Monitorowanie działania ania sieci i bezpieczeństwa - dobre praktyki wykorzystania Juniper NSM i STRM dr inŝ.. Mariusz Stawowski mariusz.stawowski@clico.pl
Agenda Wprowadzenie Monitorowanie bezpieczeństwa Monitorowanie sieci i wykrywanie nieprawidłowo owości Identyfikowanie specyficznych zdarzeń i dostrajanie warunków w generowania alarmów Zarządzanie zmian konfiguracji zabezpieczeń Podsumowanie
Wprowadzenie NORMY # ISO/IEC 27001:2005 Specification for Information Security Management (formerly BS 7799-2) # ISO/IEC 27002:2005 Code of practice for Information Security Management (redesignation of ISO/IEC 17799:2005) # ISO/IEC 18028-1 (ITU X.805) Network security management PROCEDURY # Procedura bieŝącej obsługi zabezpieczeń # Procedura obsługi zabezpieczeń w sytuacjach wyjątkowych NARZĘDZIA # Network & Security Manager (NSM) # Security Threat Response Manager (STRM) # Tufin SecureTrack / SecureChange Workflow
Wprowadzenie Network & Security Manager NSM Central Manager NSM NSMXpress IDP, SA J, M, MX-series EX NS, SSG, SRX ISG/IDP
Wprowadzenie Security Threat Response Manager STRM Appliance
Monitorowanie bezpieczeństwa
Monitorowanie bezpieczeństwa NSM Report Manager Wykrywanie incydentów w poprzez identyfikację zdarzeń wyselekcjonowanych na podstawie analizy zagroŝeń i potencjalnych scenariuszy włamaw amań w czasie rzeczywistym zestawienia i statystyki wg ustalonych kryteriów przy analizie logów dostępne takŝe Quick Reports
Monitorowanie bezpieczeństwa NSM Report Manager Raport 1: NieupowaŜniony dostęp (FW) Raport 2: Ataki sieciowe (IPS)
Monitorowanie bezpieczeństwa NSM Log Investigator Korelacja zdarzeń umoŝliwia sprawną analizę duŝej liczby logów w generowanych z wielu urządze dzeń interakcyjna tabela prezentuje skorelowane informacje na temat zdarzeń, jakie wystąpiły w określonym czasie dla wskazanych obiektów
Monitorowanie bezpieczeństwa NSM Dashboard Monitorowane bezpieczeństwa sieci i wskazanych obiektów Intruzi i cele ataków Statystyki funkcjonowania sieci i zabezpieczeń Stan urządzeń zabezpieczeń
Monitorowanie bezpieczeństwa NSM Security Explorer Graficzna prezentacja zdarzeń ułatwia analizę bezpieczeństwa zdarzenia związane z incydentem jak miejsca, do których intruz nawiązywał połączenia, protokoły, które wykorzystywał, ataki, które przeprowadził, itd.
Monitorowanie bezpieczeństwa NSM Profiler Analiza zmian chronionych systemów w umoŝliwia wykrywanie sytuacji podejrzanych i incydentów alarmowanie w razie zauwaŝenia nowych komputerów, protokołów i otwartych portów
Monitorowanie bezpieczeństwa STRM SIEM* Wykrywanie incydentów w bezpieczeństwa na podstawie korelacji zdarzeń z róŝnych r systemów obsługa Syslog,, SNMP, agent Adaptive Log Exporter (ALE), Java Database Connectivity API (JDBC), Security Device Event Exchange (SDEE), Juniper NSM, IBM/ISS, Check Point *Security Information and Events Management
Monitorowanie bezpieczeństwa STRM Offense Manager Szczegółowa analiza zdarzeń i warunków w ich wystąpienia Incydenty przydzielone do wyjaśnienia określonym administratorom zdarzenia na podstawie których STRM zidentyfikował naruszenie bezpieczeństwa
Monitorowanie bezpieczeństwa STRM Offense Manager Zestaw gotowych do uŝycia u reguł korelacji zdarzeń, opracowanych dla znanych scenariuszy włamaw amań Własne reguły y korelacji definiowane z wykorzystaniem graficznego kreatora
Monitorowanie sieci i wykrywanie nieprawidłowo owości
Monitorowanie sieci i wykrywanie nieprawidłowo owości Sieć jest kręgosłupem systemu informatycznego, bez którego nie moŝe e on właściwie funkcjonować Większo kszość aplikacji pracuje w środowisku sieciowym i jest uzaleŝniona od jego wydajności, niezawodności i bezpieczeństwa Oprócz identyfikowania incydentów w (np( np. włamań,, ataków DoS) ) waŝnym elementem zarządzania bezpieczeństwem systemu informatycznego jest monitorowanie stanu sieci oraz szybkie wykrywanie nieprawidłowo owości takich jak przeciąŝ ąŝenia i awarie
Monitorowanie sieci i wykrywanie nieprawidłowo owości NSM Device Manager Błędy (np( np.. błęb łędy transmisji na łączach) PrzeciąŜ ąŝenia (np( np.. wolumen ruchu przewyŝsza przepustowość urządze dzeń i łączy) Awarie (np( np.. uszkodzenie urządze dzeń lub łączy) Statystyki ruchu i interfejsów sieciowych urządzenia monitorowanego przez NSM
