Embed Size (px)
Citation preview
Security Information & Event ManagementDie Jäger & Sammler der IT-Security
Ihre Referenten:
Sebastian Rohr, CISSP/CISMCTO accessec GmbH
Nico Wiegand, CEH/CHFI…Senior Consultantaccessec GmbH
2
Agenda
SIEM – Treiber im Unternehmen
SIEM erfordert Planung, Vorbereitung und weitreichende Integration
Ziele und Verantwortlichkeiten im Voraus festlegen
SIEM im Outsourcing
1
2
3
4
Der Bedarf für ein Security Information & Event Management Tool
5
SIEM Einführung in Phasen
Mehrwerte durch SIEM Analysen
6
7
(Vermutete) Treiber im Unternehmen
• Zum Schutz des Unternehmens (wenig fokussiert)?
• Schutz der Unternehmensdaten (nur detektiv)?• Schutz der IT-Systeme (nur reaktiv)?SIEM ist ein sekundäres System und zudem reaktiv !
Wenn auch automatisiert & schnell…
Eher zum Kenntnisgewinn und für tiefere Einblicke:• Sammelt, aggregiert, kondensiert und korreliert • Schafft „Durchblick“ durch gemeinsame
Betrachtung• Hilft gute Sicherheitsstrukturen zu verbessern
Ohne Sicherheitsstrategie
5
Agenda
SIEM – Treiber im Unternehmen
SIEM erfordert Vorbereitung, Planung und weitreichende Integration
Ziele und Verantwortlichkeiten im Voraus festlegen
SIEM im Outsourcing
1
2
3
4
Der Bedarf für ein Security Information & Event Management Tool
5
SIEM Einführung in Phasen
Mehrwerte durch SIEM Analysen
6
7
SIEM ohne Planung & Vorbereitung
© „creativkopf“
Fordern
SIEM braucht Strategie und Rahmen
Fördern
Vorgaben („Legislative“)Intern -> SicherheitspoliciesExtern -> Gesetze und Vorgaben
UmsetzungBetrieb`Interne QS`„Exekutive“
KontrolleAudits (Revision)
Assessments
BehebungMaßnahmen„Judikative“
Plan
Do
Check
Act
Integration SIEM
Lokale Sec-Management
Tools: IDS/IPS, FW, AV,VPN…
SysLogs: Cisco, Windows, Sun,
VMware, Linux/Unix etc
Incident Management:
Remedy o.ä., User Helpdesk
VM Tools: Qualys, Foundstone,
nCircle, Secunia etc.
Risikobewertung // Risikomanagement
SIEM braucht (fast) vollständige Information
9
CMDB VM-Tool
AssetinfoOS + Drv
SW + Tools Gruppe
AnwendungBedeutungInterdep.
……
AssetinfoOS + Drv
SW + Tools Gruppe
AnwendungBedeutungInterdep.
……
SIEM Tool
SIEM CMDB
EventDB
IDS
FW
AV
Web Sec
Sys-Logs
Service Management Nachfragemg
Quelle und Datenhoheit
Datenfluss für SIEM im Detail
Incidents
Dashboard
AssetinfoOS + Drv ->
SW + Tools -><-Gruppe
<-Anwendung<-Bedeutung<-Interdep.
……
Risikomanagement
10
Agenda
SIEM – Treiber im Unternehmen
SIEM erfordert Vorbereitung, Planung und weitreichende Integration
Ziele und Verantwortlichkeiten im Voraus festlegen
SIEM im Outsourcing
1
2
3
4
Der Bedarf für ein Security Information & Event Management Tool
5
SIEM Einführung in Phasen
Mehrwerte durch SIEM Analysen
6
7
Erfolgreiches SIEM erfordert Kenntnis…
WAS man schützen will
• Reaktionen auf Alarme (teil-)automatisiert• Ansprechpartner in den Fachseiten hat• Schnell Gegenmaßnahmen ergriffen werden• Aus Angriffen gelernt wird!
WELCHE Systeme welchen „Wert“ haben
WIE diese Systeme geschützt werden
WELCHE Schwachstellen diese Systeme aufweisen
Wirklich wirksam wird SIEM erst, wenn man
Mehr Durchblick mit planvollem SIEM!
