Monitorowanie i analiza zdarzeń Novell Sentinel Piotr Majchrzak

Transkrypt

1 Monitorowanie i analiza zdarzeń Novell Sentinel Piotr Majchrzak Starszy konsultant Novell Professional Services

2 Bezpieczeństwo w liczbach 900 włamań, 900 mln rekordów skompromitowanych na przestrzeni ostatnich 6 lat 2 Verizon Business Data Breach Investigation Report (DBIR) Ubiegły rok wg DBIR 70% rekordów skompromitowanych przez źródła zewnętrzne 48% włamań spowodowanych przez pracowników 32% partnerów dotkniętych atakami 96% przypadków do uniknięcia poprzez prostą kontrolę i monitoring Gdzie leży problem?

3 Cybernetyczne bezpieczeństwo stale jest problemem 3 Wzrost liczby włamań; bardziej kosztowne, bardziej spektakularne Według raportu ITRC, w 2009 r. miało miejsce 498 włamań, zagrożonych ponad 223 mln danych osobistych Różne dziedziny życia > NYPD rekordów > FAA > UC Berkeley > Aetna Dostosowanie regulacji w odpowiedzi na zagrożenia Hakerzy adoptują się i zdobywają przewagę

4 Bezpieczna firma 4 Trzymać 'tych złych' z dala od sieci korporacyjnej Zbudować gigantyczny mur wokoło firmy Wdrożyć technologie, które chronić będą firmę przed specyficznymi zagrożeniami na styku ze światem zewnętrznym

5 Rzeczywistość 5 Dane i zasoby przenoszone w chmurę Dostęp do danych pracowników mobilnych Hakerzy wykorzystują pracowników Wzrost ukierunkowanych ataków

6 Większa finezja ataków Zewnętrzni napastnicy są odpowiedzialni za 98% skradzionych danych Napastnicy wykorzystują zaawansowane techniki oraz ukierunkowany malware niewykrywalny dla nowoczesnych aplikacji antywirusowych Zaangażowanie rządów Stuxnet, uważany za pierwszą prawdziwą cyber-broń kosztował, szacunkowo, ponad 3 miliony dolarów (US) Udział organizacji przestępczych Profity z kradzieży danych osobowych coraz więcej ataków typu slow-and-low 6

7 Ataki ukierunkowane stanowią problem Granica pomiędzy 'swomi' a 'obcymi' zaciera się Hakerzy są niewiarygodnie skuteczni w ukrywaniu śladów obecności Heartland Data Systems: Intensywne prace analityczne, które pozwoliły zidetyfikować problem, trwały dziewięć tygodni! Dowody istnieją, jednak są pogrzebane pod górą danych Pracujemy w niezaufanym środowisku. Jesteśmy zmuszeni monitorować jego zachowanie, żeby zidentyfikować anomalie 7

8 Nowy paradygmat bezpieczeństwa Ochrona pracowników firmy bez: Traktowania ich jak przestępców Negatywnego wpływu na produktywność Scentralizowane, oparte na analizie ryzyka podejście do zagadnień bezpieczeństwa Śledzenie dostępu do krytycznych zasobów Monitorowanie aktywności oraz procedur kontrolnych Określanie zachowań użytkowników Co się stało? Kto to zrobił? 8

9 Zarządzanie ryzykiem: Co to jest? Jakie jest dopuszczalne ryzyko dla firmy? Określony poziom ryzyka może przynieść profity Równowaga pomiędzy prawdopodobieństwem a wpływem zagrożenia Określenie dopuszczalnego ryzyka oraz zagrożeń, które muszą być zminimalizowane Tylko w niektórych środowiskach unika się wszystkich potencjalnych zagrożeń 9 Eliminacja wszystkich zagrożeń jest zbyt kosztowna pod względem zasobów i rozłożenia w czasie Zagrożenie życia ludzkiego

10 Zarządzanie ryzykiem: Co to jest? (cd.) Jak organizacje mogą określić priorytety dla zagrożeń? Ocena rozmiarów zidetyfikowanego zagrożenia Prawdopodobieństwo pomiędzy 1-99% Wpływ na krytyczne współczynniki, takie jak koszty czy czas (zdrowie) Wykres reprezentujący wpływ zagrożeń Linia oznacza granicę akceptowalnego ryzyka Opracowanie procedur dla pozostałych zagrożeń Hig h L o w 10 C rit M ed i k is lr ve -le w Lo Probability of Occurrence L o w um -le ve lr Higisk h Impact of Risk ic al R is k

