Wykorzystanie zaawansowanych narzędzi analitycznych w systemach monitorowania cyberbezpieczeństwa

Transkrypt

1 Wykorzystanie zaawansowanych narzędzi analitycznych w systemach monitorowania cyberbezpieczeństwa Janusz Żmudziński, Pion Infrastruktury, Asseco Data Systems Grudzień, 2016 r. 1

2 Zagrożenia

3 Wymagania prawne Typowe środowisko IT najczęstsze zabezpieczenia Partnerzy biznesowi Pracownicy Klienci - kontrola dostępu - ochrona kryptograficzna - ochrona antywirusowa - VPN - ochrona sieci (FW, IDS, IPS) - oprogramowanie antywirusowe - kopie danych, - kontrola dostępu - Polityka Bezpieczeństwa - zarządzanie ryzykiem

4 Monitorowanie bezpieczeństwa spotykane praktyki brak monitorowania ręczne przeglądanie dzienników zdarzeń wykorzystanie dedykowanych narzędzi przeznaczonych dla wybranych obszarów bezpieczeństwa (np. SLA) kompleksowe systemy monitorowania

5 Źródła informacji o stanie bezpieczeństwa logi systemów operacyjnych logi urządzeń sieciowych logi rozwiązań bezpieczeństwa (FW, IDS, IPS, AV, itp.) logi baz danych i bazy danych logi aplikacji biznesowych pliki konfiguracyjne katalogi (np. Active Directory) systemy zewnętrzne (np. kontroli dostępu) sieć, media (również społecznościowe, również Darknet)

6 Tradycyjne podejście jest niewystarczające 99% udanych ataków doprowadziło do uzyskania dostępu w ciągu dni, 85% z nich skończyło się wyprowadzeniem danych 85% naruszeń zostało wykrytych po tygodniach lub dłużej Źródło: Verizon Data Breach Investigations Report

7 Monitorowanie bezpieczeństwa dobre praktyki Monitorowanie powinno obejmować: wszystkie atrybuty (poufność, integralność, dostępność) wszystkie obszary (sprzęt, systemy, aplikacje, logika biznesowa, ) Monitorowanie bezpieczeństwa musi być procesem ciągłym (24x7x365) 7

8 Monitorowanie bezpieczeństwa - wyzwania Napastnicy też myślą Wiele różnorakich źródeł informacji dot. bezpieczeństwa Problemy techniczne 8

9 Monitorowanie bezpieczeństwa problemy techniczne Danych jest coraz więcej Big Data zbyt dużo danych do zebrania i analizy i przechowywania. Jak zwykle, % danych jest bezużyteczna. Jak znaleźć te 0.001%, która jest wartościowa? 9

10 Bezpieczeństwo staje się problemem klasy Big Data Coraz bardziej zdeterminowani atakujący to coraz więcej danych do przetworzenia, żeby zidentyfikować atak Coraz bardziej skomplikowane środowiska IT nawet proste ataki mogą pozostać niezauważone w olbrzymiej ilości ruchu Osoby odpowiedzialne za bezpieczeństwo zaczynają mieć problem z przetwarzaniem wszystkich danych 40% respondentów jest przytłoczonych ilością danych, które zbierają dzisiaj 35% ma za mało czasu lub specjalistycznej wiedzy do analizy zebranych danych 10

11 NSA - XKeyScore Gromadzi, analizuje, przeszukuje dane 700 serwerów, 150 lokalizacji na świecie Inwigilacja w czasie rzeczywistym, na bieżąco śledzi ruchy celu w Internecie Umożliwia analitykom NSA analizę: zawartości i, czaty odwiedzane i wyszukiwane strony metadane Teoretycznie przeznaczony do analizy danych o obcokrajowcach, ale zawierał również dane o obywatelach USA 11

12 Dzisiejsze wymagania wobec bezpieczeństwa Infrastruktura Big Data Potrzebuję elastyczną infrastrukturę, która umożliwi krótko- i długoterminową analizę Totalna Widoczność Chcę widzieć wszystko, co dzieje się w moim środowisku i móc to znormalizować Wysokowydajna analityka Dajcie mi szybkie i inteligentne narzędzie do wykrywania i analizy potencjalnych zagrożeń w czasie bliskim rzeczywistemu Zintegrowana Inteligencja Pomóżcie mi zrozumieć, czego szukać i co inni już znaleźli 12

