Kokemuksia SIEM-järjestelmistä Vesa Keinänen Senior Network Security Specialist, CISSP Insta DefSec
Insta Group ja Insta DefSec Oy Insta Group Insta Group Oy on perheyritys, jonka juuret ulottuvat vuoteen 1960. Nykyään meillä työskentelee jo noin 700 osaajaa innovatiivisten tuotteiden, ratkaisujen ja palvelujen parissa Vahvan kasvun ja kansainvälistymisen aikaa elävä yritys on erikoistunut kahteen toimialaan, jotka ovat: puolustus- ja turvallisuusteknologia (Insta DefSec Oy) teollisuusautomaatioteknologia (Insta Automation Oy). Insta DefSec Oy Insta DefSecin yli 300 henkilöstä noin 250 työskentelee tehtävissä, jotka liittyvät turvallisuusviranomaisten järjestelmien, vahvan tietoturvan sekä palvelutuotannon tarjoamiseen. 2
Insta tietoturvakumppanina IAM Identiteetinhallinta ja pääsynvalvonta Kertakirjautuminen Lokienhallinta ja SIEM PALVELUT, PROJEKTIT JA TUOTTEET VERKON SALAUS Insta SafeLink Insta Voice Crypto Verkottumispalvelut TIETOTURVAN KONSULTOINTI- JA ASIANTUNTIJAPALVELUT Asiakaskohtaiset järjestelmähankkeet vaatimusmäärittelystä ylläpitoon Turvallisuussuunnittelut ja politiikat Teknologiaevaluoinnit Käyttöönottoprojektit PKI Insta Certifier Varmennepalvelut TETRA-verkon avaintenhallinta Tietoliikenne Asiakkaina korkean tietoturvatason organisaatiot Puolustushallinto Finanssi Viranomaiset Yritykset 3
Lokien hallinta ja SIEM Lokien hallinta Lokien keruu eri järjestelmistä Tapahtumien yhtenäistäminen (normalisointi) Tapahtumien luokittelu Lokien tallennus Tapahtumien selailu- ja tutkimistyökalut Raportointi Yksinkertaiset hälytykset SIEM Security Information and Event Management Kerätyn lokitiedon analysointi Korrelointi Erillisten tapahtumien yhteenlinkitys Trendianalyysi Anomaliatunnistus Hälytykset Raportointi Analysointiominaisuudet (raportointi) nojautuu tallennetun datan käsittelyyn jälkikäteen Lähes reaaliaikainen ja historiallinen analysointi 4
Terminologiaa ISO 27002 Information Security Event, tietoturvatapahtuma an information security event is an identified occurrence of a system, service or network state indicating a possible breach of information security policy or failure of safeguards, or a previously unknown situation that may be security relevant Information Security incident, tietoturvapoikkeama an information security incident is indicated by a single or a series of unwanted or unexpected information security events that have a significant probability of compromising business operations and threatening information security SIEM-järjestelmässä käsitellään mitä tahansa informaatiota, jolla voi olla merkitystä tietoturvan tilan seurantaan tai tietoturvapoikkeamien tunnistamiseen. 5
Miksi lokienhallinta tai SIEM? Sisäiset tarpeet Tietoturvan parantaminen Tietoturvasta vastaavalle parempi näkyvyys järjestelmän tilaan tietoturvan kannalta Toimintojen tehostaminen Vaatimustenmukaisuus KATAKRI, _ Kansallinen _ tietoturvan auditointikriteeristö Sisäverkko-ohje (VAHTI 3/2010), Tietoturva-asetus ISO 27001, 27002 tietoturvastandardit PCI DSS, Maksukorttialan tietoturvastandardi Vaatimuksia lokitiedon keruulle, tallennukselle ja suojaamiselle Ratkaisu: lokienhallinta Vaatimuksia lokitiedon seurannalle ja poikkeavien tilanteiden havaitsemiselle Ratkaisu: SIEM 6
SIEM yleiskuva Windows Työasemat, Palvelimet Linux Lokienhallinta - Keruu - Tallennus Tutkimustyökalut Raportit Reititin Tilannekuva Verkkolaitteet FW Kytkin IDS Tietoturva- Järjestelmät SIEM - Suodatus - Korrelointi Trendit _ Hälytykset _ Tapahtumien _ käsittelyn hallinta _ 7
Tutkitut SIEM-järjestelmät AlienVault Unified SIEM Windows Unix/ Linux IDS Snort HIDS ossec Haavoittuvuusskannaus OpenVas Liikenteen monitorointi Fprobe/nfdump Lokien keruu Tallennus tapahtumien normalisointi Raportointi Novell/ NetIQ Log Manager FW Laiteinventaario Laitteiden monitorointi Nagios Korrelointi Hälytykset IDS Novell / NetIQ Sentinel 7 Käyttäjä- Tietojen integrointi Trendien tutkiminen Työkulun hallinta 8
SIEM-järjestelmän tekniset komponentit Tapahtumien keruu, normalisointi ja luokittelu Lokitietojen / tapahtumien muuntaminen yhtenäiseen muotoon Mahdollistaa lähderiippumattoman datan jatkokäsittelyn ja analysoinnin Lokienhallinta- ja SIEM-järjestelmät sisältävät tuen tavallisimmille lokilähteille Erityiset lähteet vaativat räätälöintiä Sääntöpohjainen tapahtumasarjojen tunnistaminen Hyökkäysten ja epätyypillisten tilanteiden automaattinen tunnistus SIEM-järjestelmä sisältää mallisääntöjä, vaatii räätälöintiä paikalliseen ympäristöön Sääntöjen ylläpito jatkuvaa toimintaa Korrelointi Valittujen tapahtumien määrän seuranta Trendien analysointi Epätavallisten tilanteiden automaattinen tunnistus (anomaliatunnistus) 9
Tietojen yhdistäminen Tapahtumat -IDS -Käyttäjät - jne Haavoittuvuudet SIEM Käyttäjä- tiedot Tutkimustyökalut Raportit Tilannekuva _ Hälytykset _ Laiteinventaario Haavoittuvuus- skannaus Liikennetiedot Paikka- tiedot 10
SIEM-käyttöönotto (testaus, PoC) Tyypillinen tapa: Tietoturva-asiantuntija hoitaa toteutuksen ja testauksen Konfiguroi lokien keruu eri lokilähteistä Konfiguroi/räätälöi raportteja Konfiguroi hälytykset 1 2 3 4 5 Konfiguroi lokien normalisointi - valmiit säännöt - räätälöinti Konfiguroi analysointi/korrelointi 11
SIEM-käyttöönotto (testaus, PoC) Paranneltu toteutusmalli - Tietoturvapäällikkö asettaa tavoitteet - Tietoturva-asiantuntija hoitaa toteutuksen Aloita tästä! Aseta tavoitteet: - Mitä kerätään - Mitä tutkitaan - Mitä raportteja / hälytyksiä / trendejä halutaan nähdä Konfiguroi lokien keruu eri lokilähteistä Konfiguroi/räätälöi raportteja Konfiguroi hälytykset 1 2 3 4 5 Konfiguroi lokien normalisointi -valmiit säännöt - räätälöinti Konfiguroi analysointi/korrelointi 12
Kysymyksiä? 13
Kiitos! Yhteystiedot Insta DefSec Vesa Keinänen Senior Network Security Specialist, CISSP Sarankulmankatu 20 FIN-33901 Tampere Tel: 050 3592433 Email: vesa.keinanen@insta.fi www.security.insta.fi 14