Visualisoi tapahtumat ja selvitä niiden kulku ~ Demoesitys tietoturvatapahtumien hallinnasta ~ Antti Jääskeläinen, Asiantuntijapalvelut, Cygate Oy
Turvaa infrastruktuurisi Cygaten tietoturvapalveluilla ja -ratkaisuilla Asiakkaamme käyttävät korkealuokkaista tietoturvaosaamistamme pienistä tietoturvaratkaisuista aina 24x7 hallittuihin globaaleihin tietoturvakokonaisuuksiin Tietoturva muodostuu nykyisin monesta hyvin teknisestä osakokonaisuudesta, jotka on pystyttävä valjastamaan tehokkaasti hyötykäyttöön
Tietoturvaratkaisut
Käsiksi tietoon... Web server activity logs Switch logs Web cache & proxy logs Content management logs IDS/IDP logs VA Scan logs Router logs Windows domain logins Wireless access logs Oracle Financial Logs Mainframe logs Windows logs San File Access Logs DHCP logs File Integrity logs VLAN Access & Control logs Custom Application logs VPN logs Database Logs Firewall logs Client & file server logs Linux, Unix, Windows OS logs
Tietoturvatapahtumat
Security Information and Event Management = Esityksen sisältö painottuu näihin osa-alueisiin
SIEM:ia pala kerrallaan... Vaihe 1 Lokit talteen ja perusanalysointiin Log Management Järjestelmä tarjoaa hyvät työkalut out of the box Vaihe 2 Omien Dashboard-näkymien ja raporttien luominen (SIM) Security Information Management (SIM) Tietoturvaprosessin tehostaminen Vaihe 3 Hälytysten tuottaminen Security Event Management (SEM) Tapahtumapohjaiset hälyt ilman korrelointia (baseline, critical events...) Vaihe 4 Security Operations Center -toiminnallisuus Aktiivinen tapahtumien seuranta / analysointi, Forensics-analyysi, korrelointi...
Tekemisen haasteet! Tarvitaan osaamista kautta linjan ja tehokasta osapuolien välistä yhteistyötä Verkko, tietoturva, palvelimet, sovellukset, 3.osapuoli... Projekti kestää helposti yli kuukauden tai vaikka puoli vuotta riippuu tarpeesta, Q&D on myös mahdollista Projektipäällikkö on avainasemassa Järjestelmä vaatii tuekseen prosesseja sekä hyvän dokumentaation ohjaamaan käyttöä ja prosesseja Suunnittele ensin ja toteuta vasta sitten... RSA envisionin rajat ylettyvät taivaaseen - kokeilu ja testailu vie helposti liian kauan aikaa pala kerrallaan
Visualisoi tapahtumat - arkkitehtuuri Devices security devices network devices applications / databases servers storage Baseline Correlated Alerts Report LogSmart IPDB Realtime Analysis Forensics Interactive Integrated Incident Query Mgmt. Web GUI Event Explorer Users Servers Compliance 3rd party External Audit Network Security
Lokiviestien kategorisointi ja sisältö Devices security devices network devices applications / databases servers storage Web GUI Baseline Correlated Alerts Report 1. All raw logs 2. Categorized Events (3-levels) 1. Attacks 2. Recon 3. Content 4. Auth 5. User 6. Policies 7. System 8. Config 9. Network 10. Other 3. Reporting tables (SQL) Detailed Event Information IP-address, SourcePort, Bytes, Username... LogSmart IPDB Realtime Analysis Event Explorer Forensics Interactive Integrated Incident Query Mgmt. Users
Web GUI: Quick Event Analysis - Windows
Web GUI: Quick Event Analysis - Firewall
Web GUI: Firewall Dashboard - esimerkki
Web GUI: Lisää Dashboard-näkymiä Routers and Switches Denied Connections, Traffic, Errors, etc. Email Traffic AntiVirus, Spam, Traffic, etc. Web Traffic AntiVirus, URL-categories, Traffic, etc. Authentication Successful Auth, Failed Auth, Auth Trends, etc. Servers (Windows, Linux, Unix...) File Access, System/Application Errors/Notifications, etc. Applications / Services AntiVirus, Errors, Backup operations, etc. Global Config Changes, Errors, Failures and Alerts
EE: Forensics & Interactive Query RSA envision Event Explorer Windows-sovellus (XP/Vista) Hakee envisionista olio-pohjaisesta kannasta dataa omaan SQLkantaan reaaliajassa tai tietyltä ajalta Oikeudet eri laitteisiin määrätään käyttöoikeuksien kautta Nopeuttaa analysointia ja sopii työkaluksi, kun Etsitään vika- ja ongelmatilanteita verkosta Tarkennetaan tietoja epäilyttävistä tietoturvatapahtumista (virukset, porttiskannaukset, tunkeutuminen järjestelmään jne.) Pyritään kehittämään tietoverkon palveluita (trendit ja tapahtumamäärät) SOC-työkalu, joka mahdollistaa myös Security Incidenttien käsittelyn (ticketöinti) Watchlists, Vulnerability and Asset Management, and Task Triage
EE: Demoilua... RSA envision EE Flash http://www.rsa.com/experience/envision/ee/ Standard Reporting Nopeasti taulujen sisältöihin ja tapahtumakategorioihin kiinni Advanced Reporting SQL-kyselyjen kautta tarkempia graafeja ja taulukoita Demo... Top 25 Monimutkaiset filtteröinnit Sorttaukset...
RSA envision Event Explorer
RSA envisionin (tai oikeastaan SIEM-konseptin) hyvät ja huonot puolet Hyvät + Helppo ottaa käyttöön - (arkkitehtuuri on yksinkertainen) + Voidaan kasvaa ratkaisualue ja lisenssi kerrallaan - (rajana EPS/Devices) + Ei tarvita juurikaan agentteja - (silti kaikki lokidata saadaan talteen) + Erittäin tehokas tietokanta - (1:10 pakkaus ja analysointi on nopeaa) + Sopii SIM- tai SEM-käyttöön - (kaikki ominaisuudet heti käytössä) + Erittäin laaja tuki eri järjestelmille - (tuki laajenee ja tarkentuu kerran kuukaudessa) Huonot - Laajamittaisempi käyttö vaatii opettelua - Kaikki käyttöä helpottavat työkalut eivät vielä ole Web GUI:ssa - Mikään järjestelmä ei tuota suoraan asiakkaan näköistä tietoa - Projektia seuraa projekti, joka tarvitsee tuekseen yhden projektin - (työtä, työtä, työtä...)
Piece by piece Vaihe 1 Lokit talteen ja perusanalysointiin Vaihe 2 Omien Dashboard-näkymien ja raporttien luominen (SIM) Vaihe 3 Hälytysten tuottaminen Vaihe 4 Security Operations Center -toiminnallisuus
Kysymyksiä? Antti Jääskeläinen, Asiantuntijapalvelut, Cygate Oy Lisätietoja Cygaten tietoturvaratkaisuista ja -palveluista www.cygate.fi