Zarządzanie bezpieczeństwem systemów informatycznych w skali przedsiębiorstwa - Juniper Security Threat Response Manager (STRM) dr inż. Mariusz Stawowski mariusz.stawowski@clico.pl
Agenda Wprowadzenie Obsługa incydentów (SIEM) Wykrywanie anomalii sieci (NBAD) Zarządzanie logów (Log Management) Modele urządzeń STRM Scenariusze wdrożenia STRM Podsumowanie
Wprowadzenie Wymagania stawiane systemom zarządzania bezpieczeństwem W jednym miejscu obsługa incydentów bezpieczeństwa dla całego obszaru systemu informatycznego Zarządzanie i analiza wielu milionów rejestrowanych zdarzeń bez ponoszenia dużych nakładach pracy OBSŁUGA INCYDENTÓW Precyzyjne monitorowanie stanu i efektywności pracy środowiska sieciowego (m.in. przeciążeń, awarii, ataków D/DoS i 0-day) Spełnienie wymagań prawnych, standardów bezpieczeństwa i innych regulacji (PCI, SOX, ISO-27001, Basel II, itd.) ZARZĄDZANIE LOGÓW STANDARDY I PRAWO
Juniper Security Threat Response Manager Całościowy obraz sieci i bezpieczeństwa Wykrywanie i obsługa incydentów Centralne składowanie i zarządzanie logów STRM Appliance Monitorowanie stanu i efektywności pracy sieci Spełnienie wymagań prawa i standardów
Juniper Security Threat Response Manager STRM Appliance
Obsługa incydentów (SIEM) -całościowy obraz sieci i bezpieczeństwa ZDARZENIA/LOGI Syslog standardowy format logów (TCP, UDP) SNMP - wiadomości o zdarzeniach (SNMP Trap, v3) Windows Agent - zdarzenia z systemów MS Windows JuniperNSM integracja z systemem zarządzania Juniper NSM JDBC:SiteProtector integracja z IBM SiteProtector LEA* integracja z systemem zarządzania Check Point SDEE** - protokół używany w urządzeniach Cisco JDBC*** - zdalny dostęp do bazy danych Systemy zabezpieczeń Systemy operacyjne, bazy danych, aplikacje, STAN SIECI NetFlow, J-Flow, S-Flow, Packeteer, QFlow (sniffer) Urządzenia sieciowe STAN BEZPIECZEŃSTWA Nessus, NMAP, ncircle, Qualys, Foundstone, itd. Juniper IDP Profiler *LEA Log Export API **SDEE - Security Device Event Exchange, oparty na SOAP ***JDBC - Java Database Connectivity API
Obsługa incydentów (SIEM) - korelacja zdarzeń z wielu źródeł Kto wykonał atak? Co było celem ataku? Jaki jest zakres incydentu? Jakie są szkody i jak je naprawić?
Obsługa incydentów (SIEM) - identyfikacja sprawców incydentów Baza Asset Profile umożliwia przeszukiwanie danych historycznych zgodnie z wieloma kryteriami (np. śledzenie działań użytkowników, ścieżkę incydentu) Zdarzenia STRM powiązane są z nazwami użytkowników, nazwami komputerów oraz adresami IP/MAC Wiarygodność incydentu ustalana na podstawie wielu źródeł logów różnych systemów, ruchu w sieci oraz skanerów zabezpieczeń Juniper Steel Belted Radius (SBR) Juniper Infranet Controller Cisco Secure Access Control (CSA) Server Linux Authentication Server ArrayNetworks ArrayVPN CheckPoint Firewall-1/Provider-1 Cisco VpnConcentrator F5 BigIP GenericDSM GenericAuthServer Juniper Netscreen Firewall Juniper SA SSL VPN Linux DHCP Server Nortel Contivity Oracle Database Audit Logs ProFTP FTP Server Sun Solaris Solaris dhcpd Server Windows Authentication Server`
Obsługa incydentów (SIEM) -ważność (Magnitude) na podstawie wielu kryteriów Event Collector / Processor - Flow Collector / Processor Offense Manager Response Module - Email -SNMP - Syslog -Trigger - Remediation - Active / Passive Scanning normalizacja, klasyfikacja, identyfikacja, korelacja,... Judicial System Logic (JSL) Wiarygodność (Credibility): Jak wiarygodny jest dowód? Jeżeli wielu świadków (źródeł danych) potwierdzi zdarzenie to jego wiarygodność jest wyższa. Istotność (Relevance): Ważność zdarzenia (incydentu) zależy od obszaru, gdzie wystąpiło oraz zasobów, których dotyczyło. Surowość (Severity): Wielkość zagrożenia zależy m.in. od podatności zasobów na ataki, wartości zasobów, rodzaju ataku, liczby zaatakowanych zasobów.
