you SIEM Andrii Kuzmenko IBMSecurity

Save this PDF as:
 WORD  PNG  TXT  JPG

Размер: px
Начинать показ со страницы:

Download "you SIEM Andrii Kuzmenko IBMSecurity"

Транскрипт

1 you SIEM Andrii Kuzmenko IBMSecurity

2

3 Если прислушаться, то можно услышать внедрение SIEM

4

5 Ресурсы Загоним логи. Потом решим Деньги Время

6 выручалочка внедрение выбросить конструктор сжечь настройка долго Не ловит испытание зачем спаситель панацея боль дорого Не спасёт технология кривой

7 Compliance Обнаружение «Магия» А может SOC? Что-то ещё запилим

8 #QradarSIEM Andrii Kuzmenko

9 ЖУНАЛЫ СОБЫТИЙ THREAT INTELLIGENCE NetFlow, jflow, sflow Центр обнаружения Корреляция событий Журналы Потоки IP репутация Геолокация OFFENSE DPI КОНФИГУРАЦИИ ТОПОЛОГИЯ УЯЗВИМОСТИ ПОЛЬЗОВАТЕЛИ Анализ активности и обнаружение аномалий Активность пользователей Активность БД Активность приложений Сетевая активность Идентификация нарушений Достоверность Критичность Релевантность RULES ПРОСТОТА ФУНКЦИОНАЛ РЕЗУЛЬТАТ + =

10 Flows Packets Инструменты IBM Security Qradar An integrated, unified architecture in a single web-based console Vulnerabilities Configurations Logs Events Response UBA IBM Security QRadar Security Intelligence Platform

11 Внедрение. Стоимость владения. Эффективность EPS\ EPS 600 K FPM\ 100 K FPM VM hosts\ VM 300 Firewalls & Network\ 50 FW 1000 Servers Patching\ 700 Servers VS? SIEM VM NBAD PATCH & CM

12 Работа с журналами событий Logs Case Incident

13 Готовые правила и отчеты Правила и группы правил (PCI, ISO, атаки и пр.) Преднастроенные отчеты и правила поиска Быстрый доступ к информации Быстрый результат Простота

14 Подключение нестандартных источников

15 А как нам всё это настроить?

16

17 Аномалии в поведении пользователей Учетные записи, псевдонимы Vasiliy Petrov VasPetrov vaspet 0D1234 История всей активности и событий Что он делал и почему это опасно? 16

18 COMPLIANCE. РАССЛЕДОВАНИЯ. Advanced Persistent Threat Insider Threat Securing the Cloud Critical Data Protection Risk and Vulnerability Management Compliance Incident Response Firewall/Router IDS/IPS Web Proxy VPN DNS DHCP Mail Log DLP Endpoint LDAP/AD/Radius Anti Virus QNI/Netflow Database EDR AWS/Azure Office 365

19 Наша версия haveibeenpwned

20 Анализ трафика Logs Case Incident Flows NetFlow JFlow SFlow + QFlo VFlow w IPFix 2,4 Layer (MAC, IP) 7 Layer (Facebook, PDF, ) 7 Layer VMware

21 Анализ сетевой активности Определение атак нулевого дня, на которые не выпущены сигнатуры Мониторинг политик и детектирование серверов Видимость всех путей атак Пассивный мониторинг всей сети и создание профилей активов Решение проблемы видимости всего происходящего в сети

22 Инвентаризация и контекст Asset DB (База активов) Logs 1) Автораспознование активов (DNS, DHCP, Mail, FTP ) 2) User info (AD, Web Login) 3) IPS+IPFix+Application Info (Facebook) 4) Guardium (DB) 5) Mainframe 6) IDM / AM 7) Сканеры уязвимостей 8) IP Reputation Botn et Malware Anonym Proxy Сканеры IP SPAM sites Case Incident Flow s NetFlow JFlow SFlow + QFlow VFlow IPFix 2,4 Layer (MAC, IP) 7 Layer (Facebook, PDF, ) 7 Layer VMware

23 Инвентаризация Инвентаризация активов Создание профилей ] Определение серверов Корреляция по всем активам и сервисам Использование списков Сколько у нас БД? DNS? Exchange?

