Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Security Information & Event Management Die Jäger & Sammler der IT-Security Ihre Referenten: Sebastian Rohr, CISSP/CISM CTO accessec GmbH Nico Wiegand,

Ähnliche Präsentationen


Präsentation zum Thema: "Security Information & Event Management Die Jäger & Sammler der IT-Security Ihre Referenten: Sebastian Rohr, CISSP/CISM CTO accessec GmbH Nico Wiegand,"—  Präsentation transkript:

1 Security Information & Event Management Die Jäger & Sammler der IT-Security Ihre Referenten: Sebastian Rohr, CISSP/CISM CTO accessec GmbH Nico Wiegand, CEH/CHFI… Senior Consultant accessec GmbH

2 2 Agenda SIEM – Treiber im Unternehmen SIEM erfordert Planung, Vorbereitung und weitreichende Integration Ziele und Verantwortlichkeiten im Voraus festlegen SIEM im Outsourcing Der Bedarf für ein Security Information & Event Management Tool 5 5 SIEM Einführung in Phasen Mehrwerte durch SIEM Analysen

3 (Vermutete) Treiber im Unternehmen Zum Schutz des Unternehmens (wenig fokussiert)? Schutz der Unternehmensdaten (nur detektiv)? Schutz der IT-Systeme (nur reaktiv)? SIEM ist ein sekundäres System und zudem reaktiv ! Wenn auch automatisiert & schnell… Eher zum Kenntnisgewinn und für tiefere Einblicke: Sammelt, aggregiert, kondensiert und korreliert Schafft Durchblick durch gemeinsame Betrachtung Hilft gute Sicherheitsstrukturen zu verbessern

4 Ohne Sicherheitsstrategie

5 5 Agenda SIEM – Treiber im Unternehmen SIEM erfordert Vorbereitung, Planung und weitreichende Integration Ziele und Verantwortlichkeiten im Voraus festlegen SIEM im Outsourcing Der Bedarf für ein Security Information & Event Management Tool 5 5 SIEM Einführung in Phasen Mehrwerte durch SIEM Analysen

6 SIEM ohne Planung & Vorbereitung © creativkopf

7 Fordern SIEM braucht Strategie und Rahmen Fördern Vorgaben (Legislative) Intern -> Sicherheitspolicies Extern -> Gesetze und Vorgaben Umsetzung Betrieb `Interne QS` Exekutive Kontrolle Audits (Revision) Assessments Behebung Maßnahmen Judikative PlanDoCheckAct

8 Integration SIEM Lokale Sec- Management Tools: IDS/IPS, FW, AV,VPN… SysLogs: Cisco, Windows, Sun, VMware, Linux/Unix etc Incident Management: Remedy o.ä., User Helpdesk VM Tools: Qualys, Foundstone, nCircle, Secunia etc. Risikobewertung // Risikomanagement SIEM braucht (fast) vollständige Information

9 9 CMDB VM- Tool Assetinfo OS + Drv SW + Tools Gruppe Anwendung Bedeutung Interdep. … Assetinfo OS + Drv SW + Tools Gruppe Anwendung Bedeutung Interdep. … SIEM Tool SIEM CMDB Event DB IDS FW AV Web Sec Sys- Logs Service Management Nachfragemg Quelle und Datenhoheit Datenfluss für SIEM im Detail Incidents Dashboard Assetinfo OS + Drv -> SW + Tools -> <-Gruppe <-Anwendung <-Bedeutung <-Interdep. … Risikomanagement

10 10 Agenda SIEM – Treiber im Unternehmen SIEM erfordert Vorbereitung, Planung und weitreichende Integration Ziele und Verantwortlichkeiten im Voraus festlegen SIEM im Outsourcing Der Bedarf für ein Security Information & Event Management Tool 5 5 SIEM Einführung in Phasen Mehrwerte durch SIEM Analysen

11 Erfolgreiches SIEM erfordert Kenntnis… WAS man schützen willWELCHE Systeme welchen Wert habenWIE diese Systeme geschützt werdenWELCHE Schwachstellen diese Systeme aufweisenWirklich wirksam wird SIEM erst, wenn man Reaktionen auf Alarme (teil-)automatisiert Ansprechpartner in den Fachseiten hat Schnell Gegenmaßnahmen ergriffen werden Aus Angriffen gelernt wird!

