FH-Brandenburg- SIEM - Masterstudiengang Security Management
Werbung
Security Information & Event Management Die Jäger & Sammler der IT-Security Ihre Referenten: Sebastian Rohr, CISSP/CISM Nico Wiegand, CEH/CHFI… CTO accessec GmbH Senior Consultant accessec GmbH Agenda 1 SIEM – Treiber im Unternehmen 2 SIEM erfordert Planung, Vorbereitung und weitreichende Integration 3 Ziele und Verantwortlichkeiten im Voraus festlegen 4 SIEM im Outsourcing 5 Der Bedarf für ein Security Information & Event Management Tool 6 SIEM Einführung in Phasen 7 Mehrwerte durch SIEM Analysen 2 (Vermutete) Treiber im Unternehmen • Zum Schutz des Unternehmens (wenig fokussiert)? • Schutz der Unternehmensdaten (nur detektiv)? • Schutz der IT-Systeme (nur reaktiv)? SIEM ist ein sekundäres System und zudem reaktiv ! Wenn auch automatisiert & schnell… Eher zum Kenntnisgewinn und für tiefere Einblicke: • Sammelt, aggregiert, kondensiert und korreliert • Schafft „Durchblick“ durch gemeinsame Betrachtung • Hilft gute Sicherheitsstrukturen zu verbessern Ohne Sicherheitsstrategie Agenda 1 SIEM – Treiber im Unternehmen 2 SIEM erfordert Vorbereitung, Planung und weitreichende Integration 3 Ziele und Verantwortlichkeiten im Voraus festlegen 4 SIEM im Outsourcing 5 Der Bedarf für ein Security Information & Event Management Tool 6 SIEM Einführung in Phasen 7 Mehrwerte durch SIEM Analysen 5 SIEM ohne Planung & Vorbereitung © „creativkopf“ SIEM braucht Strategie und Rahmen Fordern Plan Vorgaben („Legislative“) Intern -> Sicherheitspolicies Extern -> Gesetze und Vorgaben Fördern Behebung Maßnahmen „Judikative“ Act Kontrolle Audits (Revision) Assessments Do Check Umsetzung Betrieb `Interne QS` „Exekutive“ SIEM braucht (fast) vollständige Information SysLogs: Cisco, Windows, Sun, VMware, Linux/Unix etc Lokale SecManagement Tools: IDS/IPS, FW, AV,VPN… Incident Management: Remedy o.ä., User Helpdesk Integration SIEM Risikobewertung // Risikomanagement VM Tools: Qualys, Foundstone, nCircle, Secunia etc. Datenfluss für SIEM im Detail CMDB Assetinfo OS + Drv SW + Tools Gruppe Anwendung Bedeutung Interdep. … … IDS VMTool Assetinfo OS + Drv -> SW + Tools -> <-Gruppe <-Anwendung <-Bedeutung <-Interdep. … … Quelle und Datenhoheit Service Management Nachfragemg SIEM Tool Assetinfo OS + Drv SW + Tools Gruppe Anwendung Bedeutung Interdep. … … FW SIEM CMDB Event DB Dashboard Incidents Risikomanagement 9 AV Web Sec SysLogs Agenda 1 SIEM – Treiber im Unternehmen 2 SIEM erfordert Vorbereitung, Planung und weitreichende Integration 3 Ziele und Verantwortlichkeiten im Voraus festlegen 4 SIEM im Outsourcing 5 Der Bedarf für ein Security Information & Event Management Tool 6 SIEM Einführung in Phasen 7 Mehrwerte durch SIEM Analysen 10 Erfolgreiches SIEM erfordert Kenntnis… WAS man schützen will WELCHE Systeme welchen „Wert“ haben WIE diese Systeme geschützt werden WELCHE Schwachstellen diese Systeme aufweisen Wirklich wirksam wird SIEM erst, wenn man • • • • Reaktionen auf Alarme (teil-)automatisiert Ansprechpartner in den Fachseiten hat Schnell Gegenmaßnahmen ergriffen werden Aus Angriffen gelernt wird! Mehr Durchblick mit planvollem SIEM! © „pascar“ © Jens Hieke“ Agenda 1 SIEM – Treiber im Unternehmen 2 SIEM erfordert Planung, Vorbereitung und weitreichende Integration 3 Ziele und Verantwortlichkeiten festlegen 4 SIEM im Outsourcing 5 Der Bedarf für ein Security Information & Event Management Tool 6 