SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

Transkript

1 SIEM Mozek pro identifikaci kybernetických útoků Jan Kolář , Praha, Cyber Security konference 2014

2 Agenda Prvky bezpečnosti IT Monitoring bezpečnosti IT (MBIT) Co je bezpečnostní incident? Jak začít s MBIT? Výběr vhodného řešení pro MBIT Postupy implementace MBIT Služby a řešení Simac v oblasti MBIT Závěr 2

3 Prvky bezpečnosti IT Používaná řešení k zabezpečení IT Prevenční Detekční Testovací Řídící Co z nich můžeme získat Samotná informace o porušení pravidla bez kontextu již nestačí 3

4 Monitoring bezpečnosti IT Proč monitorovat Prevenční nástroje nestačí, o bezpečnosti je potřeba mít zpětnou vazbu Nařízení ISO, norem, směrnic, auditů Co monitorovat Systémy o jejichž úrovni zabezpečení potřebujeme mít zpětnou vazbu Jak monitorovat Sběr relevantních informací Vyhodnocování informací Proces pro řešení bezpečnostního incidentu 4

5 Co je bezpečnostní incident? Událost od IPS nebo neúspěšný pokus o přihlášení? Nárůst objemu síťového provozu? Detekce nového zařízení v síti? K O N T E X T Modifikace souborových dat? Detekce malware na koncové stanici? Změna privilegií přístupových práv? A co je false positive? 5

6 Jak začít s MBIT Co je kritické pro obchodování Vaší společnosti? Co tedy potřebuji sledovat? Co potřebuji v monitorovacím nástroji vidět? Jakých zařízení a systémů se monitoring týká? Jaké události ze systémů jsou pro mě relevantní? Po jak dlouhou dobu chceme uchovávat data? Jakých interních procesů se to týká? 6

7 Výběr vhodného řešení pro MBIT Potřebuji opravdu SIEM anebo pouze řešení pro zpracovávání logů, tedy Log Management? Potřebuji silný bezpečnostní nástroj s logikou pro vyhodnocování a korelaci událostí se správou a evidencí incidentů, anebo nástroj na interpretaci logů? Mám dostatečně vzdělané lidi pro práci s MBIT anebo chci MBIT jako službu? Jak nejlépe ochránit stávající investice do bezpečnostních řešení? 7

8 Log Management vždy dříve než SIEM! Deploy log management functions before you attempt a wide-scale implementation of real-time event management. Gartner,

9 Funkce SIEM Kolekce logů Agregace Normalizace Filtrace Korelace Notifikace Reporting Workflow pro řešení incidentů Archivace 9

10 Architektury SIEM All in One Nižší pořizovací a režijní náklady Snadnější integrace do prostředí Nízká propustnost Jeden kritický bod Malá škálovatelnost Distribuovaná architektura Rozložení zátěže dle funkcí Kolekce, Archivace a Korelace Vyšší propustnost řízena počtem serverů s jednotlivou funkcí Vyšší pořizovací a režijní náklady Vyšší nároky na obsluhu a údržbu 10

11 Který SIEM si vybrat? 11

12 Jak správně dojít k SIEM? Uvědomění si, co chci SIEM vyřešit Přesvědčení se, že SIEM je ta nejlepší cesta Definice zadání Analýza trhu na vhodná řešení Upřesnění požadavků a rozsahu pro SIEM Zhodnotit objem dat pro logování Testování 2-3 vybraných řešení Finální výběr řešení Definice plánu a procesů na řešení incidentů 12 Implementace řešení

13 Postupy implementace MBIT v praxi Analýza, analýza, analýza,... Příprava implementačního projektu tabulky, tabulky, tabulky,... Realizace Akceptační testy Zkušební provoz 13

14 Nejlepší praktiky při nasazování řešení MBIT Dodržovat zmíněný logický postup pro výběr a implementaci řešení MBIT Implementovat Log Management vždy dříve než SIEM Začít u nejjednoduššího Rozšiřovat funkcionalitu postupně Nastavit procesy a plány pro řešení bezpečnostních incidentů před nasazením SIEM Kontinuální zaměření na to, co chci pomocí 14 SIEM řešit

15 Nejhorší praktiky při nasazování řešení MBIT Prostě něco koupíme Koupím, zapojím a čekám... Rozsah MBIT určíme až něco koupíme Výrobce SIEM mi řekne jak a co logovat Nepřipravenost prostředí (synchronizace času) Něco svítí červeně ale nevím co s tím Špatně nastavené procesy Nedodržování kontinuity MBIT Neustále je málo místa pro ukládání logů 15

16 Služby a řešení Simac v oblasti MBIT Analýza současného stavu a návrh řešení pro MBIT Implementaci MBIT Vypracování integračních příruček pro logování Vypracování návrhu procesů spojených s MBIT Servis a služby spojené s MBIT Implementace a provozování řešení spojených s MBIT na straně zákazníka Pomoc s vyhodnocováním bezpečnostních incidentů i formou služby Pravidelné bezpečnostní audity, vytvoření 16 bezpečnostních politik

17 Simac. Personal for everyone. 17

18 Dotazy? 18