Czym jest Qradar SIEM i jakie informacje dotyczące bezpieczeństwa sieci jest w stanie zobrazować? Piotr Uzar NEWIND S.A.

Podobne dokumenty
Rozwia zania SIEM i ich rola w Rekomendacji D

Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

! Retina. Wyłączny dystrybutor w Polsce

Zarządzanie bezpieczeństwem systemów informatycznych w skali przedsiębiorstwa - Juniper Security Threat Response Manager (STRM)

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Vulnerability Management. Vulnerability Assessment. Greenbone GSM

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Tomasz Sroczyński, Versim S.A. LM/SIEM od Extreme Networks Śniadanie Technologiczne z NGE Polska

9:45 Powitanie. 12:30 13:00 Lunch

epolska XX lat później Daniel Grabski Paweł Walczak

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

McAfee Security Information and Event

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

WDROŻENIE RSA NETWITNESS SUITE W BRANŻY E-COMMERCE

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

System statlook nowoczesne zarządzanie IT w praktyce SPRZĘT * OPROGRAMOWANIE * INTERNET * UŻYTKOWNICY

Kupiliśmy SIEM (IBM QRadar) dlaczego i co dalej?

Nowe zagrożenia skuteczna odpowiedź (HP ArcSight)

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

RSA Netwitness Total Network Knowledge. Przemysław Krejza, EnCE, ACE

IBM QRadar. w Gartner Magic Quadrant

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Wstęp do Microsoft Forefront. Jakub Januszewski Technology Adviser - Security Microsoft

JAK DOTRZYMAĆ KROKU HAKEROM. Tomasz Zawicki, Passus

GDPR/RODO coraz bliżej czy chronisz swoją przestrzeń przed cyberatakiem? Anna Łyczak Mirosław Menard

Ochrona biznesu w cyfrowej transformacji

Administratorzy kontrolują systemy IT, a kto kontroluje administratorów?

Zdobywanie fortecy bez wyważania drzwi.

Riverbed Performance Management

Analityka i BigData w służbie cyberbezpieczeństa

Bezpieczeństwo danych w sieciach elektroenergetycznych

PureSystems zautomatyzowane środowisko aplikacyjne. Emilia Smółko Software IT Architect

Fujitsu World Tour 2018

SMART NETWORK SECURITY SOLUTIONS

Complete Patch Management

CyberArk Software Ltd. Konta uprzywilejowane - klucze do królestwa, których nikt nie pilnuje

Kompetencje Asseco Data Systems w obszarze IT Security

Metody ochrony przed zaawansowanymi cyberatakami

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

Security Master Class

Tivoli Endpoint Manager jak sprawnie zarządzać systemami

Dostarcza szybkich i właściwych informacji na temat zagrożeń bezpieczeństwa, takich jak: - ważność zaatakowanych zasobów. - tożsamość atakującego

Ryzyko operacyjne w obszarze infrastruktury informatycznej - perspektywa firmy Oracle

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Aktywny monitoring bezpieczeństwa baz danych Zbigniew Szmigiero, IBM IBM Corporation

RODO zmiana podejścia do ochrony danych osobowych

Ochrona systemów informatycznych przed atakami

Opis Przedmiotu Zamówienia

9. System wykrywania i blokowania włamań ASQ (IPS)

Kompleksowe Przygotowanie do Egzaminu CISMP

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

SIŁA PROSTOTY. Business Suite

Bezpieczeństwo IT Audyty bezpieczeństwa i testy penetracyjne

Monitorowanie zdarzeń w sieci bankowej w odniesieniu do Rekomendacji D. Bartłomiej Kilanowicz, ASCOMP

Agenda. Quo vadis, security? Artur Maj, Prevenity

Opis przedmiotu zamówienia. (zwany dalej OPZ )

OWASP OWASP. The OWASP Foundation Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek

Portal Security - ModSec Enterprise

Symantec Enterprise Security. Andrzej Kontkiewicz

z testów penetracyjnych

Warstwa ozonowa bezpieczeństwo ponad chmurami

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Podstawy bezpieczeństwa

Oprogramowanie antywirusowe musi spełniać następujące wymagania minimalne:

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Profesjonalna ochrona danych z arcserve UDP

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Bezpieczeństwo systemów informatycznych Radek Kaczorek, CISA, CIA, CISSP, CRISC

MONITOROWANIE DOSTĘPNOŚCI USŁUG IT

OCENA ZABEZPIECZEŃ. Obraz środowiska wirtualnego

Zenoss. Monitorowanie nowoczesnej serwerowni

Jak znaleźć prawdziwe zagrożenia w infrastrukturze IT

Wykaz zmian w programie SysLoger

Bezpieczeństwo systemów SCADA oraz AMI

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

System zarządzania i monitoringu

Enterprise Mobility urządzenia mobilne w infrastrukturze przedsiębiorstwa# Grażyna Dadej, Andrzej Urbanowicz"