Monitorowanie pracy sieci (NBAD) - wykrywanie anomalii za pomocą analizy behawioralnej Sesje aplikacji przed atakiem Sesje aplikacji spadają w trakcie ataku Atak robaka sieciowego doprowadza do przeciążenia sieci Statystyki ruchu pobierane bezpośrednio z urządzeń sieci, np. Juniper, Foundry, Cisco, Nortel, HP Obsługa komunikacji asymetrycznej Analiza aplikacyjna komunikacji w sieci Wizualizacja stanu i efektywności pracy sieci Wykrywanie anomalii, np.: przeciążeń, awarii, propagacji robaków, ataków D/DoS i 0-day.
Monitorowanie pracy sieci (NBAD) - wykrywanie anomalii za pomocą analizy behawioralnej Profile i odchylenia od typowego/normalnego zachowania sieci, np.: zmiany stanu, nagłe zwiększenia lub zmniejszenia natężenia ruchu, przekroczenie wartości progowych. Wykrywanie nowych obiektów (hostów, aplikacji, protokołów, itd.) i dzięki temu identyfikowanie zagrożeń i incydentów, np.: Trojanów nawiązujących połączenia zwrotne z intruzami, wirusów propagujących się przez email, serwisów nielegalnie uruchomionych w sieci.
Monitorowanie pracy sieci (NBAD) - wykrywanie anomalii za pomocą analizy behawioralnej Wykrywanie awarii ważnych biznesowo systemów, które powinny być dostępne 24/7, np.: zablokowanych/uszkodzonych serwerów i aplikacji, niewykonania operacji backup, urządzeń blokujących ruch. Wykrywanie niedozwolonych zachowań, np.: serwera Web działającego jako Proxy, partnerów i klientów nadużywających uprawnień (dostęp do obszaru, z którego nie powinni korzystać). Alarmowanie w sytuacjach krytycznych i wyjątkowych
Monitorowanie pracy sieci (NBAD) -podwyższenie wiarygodności oceny zdarzeń NBAD zwiększa możliwości i podwyższa wiarygodność identyfikacji incydentów bezpieczeństwa (SIEM). Przykładowe zastosowania: analiza ruchu NBAD wykazała, że zaatakowany system tuż po ataku przesłał odpowiedź do sieci zewnętrznej, co zwiększa prawdopodobieństwo, że wystąpiło włamanie, analiza ruchu NBAD wykazała, że system komunikuje się z serwerem IRC w Internecie, co może wskazywać, że intruz zainstalował w tym systemie IRC Bot, analiza ruchu NBAD wykazała, że serwis który został zaatakowany z dużym prawdopodobieństwem został zablokowany, ponieważ po ataku nie wykazuje aktywności.
Zarządzanie zdarzeń (Log Management) - centralne repozytorium logów Logi przechowywane w oryginalnym formacie Przeglądanie w formie rzeczywistej (raw) lub znormalizowanej Analiza powłamaniowa Starsze logi poddawane kompresji Ochrona kryptograficzna składowanych informacji (także SHA-2)
Zarządzanie zdarzeń (Log Management) - raporty i statystyki Wiele typów raportów predefiniowanych i tworzonych na żądanie Wiele formatów: PDF, HTML, RTF, CVS, XML Harmonogram generowania i dystrybucji (email) raportów Intuicyjny kreator raportów Zgodność ze standardami (m.in. PCI, SOX, FISMA, GLBA, HIPAA)
Modele urządzeń STRM STRM5000 STRM - EP STRM - EP STRM2500 STRM500 250EPS 15kF 500EPS 15kF 2500EPS 50 & 100 KF 5000EPS 100 & 200KF 5000 + EPS 100 & 200KF
Modele urządzeń STRM Model STRM RAM HDD 500 4GB 2 x 500 GB RAID 5 2500 8GB 6 X 250 GB RAID 5 5000 8GB 6 X 500 GB RAID 10
Scenariusze wdrożenia Konsola STRM Logi z urządzeń zabezpieczeń i innych systemów STRM Appliance Flows z urządzeń sieciowych STRM Flow Collector (Sniffer)
Scenariusze wdrożenia -przykładowa architektura rozproszona STRM 500 STRM 5000 Flows Logi STRM 2500 STRM FP STRM EP Flows Logi
Role i domeny zarządzania Role i uprawnienia administratorów STRM dostosowane do potrzeb Ograniczenia obszaru sieci dostępnej dla poszczególnych administratorów Wiele metod uwierzytelniania: lokalne konto RADIUS TACACS LDAP / Active Directory
Podsumowanie Juniper STRM system zarządzania bezpieczeństwem (integrujący funkcje SIEM i NBAD, centralne repozytorium logów, gotowe do użycia rozwiązanie Appliance) Obsługa wielu źródeł informacji (sieć i zabezpieczenia, systemy operacyjne, aplikacje i bazy danych) Wydajność dostosowana do potrzeb (różne modele, architektura rozproszona)
Podsumowanie tradycyjne SIEM >> brak analizy ruchu sieciowego tradycyjne NBAD >> brak analizy logów Juniper STRM >> zintegrowanie rozwiązanie SIEM, NBAD i Log Managament >> wysoko zaawansowany SIEM wg raportu Gartner Magic Quadrant for Security Information and Event Management (SIEM), 1Q07
Pytania?