11 Bezpieczeństwo 11 Nie wszystkie organizacje mają takie same możliwości w zakresie bezpieczeństwa Korporacje potrzebują rozwiązań z zakresu zarządzania bezpieczeństwem, które umożliwiają osiągnięcie założonych celów w kilku etapach, które obejmują: Proste we wdrożeniu zarządzanie logami, oferujące szybki zwrot kosztów Monitorowanie użytkowników, aplikacji oraz systemów w czasie rzeczywistym Zaimplementowane wsparcie dla szerokiej gamy źródeł danych Efektywne monitorowanie aktywności użytkowników oparte o tożsamości

12 Zarządzanie bezpieczeństwem Novell Sentinel Zgodność z regulacjami i bezpieczeństwo CISO Monitorowanie aktywności Monitorowanie i przeciwdziałanie Zarządzanie logami 12 Zarządzanie dostępem użytkowników Monitorowanie w czasie rzeczywistym Monitorowanie tożsamości Widok korporacyjny Audyt / raportowanie zgodności Analiza danych historycznych Gromadzenie, składowanie, analiza Automatyczne działania Zaawansowana analiza

13 Zarządzanie bezpieczeństwem Monitorowanie aktywności użytkowników i bezpieczeństwa w czasie rzeczywistym Zarządzanie Logami 13 Wykrywanie i raportowanie anomalii w celu ograniczenia zagrożeń Automatyczne zapobieganie (skraca czas reakcji i zmniejsza zagrożenie) Gromadzenie, archiwizacja i raportowanie na podstawie logów Przekazywanie danych do dalszej analizy

14 Novell Sentinel Log Manager Bezpieczeństwo Ewaluacja do i zgodność SIEM 14 Zbieranie, składowanie, raportowanie, wyszukiwanie i przechowywanie logów Informacje wymagane przez regulacje Prosta analiza Płacisz za wykorzystywane elementy Efektywność inwestycji Plan oraz punkty integracji do osiągnięcia rozwiązania klasy SIEM Proste wyszukiwanie i raportowanie Łatwe przeglądanie danych Proste tworzenie raportów audytowych Redukcja kosztów Wykorzystanie istniejącej przestrzeni dyskowej Tworzenie polis dla retencji danych Maksymalna kompresja 10:1

15 Novell Sentinel Obrona przed Szybkie korzyści Wydajność dla atakami z zewnątrz wymagających i wewnątrz środowisk 15 Monitorowanie, wykrywanie i automatyczne działanie w przypadku zagrożeń Zaawansowane korelacje w czasie rzeczywistym Automatyczne wykrywanie exploit'ów Wybór elastycznych scenariuszy wdrożeniowych Dostęp do pakietów raportów zalecanych w regulacjach, łącznie z PCI Monitorowanie zachowań użytkowników Skalowanie w oparciu o architekturę szyny danych Narzędzia do monitorowania zachowań użytkowników Dostęp do danych Sentinela w trakcie ataku Wiodące rozwiązanie w zakresie intergacji tożsamości Korzyści z integracji aplikacji z systemem SAP

16 Dlaczego warto wybrać zarządzanie bezpieczeństwem od firmy Novell? Łatwe przejście od zarządzania logami do monitorowania aktywności użytkowników Natychmiastowy zwrot kosztów w przypadku zarządzania logami Ciągłe zwiększanie możliwości w zakresie bezpieczeństwa oraz łatwy upgrade w celu pozyskania narzędzi do zaawansowanej korelacji zdarzeń Rozpoznawalny producent, przetestowana architektura Zarządzanie logami i SIEM to krytyczne elementy bezpieczeństwa Długoterminowe wsparcie i rozwój produktu gwarantowane przez producenta Sprawdzona i wydajna architektura, wdrożona w wielu krajach Wiodące rozwiązanie monitorowania tożsamości 16 Powiązanie danych z tożsamościami określa kontekst zbieranych danych Novell dostarcza rozwiązanie do ciągłej ochrony, odpowiadające w pełni na pytania Co się stało? Kto to zrobił?