24 Анализ конфигураций сетевых устройств Asset DB (База активов) Logs 1) Автораспознование активов (DNS, DHCP, Mail, FTP ) 2) User info (AD, Web Login) 3) IPS+IPFix+Application Info (Facebook) 4) Guardium (DB) 5) Mainframe 6) IDM / AM 7) Сканеры уязвимостей 8) IP Reputation Botne t Malware Anonym Proxy Сканеры SPAM IP sites Case Incident Config Info (Routers, FW ) Risk Manager Flow s NetFlow JFlow SFlow + QFlow VFlow IPFix 2,4 Layer (MAC, IP) 7 Layer (Facebook, PDF, ) 7 Layer VMware Симуляция Выявление ошибок в настройках

25 Симуляция атаки Выбор Policy симуляции Monitor Select Выбрать input validation SSH vulnerabilities policy Drill in assets and Выбрать активы vulnerability information Визуализация Policy Путь Monitor атаки Select input validation Распространение policy Drill in assets and Мониторинг в режиме РВ vulnerability information

26 Визуализация

27 История изменений

28 Управление уязвимостями AppScan (Web) Trusteer Guardium (DB) Встроенный сканер Vulnerability Manager Scanners Site Protector Появление нового устройства Появление новой уязвимости Изменения в топологии сети Проверка подозрительного устройства Сканирование отдельных групп ресурсов Asset DB (База активов) Logs 1) Автораспознование активов (DNS, DHCP, Mail, FTP ) 2) User info (AD, Web Login) 3) IPS+IPFix+Application Info (Facebook) 4) Guardium (DB) 5) Mainframe 6) IDM / AM 7) Сканеры уязвимостей 8) IP Reputation Botne t Malware Anonym Proxy Сканеры SPAM IP sites Case Incident Inactive (Flows) Patched (BigFix) Blocked (IPS/FW) Risk (X-Force, CVES) Exploited Config Info (Routers, FW ) Risk Manager Flow s NetFlow JFlow SFlow + QFlow VFlow IPFix 2,4 Layer (MAC, IP) 7 Layer (Facebook, PDF, ) 7 Layer VMware Симуляция Выявление ошибок в настройках

29 Управление уязвимостями

30 Подключение аналитики IBM X-Force(Free)* Console Event Processor Flow Processor

31 Offence (Инцидент) AppScan (Web) Trusteer Guardium (DB) Встроенный сканер Vulnerability Manager Scanners Site Protector Появление нового устройства Появление новой уязвимости Изменения в топологии сети Проверка подозрительного устройства Сканирование отдельных групп ресурсов Сканирование снаружи Asset DB (База активов) Logs 1) Автораспознование активов (DNS, DHCP, Mail, FTP ) 2) User info (AD, Web Login) 3) IPS+IPFix+Application Info (Facebook) 4) Guardium (DB) 5) Mainframe 6) IDM / AM 7) Сканеры уязвимостей 8) IP Reputation Botne t Malware Anonym Proxy Сканеры SPAM IP sites Real- Time Case Incident Offence (нарушение в динамике) Проблемы обычных SIEM: 1. Вечное внедрение (люди, $$$) 2. Много ложных срабатываний 3. Многое упускает Inactive (Flows) Patched (BigFix) Blocked (IPS/FW) Risk (X-Force, CVES) Exploited Config Info (Routers, FW ) Симуляция Risk Manager Выявление ошибок в настройках Baseline analysis Flow s 24 часа NetFlow JFlow SFlow + QFlow VFlow IPFix 2,4 Layer (MAC, IP) 7 Layer (Facebook, PDF, ) 7 Layer VMware 7 дней

32 Архитектура и компоненты IBM QRadar Security Intelligence IBM QRadar Scanner IBM QRadar Forensics IBM QRadar Data Node IBM QRadar Processor IBM QRadar Collector IBM QRadar Packet Capture IBM QRadar Network Insights IBM QRadar App Node IBM QRadar Network Insights IBM QRadar Network Insights Облако