© „pascar“
© Jens Hieke“
13
Agenda
SIEM – Treiber im Unternehmen
SIEM erfordert Planung, Vorbereitung und weitreichende Integration
Ziele und Verantwortlichkeiten festlegen
SIEM im Outsourcing
1
2
3
4
Der Bedarf für ein Security Information & Event Management Tool
5
SIEM Einführung in Phasen
Mehrwerte durch SIEM Analysen
6
7
SIEM – „as-a-Service“ im Outsourcing
• System, Experten und SOC werden gestellt– Kein Schichtbetrieb– Keine spezielle Ausbildung– Keine teure Infrastruktur, nur begrenzt „Lizenz“
• Kritisches Infrastruktur Know-How gelangt „außer Haus“
• Alle Event-Informationen gehen „außer Haus“• Alle Analysen erfolgen „außer Haus“• Interne haben „keine Ahnung“ vom SIEM• Externe haben keinen Einblick in die internen
Abläufe
SIEM – für ausgelagerte Systeme
• Geht das überhaupt?– Recht auf Audit = Recht auf alle Logs des Dienstleisters?– Datenschutz & Datensparsamkeit– Abgrenzung/Mandantenfähigkeit der Logs– Übertragung der Daten zum Auftraggeber (oder –
nehmer?)
• Kritisches Infrastruktur Know-How gelangt „außer Haus“
• Event-Informationen gehen „außer Haus“• Analysen erfolgen „außer Haus“• Interne haben „keine Ahnung“ vom SIEM• Dritte bekommen Einblick in die internen Abläufe
16
SIEM – nur jagen & sammeln reicht nicht!
Ohne Sicherheitsstrategie + Policy kein SIEM
• Risiko- und Business Impact Analyse als Vorbereitung• Asset-Attribute & „Asset-Werte“ sind Schlüsselinformationen
Klare Vorstellung was mit SIEM erreicht werden soll
• Identifikation der „Quellen-Verantwortlichen“• Kommunikationswege festlegen (Report/Standard/Notfall) • Gegenmaßnahmen definieren• Integration mit Helpdesk & Security Incident Management
Erfahrenes & geschultes Personal intern ist erforderlich
Erfahrene Berater für Planung, Ausschreibung, Betrieb
17
Agenda
SIEM – Treiber im Unternehmen
SIEM erfordert Planung, Vorbereitung und weitreichende Integration
Ziele und Verantwortlichkeiten festlegen
SIEM im Outsourcing
SIEM Einführung in Phasen
Mehrwerte durch SIEM Analysen
1
2
3
4
6
7
Der Bedarf für ein Security Information & Event Management Tool5
18
Der (technische) Bedarf für ein SIEM Tool
• 3 von 4 Angriffe zielen auf Applikationen (nicht nur im Web!) (Gartner)
• 70 % der Schwachstellen befinden sich im Appl. Layer, nicht auf der Netzwerkebene (Gartner)
• 64 % der Softwareentwickler glauben nicht daran, sichere Anwendungen schreiben zu können. (Microsoft)
Fakten
• Die Anzahl der Web-Applikationen steigt ständig
• Webapplikationen greifen häufig auf Back End-Systeme zu
• Viele Applikationen wurde individuell entwickelt oder angepasst
• Sie wurde nicht ausreichend getestet
• Verschiedene Abteilungen sind beteiligt / verantwortlich
• Keine klaren Verantwortungen• Auf Web Appl. soll aus dem
Internet zugegriffen werden• Hacker beweisen immer mehr
Improvisationstalent.
Ziele/Herausforderungen
• Cross Site Scripting (XSS)• Injection (insbesondere SQL)• Remote File
Inclusion/Execution• Direct Object Reference• Cross Site Request Forgery
(CSRF)• Informationspreisgabe und
Fehlermeldungen• Authentifizierung und
Sessions• Verschlüsselung gespeicherter
Daten• Verschlüsselung der
Kommunikation• Zugriff auf "versteckte" URLs
(„security by obscurity“)
Die häufigsten Sicherheitslücken
19
Agenda
SIEM – Treiber im Unternehmen
SIEM erfordert Planung, Vorbereitung und weitreichende Integration
Ziele und Verantwortlichkeiten festlegen
SIEM im Outsourcing
SIEM Einführung in Phasen
Mehrwerte durch SIEM Analysen
1
2
3
4
6
7
Der Bedarf für ein Security Information & Event Management Tool
5
20
SIEM Einführung in Phasen
Phase 2
Proof of Concepts
Erkennen der fachlichen, technischen Möglichkeiten und Grenzen. Überwachen der Internet-Portale und Logistikzentren
Phase 1Entwicklung SIEM-Betriebskonzept
Erstellung SIEM-BK damit der Dienstleister die Über-wachung der sicherheits-relevanten Systeme fach- und sachgerecht betreiben kann.
