Upload
others
View
26
Download
0
Embed Size (px)
Citation preview
ArcSight Product UpdateLeon Chiu, HPE ESP [email protected]
October 04, 2016
今日數位化企業的資安挑戰
企業IT的快速轉型
• Shift to hybrid
• Mobile connectivity
• Big data explosion
成本與複雜的監管要求
• Compliance
• Privacy
• Data protection
日益複雜的網絡攻擊
• More sophisticated
• More frequent
• More damaging
]HackedTeam[事件
比特幣交易所遭駭
4
發現入侵的平均時間243 天
2013 January February March April May June July August September October
入侵發生在應用層
自從2010年,花費在解決入侵的時間上漲了
入侵被第
三方披露
企業處理攻擊威脅的策略
探查偵蒐
漏洞研究
Our enterprise
Their ecosystem
入侵攻擊
資產竊取
傳遞盜取
預防
偵測與回應
回復
預防(Prevent)
- 資安研究 (Research)- 威脅情資交換 (Intelligence)
偵測與回應(Detect & Response)
- 即時關聯分析 (Know)- 行為分析 (Unknown)- 資安大數據 (Hunt)- 資安事件調查 (Investigation)- 情境式威脅阻絕 (Remediation)
回復(Recover)
- 資料記號化 (Tokenization)- 資料加密 (Encryption)
PR
OT
EC
T
全球網絡犯罪成本的研究7個國家252間公司,總共1,928次攻擊來評估總體成本
7
企業部建資安防禦技術比例 估計投資報酬率比較
SIEM確保有效降低資安成本
8
• 為能夠有效管理,資安監控中心需分析的事件量不斷增高
• 資安監控中心是否有效決定在有效率的事件分辨率以及高速的處理效能
• 越少的誤報率提供資安分析人員專注於嚴重事件與IOCs
# logs & events
increases exponentially
Alerts identified
Increase speed to detection
Speed up investigation
Logs & Events
Alerts Incidents
Investigation
HuntIOCs
Cloud
Users
Network
Endpoints
Servers & Workloads
Apps
IoT
ArcSight資安管理平台架構
9
Users EndpointsNetworkServers & WorkloadsAppsCloud IoT
ArcSight Data Platform Threat Central
ArcSight MarketplaceFramework for Security Operations providing essential use cases and processes
ArcSight ESMArcSight User
Behavior Analytics
ArcSight DMAFortify App Analytics
AnalyticsSIEM
全文搜尋功能
欄位搜尋功能
快速的事件搜尋能力!
235 hitsat 4,147,066,963 eventsin 50.571 secs
關連並告警
透過ArcSight精準分析網頁應用程式攻擊
APP1 APP2 APP3
…
1WI掃描應用程式,得到應用程式弱點與弱點分類
3WAF(F5)傳送log至ArcSightF5.deviceAction != BlockF5.destination = 192.168.30.144F5.requestUrl = URLF5.requestMethod = MethodF5.attackCategory = F5Category WI Scan Report
WI.destination = 192.168.30.144WI.requestUrl = URLWI.requestMethod = MethodWI.attackCategory = OWASP2010
192.168.30.144
2 ArcSight匯入掃描報告並且建立弱點清單
透過ArcSight融合自動防護架構
SPAN
IPS
IPS
IPS Console Request IPS Block
SandBox
Request Disable Account
Aruba網路存取控制
呈現企業IT管理的成果 – ISO 27000管理儀表板
ISO 27000管理儀表板 –違規告警內容
依據業務系統(自定義)的安全等級評分
• ESM + Risk Insight
• 優點
• 具備業界最佳的關聯引擎
• 客戶實際案例最多
• 可克制各種儀表版
• 內建工單與 workflow 系統
• 內建資安監控規則。
• 可對部門或各種系統,服務等進行安全等級評估。
企業資安風險熱區 – RiskInsight
洞燭機先、制敵於千里之外ArcSight Threat Central
TC Portal
Actionable Intel
\IP address
Domain
File Hash
Registry Key
URL
Add Context
\Sightings
Source Reliability
Severity
Confidence
Community
Feedback
Collect Normalize Analyze/Correlate Distribute / ACT
Compare &
Correlate
\
Match Customer Case
Match to Actors, TTPs
Verticals Targeted
Linked Indicators
SET SCORE
RELEVANT Y/N
Open Source
Feeds
HP Security Research
TC Community
NAC / IPS
ArcSight ESM
ESM
Connector
API
Threat Central 情資管理平台
ArcSight Marketplace
19
內賊難防,讓ArcSight UBA幫你忙
異常行為偵測
風險記分&判定優先順序
主動事件監控
視覺化全資訊分析
UBA
Identity
帳戶
Activity
