introducing the next phase of security intelligence · 2015-10-08 · ibm security qradar qflow-...
TRANSCRIPT
© 2015 IBM Corporation
IBM Security QRadar
Joerg Weikopf
IBM Security
September 24, 2015
Introducing the Next Phase of Security Intelligence
2© 2015 IBM Corporation
Agenda
Einführung und Herausforderungen
Was ist „Security Intelligence“
IBM QRadar
© 2015 IBM Corporation
Einführung
4© 2015 IBM Corporation
Cloud
Social Media
„Internet of Things“
Mobile
„Bring your own IT“
Steigende
Komplexität
Vernetzte Welt
5© 2015 IBM Corporation
Motivation der Angreifer
Monetärer
Nutzen
Organisiertes VerbrechenZeus
Rache,
Neugierde
Insider und Script-kiddies“I love you”
Nationale
Sicherheit
Wettbewerber und Hacktivisten
Aurora
Spionage,
Aktivismus
Staatliche AkteureStuxnet
6© 2015 IBM Corporation
Aktuell
Angriff auf die IT des Bundestages
Schwachstelle waren zwei Rechner
von zwei Bundestagsfraktionen
Infizierung über fingierte E-Mail mit
Trojaner zum Ausspähen von
Administrator-Kennwörtern
Die gesamte IT muß ausgetauscht
werden
7© 2015 IBM Corporation
Sicherheit hat Priorität
Ergebnisse Image Lieferkette Hacktivismus
Sony schätzt
Schaden auf
1 Mrd. $
Datenleck bei
HSBC legt Daten
von
24000privaten
Bankkunden offen
Epsilons
Datenleck
beeinflusste über
100amerikanische
Marken
Lulzsecs 50-
tägigeHackserie trifft
Nintendo, CIA,
PBS, UK, NHS,
UK SOCA, Sony
…
8© 2015 IBM Corporation
63%der Betroffenen von Angriffen wurden von externen
Organisationen auf einen Einbruch in das
Netzwerk aufmerksam gemacht.
Anzahl an Tagen, die ein Angreifer im Netzwerk
seines Opfers verbringt, bis der Angreifer erkannt
wurde.*
243*Mandiant: “M-Trends 2013: Attack the Security Gap“, USA , 2013
Klassische Schutzmechanismen
9© 2015 IBM Corporation
Was ist ein “Advanced Persistent Threat”?
1.
2.
3.
Nutzt unbekannte (“Zero-Day”) Schwachstellen
Angriffe dauern Monate oder Jahre
(im Durchschnitt 243 Tage)
Visiert spezielle Personen oder kleine Gruppen von
Organisationen an
10© 2015 IBM Corporation
• Professionalisierung der Hackerszene
zielgerichtete Angriffe
• Gesetzliche Auflagen
Datenschutzgesetz, IT-Sicherheitsgesetz, Bafin, etc.
• Reputationsverlust
• Verlust des Wettbewerbsvorteils; Wirtschaftsspionage
• Störung des Betriebsablaufes
Industrie 4.0, Produktionssteuerung, etc.
• Finanzieller Schaden
Warum muss ein Unternehmen in IT-Security investieren?
© 2015 IBM Corporation
Security Intelligence
12© 2015 IBM Corporation
Klassische Schutzmechanismen alleine sind nicht mehr ausreichend
13© 2015 IBM Corporation
• Zentrale Darstellung aller Sicherheitsalarme?
• Erkennen von gewöhnlicher Malware?
• Brute-Force?
• Network-Scans?
• Aufspüren von Script-Kiddies?
• Ja schon, aber…!
Worum geht es bei „SIEM“?
14© 2015 IBM Corporation
• Aufspüren von Advanced Persistent Threats!
• Mehrstufige Angriffe erkennen
• Internal Threats erkennen
• Erkennen von Zero Day Attacks und
unternehmensspezifischer Malware!
• Low and Slow Attacks
• Übersichtige Darstellung der Angriffe
• Reduzierung von Fehlalarmen
Erkennen von Dingen, die man sonst nicht wahrnimmt!
Worum geht es bei „Security Intelligence“?
