Nástroje pro korelace a vyhodnocování bezpečnostních událostí (jak se vyznat v množství bezpečnostních událostí)
David Vorel Technický konzultant - Simac Technik ČR, a.s.
1
Osnova • Obecný úvod – Proč vůbec ukládat a zpracovávat události ? – Zdroje bezpečnostní události – Centrální uložiště „surových“ událostí
• Technologie – SIEM, SIM, SEM a LM obecně – Funkce SIEM – Architektura prostředí SIEM – Kolekce – Normalizace
• Reálný proces nasazení – Postupy při implementaci v prostředí
– Filtrace – Agregace – Korelace – Notifikace – Reportování
2
Proč vůbec ukládat a zpracovávat události ? • Dodržování standardů a dobrých praktik • Přehled a orientace v prostředí • Dodržování vnitrofiremních směrnic • Potřebné diagnostické informace • Zpětné ověření aktivit – Uživatelů – Procesů • Požadavek auditorů a regulátorů
3
Bezpečnostní události (...Informace, Informace, Informace...)
Způsob sběru
Čas sběru
• Syslog a Syslog-NG
• V reálném čase
• Databáze
– Výhody
• HTTP
– Nevýhody
• FTP
• Dávkově
• WMI
– Výhody
• Prosté soubory
– Nevýhody
• SNMP • OPSEC, CPMI • SDEE, RDEP 4
Bezpečnostní události (zdroje logování) • Logy operačních systému (Windows, Linux, IOS, BSD, Solaris, AIX, HP-UIX, BeOS....) • Authentication, Authorization a Accounting (AAA) – Active Directory – LDAP – Radius – Kerberos – IAS – NIS • C2 Audit obecně 5
Bezpečnostní události (zdroje logování) • Firewaly • Access Control • Databáze • DHCP • DNS • Virtualizace • Netflow • UTM • IDS • VPN • WIFI • Mobilní platformy
6
Centralizované uložiště • Bezpečnostní logy na jediném místě Výhody • Možnost jednotné delegace ACL pro uživatele a IP • Snažší manipulace při zálohách a obnovách • Připojení svazků DAS • Možnost redundance centrálního uložiště (DRBD) Nevýhody • Jeden kriticky bod • Uložiště musí provozovat služby pro přistup (NFS, Samba, FTP, RSync..) 7
SIEM, SIM, SEM a LM obecně • SIM – Security Information Management – Security Incident Managament • SEM – Security Event Management – Security Event Monitoring • LM – Log Management • SIEM – Security Information and Event Management
8
Funkce SIEM • Kolekce, Agregace, Normalizace, Filtrace, Korelace, Notifikace, Reporting, Archivace bezpečnostních událostí • Přiřazení identifikovaných zranitelností aktivům (Risk Management, Risk Assesment) • Vyhledávací logika při práci s uloženými daty • Obsahové tabulky s možností reference do pravidel • Evidence síťových rozsahů a účelu jejich použití • Evidence a hodnocení aktiv ITC • Přímá Integrace s Netflow či jeho nepřímá podpora - L3 vs L7 • Schopnost sledování stavů zdrojů a jejich vitality, statistické informace • Možnost segmentace Organizačních jednotek (OU) • Učící mechanismy s detekcí anomalii (anomaly detection)
9
Architektura prostředí pro SIEM
10
Architektura SIEM (vše v jednom) • Jediný server s co nejvyšším výkonném (2x Quad Core, 16GB RAM) • Kolem 5000 EPS (2x Quad Core, 8GB RAM) • Výhody – Nižší pořizovací a režijní náklady – Snadnější integrace v prostředí • Nevýhody – Malá propustnost – Kritický bod – Malá škálovatelnost 11
Architektura SIEM (distribuované řešení) • Výhody – Propustnost dle počtu serverů – Rozložení zátěže • Kolekce • Archivace • Korelace • Nevýhody – Vyšší pořizovací a režijní náklady – Větší nároky na obsluhu a údržbu
12
Architektura SIEM (ISP řešení) • Výhody – Menší nároky na obsluhu – Nižší pořizovací a režijní náklady – Automatické dodržování SLA – Většinou automaticky vysoká dostupnost • Nevýhody – Předávání dat mimo organizaci – Nutnost specifikace a vytvoření prostředí pro předávání událostí – Vyšší požadavky na přenosové kapacity mimo organizaci 13
Architektura SIEM (vysoká dostupnost) • Výhody – Zaručení maximální možné dostupnosti • Geografické HA – Popřípadě souvztažné využití k rozložení zátěže (Load Balancing) • Nevýhody – Vyšší počáteční náklady
14
Kolekce událostí • Způsob kolekce závislý na použité architektuře • Nejefektivnější je kolekci na pomocných serverech – Vyšší výkon – Rozložení zátěže – Možnost automatického ukládání „surových logů“ – Filtrace a normalizace na straně pomocných serverů
15
Kolekce událostí
16
Normalizace událostí • Kritická část vstupu události do SIEM • Mapování částí zprávy do datových polí SIEM • Klasifikace událostí • Přiřazují se reference na externí zdroje (CVE, OSVDB..) • Možnost implementace vlastních identifikátorů („Mění uživatel heslo někomu jinému ?“ – 0/1)