(Events &
Applications)
活動
Learn
Normal
Identify
Weird
Access
權限
側寫正常行為
觀測行為變異
建構使用者側寫檔案
建構使用者於所有系統與應用程式上的行為I. 事件數量與頻率II. 事件類別與程式III. 事件數量與時間 (完整 每小時/每日/每週/每月)
IV.事件發生來源 (正常的交易主機)
V. 學習與關聯所有帳戶資訊為使用者檔案
檢測現行側寫檔案並非處於異常情況I. 與同儕評比 : 值稱,管理者,部門,工作類型,程
式系統類別,位置等…
II. 若沒有他人執行X或具有Y權限則需進一步檢視
使用者行為分析技術
行為側寫同儕群組側寫
行為分析
同儕評比
頻率偏離值 事件稀有度
數量偏離值 同儕比較
+1 +1
+1+1
可移活動與交易
可疑帳戶使用行為
可疑系統使用行為
透過同儕評比偵測異常
23
• 同儕群組的聚合力統計分析
• 局外人相關的風險隨著同儕聚合力提升而提高
同儕群組分析
• 根據角色以及責任(工作分類)對用戶進行邏輯性的分群
• 根據分類(同儕)的行為比對偵測單一用戶的異常行為
低風險
高風險
局外人(Outlier)分類
Jane Doe
Division
SECURITIES
OPS
JobKey
30003509
Dept.
INVESTMENT
MGMT
Manager
J.Smith
Title
SECOND VP
97% 92%
80%
60%
75%
Cohesiveness
聚合力
Access Intelligence
– Rogue Access
Identification
– Enable risk-based access
reviews
– Enable risk-based access
requests
UBA使用案例
Application Security
Intelligence– Data theft detection
– Data snooping detection
– VIP snooping detection
– Fraud detection
– High-risk access detection
– Privileged account threat
monitoring
Data Security
Intelligence
– Data theft detection &
prevention
– VIP snooping detection &
prevention
Privileged account
intelligence– Privileged Account
Threat Monitoring
– Service Account Threat
Monitoring
– Key stroke monitoring Identity Intelligence– User Centric Monitoring
– Peer Group Context
– Statistical Base lining
– Centralized view of user
context and risk score
– Insider Threat & Account
Compromise
簡潔與完整威脅儀表版
25
使用者風險關聯分析圖
26
– 提供視覺化拓墣分析介面
– 能夠向下鑽取和調查有興趣的人以及相關日誌,亦可進行交叉關聯分析
DNS遭惡意程式利用率與企業監控率
27
91.3%
惡意程式在攻擊行動中利用DNS比率
企業沒有監控DNS連線活動比率
68%
Cisco – 2016 ASR
為什麼DNS監控是個大難題?
數據量與內容
收集與監控DNS資料的挑戰:
• 18-20 B DNS packets move through HPE’s core data centers every day
• Logging severely impacts performance
• The right information is not logged
• Every new employee, device, server only adds to the total
0
50,000
100,000
150,000
200,000
250,000
Routers VPN McAfee ePO ActiveDirectory
Web Proxy DNS
Eve
nts
pe
r s
ec
on
d
14
,00
0
22
0,0
00
3,0
00
7 20
0
80
HPE – 2013-2016
10 X
服務架構
DNS Capture Module
ESM
Alerts (Infected System)
Web-based detail &
visual drill downLevel 1
Analyst
Hunt
Team
• Filter out 99% of traffic
• Tag events (blacklist
matching, DGA detection)
• Statistics and diagnostics • Constantly analyze DNS data for
security threats
• Alerting
• Data visualization & exploration
DNS Capture Module
Enterprise
SOC
DNS Server / Cluster
ANALYTICS CLOUD
End Points / Clients
DMA –儀表板
DMA –告警內容
ArcSight ESM整合
Prevent, Detect, Respond and Recover
Protect Recover
Build it in
• Design a cyber resilient and
compliant environment
• Build protection into the
fabric of your enterprise
Safeguard continuity
and compliance
• Execute flawless recoveries
• Safeguard continuity with
minimal downtime and no
damage or loss
Detect & Respond
Proactively detect and
manage breaches
• Rapidly detect & manage
breaches
• Monitor critical digital assets
regardless of location or
device
Thank You