FH-Brandenburg- SIEM - Masterstudiengang Security Management

advertisement
Security Information & Event Management
Die Jäger & Sammler der IT-Security
Ihre Referenten:
Sebastian Rohr, CISSP/CISM Nico Wiegand, CEH/CHFI…
CTO
accessec GmbH
Senior Consultant
accessec GmbH
Agenda
1
SIEM – Treiber im Unternehmen
2
SIEM erfordert Planung, Vorbereitung und weitreichende Integration
3
Ziele und Verantwortlichkeiten im Voraus festlegen
4
SIEM im Outsourcing
5
Der Bedarf für ein Security Information & Event Management Tool
6
SIEM Einführung in Phasen
7
Mehrwerte durch SIEM Analysen
2
(Vermutete) Treiber im Unternehmen
• Zum Schutz des Unternehmens (wenig fokussiert)?
• Schutz der Unternehmensdaten (nur detektiv)?
• Schutz der IT-Systeme (nur reaktiv)?
SIEM ist ein sekundäres System und zudem reaktiv !
Wenn auch automatisiert & schnell…
Eher zum Kenntnisgewinn und für tiefere Einblicke:
• Sammelt, aggregiert, kondensiert und korreliert
• Schafft „Durchblick“ durch gemeinsame Betrachtung
• Hilft gute Sicherheitsstrukturen zu verbessern
Ohne Sicherheitsstrategie
Agenda
1
SIEM – Treiber im Unternehmen
2
SIEM erfordert Vorbereitung, Planung und weitreichende Integration
3
Ziele und Verantwortlichkeiten im Voraus festlegen
4
SIEM im Outsourcing
5
Der Bedarf für ein Security Information & Event Management Tool
6
SIEM Einführung in Phasen
7
Mehrwerte durch SIEM Analysen
5
SIEM ohne Planung & Vorbereitung
© „creativkopf“
SIEM braucht Strategie und Rahmen
Fordern
Plan
Vorgaben („Legislative“)
Intern -> Sicherheitspolicies
Extern -> Gesetze und Vorgaben
Fördern
Behebung
Maßnahmen
„Judikative“
Act
Kontrolle
Audits (Revision)
Assessments
Do
Check
Umsetzung
Betrieb
`Interne QS`
„Exekutive“
SIEM braucht (fast) vollständige Information
SysLogs:
Cisco,
Windows, Sun,
VMware,
Linux/Unix etc
Lokale SecManagement
Tools:
IDS/IPS, FW,
AV,VPN…
Incident
Management:
Remedy o.ä.,
User Helpdesk
Integration
SIEM
Risikobewertung // Risikomanagement
VM Tools:
Qualys,
Foundstone,
nCircle,
Secunia etc.
Datenfluss für SIEM im Detail
CMDB
Assetinfo
OS + Drv
SW + Tools
Gruppe
Anwendung
Bedeutung
Interdep.
…
…
IDS
VMTool
Assetinfo
OS + Drv ->
SW + Tools ->
<-Gruppe
<-Anwendung
<-Bedeutung
<-Interdep.
…
…
Quelle und Datenhoheit
Service
Management
Nachfragemg
SIEM
Tool
Assetinfo
OS + Drv
SW + Tools
Gruppe
Anwendung
Bedeutung
Interdep.
…
…
FW
SIEM
CMDB
Event
DB
Dashboard
Incidents
Risikomanagement
9
AV
Web
Sec
SysLogs
Agenda
1
SIEM – Treiber im Unternehmen
2
SIEM erfordert Vorbereitung, Planung und weitreichende Integration
3
Ziele und Verantwortlichkeiten im Voraus festlegen
4
SIEM im Outsourcing
5
Der Bedarf für ein Security Information & Event Management Tool
6
SIEM Einführung in Phasen
7
Mehrwerte durch SIEM Analysen
10
Erfolgreiches SIEM erfordert Kenntnis…
WAS man schützen will
WELCHE Systeme welchen „Wert“ haben
WIE diese Systeme geschützt werden
WELCHE Schwachstellen diese Systeme aufweisen
Wirklich wirksam wird SIEM erst, wenn man
•
•
•
•
Reaktionen auf Alarme (teil-)automatisiert
Ansprechpartner in den Fachseiten hat
Schnell Gegenmaßnahmen ergriffen werden
Aus Angriffen gelernt wird!
Mehr Durchblick mit planvollem SIEM!
