Rozwia zania SIEM i ich rola w Rekomendacji D

Rozwia zania SIEM i ich rola w Rekomendacji D IBM QRadar SIEM IBM Security Systems Andrzej Wojtkowiak IBM Security System IT Specialist for Central & Eastern Europe 1

Nowe technologie i nowe formy komunikacji otwierajądrzwi na nowe zagrożenia i wycieki danych. NOWE KANAŁY KOMUNIKACJI Organizacje starając się być bardziej innowacyjne przenoszą swoją infrastrukturę np. do chmury i na platformę mobilną, wykorzystują wirtualizację a także nowe kanały komunikacyjne WYKORZYSTANIE INFRASTRUKTURY Globalizacja i wymogi nowoczesnego biznesu powodują iż zacierają się granice pomiędzy godzinami pracy a prywatnym czasem powodując iż infrastruktura organizacji jest wykorzystywana również do celów prywatnych DOSTĘP DO DANYCH W obecnych czasach informacja jest wszędzie i jest dostępną za pomocą wielu kanałów komunikacyjnych. SPOŁECZNOŚĆ HAKERÓW Rośnie liczba hakerów, rośnie liczba skutecznych ataków, rośnie liczba podatności, 0day exploit i ataków typu APT (Advanced Persistent Threat), rośnie motywacja przestępców i przekonanie, że są bezkarni. 2

Dlaczego mówimy o bezpieczeństwie i dlaczego mówimy o tym teraz 3

Organizacje coraz częściej dyskutują o bezpieczeństwie Czy mamy się czego bać? Utrata wyników finansowych Utrata reputacji Wpływ na inne firmy Koszty procesów Wpływ hacktivism-u Wyniki Audytów Sony przewiduje stratę na poziomie $3B $171M / 100M klientów Były pracownik HSBC wykradł dane 24 tyś. klientów z zamiarem sprzedania Wyciek danych klientów z firmy Epsilon miał wpływ na100 firm korzystających z ich usług TJX przewiduje stratę $150M w wyniku pozwów zbiorowych Lulzsec & Anonymous - ataki na rządy Polski, Stanów Zjednoczonych i organizacje CIA, Stratford Zurich Insurance PLc ukarana grzywną 2.2M za zgubienie danych 46 tyś klientów 4

Wpływ na funkcjonowanie firm jest coraz większy Zagrożenie zewnętrzne Nagły wzrost wcześniej nie spotykanych zagrożeń oraz nowe metody ataków Cyber ataki Przestępczość zorganizowana Szpiegostwo korporacyjne Ataki sponsorowane przez kraje Social engineering Zagrożenia wewnętrzne Ciągłe zagrożenie wywołane przez beztroskich pracowników bądź ich celowe zabiegi Pomyłki administratorów Beztroskie zachowanie użytkowników końcowych Wewnętrzne naruszenia Celowe zabiegi pracowników Pomieszane dane Wymogi zgodności Konieczność skutecznego zaadresowania coraz bardziej skomplikowanych wymagań Międzynarodowe regulacje Standardy przemysłowe Prawo lokalne Najlepsze praktyki Mobility Cloud / Virtualization Social Business Business Intelligence 5

Nowe zagrożenia wymagają nowej strategii Security Intelligence 1.Security Intelligence - funkcjonalność, której celem jest dostarczenie pracownikom bezpieczeństwa, konkretnych informacji o faktycznym zagrożeniu, które występuje na danej infrastrukturze IT, bądź może wystąpić w przyszłości. 6 6

Funkcjonalność która rozwiązuje faktyczne problemy WYKRYWANIE ZAGROŻEŃ Wykryto 500 hostów posiadających wirusy nie wykryte przez inne rozwiązania do ochrony KONSOLIDACJA DANYCH Redukcja 2 miliardów pojedynczych zdarzeń do 25 faktycznych zagrożeń WYKRYWANIE WEWNĘTRZNYCH NARUSZEŃ Pracownik działu IT wykradał informacje korporacyjne OCENA RYZYKA I POTENCJALNY WPŁYW NA FUNKCJONOWANIE Okresowe kontrolowanie konfiguracji infrastruktury i wykrywanie zmiany ADRESOWANIE REGULACJI PRAWNYCH Analiza zdarzeń w kontekście konkretnych regulacji prawnych np. PCI DSS, SOX Compliance 7

Korelacja + kontekstowa analiza zdarzeń 8

Ochrona infrastruktury na każdym etapie A global provider of high-value, next-generation SIEM, Log Management, Jakie sąwewnętrzne i Jaki jest aktualny stan Network Activity Monitoring Czy jesteśmy and bezpieczni? zewnętrzne zagrożenia? Risk Management bezpieczeństwa? technologies - built on the industry s leading Security Intelligence platform Jaki byłwpływ? Vulnerability Exploit Remediation Ocena podatności oraz zapobieganie Risk Management, Compliance Management, Vulnerability Management, Configuration Management, Cloud Intelligence, Scorecards Reakcja oraz Naprawa SIEM, Network Anomaly Detection, Log Management, Data Leak Prevention, Packet Forensics, Remediation, Dashboards 9

