SIEM – Mozek pro identifikaci kybernetických útoků Jan Kolář
4.2.2014, Praha, Cyber Security konference 2014
Agenda • Prvky bezpečnosti IT
• Monitoring bezpečnosti IT (MBIT) • Co je bezpečnostní incident?
• Jak začít s MBIT? • Výběr vhodného řešení pro MBIT • Postupy implementace MBIT • Služby a řešení Simac v oblasti MBIT • Závěr 2
Prvky bezpečnosti IT • Používaná řešení k zabezpečení IT •
Prevenční
•
Detekční
•
Testovací
•
Řídící
• Co z nich můžeme získat • Samotná informace o porušení pravidla bez
kontextu již nestačí
3
Monitoring bezpečnosti IT • Proč monitorovat •
Prevenční nástroje nestačí, o bezpečnosti je potřeba mít zpětnou vazbu
•
Nařízení ISO, norem, směrnic, auditů
• Co monitorovat •
Systémy o jejichž úrovni zabezpečení potřebujeme mít zpětnou vazbu
• Jak monitorovat
4
•
Sběr relevantních informací
•
Vyhodnocování informací
•
Proces pro řešení bezpečnostního incidentu
Co je bezpečnostní incident? • Událost od IPS nebo neúspěšný pokus o přihlášení? • Nárůst objemu síťového provozu? • Detekce nového zařízení v síti?
K O N T E X T Detekce malware na koncové stanici?
• Modifikace souborových dat? •
• Změna privilegií přístupových práv? A co je false positive? 5
Jak začít s MBIT • Co je kritické pro obchodování Vaší společnosti? • Co tedy potřebuji sledovat ? • Co potřebuji v monitorovacím nástroji vidět? • Jakých zařízení a systémů se monitoring týká? • Jaké události ze systémů jsou pro mě relevantní? • Po jak dlouhou dobu chceme uchovávat data? • Jakých interních procesů se to týká?
6
Výběr vhodného řešení pro MBIT • Potřebuji opravdu SIEM anebo pouze řešení pro
zpracovávání logů, tedy Log Management? • Potřebuji silný bezpečnostní nástroj s logikou pro vyhodnocování a korelaci událostí se správou a evidencí incidentů, anebo nástroj na interpretaci logů? • Mám dostatečně vzdělané lidi pro práci s MBIT anebo chci MBIT jako službu? • Jak nejlépe ochránit stávající investice do bezpečnostních řešení? 7
Log Management vždy dříve než SIEM!
“Deploy log management functions before you attempt a wide-scale implementation of real-time event management.” Gartner, 2009
8
Funkce SIEM • Kolekce logů
• Agregace • Normalizace • Filtrace
• Korelace • Notifikace • Reporting
• Workflow pro řešení incidentů • Archivace 9
Architektury SIEM • „All in One“ •
Nižší pořizovací a režijní náklady
•
Snadnější integrace do prostředí
•
Nízká propustnost
•
Jeden kritický bod
•
Malá škálovatelnost
• Distribuovaná architektura
10
•
Rozložení zátěže dle funkcí – Kolekce, Archivace a Korelace
•
Vyšší propustnost řízena počtem serverů s jednotlivou funkcí
•
Vyšší pořizovací a režijní náklady
•
Vyšší nároky na obsluhu a údržbu
Který SIEM si vybrat?
11
Jak správně dojít k SIEM? • Uvědomění si, co chci SIEM vyřešit • Přesvědčení se, že SIEM je ta nejlepší cesta • Definice zadání
• Analýza trhu na vhodná řešení • Upřesnění požadavků a rozsahu pro SIEM • Zhodnotit objem dat pro logování
• Testování 2-3 vybraných řešení • Finální výběr řešení • Definice plánu a procesů na řešení incidentů 12
• Implementace řešení
Postupy implementace MBIT v praxi • Analýza, analýza, analýza, ... • Příprava implementačního projektu – tabulky, tabulky, tabulky, ... • Realizace • Akceptační testy • Zkušební provoz
13
Nejlepší praktiky při nasazování řešení MBIT • Dodržovat zmíněný logický postup pro výběr a
implementaci řešení MBIT • Implementovat Log Management vždy dříve než SIEM • Začít u nejjednoduššího • Rozšiřovat funkcionalitu postupně • Nastavit procesy a plány pro řešení bezpečnostních incidentů před nasazením SIEM • Kontinuální zaměření na to, co chci pomocí 14
SIEM řešit
Nejhorší praktiky při nasazování řešení MBIT • „Prostě něco koupíme“
• Koupím, zapojím a čekám... • Rozsah MBIT určíme až něco koupíme • Výrobce SIEM mi řekne jak a co logovat • Nepřipravenost prostředí (synchronizace času) • Něco svítí červeně ale nevím co s tím
• Špatně nastavené procesy • Nedodržování kontinuity MBIT • Neustále je málo místa pro ukládání logů 15
Služby a řešení Simac v oblasti MBIT • Analýza současného stavu a návrh řešení pro MBIT
• Implementaci MBIT • Vypracování integračních příruček pro logování • Vypracování návrhu procesů spojených s MBIT
• Servis a služby spojené s MBIT • Implementace a provozování řešení spojených s MBIT na straně zákazníka
• Pomoc s vyhodnocováním bezpečnostních incidentů i formou služby • Pravidelné bezpečnostní audity, vytvoření 16
bezpečnostních politik
Simac. Personal for everyone.
17
Dotazy?
18