SIEM Einführung in Phasen 7 Mehrwerte durch SIEM Analysen 13 SIEM – „as-a-Service“ im Outsourcing • System, Experten und SOC werden gestellt – Kein Schichtbetrieb – Keine spezielle Ausbildung – Keine teure Infrastruktur, nur begrenzt „Lizenz“ • • • • • Kritisches Infrastruktur Know-How gelangt „außer Haus“ Alle Event-Informationen gehen „außer Haus“ Alle Analysen erfolgen „außer Haus“ Interne haben „keine Ahnung“ vom SIEM Externe haben keinen Einblick in die internen Abläufe SIEM – für ausgelagerte Systeme • Geht das überhaupt? – – – – • • • • • Recht auf Audit = Recht auf alle Logs des Dienstleisters? Datenschutz & Datensparsamkeit Abgrenzung/Mandantenfähigkeit der Logs Übertragung der Daten zum Auftraggeber (oder –nehmer?) Kritisches Infrastruktur Know-How gelangt „außer Haus“ Event-Informationen gehen „außer Haus“ Analysen erfolgen „außer Haus“ Interne haben „keine Ahnung“ vom SIEM Dritte bekommen Einblick in die internen Abläufe SIEM – nur jagen & sammeln reicht nicht! Ohne Sicherheitsstrategie + Policy kein SIEM • Risiko- und Business Impact Analyse als Vorbereitung • Asset-Attribute & „Asset-Werte“ sind Schlüsselinformationen Klare Vorstellung was mit SIEM erreicht werden soll Erfahrenes & geschultes Personal intern ist erforderlich • • • • Identifikation der „Quellen-Verantwortlichen“ Kommunikationswege festlegen (Report/Standard/Notfall) Gegenmaßnahmen definieren Integration mit Helpdesk & Security Incident Management Erfahrene Berater für Planung, Ausschreibung, Betrieb 16 Agenda 1 SIEM – Treiber im Unternehmen 2 SIEM erfordert Planung, Vorbereitung und weitreichende Integration 3 Ziele und Verantwortlichkeiten festlegen 4 SIEM im Outsourcing 5 Der Bedarf für ein Security Information & Event Management Tool 6 SIEM Einführung in Phasen 7 Mehrwerte durch SIEM Analysen 17 Der (technische) Bedarf für ein SIEM Tool Fakten • • • 3 von 4 Angriffe zielen auf Applikationen (nicht nur im Web!) (Gartner) 70 % der Schwachstellen befinden sich im Appl. Layer, nicht auf der Netzwerkebene (Gartner) 64 % der Softwareentwickler glauben nicht daran, sichere Anwendungen schreiben zu können. (Microsoft) Die häufigsten Sicherheitslücken Ziele/Herausforderungen • • • • • • • • Die Anzahl der Web-Applikationen steigt ständig Webapplikationen greifen häufig auf Back End-Systeme zu Viele Applikationen wurde individuell entwickelt oder angepasst Sie wurde nicht ausreichend getestet Verschiedene Abteilungen sind beteiligt / verantwortlich Keine klaren Verantwortungen Auf Web Appl. soll aus dem Internet zugegriffen werden Hacker beweisen immer mehr Improvisationstalent. 18 • • • • • • • • • • Cross Site Scripting (XSS) Injection (insbesondere SQL) Remote File Inclusion/Execution Direct Object Reference Cross Site Request Forgery (CSRF) Informationspreisgabe und Fehlermeldungen Authentifizierung und Sessions Verschlüsselung gespeicherter Daten Verschlüsselung der Kommunikation Zugriff auf "versteckte" URLs („security by obscurity“) Agenda 1 SIEM – Treiber im Unternehmen 2 SIEM erfordert Planung, Vorbereitung und weitreichende Integration 3 Ziele und Verantwortlichkeiten festlegen 4 SIEM im Outsourcing 5 Der Bedarf für ein Security Information & Event Management Tool 6 SIEM Einführung in Phasen 7 Mehrwerte durch SIEM Analysen 19 SIEM Einführung in Phasen Phase 1 Entwicklung SIEMBetriebskonzept Erstellung SIEM-BK damit der Dienstleister die Überwachung der