Monitorowanie zdarzeń w sieci bankowej w odniesieniu do Rekomendacji D. Bartłomiej Kilanowicz, ASCOMP
Agenda Wymagania stawiane przez rekomendację D w zakresie monitorowania sieci i systemów bezpieczeństwa Funkcjonalności systemów SIEM umożliwiające zastosowanie rekomendacji D Enterasys SIEM jako narzędzie odpowiadające na rekomendację D i zapewniające niskie koszty utrzymania
Rekomendacja D a monitorowanie zdarzeń Rejestr zdarzeń (11.10) Systemy informatyczne przetwarzające dane o wysokiej istotności dla banku powinny posiadać mechanizmy pozwalające na automatyczną rejestrację zachodzących w nich zdarzeń w taki sposób, aby zapisy tych rejestrów mogły w przypadku wystąpienia takiej konieczności stanowić wiarygodne dowody niewłaściwego lub niezgodnego z zakresem zadań użytkowników korzystania z tych systemów. Mechanizmy rejestracji zdarzeń powinny również uniemożliwiać nieuprawnione usuwanie lub modyfikowanie zapisów. Rejestr dostępu uprzywilejowanego (11.9) Obowiązujące w banku zasady zarządzania uprawnieniami powinny w szczególności uwzględniać zagrożenia związane z nieprawidłowym wykorzystaniem uprawnień użytkowników uprzywilejowanych. Bank powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego oraz stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wprowadzenia mechanizmów zapewniających każdorazową rejestrację oraz możliwość monitorowania dostępu z poziomu uprawnień uprzywilejowanych do najbardziej wrażliwych komponentów środowiska teleinformatycznego.
Rekomendacja D a monitorowanie zdarzeń Monitorowanie transmisji sieciowej (9.2, 9.29) Bank powinien przeanalizować zasadność (uwzględniając w szczególności stopień złożoności i rozproszenia środowiska teleinformatycznego oraz stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą zastosowania rozwiązań pozwalających na monitorowanie obciążenia sieci oraz na automatyczne uruchomienie łącza zapasowego. W celu zwiększenia efektywności procesu zarządzania wydajnością i pojemnością, bank powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego oraz stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą: zastosowania narzędzi pozwalających na automatyzację monitorowania obciążenia zasobów, sformalizowania parametrów jakości usług świadczonych przez środowisko teleinformatyczne na rzecz użytkowników wewnętrznych i zewnętrznych oraz włączenie raportowania w tym zakresie do systemu informacji zarządczej. SIEM (20.7) Bank powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego, stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska oraz skalę i specyfikę prowadzonej działalności) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wykorzystania rozwiązań klasy SIEM (ang. Security Information and Event Management), ułatwiających zarządzanie incydentami naruszenia bezpieczeństwa m.in. poprzez centralizację zbierania, analizowania i przechowywania dzienników zdarzeń generowanych przez systemy informatyczne i inne komponenty środowiska teleinformatycznego.
