Korelace Nevýhody Vyšší pořizovací a režijní náklady Větší nároky na obsluhu a údržbu 12
Architektura SIEM (ISP řešení) Výhody Menší nároky na obsluhu Nižší pořizovací a režijní náklady Automatické dodržování SLA Většinou automaticky vysoká dostupnost Nevýhody Předávání dat mimo organizaci Nutnost specifikace a vytvoření prostředí pro předávání událostí Vyšší požadavky na přenosové kapacity mimo organizaci 13
Výhody Architektura SIEM (vysoká dostupnost) Zaručení maximální možné dostupnosti Geografické HA Popřípadě souvztažné využití k rozložení zátěže (Load Balancing) Nevýhody Vyšší počáteční náklady 14
Kolekce událostí Způsob kolekce závislý na použité architektuře Nejefektivnější je kolekci na pomocných serverech Vyšší výkon Rozložení zátěže Možnost automatického ukládání surových logů Filtrace a normalizace na straně pomocných serverů 15
Kolekce událostí 16
Normalizace událostí Kritická část vstupu události do SIEM Mapování částí zprávy do datových polí SIEM Klasifikace událostí Přiřazují se reference na externí zdroje (CVE, OSVDB..) Možnost implementace vlastních identifikátorů ( Mění uživatel heslo někomu jinému? 0/1) 17
Filtrace Ne všechny událostí musí byt zpracovávány Windows ID (680,538) SNMP dotazy Přístupy technických účtů z ověřených zdrojů Úpravou chování koncového systému Povolení nesprávně blokovaného portu na FW Úpravou konfigurace generující nadměrné množství událostí Koncovém agentu SIEM sběrači SIEM korelátoru SIEM archivu 18
Agregace událostí V některých případech může být užitečná Nepoužitelná v globálním nasazení Výhody Úspora procesorového výkonu Úspora síťových toků Nevýhody Ztráta originálních časových značek Ztráta dodatečných informací u agregovaných polí Neprobíhá v reálném čase 19
Korelace událostí Mozek SIEM Ne vše se musí korelovat Vytváření Incidentů Automatické přiřazení odpovědné osoby či týmu Statické korelace Dynamické korelace Pokročilé korelace Korelace dle odchylek chování 20
Korelace událostí (statické korelace) Na základě výskytu jediné události nebo signatury Příklady: Chybné přihlášení Úspěšné přihlášení na kritický server 21
Korelace událostí (dynamické korelace) Ve spojení s obsahovými tabulkami, které jsou dynamický aktualizovány dle potřeb v pravidelných časových intervalech Příklady: Operace provedena jiným než aktuálně oprávněným účtem Směrování specificky zájmových aktivit do kritického prostředí 22
Korelace událostí (pokročilé korelace) Na základě pravidel s vyšší logikou Na základě určení odpovídající míry risku pro aktiva organizace Příklady: Více než pět špatných pokusů Vice než tři špatné pokusy bez následného úspěšného přihlášení Méně než dvě úspěšné přihlášení za hodinu Více než X MB přenesených dat Cíl je zranitelný a byla zaznamenána signatura (exploit) pro konkretní port či chybu 23
Korelace událostí (dle odchylek v chování) Na základě odchylky od historického průměru (např. poslední hodina, den, týden.., nebo staticky stanovené období při učení) Příklady: Došlo k překročení odchylky v počtů hostů na síti Velikost monitorovaných paketů pro port 161 se zvětšila od předem naučené maximální hodnoty či průměru 24
Korelace událostí 25
Notifikace Vždy v reálném čase Možnost úprav formátování a obsahu Definice způsobu notifikace Pouze při prvním výskytu Vždy Při každém N výskytu 1x za časové období 26
Reporting Generování kompliance reportů pro: Interní potřeby Administrátory ITC Management a vedoucí jednotlivých organizačních jednotek Generování reportů ve shodě s regulátorem ISO 27001/17799 PCI Sarbanes Oxley 27
Reporting 28
Archivace událostí Surový log VS. proprietární log SIEM Způsob archivace událostí, referencí a indexů SIEM Databáze Proprietární formáty ve formě keší (někdy jenom s časově krátkým obsahem) a specifickým účelem (např. index udržovaný v paměti) Proprietární formáty ve formě souborů na disku Kombinace Rozdělení archivů SIEM Operační archiv Dlouhodobý archiv Rozdělení archívů dle typů událostí Doba ukládání dat (Data Retention) 29
Analytická část Dashboard Práce s daty Inteligence a logika postupu šetření událostí Předdefinované pohledy pro události Incidenty Tiketovací systém Využívání předpřipravených logických celků pro aplikaci ve filtrech (kolekce nebo vyhledávání), pravidlech, incidentech a reportech Vizualizace Měla by být interaktivní (pravý klik) reprezentace globálních stavů formou grafů, statistik a pokročilejší vizualizace reprezentace předem definovaných stavů pro konkretní 30
Analytická část 31
Proces nasazení sběru logů Kompletace informací o prostředí a interních politikách Identifikace potřeb vně organizace Identifikace zdrojů bezpečnostních logů Klasifikace aktiv Stanovení průměrných EPS a maximálních mezních EPS Výběr typu SIEM a způsobu jeho nasazení 32
Proces nasazení sběru logů Pilotní instalace a konfigurace SIEM Integrace zdrojů logů Vytvoření výchozích pravidel Pilotní provoz Vyhodnocení pilotního provozu Dokumentace prostředí a specifikace rutinních činností administrátoru či operátorů SIEM Dodržování rutinních činností s evidencí v provozním deníku 33
Shrnutí Nutná dobrá znalost prostředí a potřeb organizace Implementace předpokládá součinnost s ostatními OU Správným výběrem událostí ovlivňujeme výkonnost celého prostředí SIEM Člověka nelze plně nahradit 34
Děkuji za pozornost 35