12 Mehr Durchblick mit planvollem SIEM! © pascar © Jens Hieke

13 13 Agenda SIEM – Treiber im Unternehmen SIEM erfordert Planung, Vorbereitung und weitreichende Integration Ziele und Verantwortlichkeiten festlegen SIEM im Outsourcing Der Bedarf für ein Security Information & Event Management Tool 5 5 SIEM Einführung in Phasen Mehrwerte durch SIEM Analysen

14 SIEM – as-a-Service im Outsourcing System, Experten und SOC werden gestellt –Kein Schichtbetrieb –Keine spezielle Ausbildung –Keine teure Infrastruktur, nur begrenzt Lizenz Kritisches Infrastruktur Know-How gelangt außer Haus Alle Event-Informationen gehen außer Haus Alle Analysen erfolgen außer Haus Interne haben keine Ahnung vom SIEM Externe haben keinen Einblick in die internen Abläufe

15 SIEM – für ausgelagerte Systeme Geht das überhaupt? –Recht auf Audit = Recht auf alle Logs des Dienstleisters? –Datenschutz & Datensparsamkeit –Abgrenzung/Mandantenfähigkeit der Logs –Übertragung der Daten zum Auftraggeber (oder –nehmer?) Kritisches Infrastruktur Know-How gelangt außer Haus Event-Informationen gehen außer Haus Analysen erfolgen außer Haus Interne haben keine Ahnung vom SIEM Dritte bekommen Einblick in die internen Abläufe

16 16 SIEM – nur jagen & sammeln reicht nicht! Ohne Sicherheitsstrategie + Policy kein SIEM Risiko- und Business Impact Analyse als Vorbereitung Asset-Attribute & Asset-Werte sind Schlüsselinformationen Klare Vorstellung was mit SIEM erreicht werden sollErfahrenes & geschultes Personal intern ist erforderlich Identifikation der Quellen-Verantwortlichen Kommunikationswege festlegen (Report/Standard/Notfall) Gegenmaßnahmen definieren Integration mit Helpdesk & Security Incident Management Erfahrene Berater für Planung, Ausschreibung, Betrieb

17 17 Agenda SIEM – Treiber im Unternehmen SIEM erfordert Planung, Vorbereitung und weitreichende Integration Ziele und Verantwortlichkeiten festlegen SIEM im Outsourcing SIEM Einführung in Phasen Mehrwerte durch SIEM Analysen Der Bedarf für ein Security Information & Event Management Tool 5 5

18 18 Der (technische) Bedarf für ein SIEM Tool 3 von 4 Angriffe zielen auf Applikationen (nicht nur im Web!) (Gartner) 70 % der Schwachstellen befinden sich im Appl. Layer, nicht auf der Netzwerkebene (Gartner) 64 % der Softwareentwickler glauben nicht daran, sichere Anwendungen schreiben zu können. (Microsoft) Fakten Die Anzahl der Web-Applikationen steigt ständig Webapplikationen greifen häufig auf Back End-Systeme zu Viele Applikationen wurde individuell entwickelt oder angepasst Sie wurde nicht ausreichend getestet Verschiedene Abteilungen sind beteiligt / verantwortlich Keine klaren Verantwortungen Auf Web Appl. soll aus dem Internet zugegriffen werden Hacker beweisen immer mehr Improvisationstalent. Ziele/Herausforderungen Cross Site Scripting (XSS) Injection (insbesondere SQL) Remote File Inclusion/Execution Direct Object Reference Cross Site Request Forgery (CSRF) Informationspreisgabe und Fehlermeldungen Authentifizierung und Sessions Verschlüsselung gespeicherter Daten Verschlüsselung der Kommunikation Zugriff auf "versteckte" URLs (security by obscurity) Die häufigsten Sicherheitslücken