Rok po RODO. Cyberbezpieczeństwo w sferze ochrony danych

OTWARTE DRZWI BADANIA POKAZUJĄ, ŻE DRUKARKI POZOSTAJĄ NARAŻONE NA CYBERATAKI

nas sprawdził czas INFORMATYKA ELEKTRONIKA AUTOMATYKA

MARIAN MOLSKI MAŁGORZATA ŁACHETA BEZPIECZEŃSTWO I AUDYT SYSTEMÓW INFORMATYCZNYCH

AppSense - wirtualizacja użytkownika

Bezpieczeństwo dziś i jutro Security InsideOut

SANSEC Poland S.A. dla III Konwent Informatyków Warmii i Mazur Bezpieczna administracja w mobilnym świecie

Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?

zania z zakresu cyberbezpieczeństwa systemów w SCADA

Usługi utrzymaniowe infrastruktury SI PSZ

Zastosowania aplikacji B2B dostępnych na rynku zalety aplikacji online

Sieci bezprzewodowe WiFi

Problem tożsamości uprzywilejowanych

ANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN. Łukasz Polak Opiekun: prof. Zbigniew Kotulski

Zarządzanie bezpieczeństwem systemów informatycznych

CYBEROAM Unified Treatment Management, Next Generation Firewall

Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń

VMware vsphere 5.5: Install, Configure, Manage

SecureVisio. Funkcje i zastosowania

Transkrypt:

Czym jest Qradar SIEM i jakie informacje dotyczące bezpieczeństwa sieci jest w stanie zobrazować? Piotr Uzar NEWIND S.A.

Nowe technologie i nowe formy komunikacji otwierają drzwi na nowe zagrożenia i wycieki danych. NOWE KANAŁY KOMUNIKACJI Organizacje starając się być bardziej innowacyjne przenoszą swoją infrastrukturę np. do chmury i na platformę mobilną, wykorzystują wirtualizację a także nowe kanały komunikacyjne WYKORZYSTANIE INFRASTRUKTURY Globalizacja i wymogi nowoczesnego biznesu powodują iż zacierają się granice pomiędzy godzinami pracy a prywatnym czasem powodując iż infrastruktura organizacji jest wykorzystywana również do celów prywatnych DOSTĘP DO DANYCH W obecnych czasach informacja jest wszędzie i jest dostępną za pomocą wielu kanałów komunikacyjnych. SPOŁECZNOŚĆ HAKERÓW Rośnie liczba hakerów, rośnie liczba skutecznych ataków, rośnie liczba podatności, 0day exploit i ataków typu APT (Advanced Persistent Threat), rośnie motywacja przestępców i przekonanie, że są bezkarni.

Kartka z kalendarza Q1 2013 Co najmniej 6 krytycznych podatności zidentyfikowanych w Java plugin 02/03/13 Wyciek z Evernote 12/03/13 Ataki DDoS: Wells Fargo, Bank of America, Chase, Citigroup, HSBC (Ababil) 14/03/13 Atak na Kancelarię Premiera Rady Ministrów, MSZ, MON Alladyn2 25/03/13 NATO rozważa zaklasyfikowanie hakerów jako regularne jednostki wojskowe 27/03/13 Największy atak typu DDoS Spamhaus Q2 2013 ataki DDoS na mbank i BZ WBK Q3 2013 klienci odcięci od pieniędzy Euronet, PKO BP, Millenium Bank 07/12/13 hasło 123456 daje dostęp do 5 500 kont klientów Swedbanku Q1 2014 poważna dziura w routerach TP-Link, Pentagram, D-Link. Modyfikacja DNSa i przekierowanie na fałszywy site. Q1 2014 Profesjonalne ataki typu phishing/spoofing na klientów PKO BP, BZ WBK, CA 22/04/14 Wyciek 800 prywatnych adresów email klientów Idea Bank pomyłka pracownika 28/07/14 Wyciek danych polskich celebrytów, ich historie chorób, numery telefonów, a także kody wejścia do apartamentowców

Czy to w ogóle może mnie dotyczyć??? 31 Sierpnia pierwsze zdjęcia w Clearnet 1 Września pierwsze oficjalne komentarze 2 Września Podejrzenie pada na icloud