Phase 3mSIEM Vertrag und integration der Applikation
Beschaffung und Aufbau der SIEM-Plattform, Definition der Service Prozesse, Betrieb der SIEM-Plattform
Phase 4Optimierung und Integration der kritischen IT-Applikationen
Erstellung der SIEM- Basiskonfiguration inkl. der notwendigen Use-Cases zur Angriffs-erkennung
2008 20092007 2010 2011
21
Aktueller Status! – Events?
In der aktuellen Integrationsphase habe wir ca. 150 Security-Devices zzgl. verschiedene Web-, Applikations- und Datenbank-Server eingebunden und erhalten folgenden Summen von Events.
» IDS Systeme > 30.000 Events/Monat
» Anti Virus > 40.000 Events/Monat
» Datenbankserver > 170.000 Events/Monat
» Vulnerability Scanner > 1.000.000 Events/Monat
» Apache-Logs > 65.000.000 Events/Monat
» Firewall > 680.000.000 Events/Monat
» System-Eventlogs> 1.200.000.000 Events/Monat
22
Agenda
SIEM – Treiber im Unternehmen
SIEM erfordert Planung, Vorbereitung und weitreichende Integration
Ziele und Verantwortlichkeiten festlegen
SIEM im Outsourcing
SIEM Einführung in Phasen
Mehrwerte durch SIEM Analysen
1
2
3
4
6
7
Der Bedarf für ein Security Information & Event Management Tool
5
23
SIEM – das Wichtige vom Unwichtigen trennen!
Das Wichtige vom Unwichtigen trennen!
Ermittlung hochkritischer Vorfälle
• Unüberschaubare Menge an Logs • Kein zentralen Sammelpunkt und
Analyse (Insellösungen)• Viele Fehlalarme (False Positives)• Viele unterschiedliche Konsolen
Relevante Informationen aus ermitteln und bewerten
Täglich mehrere Millionen Events von kritischen Applikationen
NetworkDevices
ServerDesktop OS
AntiVirus
IntrusionDetectionSystems
VulnerabilityAssessment
FirewallsVPN
Ziele&
Heraus-forderungen
Basis Events
korrelierter EventsKorrelation
Aggregation
Priorisierung
Filterung
NormalisierungB
B
C
24
Wenn es bei der Eventkorrelation innerhalb SIEM zu Abweichungen vom Normalzustand kommt, ist das Ergebnis eine Alarmmeldung
Firewallzu Webservern
Firewallzu Webservern
Firewallzu Applikation
Firewallzu Applikation
IntranetIntranet IntranetIntranet
Firewallzu Datenbanken
Firewallzu Datenbanken
DMZDMZ
WebserverWebserver ApplikationServer
ApplikationServer
Datenbank Server
Datenbank Server
AntiVirenAntiViren
InternetInternet
Intrusion Preventio SystemIntrusion Preventio SystemAntiVirenAntiViren
Log-FilesA Log-
FilesLog-Files
Log-Files
Netzanomalien- und angriffe
(geblockte Ports und Portscans)
Anwendungsangriffe
(Mail, Web, DNS)
IDS Event
(Mail, Web, DNS)
Logins, User- und
Systemanomalien
A A A
25
Ein Angriff - Der Blick in das SIEM!
26
Ein Angriff - Der Blick in das SIEM!
27
Auswertung – visuelle Aufbereitung
Die Angreifer-Adressen sind jeweils rot dargestellt und das Angriffsziel als weißes Quadrat. Wird der Mauszeiger auf einen entsprechenden Punkt geführt werden zusätzliche Informationen zur IP-Adresse und dem geografischen Standort ausgegeben. Dieser Data Monitor wird ebenfalls alle 30 Sekunden aktualisiert.
Attacker IP mit geografischen Standort
Grafik mit zeitlicher Verteilung der Angriffe
Tabelle mit Angreifer- Adresse, GeoInfos,
Sie wollen mehr erfahren?
www.accessec.comIhre Referenten:
Sebastian [email protected]
Nico Wiegand, CEH/CHFI…[email protected]