sicherheitsrelevanten Systeme fachund sachgerecht betreiben kann. 2007 2008 Phase 2 Proof of Concepts Phase 3 mSIEM Vertrag und integration der Applikation Erkennen der fachlichen, technischen Möglichkeiten und Grenzen. Überwachen der Internet-Portale und Logistikzentren Beschaffung und Aufbau der SIEM-Plattform, Definition der Service Prozesse, Betrieb der SIEM-Plattform 2009 2010 20 Phase 4 Optimierung und Integration der kritischen ITApplikationen Erstellung der SIEMBasiskonfiguration inkl. der notwendigen UseCases zur Angriffserkennung 2011 Aktueller Status! – Events? In der aktuellen Integrationsphase habe wir ca. 150 Security-Devices zzgl. verschiedene Web-, Applikationsund Datenbank-Server eingebunden und erhalten folgenden Summen von Events. » IDS Systeme > 30.000 Events/Monat » Anti Virus > 40.000 Events/Monat » Datenbankserver > 170.000 Events/Monat » Vulnerability Scanner > 1.000.000 Events/Monat » Apache-Logs > 65.000.000 Events/Monat » Firewall > 680.000.000 Events/Monat » System-Eventlogs > 1.200.000.000 Events/Monat 21 Agenda 1 SIEM – Treiber im Unternehmen 2 SIEM erfordert Planung, Vorbereitung und weitreichende Integration 3 Ziele und Verantwortlichkeiten festlegen 4 SIEM im Outsourcing 5 Der Bedarf für ein Security Information & Event Management Tool 6 SIEM Einführung in Phasen 7 Mehrwerte durch SIEM Analysen 22 SIEM – das Wichtige vom Unwichtigen trennen! Täglich mehrere Millionen Events von kritischen Applikationen • Unüberschaubare Menge an Logs • Kein zentralen Sammelpunkt und Analyse (Insellösungen) • Viele Fehlalarme (False Positives) • Viele unterschiedliche Konsolen Firewalls VPN Vulner Intrusion ability Detection Assess Systems ment Server Desktop OS Network Devices Relevante Informationen aus ermitteln und bewerten Ziele & Herausforderungen Anti Virus Das Wichtige vom Unwichtigen trennen! Ermittlung hoch kritischer Vorfälle 23 Wenn es bei der Eventkorrelation innerhalb SIEM zu Abweichungen vom Normalzustand kommt, ist das Ergebnis eine Alarmmeldung AntiViren AntiViren AntiViren AntiViren Intrusion Intrusion Preventio Preventio System System DMZ DMZ Intranet Intranet Firewall Firewall zu zu Webservern Webservern Firewall Firewall zu zu Applikation Applikation Intranet Intranet Firewall Firewall zu zu Datenbanken Datenbanken Internet Internet Webserver Webserver Netzanomalien- und angriffe (geblockte Ports und Portscans) A B LogFiles Applikation Applikation Server Server Datenbank Datenbank Server Server IDS Event Anwendungsangriffe Logins, User- und (Mail, Web, DNS) (Mail, Web, DNS) Systemanomalien A LogFiles A LogFiles A LogFiles Filterung Normalisierung B C Aggregation Basis Events Priorisierung Korrelation korrelierter Events 24 Ein Angriff - Der Blick in das SIEM! 25 Ein Angriff - Der Blick in das SIEM! 26 Auswertung – visuelle Aufbereitung Attacker IP mit geografischen Standort Grafik mit zeitlicher Verteilung der Angriffe Die Angreifer-Adressen sind jeweils rot dargestellt und das Angriffsziel als weißes Quadrat. Wird der Mauszeiger auf einen entsprechenden Punkt geführt werden zusätzliche Informationen zur IPAdresse und dem geografischen Standort ausgegeben. Dieser Data Monitor wird ebenfalls alle 30 Sekunden aktualisiert. 27 Tabelle mit Angreifer- Adresse, GeoInfos, Sie wollen mehr erfahren? www.accessec.com Ihre Referenten: Sebastian Rohr Nico Wiegand, CEH/CHFI… [email protected] [email protected]