13 Tradycyjne SIEM był dobry w przeszłości SIEM daje: Cenne raportowanie aktywności urządzeń i systemów Podstawowe alarmowanie na podstawie znanych wzorców Centralny widok na różne źródła zdarzeń W dzisiejszym świecie Zagrożenia mają wiele twarzy, są dynamiczne i niewidoczne Najgroźniejszych ataków nie obserwowano wcześniej Skuteczny atak wiąże się z obecnością w różnych miejscach sieci 13

14 SIEM ewolucja do rozwiązań analitycznych Splunk RSA Netwitness IBM QRadar, Watson for Cybersecurity 14

15 RSA Netwitness Pojedyncza platforma do zbierania i analizowania olbrzymich ilości danych z sieci i logów Rozproszona i skalowalna architektura Architektura, która pozwala na szybką i równocześnie inteligentną analizę Security Data Warehouse dla długoterminowej analizy i zgodności Infrastruktura NetWitness dla krótkoterminowej analizy i śledztw 15

16 DISTRIBUTED COLLECTION Architektura RSA Netwitness Enrichment Data EUROPE Log s Packets THE ANALYTICS Incident Managemen t Reporting and Alerting Complex Event Processing NORTH AMERICA REAL-TIME Investigation Malware Analytics Administration Free Text Search Correlation Metadata Tagging Asset Criticality ASIA WAREHOUSE Compliance LONG- TERM RSA LIVE INTELLIGENCE Threat Intelligence Rules Parsers Alerts Feeds Apps Directory Services Reports and Custom Actions

17 Zaawansowane zapytania PIG i HIVE Security Analytics Warehouse WAREHOUSE Długoterminowe przechowywanie danych oraz Analityka hurtownia danych dostosowana do danych typu security metadane z logów i pakietów, surowe logi Architektura oparta o technologię Hadoop zapewnia maksimum skalowalności i wydajności Complex Event Processing Wyszukiwanie tekstowe á la Google

18 Usuwanie siana vs. szukanie igieł w stogu siana Cały ruch i logi Ściąganie plików exe Typ nie zgadza się z rozszerzeniem! Terabajty danych - 100% całości Tysiące punktów 5% całości Setki punktów 0.2% całości Alarmy dla krytycznych zasobów kilkadziesiąt 18

19 RSA NetWitness -zintegrowana Inteligencja Skąd wiem, czego szukać? Zbieranie informacji z globalnej społeczności bezpieczeństwa oraz RSA FirstWatch Agregacja i konsolidacja najważniejszej informacji i odniesienie jej do danych dot. organizacji Automatyczna dystrybucja reguł, czarnych list, parserów, feedów etc. Pozwala na wykorzystanie tego, co inni już znaleźli i odniesienia tej informacji do własnych danych bieżących i historycznych

20 Natychmiastowy podgląd kontekstu ruchu w sieci Komputer - cel ataku - wysyła wielu dokumentów przez FTP. Możemy wyeksportować, otworzyć, lub podejrzeć całą zawartość. Pliki przesłane przez FTP

21 Natychmiastowy podgląd kontekstu ruchu w sieci Ruch do serwera C&C w Chinach wskazuje na infekcję celu ataku trojanem ZeuS. Powtarzajace się ściąganie plików konfiguracyjnych ZeuSa (.bin) z Chin

22 Podsumowanie Tradycyjne podejście do bezpieczeństwa nie działa Bezpieczeństwo staje się problemem Big Data Zaawansowane rozwiązania analityczne są nowym podejściem do walki z zaawansowanymi zagrożeniami Połączenie cech SIEM-a, monitorowania ruchu sieciowego, zarządzania Big Data i analityki Podstawa nowoczesnej strategii ochrony: Infrastruktura Big Data Totalna widoczność Wysokowydajna analityka Zintegrowana inteligencja (machine learning, deep learning, AI) 22

23 Uwagi na zakończenie Brak monitorowania uniemożliwia skuteczne zarządzanie bezpieczeństwem Monitorowanie powinno obejmować możliwie wszystkie aktywa System monitorowania może uchronić przed poważnymi incydentami oraz ułatwić lub umożliwić analizę śledczą System monitorowania musi również monitorować siebie Potrzeba wykwalifikowanego zespołu

24 Kto pilnuje strażników? NSA wydaje stonowane i uspokajające oświadczenie, że ich działania są w pełni legalne, wnikliwie kontrolowane i nadzorowane, oraz, że robią wszystko by nie naruszać prywatności obywateli USA. Do ich systemów (np XKS) ma dostęp jedynie przeszkolony personel, a każde zapytanie jest logowane co umożliwia kontrolę ewentualnych nadużyć

25 Dziękuję za uwagę