Kompleksowa analiza bezpieczeństwa z poziomu jednej konsoli Log Management Turnkey log management SME to Enterprise Upgradeable to enterprise SIEM Pojedyncza konsola SIEM Integrated log, threat, risk & compliance mgmt. Sophisticated event analytics Asset profiling and flow analytics Offense management and workflow Risk Management Predictive threat modeling & simulation Scalable configuration monitoring and audit Advanced threat visualization and impact analysis Network Activity & Anomaly Detection Network analytics Behavior and anomaly detection Fully integrated with SIEM Network and Application Visibility Layer 7 application monitoring Content capture Physical and virtual environments Działa w oparciu o jeden model danych 10

QRadar analiza aplikacji Skuteczne monitorowanie zdarzeń z infrastruktury Zbieranie logów bezpośrednio z aplikacji i systemów Kolekcja i analiza danych warstwy aplikacyjnej Wielowarstwowe przeglądanie danych (drill down, data mining) Korelacja zdarzeń i podnoszenie alarmów na podstawie reguł, polityk, progów oraz wykrytych anomalii. 11

QRadar analiza ruchu sieciowego Skuteczna analiza i reakcja na zagrożenia Detekcja ataków typu 0-day Monitoring polityk bezpieczeństwa Pełen audyt połączeń podejrzanych Pasywna analiza ruchu sieciowego umożliwia automatyczne klasyfikowanie obiektów znajdujących się w infrastrukturze Informacja o stanie sieci w czasie rzeczywistym 12

Analiza infrastruktury i jej kategoryzacja Automatyczna klasyfikacja infrastruktury Tworzenie profilów poszczególnych elementów infrastruktury na podstawie charakterystyki ruchu sieciowego kierowanego z i do danego elementu Pasywne profilowanie Identyfikacja aplikacji i usług uruchomionych na hostach po przez analizę ruchu sieciowego Klasyfikacja profili Klasyfikacja infrastruktury w oparciu o profile Natychmiastowa analiza Automatyczne analizowanie reguł bezpieczeństwa w przypadku zmiany charakterystyki infrastruktury 13

Audyt oraz Raportowanie Gotowe raporty adresujące wymagania audytowe regulacji prawnych lub wymogów najlepszych praktyk: COBIT, SOX, GLBA, NERC, FISMA, PCI, HIPAA, UK GCSx Łatwa możliwośćdostosowywania profili raportów do wymogów wewnętrznych polityk bezpieczeństwa Możliwośćtworzenia nowych raportów 14

QRadar zarządzanie zagrożeniami Konsola zarządzania zagrożeniami Jaki atak? Kto? Ile zdarzeń? Jakie zagrożenie? Ile obiektów ataku? Jak istotne są obiekty dla biznesu? Czy któryś jest podatny? Gdzie są dowody? 15

QRadar wykrywanie skomplikowanych ataków Skomplikowany atak Skąd to wiemy? Gdzie są dowody? Skanowanie Sieci Wykryte przez Qflow Przepełnienie bufora Próba wykorzystania podatności wykryta przez Snort 16 Wskazany host podatny na atak Wykryte przez Nessus Pełna informacja o zagrożeniach Informacja w oparciu o ruch w sieci, logi oraz informacje o podatnościach

QRadar wykrywanie złośliwego oprogramowania Wykryty potencjalny Botnet? Tyle jest w stanie stwierdzić tradycyjny SIEM. IRC na 80 porcie? QFlow umożliwia wykrycie kanału transmisji. Wykrycie komunikacji Dane warstwy 7 zawierają komendy i instrukcje kontrolne dla botnet-a 17

QRadar monitorowanie aktywności użytkowników końcowych Błędy Uwierzytelniania Być może użytkownik zapomniał swojego hasła? Atak typu brute-force Duża ilość błędnych uwierzytelnień względem różnych kont Host skompromitowany Po dużej ilości zdarzeń błędnego uwierzytelniania, mamy uwierzytelnienie zakończone powodzeniem. 18

QRadar monitorowanie naruszeń polityk bezpieczeństwa Naruszenie wymagań regulacji PCI? Uproszczony compliance Wsparcie dla wszystkich kluczowych regulacji prawnych oraz standardów. Nieszyfrowane połączenie: QFlow wykrył nieszyfrowaną komunikację na serwerze podlegającym pod PCI PCI - Wymaganie nr. 4: Konieczne jest zapewnienie szyfrowanej komunikacji dla danych związanych z kartami płatniczymi w przypadku dostępu do danych po przez sieci publiczne 19

20