17 Czym jest Novell Sentinel? Sentinel jest systemem do: Zarządzania zdarzeniami i bezpieczeństwem informacji 17 Sentinel zbiera informacje o zdarzeniach dotyczących bezpieczeństwa, normalizuje je, wyświetla, koreluje, przechowuje i raportuje na ich podstawie, wspierając ręczne oraz zautomatyzowane procesy zarządzania Sentinel przekształca napływające dane w użyteczne informacje poprzez normalizację, graficzną reprezentację, (stanowiącą dodatkową informację o istotnym znaczeniu komercyjnym), oraz korelację.

18 Novell Sentinel Infrastruktura sieciowa Logi Logi Bazy danych Raportowanie Logi Urządzenia bezpieczeństwa Zastąpienie procesów ręcznych zautomatyzowanymi procedurami kontrolnymi, monitoringiem i raportowaniem 18 Aplikacje Przeciwdziałanie Monitorowanie Stacje robocze i serwery Logi Logi Logi Serwery mainframe RACF ACF 2 Top Secret

19 Automatyzacja monitorowania i raportowania Zbieranie i konsolidacja komunikatów ze źródeł danych różnych producentów Normalizacja logów dla wszystkich systemów w firmie Monitorowanie i analiza pod kątem naruszenia bezpieczeństwa Reakcja na zagrożenia zarządzanie incydentami powiązane z workflow Raportowanie skuteczności w zakresie kontroli Antywirus VPN Podgląd w czasie rzeczywistym Serwer Firewall Baza danych Agregacja Normalizacja Korelacja IDS Router Zbieranie 19 Normalizacja Analiza Raportowanie Reakcja

20 Podsumowanie procesu Violation Zbieranie Normalizacja 20 Monitorowanie Reakcja Raport

21 Novell Sentinel komponenty Kolektory i menadżer kolektorów Silnik korelacji Centrum kontroli Aktywne widoki ITRAC System zarządzania incydentami Repozytorium danych Szyna komunikacyjna iscale 21

22 Widoki aktywne 22

23 Novell Sentinel architektura Sentinel Control Center Correlation Subscribe Remediation Workflow Repository Channels Publish Collector Manager Collectors Collector Manager Collectors Collectors Parse-normalize taxonomy business relevance exploit detection Collectors External Event Sources VPN Firewall Asset Mgmt Antivirus Identity Mgmt Patch Mgmt Workstations Laptops Business Apps RDBMS Host IDS Network IDS Security Perimeter 23 Vulnerability Mgmt Referential IT Sources Server Mainframe Operating Systems Domain Controller Custom Events Application Events

24 Novell Sentinel architektura Correlation Sentinel Control Center Subscribe Remediation Workf-low Repository Channels Publish Collector Manager Collectors Collector Manager Collectors Collectors Parse-normalize taxonomy business relevance exploit detection Collectors External Event Sources VPN Firewall Asset Mgmt Antivirus Identity Mgmt Patch Mgmt Workstations Laptops Business Apps RDBMS Host IDS Network IDS Security Perimeter 24 Vulnerability Mgmt Referential IT Sources Server Mainframe Operating Systems Domain Controller Custom Events Application Events

25 Novell Sentinel architektura Correlation Sentinel Control Center Subscribe Remediation Workf-low Repository Channels Publish Collector Manager Collectors Collector Manager Collectors Collectors Parse-normalize taxonomy business relevance exploit detection Collectors External Event Sources VPN Firewall Asset Mgmt Antivirus Identity Mgmt Patch Mgmt Workstations Laptops Business Apps RDBMS Host IDS Network IDS Security Perimeter 25 Vulnerability Mgmt Referential IT Sources Server Mainframe Operating Systems Domain Controller Custom Events Application Events

26 Novell Sentinel architektura Correlation Sentinel Control Center Subscribe Remediation Workflow Repository Channels Publish Collector Manager Collectors Collector Manager Collectors Collectors Parse-normalize taxonomy business relevance exploit detection Collectors External Event Sources VPN Firewall Asset Mgmt Antivirus Identity Mgmt Patch Mgmt Workstations Laptops Business Apps RDBMS Host IDS Network IDS Security Perimeter 26 Vulnerability Mgmt Referential IT Sources Server Mainframe Operating Systems Domain Controller Custom Events Application Events

