Monitorowanie działania ania sieci i bezpieczeństwa

Transkrypt

1 Monitorowanie działania ania sieci i bezpieczeństwa - dobre praktyki wykorzystania Juniper NSM i STRM dr inŝ.. Mariusz Stawowski mariusz.stawowski@clico.pl

2 Agenda Wprowadzenie Monitorowanie bezpieczeństwa Monitorowanie sieci i wykrywanie nieprawidłowo owości Identyfikowanie specyficznych zdarzeń i dostrajanie warunków w generowania alarmów Zarządzanie zmian konfiguracji zabezpieczeń Podsumowanie

3 Wprowadzenie NORMY # ISO/IEC 27001:2005 Specification for Information Security Management (formerly BS ) # ISO/IEC 27002:2005 Code of practice for Information Security Management (redesignation of ISO/IEC 17799:2005) # ISO/IEC (ITU X.805) Network security management PROCEDURY # Procedura bieŝącej obsługi zabezpieczeń # Procedura obsługi zabezpieczeń w sytuacjach wyjątkowych NARZĘDZIA # Network & Security Manager (NSM) # Security Threat Response Manager (STRM) # Tufin SecureTrack / SecureChange Workflow

4 Wprowadzenie Network & Security Manager NSM Central Manager NSM NSMXpress IDP, SA J, M, MX-series EX NS, SSG, SRX ISG/IDP

5 Wprowadzenie Security Threat Response Manager STRM Appliance

6 Monitorowanie bezpieczeństwa

7 Monitorowanie bezpieczeństwa NSM Report Manager Wykrywanie incydentów w poprzez identyfikację zdarzeń wyselekcjonowanych na podstawie analizy zagroŝeń i potencjalnych scenariuszy włamaw amań w czasie rzeczywistym zestawienia i statystyki wg ustalonych kryteriów przy analizie logów dostępne takŝe Quick Reports

8 Monitorowanie bezpieczeństwa NSM Report Manager Raport 1: NieupowaŜniony dostęp (FW) Raport 2: Ataki sieciowe (IPS)

9 Monitorowanie bezpieczeństwa NSM Log Investigator Korelacja zdarzeń umoŝliwia sprawną analizę duŝej liczby logów w generowanych z wielu urządze dzeń interakcyjna tabela prezentuje skorelowane informacje na temat zdarzeń, jakie wystąpiły w określonym czasie dla wskazanych obiektów

10 Monitorowanie bezpieczeństwa NSM Dashboard Monitorowane bezpieczeństwa sieci i wskazanych obiektów Intruzi i cele ataków Statystyki funkcjonowania sieci i zabezpieczeń Stan urządzeń zabezpieczeń

11 Monitorowanie bezpieczeństwa NSM Security Explorer Graficzna prezentacja zdarzeń ułatwia analizę bezpieczeństwa zdarzenia związane z incydentem jak miejsca, do których intruz nawiązywał połączenia, protokoły, które wykorzystywał, ataki, które przeprowadził, itd.

12 Monitorowanie bezpieczeństwa NSM Profiler Analiza zmian chronionych systemów w umoŝliwia wykrywanie sytuacji podejrzanych i incydentów alarmowanie w razie zauwaŝenia nowych komputerów, protokołów i otwartych portów

13 Monitorowanie bezpieczeństwa STRM SIEM* Wykrywanie incydentów w bezpieczeństwa na podstawie korelacji zdarzeń z róŝnych r systemów obsługa Syslog,, SNMP, agent Adaptive Log Exporter (ALE), Java Database Connectivity API (JDBC), Security Device Event Exchange (SDEE), Juniper NSM, IBM/ISS, Check Point *Security Information and Events Management

14 Monitorowanie bezpieczeństwa STRM Offense Manager Szczegółowa analiza zdarzeń i warunków w ich wystąpienia Incydenty przydzielone do wyjaśnienia określonym administratorom zdarzenia na podstawie których STRM zidentyfikował naruszenie bezpieczeństwa

15 Monitorowanie bezpieczeństwa STRM Offense Manager Zestaw gotowych do uŝycia u reguł korelacji zdarzeń, opracowanych dla znanych scenariuszy włamaw amań Własne reguły y korelacji definiowane z wykorzystaniem graficznego kreatora

16 Monitorowanie sieci i wykrywanie nieprawidłowo owości

17 Monitorowanie sieci i wykrywanie nieprawidłowo owości Sieć jest kręgosłupem systemu informatycznego, bez którego nie moŝe e on właściwie funkcjonować Większo kszość aplikacji pracuje w środowisku sieciowym i jest uzaleŝniona od jego wydajności, niezawodności i bezpieczeństwa Oprócz identyfikowania incydentów w (np( np. włamań,, ataków DoS) ) waŝnym elementem zarządzania bezpieczeństwem systemu informatycznego jest monitorowanie stanu sieci oraz szybkie wykrywanie nieprawidłowo owości takich jak przeciąŝ ąŝenia i awarie

18 Monitorowanie sieci i wykrywanie nieprawidłowo owości NSM Device Manager Błędy (np( np.. błęb łędy transmisji na łączach) PrzeciąŜ ąŝenia (np( np.. wolumen ruchu przewyŝsza przepustowość urządze dzeń i łączy) Awarie (np( np.. uszkodzenie urządze dzeń lub łączy) Statystyki ruchu i interfejsów sieciowych urządzenia monitorowanego przez NSM