Możliwości systemu SIEM
Odpowiedź na zalecenia Rekomendacji D Priorytetyzacja Prezentacja Normalizacja Korelacja Filtrowanie Firewalls IDS / IPS Flow Sensors Sflow, J-flow, Netflow Routers / Switches Host Systems 6
Praca w środowiskach heterogenicznych Routery / przełączniki Cisco, Router (2600 and up IOS 11.3, 12.0 and above) (IOS 11.x, 12.X NetFlow v5, v7) Cisco, Catalyst Switch (2900s, 3000s, 2900XL, 3500XL, 5000, 6000, IOS 11.3, 12.0 and above) (CatOS 6.x) Firewalle Check Point, FireWall-1 (NG, FP1, FP2, FP3, R55) Check Point, FireWall-1 / Site Manager - FP3 Cisco, IOS Firewall v12.0 + Cisco, PIX Firewall (v5.x +) ( v6.x) Linux, Iptables kernel 2.4 + Netscreen, Firewall (ScreenOS 3.0, 3.1, 4.0) (v4.x, 5.x) Nokia, Firewall Nokia, IP Series Skanery systemów końcowych Nmap Nessus Lockdown Systemy IDS (hostowe) Microsoft, Windows (NT, 2000, XP, 2003 Hosts, MACS) (NT, 2000, 2003, 2008) Open source, Linux Login/Logout Log Redhat, Linux Sun, Solaris (BSM - Solaris Login/logout Log) Systemy IPS Cisco, Security Agent Netscreen, IDP Network Associates, McAfee Intrushield (v1.5, 1.8) Tipping Point, Unity One (SMS v1.4) Serwery WWW Apache, HTTP Server (v1.3.0 and above) Microsoft, IIS VPN Check Point, VPN-1 (v4.1, NG) Cisco, VPN 3000 Concentrator (v4.0) Nortel, Contivity VPN Switch Systemy IDS (sieciowe) Cisco, Secure IDS (v2,x, 3.0, 4.x) (NIDS & NIDS Module v3.x, 4.x) ISS, Proventia ISS, SiteProtector (v1.2, 2.0) Network Associates, McAfee Entercept (v2.5, 4.X) Open source, SNORT (v1.7, 1.8.1) (v2.x) SourceFire, Intrusion Sensor (v2.x, 3.0)
Logika modułu sędziowskiego Kartoteka Historia aktywności atakującego Incydent Kompletny przegląd zdarzeń, transakcji sieciowych i kontekstu uzyskanych informacji składających się na atak WAGA ATAKU Moduł sędziowski Wiarygodność - Wiarygodność Świadka - Liczba Świadków Zagrożenie Uwzględnia rodzaj zagrożenia i podatność atakowanego zasobu Znaczenie Uwzględnia prawdopodobieństwo ataku i wagę atakowanego zasobu Detekcja Anomaly Anomalii Detection Profile zasobów Normalizacja i korelacja SWITCHES ROUTERS IDS/IPS FIREWALLS
Obserwacja sieci NBAD Anomalie Profil ruchu odbiega od zaobserwowanego profilu normalnego Zależne od wyuczonych zachowań systemu Wykrywanie braku lub obecności danego zachowania w relatywnie długim okresie czasu Wykrywanie krótkoterminowych zmian profilu działania sieci w stosunku do charakterystyki długoterminowej Zachowanie Wykrywa aktywność lub jej brak dla wybranych obiektów Bazuje na wyuczonych zachowaniach systemu Wykrywa odchylenia ruchu od przewidywanych zachowań Zrozumienie sezonowości (pory dnia, dni tygodnia, itd.) Bezpieczeństwo / polityki Alarm w przypadku wykrycia ruchu łamiącego polityki, np. P2P Poziomy odcięcia Alarmy przy przekroczeniu zdefiniowanych granic
Obniżenie kosztów utrzymania sieci
Enterasys SIEM w praktyce
Enterasys SIEM w praktyce
Enterasys SIEM w praktyce
Enterasys SIEM w praktyce
Raportowanie Raporty ogólne Raporty wysokiego poziomu dla całego przedsiębiorstwa lub poszczególnych wydziałów Raporty operacyjne Szczegółowe raporty dla całego przedsiębiorstwa lub poszczególnych wydziałów Konfiguratory raportów Łatwe w użyciu Projektowanie, edycja i planowanie raportów wielu typów i formatów XML, HTML, PDF, CSV Bar, Delta, baselines, Pie, Line, Stacked Bar.
Podsumowanie
Podsumowanie Enterasys SIEM to system pozwalający spełnić wymagania stawiane przez Rekomendację D Zintegrowana platforma monitorująca infrastrukturę sieciową i bezpieczeństwa Grupowanie zdarzeń w incydenty lepszy wgląd w działanie sieci Monitorowanie działania sieci Bezpieczne przechowywanie logów Przejrzyste raporty działania zarówno dla administratorów jak i Zarządu, z możliwością pełnego dostosowania 17
Dziękujemy www.ascomp.com.pl