27 Novell Sentinel architektura Correlation Sentinel Control Center Remediation Workf-low Repository Przetwarzanie danych Subscribe Channels Kanał komunikacyjny Publish Collector Manager Collector Manager Zbieranie danych Collectors Collectors Collectors Parse-normalize taxonomy business relevance exploit detection Collectors External Event Sources VPN Źródła zdarzeń Firewall Asset Mgmt Antivirus Identity Mgmt Patch Mgmt Workstations Laptops Business Apps RDBMS Host IDS Network IDS Security Perimeter 27 Vulnerability Mgmt Referential IT Sources Server Mainframe Operating Systems Domain Controller Custom Events Application Events

28 Architektura bezpieczeństwa Zbieranie logów Novell Sentinel Log Manager (Filtry + składowanie + przekazywanie) SAN lub NAS składowanie zdarzeń w repozytorium opartym o pliki (opcja) Dane (Zdarzenia, pliki logów itp.) Zbieranie logów, retencja oraz raportowanie w celu spełnienia taktycznych założeń i wymogów regulacji 28

29 Architektura bezpieczeństwa Analiza w czasie rzeczywistym Novell Sentinel (Analizy, korelacje, reagowanie) Baza danych (opcjonalnie z RD) Dane (Zdarzenia, pliki logów itp.) Monitorowanie bezpieczeństwa, tożsamości i zdarzeń w czasie rzeczywistym w celu egzekwowania polis bezpieczeństwa 29

30 Novell Sentinel i Novell Sentinel Log Manager Architektura referencyjna Novell Sentinel (Analizy, korelacje, reagowanie) Novell Sentinel Log Manager (Filtry + składowanie + przekazywanie) SAN lub NAS Repozytorium zdarzeń Menadżer kolektorów (bez agentów, bufory) Dane (Zdarzenia, pliki logów itp.) Oba produkty łatwo skalują się do uzyskania pełnego rozwiązania zarządzania bezpieczeństwem 30

31 Dodanie przestrzeni do repozytorium Łatwe skalowanie w dowolnym kierunku Novell Sentinel (Analizy, korelacje, reagowanie) Novell Sentinel Log Manager (Filtry + składowanie + przekazywanie) Menadżer kolektorów (bez agentów, bufory) Dane (Zdarzenia, pliki logów itp.) Skalowanie i rozbudowa Novell Sentinel odbywa się w wybranych kierunkach w celu zapewnienia wymaganej funkcjonalności 31

32 Łatwe skalowanie w dowolnym kierunku Novell Sentinel (Analizy, korelacje, reagowanie) Dodanie przestrzeni do repozytorium Zwiększenie mocy obliczeniowej dla korelacji Novell Sentinel Log Manager (Filtry + składowanie + przekazywanie) Menadżer kolektorów (bez agentów, bufory) Dane (Zdarzenia, pliki logów itp.) Skalowanie i rozbudowa Novell Sentinel odbywa się w wybranych kierunkach w celu zapewnienia wymaganej funkcjonalności 32

33 Łatwe skalowanie w dowolnym kierunku Novell Sentinel (Analizy, korelacje, reagowanie) Dodanie przestrzeni do repozytorium Zwiększenie mocy obliczeniowej dla korelacji Novell Sentinel Log Manager (Filtry + składowanie + przekazywanie) Menadżer kolektorów (bez agentów, bufory) Zwiększenie liczby zdarzeń Dane (Zdarzenia, pliki logów itp.) Skalowanie i rozbudowa Novell Sentinel odbywa się w wybranych kierunkach w celu zapewnienia wymaganej funkcjonalności 33

34 Compliance Management Platform Bezpieczeństwo, dostęp i zaopatrywanie tożsamości Bezpieczny dostęp przez Web Zapewnianie dostępu Wyzwania Zarządzanie informacją bezpieczeństwa 34