17
Filtrace • Ne všechny událostí musí byt zpracovávány – Windows ID (680,538) – SNMP dotazy – Přístupy technických účtů z ověřených zdrojů • Úpravou chování koncového systému – Povolení nesprávně blokovaného portu na FW – Úpravou konfigurace generující nadměrné množství událostí • Koncovém agentu • SIEM sběrači • SIEM korelátoru • SIEM archivu
18
Agregace událostí • V některých případech může být užitečná • Nepoužitelná v globálním nasazení • Výhody – Úspora procesorového výkonu – Úspora síťových toků • Nevýhody – Ztráta originálních časových značek – Ztráta dodatečných informací u agregovaných polí – Neprobíhá v reálném čase 19
Korelace událostí • Mozek SIEM • Ne vše se musí korelovat • Vytváření Incidentů • Automatické přiřazení odpovědné osoby či týmu • Statické korelace • Dynamické korelace • Pokročilé korelace • Korelace dle odchylek chování
20
Korelace událostí (statické korelace) • Na základě výskytu jediné události nebo signatury Příklady: • Chybné přihlášení • Úspěšné přihlášení na kritický server
21
Korelace událostí (dynamické korelace) • Ve spojení s obsahovými tabulkami, které jsou dynamický aktualizovány dle potřeb v pravidelných časových intervalech Příklady: • Operace provedena jiným než aktuálně oprávněným účtem • Směrování specificky zájmových aktivit do kritického prostředí
22
Korelace událostí (pokročilé korelace) • Na základě pravidel s vyšší logikou • Na základě určení odpovídající míry risku pro aktiva organizace Příklady: • Více než pět špatných pokusů • Vice než tři špatné pokusy bez následného úspěšného přihlášení • Méně než dvě úspěšné přihlášení za hodinu • Více než X MB přenesených dat • Cíl je zranitelný a byla zaznamenána signatura (exploit) pro konkretní port či chybu
23
Korelace událostí (dle odchylek v chování) • Na základě odchylky od historického průměru (např. poslední hodina, den, týden.., nebo staticky stanovené období při učení) Příklady: • Došlo k překročení odchylky v počtů hostů na síti • Velikost monitorovaných paketů pro port 161 se zvětšila od předem naučené maximální hodnoty či průměru
24
Korelace událostí
25
Notifikace • Vždy v reálném čase • Možnost úprav formátování a obsahu • Definice způsobu notifikace – Pouze při prvním výskytu – Vždy – Při každém N výskytu – 1x za časové období
26
Reporting • Generování kompliance reportů pro: – Interní potřeby – Administrátory ITC – Management a vedoucí jednotlivých organizačních jednotek • Generování reportů ve shodě s regulátorem – ISO 27001/17799 – PCI – Sarbanes Oxley 27
Reporting
28
Archivace událostí • Surový log VS. proprietární log SIEM • Způsob archivace událostí, referencí a indexů SIEM – Databáze – Proprietární formáty ve formě keší (někdy jenom s časově krátkým obsahem) a specifickým účelem (např. index udržovaný v paměti) – Proprietární formáty ve formě souborů na disku – Kombinace • Rozdělení archivů SIEM – Operační archiv – Dlouhodobý archiv • Rozdělení archívů dle typů událostí • Doba ukládání dat (Data Retention)
29
Analytická část • Dashboard • Práce s daty • Inteligence a logika postupu šetření událostí • Předdefinované pohledy pro události • Incidenty • Tiketovací systém • Využívání předpřipravených logických celků pro aplikaci ve filtrech (kolekce nebo vyhledávání), pravidlech, incidentech a reportech • Vizualizace – Měla by být interaktivní (pravý klik) – reprezentace globálních stavů formou grafů, statistik a pokročilejší vizualizace – reprezentace předem definovaných stavů pro konkretní
30
Analytická část
31
Proces nasazení sběru logů • Kompletace informací o prostředí a interních politikách • Identifikace potřeb vně organizace • Identifikace zdrojů bezpečnostních logů • Klasifikace aktiv • Stanovení průměrných EPS a maximálních mezních EPS • Výběr typu SIEM a způsobu jeho nasazení
32
Proces nasazení sběru logů • Pilotní instalace a konfigurace SIEM • Integrace zdrojů logů • Vytvoření výchozích pravidel • Pilotní provoz • Vyhodnocení pilotního provozu • Dokumentace prostředí a specifikace rutinních činností administrátoru či operátorů SIEM • Dodržování rutinních činností s evidencí v provozním deníku
33
Shrnutí • Nutná dobrá znalost prostředí a potřeb organizace • Implementace předpokládá součinnost s ostatními OU • Správným výběrem událostí ovlivňujeme výkonnost celého prostředí SIEM • Člověka nelze plně nahradit
34
Děkuji za pozornost
35