19 Monitorowanie sieci i wykrywanie nieprawidłowo owości STRM NBAD* Profile normalnego stanu i zachowania sieci Identyfikacja odchyleń (m.in. nagłe e zwiększenie lub zmniejszenie natęŝ ęŝenia ruchu, przekroczenie wartości progowych) Monitorowanie sieci i szybkie identyfikowanie nieprawidłowości Mechanizm NBAD zintegrowany z SIEM *Network Behavior Anomaly Detection

20 Monitorowanie sieci i wykrywanie nieprawidłowo owości STRM Network Surveillance RóŜne perspektywy obserwacji sieci (lokalizacja, typ ruchu) Hierarchia sieci - administrator na schemacie sieci moŝe wskazywać interesujący go segment i obserwować jego stan Statystki TopN - szybkie wykrywanie obszarów sieci i obiektów, które generują największy ruch

21 Monitorowanie sieci i wykrywanie nieprawidłowo owości STRM Sentry Monitorowanie i generowanie alarmów w w sytuacji, gdy ruch w sieci spełnia określone kryteria Syslog,, , parametry wejściowe do skryptów, generujących SNMP Trap lub blokujących adresy IP na urządzeniach kontroli dostępu Predefiniowane warunki generowania alarmów Definicja Sentry - kryteria generowania alarmu oraz reakcja na zdarzenie

22 Monitorowanie sieci i wykrywanie nieprawidłowo owości STRM Sentry Rodzaj Sentry Threshold (przekroczenie wartości progowej) Security/Policy (naruszenie polityki) Anomaly (nieznany ruch zanika/zmienia się) Behavior (odchylenie od profilu) Przykładowe zastosowanie Wykrywanie ataków DoS. Wykrywanie awarii waŝnych biznesowo systemów, które powinny być dostępne 24/7. Nielegalny dostęp do aplikacji biznesowych. UŜycie zabronionych protokołów i usług. Wykrywanie działań intruzów w sieci. Monitorowania działań administratorów aplikacji i urządzeń (w tym zdalne zarządzanie). Wykrywanie wirusów propagujących się przez . Wykrywanie bot/trojan nawiązujących połączenia zwrotne z intruzami metodą tunelowania (np. DNS Tunneling).

23 Identyfikowanie specyficznych zdarzeń i dostrajanie warunków generowania alarmów

24 Identyfikowanie specyficznych zdarzeń i dostrajanie warunków w generowania alarmów Wykrywanie zdarzeń specyficznych dla systemu informatycznego firmy Wykrywanie nieprawidłowych konfiguracji zabezpieczeń (m.in. nieszczelnego firewall i IPS) Kryteria korelacji zdarzeń

25 Identyfikowanie specyficznych zdarzeń i dostrajanie warunków w generowania alarmów Kryteria korelacji zdarzeń ustalone na podstawie analizy potencjalnych scenariuszy włamaw amań Oszacowanie liczby wystąpie pień zdarzenia zapewniającej wiarygodność detekcji

26 Identyfikowanie specyficznych zdarzeń i dostrajanie warunków w generowania alarmów Przykład 1. Reguła a korelacji logów w (SIEM) identyfikująca serwer, który z duŝym prawdopodobieństwem został przejęty przez intruza lub złośliwz liwą aplikację Alarm w sytuacji, gdy z sieci serwerów w czasie 30 sekund jeden adres IP wykonał skanowanie oraz nielegalną próbę połączenia

27 Identyfikowanie specyficznych zdarzeń i dostrajanie warunków w generowania alarmów Przykład 2. Definicja nowego Sentry (NBAD) wykrywającego nielegalne wykorzystanie serwera Alarm w sytuacji przekroczenia wskazanej wartości progowej

28 Zarządzanie zmian konfiguracji zabezpieczeń

29 Zarządzanie zmian konfiguracji zabezpieczeń Tufin SecureTrack Optymalizacja i uszczelnianie polityk zabezpieczeń Rejestrowanie wszystkich zmian polityk zabezpieczeń Wizualizacja i porównywanie zmian polityk zabezpieczeń Symulacja działania ania polityk zabezpieczeń Egzekwowanie standardów w korporacji Tufin SecureChange Workflow Zarządzania całego cyklu zmian polityki zabezpieczeń - od przyjęcia wniosku o dokonanie zmiany polityki, przez analizę ryzyka, akceptację i implementację aŝ do audytu wykonanych działań

30 Podsumowanie Administratorzy zabezpieczeń wykonują wiele złoŝonych onych zadań,, m.in.: Monitorowanie bezpieczeństwa Monitorowanie sieci i wykrywanie nieprawidłowo owości Identyfikowanie specyficznych zdarzeń i dostrajanie warunków w generowania alarmów Zarządzanie zmian konfiguracji zabezpieczeń Juniper Networks i partnerzy dostarczają dedykowane narządza wspomagające administratorów w zabezpieczeń: Network & Security Manager Security Threat Response Manager Tufin SecureTrack / SecureChange Workflow

31 Pytania?