35 Compliance Management Platform Ściśle zintegrowane rozwiązania zarządzania i zgodności Novell Access Manager Novell Identity Manager Rozwiązania Novell Sentinel 35

36 PCI-DSS Payment Card Infrastructure Data Security Standard

37 Zagrożenie przeniosło się z 'zewnątrz' do 'wewnątrz' Wyniki ankiety 2008 Deloitte Global Security Survey: 37 Nadmierne uprawnienia dostępu 31% Zgodność kontroli dostępu z procedurami 30% Brak przejrzystych zasad dla zwolnienia lub transferu pracownika 19% Nadmierne uprawnienia programistów w środowisku produkcyjnym 22% Brak weryfikacji danych audytowych 21% Przypadki nieautoryzowanego dostępu do danych osobowych 70% Przypadki nadużycia wewnętrzych zasobów IS 37%

38 PCI DSS Problemy w zarządzaniu dostępem Brak przejrzystości procedur audytowych związanych z dostępem dla użytkowników w firmie 38 Brak możliwości określenia, kto ma jakie uprawnienia dostępu, jak te uprawnienia uzyskał i kto je autoryzował Niespójny proces zarządzania zmianą dostępu Słabe podejście firmy do wymuszania polityki bezpieczeństwa (brak automatycznych reguł) Brak zmian w ramach kontroli dostępu (proces zatrudnienia, zwolnienia, przeniesienia) Brak procesu walidacji zmian dostępu (cykl życia konta pracownika)

39 PCI DSS Problemy w zarządzaniu dostępem Brak rozliczalności dostępu 39 Brak procesu certyfikacji i regularnego przeglądu uprawnień dostępu Brak analizy ryzyka Brak narzędzi do pomiaru poziomu ryzyka związanego z dostępem oraz zarządzaniem dostępem Brak możliwości powiązania istotnych zasobów z metodami dostępu wysokiego ryzyka Brak systemu wspierającego procesy decyzyjne, wspierającego niwelację zagrożeń (raportowanie, powiadamianie i reagowanie)

40 PCI DSS przegląd 40 PCI Data Security Standard opisuje zunifikowany zbiór wymagań bezpieczeństwa i standardów dla wszystkich typów kart kredytowych (określony przez Visa i MasterCard oraz zatwierdzony przez innych dostawców kard kredytowych) PCI ma zastosowanie w przypadku wszystkich podmiotów handlowych i usługowych, które przechowuja, transmitują oraz przetwarzają transakcje zawarte kartami kredytowymi Brak zgodności z PCI DSS może oznaczać: Odsunięcie od programów obsługi kart Wzrost opłat za przetwarzanie transakcji Grzywnę w wysokości do dolarów za pojedynczy incydent Utratę marki, klientów i dochodów Wzrost kosztów operacyjnych związanych z obsługą incydentu

41 PCI DSS wymagania 41 Budowa i utrzymanie bezpiecznej sieci Instalacja i zarządzanie konfiguracją firewalla w celu ochrony danych Zakaz używania ustawień fabrycznych dotyczących systemu haseł i parametrów bezpieczeństwa Ochrona danych posiadaczy kart kredytowych Ochrona przechowywanych danych Szyfrowanie transmisji w trakcie przesyłania danych posiadaczy kart kredytowych oraz kluczowych danych Utrzymywanie systemu klasy vulnerability management program Korzystanie oraz regularna aktualizacja oprogramowania antywirusowego Opracowanie i wdrożenie bezpiecznych systemów i aplikacji

42 PCI DSS wymagania 42 Implementacja silnych metod kontroli dostępu Ograniczenie dostępu do danych na zasadzie business need-to-know Nadanie unikalnego identyfikatora każdej osobie z dostępem do komputerów w firmie Ograniczenie fizycznego dostępu do danych posiadacza karty Regularne monitorowanie i testowanie sieci Śledzenie i monitorowanie całego ruchu związanego z dostępem do zasobów sieciowych oraz danych posiadaczy kart Regularne weryfikowanie bezpieczeństwa systemów oraz procesów Utrzymanie takiej polityki, która dotyczy bezpieczeństwa informacji