© „pascar“
© Jens Hieke“
Agenda
1
SIEM – Treiber im Unternehmen
2
SIEM erfordert Planung, Vorbereitung und weitreichende Integration
3
Ziele und Verantwortlichkeiten festlegen
4
SIEM im Outsourcing
5
Der Bedarf für ein Security Information & Event Management Tool
6
SIEM Einführung in Phasen
7
Mehrwerte durch SIEM Analysen
13
SIEM – „as-a-Service“ im Outsourcing
• System, Experten und SOC werden gestellt
– Kein Schichtbetrieb
– Keine spezielle Ausbildung
– Keine teure Infrastruktur, nur begrenzt „Lizenz“
•
•
•
•
•
Kritisches Infrastruktur Know-How gelangt „außer Haus“
Alle Event-Informationen gehen „außer Haus“
Alle Analysen erfolgen „außer Haus“
Interne haben „keine Ahnung“ vom SIEM
Externe haben keinen Einblick in die internen Abläufe
SIEM – für ausgelagerte Systeme
• Geht das überhaupt?
–
–
–
–
•
•
•
•
•
Recht auf Audit = Recht auf alle Logs des Dienstleisters?
Datenschutz & Datensparsamkeit
Abgrenzung/Mandantenfähigkeit der Logs
Übertragung der Daten zum Auftraggeber (oder –nehmer?)
Kritisches Infrastruktur Know-How gelangt „außer Haus“
Event-Informationen gehen „außer Haus“
Analysen erfolgen „außer Haus“
Interne haben „keine Ahnung“ vom SIEM
Dritte bekommen Einblick in die internen Abläufe
SIEM – nur jagen & sammeln reicht nicht!
Ohne Sicherheitsstrategie + Policy kein SIEM
• Risiko- und Business Impact Analyse als Vorbereitung
• Asset-Attribute & „Asset-Werte“ sind Schlüsselinformationen
Klare Vorstellung was mit SIEM erreicht werden soll
Erfahrenes & geschultes Personal intern ist erforderlich
•
•
•
•
Identifikation der „Quellen-Verantwortlichen“
Kommunikationswege festlegen (Report/Standard/Notfall)
Gegenmaßnahmen definieren
Integration mit Helpdesk & Security Incident Management
Erfahrene Berater für Planung, Ausschreibung, Betrieb
16
Agenda
1
SIEM – Treiber im Unternehmen
2
SIEM erfordert Planung, Vorbereitung und weitreichende Integration
3
Ziele und Verantwortlichkeiten festlegen
4
SIEM im Outsourcing
5
Der Bedarf für ein Security Information & Event Management Tool
6
SIEM Einführung in Phasen
7
Mehrwerte durch SIEM Analysen
17
Der (technische) Bedarf für ein SIEM Tool
Fakten
•
•
•
3 von 4 Angriffe zielen
auf Applikationen (nicht
nur im Web!) (Gartner)
70 % der
Schwachstellen
befinden sich im Appl.
Layer, nicht auf der
Netzwerkebene
(Gartner)
64 % der
Softwareentwickler
glauben nicht daran,
sichere Anwendungen
schreiben zu können.
(Microsoft)
Die häufigsten
Sicherheitslücken
Ziele/Herausforderungen
•
•
•
•
•
•
•
•
Die Anzahl der Web-Applikationen
steigt ständig
Webapplikationen greifen häufig
auf Back End-Systeme zu
Viele Applikationen wurde
individuell entwickelt oder
angepasst
Sie wurde nicht ausreichend
getestet
Verschiedene Abteilungen sind
beteiligt / verantwortlich
Keine klaren Verantwortungen
Auf Web Appl. soll aus dem
Internet zugegriffen werden
Hacker beweisen immer mehr
Improvisationstalent.
18
•
•
•
•
•
•
•
•
•
•
Cross Site Scripting (XSS)
Injection (insbesondere SQL)
Remote File
Inclusion/Execution
Direct Object Reference
Cross Site Request Forgery
(CSRF)
Informationspreisgabe und
Fehlermeldungen
Authentifizierung und Sessions
Verschlüsselung gespeicherter
Daten
Verschlüsselung der
Kommunikation
Zugriff auf "versteckte" URLs
(„security by obscurity“)
Agenda
1
SIEM – Treiber im Unternehmen
2
SIEM erfordert Planung, Vorbereitung und weitreichende Integration
3
Ziele und Verantwortlichkeiten festlegen
4
SIEM im Outsourcing
5
Der Bedarf für ein Security Information & Event Management Tool
6
SIEM Einführung in Phasen
7
Mehrwerte durch SIEM Analysen
19
SIEM Einführung in Phasen
Phase 1
Entwicklung
SIEMBetriebskonzept
Erstellung SIEM-BK damit
der Dienstleister die Überwachung der sicherheitsrelevanten Systeme fachund sachgerecht betreiben
kann.