Monitorowanie sieci i wykrywanie nieprawidłowo owości STRM NBAD* Profile normalnego stanu i zachowania sieci Identyfikacja odchyleń (m.in. nagłe e zwiększenie lub zmniejszenie natęŝ ęŝenia ruchu, przekroczenie wartości progowych) Monitorowanie sieci i szybkie identyfikowanie nieprawidłowości Mechanizm NBAD zintegrowany z SIEM *Network Behavior Anomaly Detection
Monitorowanie sieci i wykrywanie nieprawidłowo owości STRM Network Surveillance RóŜne perspektywy obserwacji sieci (lokalizacja, typ ruchu) Hierarchia sieci - administrator na schemacie sieci moŝe wskazywać interesujący go segment i obserwować jego stan Statystki TopN - szybkie wykrywanie obszarów sieci i obiektów, które generują największy ruch
Monitorowanie sieci i wykrywanie nieprawidłowo owości STRM Sentry Monitorowanie i generowanie alarmów w w sytuacji, gdy ruch w sieci spełnia określone kryteria Syslog,, Email, parametry wejściowe do skryptów, generujących SNMP Trap lub blokujących adresy IP na urządzeniach kontroli dostępu Predefiniowane warunki generowania alarmów Definicja Sentry - kryteria generowania alarmu oraz reakcja na zdarzenie
Monitorowanie sieci i wykrywanie nieprawidłowo owości STRM Sentry Rodzaj Sentry Threshold (przekroczenie wartości progowej) Security/Policy (naruszenie polityki) Anomaly (nieznany ruch zanika/zmienia się) Behavior (odchylenie od profilu) Przykładowe zastosowanie Wykrywanie ataków DoS. Wykrywanie awarii waŝnych biznesowo systemów, które powinny być dostępne 24/7. Nielegalny dostęp do aplikacji biznesowych. UŜycie zabronionych protokołów i usług. Wykrywanie działań intruzów w sieci. Monitorowania działań administratorów aplikacji i urządzeń (w tym zdalne zarządzanie). Wykrywanie wirusów propagujących się przez email. Wykrywanie bot/trojan nawiązujących połączenia zwrotne z intruzami metodą tunelowania (np. DNS Tunneling).
Identyfikowanie specyficznych zdarzeń i dostrajanie warunków generowania alarmów
Identyfikowanie specyficznych zdarzeń i dostrajanie warunków w generowania alarmów Wykrywanie zdarzeń specyficznych dla systemu informatycznego firmy Wykrywanie nieprawidłowych konfiguracji zabezpieczeń (m.in. nieszczelnego firewall i IPS) Kryteria korelacji zdarzeń
Identyfikowanie specyficznych zdarzeń i dostrajanie warunków w generowania alarmów Kryteria korelacji zdarzeń ustalone na podstawie analizy potencjalnych scenariuszy włamaw amań Oszacowanie liczby wystąpie pień zdarzenia zapewniającej wiarygodność detekcji
Identyfikowanie specyficznych zdarzeń i dostrajanie warunków w generowania alarmów Przykład 1. Reguła a korelacji logów w (SIEM) identyfikująca serwer, który z duŝym prawdopodobieństwem został przejęty przez intruza lub złośliwz liwą aplikację Alarm w sytuacji, gdy z sieci serwerów w czasie 30 sekund jeden adres IP wykonał skanowanie oraz nielegalną próbę połączenia
Identyfikowanie specyficznych zdarzeń i dostrajanie warunków w generowania alarmów Przykład 2. Definicja nowego Sentry (NBAD) wykrywającego nielegalne wykorzystanie serwera Alarm w sytuacji przekroczenia wskazanej wartości progowej
Zarządzanie zmian konfiguracji zabezpieczeń
Zarządzanie zmian konfiguracji zabezpieczeń Tufin SecureTrack Optymalizacja i uszczelnianie polityk zabezpieczeń Rejestrowanie wszystkich zmian polityk zabezpieczeń Wizualizacja i porównywanie zmian polityk zabezpieczeń Symulacja działania ania polityk zabezpieczeń Egzekwowanie standardów w korporacji Tufin SecureChange Workflow Zarządzania całego cyklu zmian polityki zabezpieczeń - od przyjęcia wniosku o dokonanie zmiany polityki, przez analizę ryzyka, akceptację i implementację aŝ do audytu wykonanych działań
Podsumowanie Administratorzy zabezpieczeń wykonują wiele złoŝonych onych zadań,, m.in.: Monitorowanie bezpieczeństwa Monitorowanie sieci i wykrywanie nieprawidłowo owości Identyfikowanie specyficznych zdarzeń i dostrajanie warunków w generowania alarmów Zarządzanie zmian konfiguracji zabezpieczeń Juniper Networks i partnerzy dostarczają dedykowane narządza wspomagające administratorów w zabezpieczeń: Network & Security Manager Security Threat Response Manager Tufin SecureTrack / SecureChange Workflow
Pytania?