33 SIEM для ИБ, а не ИБ для SIEM IBM QRadar Pulse

34 SIEM vs SOC Уровень «Операционная деятельность» Технологии Операционная деятельность Стратегия SIEM Аналитика & отчётность по инцидентам Архитектура & Проекты Администрирование Разработка/настройка правил Интеграция инструментов Подключение устройств ИБ Ticketing & Workflow Источники данных Структурированные (транзакционные) Справочные наборы данных Неструктурированные (big data) Командный центр кибер безопасности (CSCC) Governance / Collaboration / Requirements / Briefings Предоставление сервиса & Оперативное управление Service Level Management / Efficiency / Capacity Management / Escalation Tier 1 Монитор инг Reporting & Dashboards Анализ разведки Управление IOC Активная защита Аналитика ИБ Tier 2 Приорет изация Big Data Источники аналитики Подписки (вендора/партнёрства) Открытые (социал./новости/блоги) Частные (партнёрства/правительство) Управл. сценариями Управление инструкциями Активный поиск угроз Tier 3 Ответная реакция Компоненты платформы и данных Predictive/ Cognitive Analytics Бизнес аналитика Структура & География Классификация данных Анализ рисков и влияния Intelligenc e Интеграция ИБ Упр. уязвимостями Тестирование на проникновение Фрод Расследования CSIRT Реагирование на черезв. ситуации Расследования Active Defense Информация о активах Активы / CMDB Уязвимости Сетевая иерархия Операции Компании Бизнес подразделения Управление рисками Аудит / Комплайанс Юристы / Антифрод PR / Коммуникации Операции IT/OT Help Desk (ITSM) Сетевые операции Администп. Серверов Разработка Физическая безопасн. Легенда SOC IT / OT Компания

35 Преимущества SOC ИБ Бизнес ИБ Бизнес Ранняя идентификация и быстрое разрешение Центр Оперативного Реагирования (люди, процедуры, технологии) Устранение инцидентов до их влияния Минимизация финансовых потерь

36 Подход «Сверху вниз» при разработке правил реагирования Риски от бизнеса 1 2 Сценарии Угрозы (Use cases) Правила SIEM 1. Бизнес определяет релевантные риски и угрозы SOC SIEM Данные для отчётности Система мониторинга инцидентов КБ (Use Case) Потенц. инциденты Данные по отчётности Система Система визуализации визуализации отчётности 4 3 Система управления инцидентами КБ Процессы SOC Система реагирования на инциденты Эскалация инцидентов Система аналитики киберугроз Уведомление о немедленных угрозах EMT (Антикризисный комитет SOC) Инцидент Приоритезация Реагирование 2. SOC обеспечивает мониторинг реализации этих угроз посредством сценариев (Use Case) и правил SIEM 3. При обнаружении реализации угрозы регистрируется инцидент 4. Инцидент обрабатывается согласно определённым приоритетам

37 Технологии Концепция SOC и Fusion Center не зависит от поставщиков конкретных кирпичиков. Командный центр кибер безопасности (CSCC) Операционная деятельность Стратегия IBM Security Qradar SIEM Аналитика & отчётность по инцидентам Архитектура & Проекты IBM Resilient Incident Response platform Администрирование Разработка/настройка правил Интеграция инструментов Подключение устройств ИБ Governance / Collaboration / Requirements / Briefings Предоставление сервиса & Оперативное управление Service Level Management / Efficiency / Capacity Management / Escalation IBM Cognos BI Анализ разведки Управление IOC Активная защита Tier 1 Монитор инг Аналитика ИБ Tier 2 Приорет изация IBM BigInsights Управл. сценариями Управление инструкциями Активный поиск угроз Tier 3 Ответная реакция Интеграция ИБ Упр. уязвимостями Тестирование на проникновение Фрод Расследования IBM Watson For Cyber CSIRT Security Реагирование на черезв. ситуации Расследования Операции Компании Бизнес подразделения Управление рисками Аудит / Комплайанс IBM X-Force Exchange subscription Юристы / Антифрод PR / Коммуникации Операции IT/OT Help Desk (ITSM) Сетевые операции IBM Security Solutions Администп. Серверов Разработка Физическая безопасн. SIEM Ticketing & Workflow Источники данных Структурированные (транзакционные) Справочные наборы данных Неструктурированные (big data) Компоненты платформы и данных Reporting & Dashboards Big Data Источники аналитики Подписки (вендора/партнёрства) Открытые (социал./новости/блоги) Частные (партнёрства/правительство) Predictive/ Cognitive Analytics Бизнес аналитика Структура & География Классификация данных Анализ рисков и влияния Intelligence Active Defense Информация о активах Активы / CMDB Уязвимости Сетевая иерархия Легенда SOC IT / OT Компания

38

39