Czym jest Qradar SIEM i jakie informacje dotyczące bezpieczeństwa sieci jest w stanie zobrazować? Piotr Uzar NEWIND S.A.

Transkrypt

1 Czym jest Qradar SIEM i jakie informacje dotyczące bezpieczeństwa sieci jest w stanie zobrazować? Piotr Uzar NEWIND S.A.

2 Nowe technologie i nowe formy komunikacji otwierają drzwi na nowe zagrożenia i wycieki danych. NOWE KANAŁY KOMUNIKACJI Organizacje starając się być bardziej innowacyjne przenoszą swoją infrastrukturę np. do chmury i na platformę mobilną, wykorzystują wirtualizację a także nowe kanały komunikacyjne WYKORZYSTANIE INFRASTRUKTURY Globalizacja i wymogi nowoczesnego biznesu powodują iż zacierają się granice pomiędzy godzinami pracy a prywatnym czasem powodując iż infrastruktura organizacji jest wykorzystywana również do celów prywatnych DOSTĘP DO DANYCH W obecnych czasach informacja jest wszędzie i jest dostępną za pomocą wielu kanałów komunikacyjnych. SPOŁECZNOŚĆ HAKERÓW Rośnie liczba hakerów, rośnie liczba skutecznych ataków, rośnie liczba podatności, 0day exploit i ataków typu APT (Advanced Persistent Threat), rośnie motywacja przestępców i przekonanie, że są bezkarni.

3 Kartka z kalendarza Q Co najmniej 6 krytycznych podatności zidentyfikowanych w Java plugin 02/03/13 Wyciek z Evernote 12/03/13 Ataki DDoS: Wells Fargo, Bank of America, Chase, Citigroup, HSBC (Ababil) 14/03/13 Atak na Kancelarię Premiera Rady Ministrów, MSZ, MON Alladyn2 25/03/13 NATO rozważa zaklasyfikowanie hakerów jako regularne jednostki wojskowe 27/03/13 Największy atak typu DDoS Spamhaus Q ataki DDoS na mbank i BZ WBK Q klienci odcięci od pieniędzy Euronet, PKO BP, Millenium Bank 07/12/13 hasło daje dostęp do kont klientów Swedbanku Q poważna dziura w routerach TP-Link, Pentagram, D-Link. Modyfikacja DNSa i przekierowanie na fałszywy site. Q Profesjonalne ataki typu phishing/spoofing na klientów PKO BP, BZ WBK, CA 22/04/14 Wyciek 800 prywatnych adresów klientów Idea Bank pomyłka pracownika 28/07/14 Wyciek danych polskich celebrytów, ich historie chorób, numery telefonów, a także kody wejścia do apartamentowców

4 Czy to w ogóle może mnie dotyczyć??? 31 Sierpnia pierwsze zdjęcia w Clearnet 1 Września pierwsze oficjalne komentarze 2 Września Podejrzenie pada na icloud

5 Organizacje coraz częściej dyskutują o bezpieczeństwie Czy mamy się czego bać? Utrata wyników finansowych Utrata reputacji Wpływ na inne firmy Koszty procesów Wpływ hacktivism-u Wyniki Audytów Sony strata na poziomie $3B $171M / 100M klientów Były pracownik HSBC wykradł dane 24 tyś. klientów z zamiarem sprzedania Wyciek danych klientów z firmy Epsilon miał wpływ na100 firm korzystających z ich usług TJX przewiduje stratę $150M w wyniku pozwów zbiorowych Lulzsec & Anonymous - ataki na rządy Polski, Stanów Zjednoczonych i organizacje CIA, Stratford Zurich Insurance PLc ukarana grzywną 2.2M za zgubienie danych 46 tyś klientów

6 Gartner MQ 2016

7 Korelacja + kontekstowa analiza zdarzeń

8 Audyt oraz Raportowanie Gotowe raporty adresujące wymagania audytowe regulacji prawnych lub wymogów najlepszych praktyk: COBIT, ISO, SOX, GLBA, NERC, FISMA, PCI, HIPAA, UK GCSx Łatwa możliwość dostosowywania profili raportów do wymogów wewnętrznych polityk bezpieczeństwa Możliwość tworzenia nowych raportów

