Nowe zagrożenia skuteczna odpowiedź (HP ArcSight) 1
kilka słów o firmie Doradztwo, projektowanie, implementacja zabezpieczeo informatycznych i informacji oraz przeprowadzanie audytów bezpieczeostwa informatycznego i informacji
Zespół Bezpieczeństwo i IT Operation to warstwa biznesowa i technologiczna rozumiemy oba te aspekty Doświadczeni konsultanci i wdrożeniowcy ocena poziomu bezpieczeostwa audytowanie i identyfikacja podatności projektowanie warstwowych mechanizmów monitorujących obsługa incydentów Certyfikaty CISSP (Cerified Information Systems Security Proffesional) CISA (Certified Information Systems Auditor) CISM (Certified Information Security Manager) CEH (Ceritified Ethical Hacker) OSCP (Offensive Security Certified Professional) Certyfikaty inżynierskie: ArcSight i inne Certyfikacja dostępu do informacji NATO SECRET 3 3
Elementy oferty SC z uwzględnieniem obszarów styku z rozwiązaniami SIEM Audyty bezpieczeostwa aplikacji (audyty jako element wdrożenia systemu SIEM) Monitorowanie system SIEM i log management (Technologia + Logika) Rozwiązania uzupełniające białe plamy w obszarach monitorowania SIEM i log management Analizy Incydentów Budowa SOC (Security Operation Center) Projektowanie i implementacja procesów monitorowania Tworzenie polityk i procedur obsługi Incydentów Outsourcing operatorów 4
Zagrożenia, sprawcy, motywacje Złośd i niezadowolenie Ciekawośd Satysfakcja Korzyści finansowe Zemsta PRACOWNICY FIRMY HAKERZY Korzyści finansowe Rozgłos i sława Satysfakcja Ideologia Potrzeba przynależności do grupy społecznej Status społeczny PRZESTĘPCY NIEUCZCIWA KONKURENCJA Korzyści finansowe Przewaga konkurencyjna KLIENCI Korzyści finansowe (fraudy) TERRORYŚCI Ideologia (polityka / religia) Korzyści finansowe Zemsta Własne bezpieczeostwo Polityka OBCE RZĄDY Korzyści finansowe 5
Współczesne przedsiębiorstwo model / punktowe podejście Centrum przetwarzania danych Bezpieczeostwo CPD INTERNET Bezpieczeostwo na styku sieci Bezpieczeostwo WiFi Partnerzy biznesowi Styk z sieciami zewn. Sied firmowa WiFi Urządzenia mobilne Bezpieczeostwo urządzeo mobilnych Bezpieczeostwo stacji PC SCADA Bezpieczeostwo SCADA 6
Współczesne przedsiębiorstwo model / punktowe podejście Centrum przetwarzania danych Bezpieczeostwo CPD Partnerzy biznesowi INTERNET Urządzenia mobilne Bezpieczeostwo na styku sieci MONITOROWANIE BEZPIECZEOSTWA I ZARZĄDZANIE RYZYKIEM Bezpieczeostwo Styk na styku sieci Bezpieczeostwo CPD Sied firmowa z sieciami Bezpieczeostwo stacji PC Bezpieczeostwo zewn. WiFi Bezpieczeostwo urządzeo mobilnych Bezpieczeostwo urządzeo SCADA Bezpieczeostwo urządzeo mobilnych Bezpieczeostwo stacji PC Bezpieczeostwo WiFi WiFi SCADA Bezpieczeostwo SCADA 7
Dane Model systemu monitorowania bezpieczeostwa IT Reakcja Źródła danych Źródła danych Dane Analiza danych Incydenty Wybór sposobu reakcji Zarządzanie bezpieczeństwem informacji Dane Źródła danych SMB Reakcja Systemy informatyczne 8
Warstwowe monitorowanie Aplikacje Bazy danych Systemy operacyjne Logi i zdarzenia systemów bezpieczeostwa Infrastruktura sieciowa 9
Podstawowy zakres monitorowania (Baseline) Fazy cyberataku Best practices Rekonesans Atak Pozyskanie danych Uzyskanie dostępu Zacieranie śladów Brak zgodności Port Scaanning Attack on critical servers Malware traffic (C&C) Creating of new accounts Erasing of logs Account sharing bruteforce Prilvieged access Use-case Use-case Use-case Use-case Use-case Use-case Use-case FW IPS PROXY VPN DB AD OS 10
Wybrane przykłady monitorowania Monitorowanie nieuprawnionego dostępu do skrzynek Exchange Monitorowanie braku zgodności z regulacjami (brak zmiany hasła po resecie przez suport zapomnianego ) Identyfikacja infekcji mogących skutkujących wyciekiem danych (komunikacja z C&C) Monitorowanie wykorzystania kont technicznych Identyfikacja kont nieaktywnych przez 45 dni Monitorowanie problemów bezpieczeostwa w obszarze autentykacji (wielokrotne nieudane logowania, blokowane konta) Monitorowanie współdzielenia kont 11
Key Risk Indicators (KRI) Wektor ataku 12
Składniki monitorowania bezpieczeostwa IT organizacja procesu Monitorowanie technologia zespół obsługi 13
Proces monitorowania i reagowania na incydenty zbieranie zdarzeo detekcja incydentów ocena i prioryteryzacja reakcja doskonalenie START Prioryteryzacja i przydzielenie Reakcja na incydent Identyfikacja i zbieranie zdarzeń Klasyfikacja incydentu Weryfikacja rozwiązania Przetwarzanie zdarzeń Zamknięcie incydentu Analiza i korelacja zdarzeń Analiza incydentu Opracowanie koncepcji reakcji Opracowanie i wdrożenie usprawnień Reakcja na incydent KONIEC 14
Zdarz enia Zdarz enia Model systemu monitorowania bezpieczeostwa IT - HP ArcSight Centrum Operacyjne Operatorzy HP ArcSight SIEM Analitycy Eksperci Incydenty Alarmy Raporty Incident Handling (Secure Desk) Kokpit Managerski (portal raportowy) Infrastruktura IT FW APP AD VPN PROXY Ograniczanie ryzyka: Obsługa incydentów Zmiany konfiguracji Nowe mechanizmy zabezpieczające 15
Kokpit managerski (zintegrowany z HP ArcSight) 16
Kompleksowe podejście do zapewniania bezpieczeostwa IT Ocena i podniesienie istniejącego poziomu bezpieczeostwa Technologiczne audyty i analizy bezpieczeostwa aplikacji i systemów (audyty manualne, HP Foritify) Monitorowanie identyfikacja incydentów Wdrożenie HP Arcsight SIEM SOC Utrzymanie poziomu bezpieczeostwa w czasie Retesty Łatanie podatności Adresowanie kolejnych obszarów (wypełnianie białych plam) Monitorowanie HP ArcSight SIEM 17
Korzyści z implementacji systemu SIEM - HP ArcSight Mniejsze koszty eliminacji podatności w aplikacjach Możliwośd wykrywania Incydentów bezpieczeostwa i fraudów Możliwośd monitorowania zagrożeo wewnętrznych SIEM Możliwośd szybkiej reakcji na wykrywane wybrane podatności bez konieczności przebudowy aplikacji Możliwośd monitorowania działania administratorów Możliwośd monitorowania działania firm trzecich (Dostawców/Partnerów) droga do osiągnięcia celu: pełna kontrola nad środowiskiem IT 18
Dziękujemy za uwagę 19