2007
2008
Phase 2
Proof of
Concepts
Phase 3
mSIEM Vertrag
und integration
der Applikation
Erkennen der fachlichen,
technischen Möglichkeiten
und Grenzen. Überwachen
der Internet-Portale und
Logistikzentren
Beschaffung und Aufbau
der SIEM-Plattform,
Definition der Service
Prozesse, Betrieb der
SIEM-Plattform
2009
2010
20
Phase 4
Optimierung und
Integration der
kritischen ITApplikationen
Erstellung der SIEMBasiskonfiguration inkl.
der notwendigen UseCases zur Angriffserkennung
2011
Aktueller Status! – Events?
In der aktuellen Integrationsphase habe wir ca. 150
Security-Devices zzgl. verschiedene Web-, Applikationsund Datenbank-Server eingebunden und erhalten
folgenden Summen von Events.
» IDS Systeme
>
30.000 Events/Monat
» Anti Virus
>
40.000 Events/Monat
» Datenbankserver
>
170.000 Events/Monat
» Vulnerability Scanner
>
1.000.000 Events/Monat
» Apache-Logs
>
65.000.000 Events/Monat
» Firewall
>
680.000.000 Events/Monat
» System-Eventlogs
> 1.200.000.000 Events/Monat
21
Agenda
1
SIEM – Treiber im Unternehmen
2
SIEM erfordert Planung, Vorbereitung und weitreichende Integration
3
Ziele und Verantwortlichkeiten festlegen
4
SIEM im Outsourcing
5
Der Bedarf für ein Security Information & Event Management Tool
6
SIEM Einführung in Phasen
7
Mehrwerte durch SIEM Analysen
22
SIEM – das Wichtige vom Unwichtigen
trennen!
Täglich mehrere Millionen Events von
kritischen Applikationen
• Unüberschaubare Menge an Logs
• Kein zentralen Sammelpunkt und
Analyse (Insellösungen)
• Viele Fehlalarme (False Positives)
• Viele unterschiedliche Konsolen
Firewalls
VPN
Vulner
Intrusion ability
Detection Assess
Systems ment
Server
Desktop
OS
Network
Devices
Relevante Informationen aus
ermitteln und bewerten
Ziele
&
Herausforderungen
Anti
Virus
Das Wichtige vom
Unwichtigen trennen!
Ermittlung hoch
kritischer Vorfälle
23
Wenn es bei der Eventkorrelation innerhalb SIEM zu
Abweichungen vom Normalzustand kommt, ist das
Ergebnis eine Alarmmeldung
AntiViren
AntiViren
AntiViren
AntiViren
Intrusion
Intrusion Preventio
Preventio System
System
DMZ
DMZ
Intranet
Intranet
Firewall
Firewall
zu
zu Webservern
Webservern
Firewall
Firewall
zu
zu Applikation
Applikation
Intranet
Intranet
Firewall
Firewall
zu
zu Datenbanken
Datenbanken
Internet
Internet
Webserver
Webserver
Netzanomalien- und
angriffe
(geblockte Ports und
Portscans)
A
B
LogFiles
Applikation
Applikation
Server
Server
Datenbank
Datenbank
Server
Server
IDS Event
Anwendungsangriffe
Logins, User- und
(Mail, Web, DNS)
(Mail, Web, DNS)
Systemanomalien
A
LogFiles
A
LogFiles
A
LogFiles
Filterung
Normalisierung
B
C
Aggregation
Basis Events
Priorisierung
Korrelation
korrelierter Events
24
Ein Angriff - Der Blick in das SIEM!
25
Ein Angriff - Der Blick in das SIEM!
26
Auswertung – visuelle Aufbereitung
Attacker IP mit
geografischen Standort
Grafik mit zeitlicher Verteilung der
Angriffe
Die Angreifer-Adressen sind
jeweils rot dargestellt und
das Angriffsziel als weißes
Quadrat.
Wird
der
Mauszeiger
auf
einen
entsprechenden
Punkt
geführt werden zusätzliche
Informationen
zur
IPAdresse
und
dem
geografischen
Standort
ausgegeben. Dieser Data
Monitor wird ebenfalls alle
30 Sekunden aktualisiert.
27
Tabelle mit Angreifer- Adresse,
GeoInfos,
Sie wollen mehr erfahren?
www.accessec.com
Ihre Referenten:
Sebastian Rohr
Nico Wiegand, CEH/CHFI…
rohr@accessec.com
wiegand@accessec.com
Herunterladen