9 Log Management Pełen Log Managment Możliwość migracji LM do SIEM za pomocą licencji SIEM Korelacja danych typu Log, flow, vulnerability & identity Automatyczne profilowanie asset-ów Pełne zarządzanie incydentami Risk & Vulnerability Management Symulacja potencjalnych ataków Pełen skaner podatności Monitoring konfiguracji sieciowej Network and Application Visibility Analiza ruchu sieciowego do warstwy aplikacyjnej Pełna analiza ruchu sieciowego Dedykowane również do środowisk witualnych Network Forensic Rekonstrukcja sesji sieciowych poprzez PCAP Pełna analiza danych, ich rekonstrukcja oraz wizualizacja Konkretny dowód kto, co i kiedy zrobił Scalability Event Processors & Flow Processors Moduły aktywności sieciowej High Availability & Disaster Recovery Pełna skalowalność

10 QRadar Risk Manager: Przedstawia widok topologii sieci i pomaga wizualizować wzorce ruchu sieciowego. Identyfikuje aktywne ścieżki ataków oraz infrastrukturę narażoną na atak w przyszłości Gromadzi informacje o konfiguracji infrastruktury bezpieczeństwa i przedstawia analizę potencjalnych zagrożeń Wykrywa błędy w konfiguracji infrastruktury oraz umożliwia identyfikację nieefektywnych lub niezgodnych z polityką reguł. Analizuje zgodność z przyjętą polityką bezpieczeństwa

11 QRadar Vulnerability Manager: Wbudowany, w pełni skalowalny skaner podatności Prezentuje pełen obraz zagrożeń w kontekście danej infrastruktury Informacja o wykrytych podatnościach jest wykorzystywana w analizie i ocenie zagrożeń występujących na danej infrastrukturze Umożliwia skanowanie podatności wykonywane z zewnątrz (tak jak robią to hakerzy)

12 QRadar zarządzanie zagrożeniami Konsola zarządzania zagrożeniami Jaki atak? Kto? Ile zdarzeń? Jakie zagrożenie? Ile obiektów ataku? Jak istotne są obiekty dla biznesu? Czy któryś jest podatny? Gdzie są dowody?

13 QRadar monitorowanie aktywności użytkowników Błędy Uwierzytelniania Być może użytkownik zapomniał swojego hasła? Atak typu brute-force Duża ilość błędnych uwierzytelnień względem różnych kont Host skompromitowany Po dużej ilości zdarzeń błędnego uwierzytelniania, mamy uwierzytelnienie zakończone powodzeniem.

14 Skuteczna identyfikacja zagrożeń po przez analizę ruchu sieciowego Ruch sieciowy nigdy nie kłamie. Atakujący mogą zatrzymać usługi logujące lub wykasować ślady swojej aktywności, ale nie mogą zatrzymać ruchu sieciowego. Analiza ruchu sieciowego dla warstwy aplikacyjnej Możliwość filtrowania i analizy zdarzeń w dowolnym kontekście Możliwość wykrywania anomalii trudnych do identyfikacji po przez analizę zdarzeń zapisanych w logach Pełna analiza ruchu sieciowego wygenerowanego podczas ataku

15 QRadar architektura AIO oraz Distributed All-in-One (2100/31XX) Flow Processor (17XX) Console (31XX) Event Processor (16XX) QFlow Collector (12XX/13XX)

16

17

18 SIEM All-in-One 2100 Light Appliance Positioning Single box for centralized deployment in a small/medium enterprise that needs low EPS Characteristics and Capacity 500 EPS, 25K Flows, 750 Log Sources, 100 network objects Onboard 50Mbps QFlow for SPAN or TAP Supports external Flow and QFlow Collectors 1.3 TB of Storage Upgradability EPS upgradable to 1000 Flows upgradable to 50K No deployment upgrade HA / DR available Light

19