19 19 Agenda SIEM – Treiber im Unternehmen SIEM erfordert Planung, Vorbereitung und weitreichende Integration Ziele und Verantwortlichkeiten festlegen SIEM im Outsourcing SIEM Einführung in Phasen Mehrwerte durch SIEM Analysen Der Bedarf für ein Security Information & Event Management Tool 5 5

20 20 SIEM Einführung in Phasen Phase 2 Proof of Concepts Erkennen der fachlichen, technischen Möglichkeiten und Grenzen. Überwachen der Internet-Portale und Logistikzentren Phase 1 Entwicklung SIEM- Betriebskonzept Erstellung SIEM-BK damit der Dienstleister die Über- wachung der sicherheits- relevanten Systeme fach- und sachgerecht betreiben kann. Phase 3 mSIEM Vertrag und integration der Applikation Beschaffung und Aufbau der SIEM-Plattform, Definition der Service Prozesse, Betrieb der SIEM-Plattform Phase 4 Optimierung und Integration der kritischen IT- Applikationen Erstellung der SIEM- Basiskonfiguration inkl. der notwendigen Use- Cases zur Angriffs- erkennung

21 21 Aktueller Status! – Events? In der aktuellen Integrationsphase habe wir ca. 150 Security-Devices zzgl. verschiedene Web-, Applikations- und Datenbank-Server eingebunden und erhalten folgenden Summen von Events. »IDS Systeme> Events/Monat »Anti Virus> Events/Monat »Datenbankserver> Events/Monat »Vulnerability Scanner> Events/Monat »Apache-Logs> Events/Monat »Firewall> Events/Monat »System-Eventlogs> Events/Monat

22 22 Agenda SIEM – Treiber im Unternehmen SIEM erfordert Planung, Vorbereitung und weitreichende Integration Ziele und Verantwortlichkeiten festlegen SIEM im Outsourcing SIEM Einführung in Phasen Mehrwerte durch SIEM Analysen Der Bedarf für ein Security Information & Event Management Tool 5 5

23 23 SIEM – das Wichtige vom Unwichtigen trennen! Das Wichtige vom Unwichtigen trennen! Ermittlung hoch kritischer Vorfälle Unüberschaubare Menge an Logs Kein zentralen Sammelpunkt und Analyse (Insellösungen) Viele Fehlalarme (False Positives) Viele unterschiedliche Konsolen Relevante Informationen aus ermitteln und bewerten Täglich mehrere Millionen Events von kritischen Applikationen Network Devices Server Desktop OS Anti Virus Intrusion Detection Systems Vulner ability Assess ment Firewalls VPN Ziele & Heraus- forderungen

24 Basis Events korrelierter Events Korrelation Aggregation Priorisierung Filterung Normalisierung B B C 24 Wenn es bei der Eventkorrelation innerhalb SIEM zu Abweichungen vom Normalzustand kommt, ist das Ergebnis eine Alarmmeldung Log-Files A Netzanomalien- und angriffe (geblockte Ports und Portscans) Anwendungsangriffe (Mail, Web, DNS) IDS Event (Mail, Web, DNS ) Logins, User- und Systemanomalien A A A

25 25 Ein Angriff - Der Blick in das SIEM!

26 26 Ein Angriff - Der Blick in das SIEM!

27 27 Auswertung – visuelle Aufbereitung Die Angreifer-Adressen sind jeweils rot dargestellt und das Angriffsziel als weißes Quadrat. Wird der Mauszeiger auf einen entsprechenden Punkt geführt werden zusätzliche Informationen zur IP- Adresse und dem geografischen Standort ausgegeben. Dieser Data Monitor wird ebenfalls alle 30 Sekunden aktualisiert. Attacker IP mit geografischen Standort Grafik mit zeitlicher Verteilung der Angriffe Tabelle mit Angreifer- Adresse, GeoInfos,

28 Sie wollen mehr erfahren? Ihre Referenten: Sebastian Rohr Nico Wiegand, CEH/CHFI…


Herunterladen ppt "Security Information & Event Management Die Jäger & Sammler der IT-Security Ihre Referenten: Sebastian Rohr, CISSP/CISM CTO accessec GmbH Nico Wiegand,"

Ähnliche Präsentationen


Google-Anzeigen