43 PCI DSS klasyfikacja podmiotów handlowych Poziom audytu i kontroli zależy od liczby transakcji przetwarzanych w ciągu roku Poziom aktywności Level 1 6,000,000 transactions annually or any merchant that has had an event that has resulted in a compromise to account data or any merchant that Visa, at its sole discretion, determines should meet the Level 1 merchant requirements to minimize risk to the Visa system 43 Wymagania Audytowe - Annual onsite assessment - Quarterly scan - Independent security assessor or internal audit if signed by officer of the company - Qualified independent scan vendor Level 2 150,000 to 6,000,000 e-commerce transactions (MasterCard) or 1,000,000 to 6,000,000 combined transactions (Visa) per year - Annual onsite assessment - Quarterly Scan Level 3 20,000 to 150,000 e-commerce transactions (MasterCard) or 20,000 to 1,000,000 e-commerce transactions (Visa) per year - Annual Self-Assessment Questionnaire - Quarterly Scan Level 4 All other merchants, regardless of acceptance channel - Annual Self-Assessment Questionnaire - Quarterly Scan

44 Zarządzanie dostępem Wymagania dla PCI DSS Realizacja polityki IT przez zautomatyzowane kontrole jest kluczem do wykazania zgodności z PCI DSS Obszar PCI DSS Implement Strong Access Control Measures Regularly Monitor and Test Networks Maintain an Information Security Policy 44 Wymagania Requirement 7: Restrict access to cardholder data by business need-to-know Requirement 8: Assign a unique ID to each person with computer access Requirement 10: Track and monitor all access to network resources and cardholder data Requirement 11: Regularly test security systems and processes Requirement 12: Maintain a policy that addresses information security Adresowane przez Novell

45 Novell Compliance Management Platform PCI DSS Wymagania PCI DSS 45 Novell Requirement 7: Restrict access to cardholder data by business need-toknow Novell Compliance Management Platform delivers a business role-based approach for governing user access with automated policy controls/rules that ensures access to PCI information is appropriate and required for a functional or process role Requirement 8: Assign a unique ID to each person with computer access Novell Compliance Management Platform provides visibility to user access across the entire enterprise and can identify where access (accounts, groups, entitlements) can t be mapped to individuals within the organization Requirement 10: Track and monitor all access to network resources and cardholder data Novell Compliance Management Platform is a system of record with a full audit trail for who has access to what PCI information resources, how they got access and who authorized the access Requirement 11: Regularly test security systems and processes Novell Compliance Management Platform provides a set of access review and certification processes that attested to the validity of access Requirement 12: Maintain a policy that addresses information security Novell Compliance Management Platform instantiates policies through controls automation and provides an event-driven remediation process to mitigate access policy violations when they occur and validates the change

46 Zarządzanie bezpieczeństwem Referencje Telecom Argentina 46 U.S. Navy Cyber Defense Operations Command

47 Sentinel przykłady wdrożeń 47 Centrum Ochrony przed cyberatakami Marynarki Wojennej Armii Amerykańskiej (Navy Cyber Defense Operations Command) Szczegółowy opis

48 Bwin Group Jeden z największych dostawców rozrywki w postaci gier online Zgodność z przepisami jest jedną z najważniejszych kwestii biznesowych w firmie bwin, ponieważ pomaga nam chronić nasz status zaufanego partnera zajmującego się obsługą transakcji dokonywanych za pomocą kart płatniczych oraz zademonstrować naszym klientom, jak ważne jest dla nas bezpieczeństwo danych finansowych Sentinel zapewnił nam szersze możliwości w zakresie monitorowania i zestawiania zdarzeń z zakresu bezpieczeństwa, umożliwiając nam bardziej zapobiegawczo traktować kwestie bezpieczeństwa sieciowego i skuteczniej demonstrować zgodność z przepisami. Opis po polsku: 48

49 Gartner Magic Quadrant Leaders Quadrant Sentinel provides leading functionality for largescale deployments for threat monitoring. Mark Nicolette, Gartner Critical Capabilities for Security Information and Event Management,

50 Sentinel w Twojej organizacji Ceny, licencjonowanie Zadzwoń na infolinię Skorzystaj z formularza Nośniki: pobierz wersję Rapid Deployment i testuj bezpłatnie przez 90 dni 50 od poniedziałku do piątku w godz. 8:00-16:00