Organizacje coraz częściej dyskutują o bezpieczeństwie Czy mamy się czego bać? Utrata wyników finansowych Utrata reputacji Wpływ na inne firmy Koszty procesów Wpływ hacktivism-u Wyniki Audytów Sony strata na poziomie $3B $171M / 100M klientów Były pracownik HSBC wykradł dane 24 tyś. klientów z zamiarem sprzedania Wyciek danych klientów z firmy Epsilon miał wpływ na100 firm korzystających z ich usług TJX przewiduje stratę $150M w wyniku pozwów zbiorowych Lulzsec & Anonymous - ataki na rządy Polski, Stanów Zjednoczonych i organizacje CIA, Stratford Zurich Insurance PLc ukarana grzywną 2.2M za zgubienie danych 46 tyś klientów

Gartner MQ 2016

Korelacja + kontekstowa analiza zdarzeń

Audyt oraz Raportowanie Gotowe raporty adresujące wymagania audytowe regulacji prawnych lub wymogów najlepszych praktyk: COBIT, ISO, SOX, GLBA, NERC, FISMA, PCI, HIPAA, UK GCSx Łatwa możliwość dostosowywania profili raportów do wymogów wewnętrznych polityk bezpieczeństwa Możliwość tworzenia nowych raportów

Log Management Pełen Log Managment Możliwość migracji LM do SIEM za pomocą licencji SIEM Korelacja danych typu Log, flow, vulnerability & identity Automatyczne profilowanie asset-ów Pełne zarządzanie incydentami Risk & Vulnerability Management Symulacja potencjalnych ataków Pełen skaner podatności Monitoring konfiguracji sieciowej Network and Application Visibility Analiza ruchu sieciowego do warstwy aplikacyjnej Pełna analiza ruchu sieciowego Dedykowane również do środowisk witualnych Network Forensic Rekonstrukcja sesji sieciowych poprzez PCAP Pełna analiza danych, ich rekonstrukcja oraz wizualizacja Konkretny dowód kto, co i kiedy zrobił Scalability Event Processors & Flow Processors Moduły aktywności sieciowej High Availability & Disaster Recovery Pełna skalowalność

QRadar Risk Manager: Przedstawia widok topologii sieci i pomaga wizualizować wzorce ruchu sieciowego. Identyfikuje aktywne ścieżki ataków oraz infrastrukturę narażoną na atak w przyszłości Gromadzi informacje o konfiguracji infrastruktury bezpieczeństwa i przedstawia analizę potencjalnych zagrożeń Wykrywa błędy w konfiguracji infrastruktury oraz umożliwia identyfikację nieefektywnych lub niezgodnych z polityką reguł. Analizuje zgodność z przyjętą polityką bezpieczeństwa

QRadar Vulnerability Manager: Wbudowany, w pełni skalowalny skaner podatności Prezentuje pełen obraz zagrożeń w kontekście danej infrastruktury Informacja o wykrytych podatnościach jest wykorzystywana w analizie i ocenie zagrożeń występujących na danej infrastrukturze Umożliwia skanowanie podatności wykonywane z zewnątrz (tak jak robią to hakerzy)

QRadar zarządzanie zagrożeniami Konsola zarządzania zagrożeniami Jaki atak? Kto? Ile zdarzeń? Jakie zagrożenie? Ile obiektów ataku? Jak istotne są obiekty dla biznesu? Czy któryś jest podatny? Gdzie są dowody?

QRadar monitorowanie aktywności użytkowników Błędy Uwierzytelniania Być może użytkownik zapomniał swojego hasła? Atak typu brute-force Duża ilość błędnych uwierzytelnień względem różnych kont Host skompromitowany Po dużej ilości zdarzeń błędnego uwierzytelniania, mamy uwierzytelnienie zakończone powodzeniem.

Skuteczna identyfikacja zagrożeń po przez analizę ruchu sieciowego Ruch sieciowy nigdy nie kłamie. Atakujący mogą zatrzymać usługi logujące lub wykasować ślady swojej aktywności, ale nie mogą zatrzymać ruchu sieciowego. Analiza ruchu sieciowego dla warstwy aplikacyjnej Możliwość filtrowania i analizy zdarzeń w dowolnym kontekście Możliwość wykrywania anomalii trudnych do identyfikacji po przez analizę zdarzeń zapisanych w logach Pełna analiza ruchu sieciowego wygenerowanego podczas ataku

QRadar architektura AIO oraz Distributed All-in-One (2100/31XX) Flow Processor (17XX) Console (31XX) Event Processor (16XX) QFlow Collector (12XX/13XX)

SIEM All-in-One 2100 Light Appliance Positioning Single box for centralized deployment in a small/medium enterprise that needs low EPS Characteristics and Capacity 500 EPS, 25K Flows, 750 Log Sources, 100 network objects Onboard 50Mbps QFlow for SPAN or TAP Supports external Flow and QFlow Collectors 1.3 TB of Storage Upgradability EPS upgradable to 1000 Flows upgradable to 50K No deployment upgrade HA / DR available Light