© 2015 IBM Corporation
IBM QRadar
16© 2015 IBM Corporation
Security Intelligence – eine Lösung für den gesamten Zeitstrahl
Prediction & Prevention Reaction & Remediation
• SIEM (Security Information and Event
Management)
• Netzwerk/Benutzer Anomalie Erkennung,
• Log Management
• Risko Management,.
• Compliance Management.
• Schwachstellen Management.
Konfigurations Management.
Was sind die externen
und internen
Bedrohungen?
Sind wir vor diesen
Bedrohungen
geschützt?
Was passiert jetzt
gerade?
Was sind die
Auswirkungen?
17© 2015 IBM Corporation
DatenquellenNetwork Activity
Virtual Activity
Application Activity
Data Activity
Servers & Clients
Security Systems
Account Activity
KontextinformationenHost Definitions & Assets
Network Architecture
Accounts & Privileges
Configuration Information
Vulnerabilities and Threats
Global threat intelligence
• Massive data
reduction and
aggregation
• Cross-Device and
Context Correlation
• Activity base lining and
(network)anomaly
detection
• Alert-Aggregation
Prioritized Alerts Forensic Research
Incident Analysis
„Ich sehe was, was Du nicht siehst…“
18© 2015 IBM Corporation
Integrierte einheitliche Architektur mit einer web-basierten Console
Echtzeit SicherheitsvorfälleIBM X-Force®
Informationen
Eingehende
Sicherheits-
EventsEchtzeit Netzwerk Visualisierung
Identität &
Benutzer Kontext
19© 2015 IBM Corporation
QRadar Log ManagerIBM Security QRadar Log Manager ist Erfassung, Analyse, Archivierung
und Speicherung von großen Mengen ein Hochleistungssystem für die an
netz- und sicherheitsbezogenen Ereignisprotokollen.
QRadar SIEM
IBM Security QRadar SIEM konsolidiert Ereignisdaten aus
Protokollquellen von Tausenden Endpunkten und Anwendungen im gesamten
Netz. Die Lösung führt sofortige Normalisierungs- und
Korrelationsvorgänge für Rohdaten aus, um echte Bedrohungen von falschen
positiven Werten zu unterscheiden.
QRadar QFlow
QRadar Vflow
IBM Security QRadar QFlow- und IBM Security QRadar VFlow Collector-Appliances
lassen sich hinzufügen, um umfassende Erkenntnisse und Einblick in Anwendungen
(z. B. für Enterprise-Resource-Management), Datenbanken, Collaboration-Produkte
und Social Media über die Erfassung von Layer-7-Netzabläufen zu gewinnen.
QRadar Risk ManagerIBM Security QRadar Risk Manager überwacht die Netztopologie, Switch-,
Router-, Firewall- und IPS-Konfigurationen (Intrusion-Prevention-System)
zur Reduzierung des Risikos und zur Verbesserung der Compliance.
QRadar Vulnerability
Manager
IBM Security QRadar
Incident Forensics
IBM Security QRadar Vulnerability Manager erkennt Sicherheitslücken von
Netzeinheiten und Anwendungen proaktiv, fügt Kontext hinzu und
unterstützt die Priorisierung von Maßnahmen zur Korrektur und Risikominimierung.
Ermöglicht schnelle detaillierte forensische Untersuchungen, mit schrittweiser
Rückverfolgung der Vorgehensweise von Cyberkriminellen und
Erstellung der Dokumente in ursprünglichen Form durch Wiederherstellung
aus Netzwerkdaten.
QRadar Security Intelligence Lösungen
20© 2015 IBM Corporation
Erkennen von Anomalien durch intelligente Korrelation von Regeln
Flexible Anomalie-Erkennungsfähigkeiten identifizieren Unstimmigkeiten durch
Regeln, Schwellwerte oder Abweichung vom Normalbereich.
"Informationssicherheit wird zu einem Big Data und Analytics Problem.
... Einige der anspruchsvollsten Angriffe können nur mit detailliertem Activity
Monitoring gefunden werden, um sinnvolle Abweichungen vom ‚normalen‘
Verhalten zu bestimmen. "
Neil MacDonald, Gartner, Juni 2012
Zeigt Datenverkehr von einer IP-Adresse in einem Land, zu dem kein Unternehmens-Remote-Zugriff
existiert.
21© 2015 IBM Corporation
Erkennen von Anomalien auf Datenflussebene (Flows)
Netzwerkverkehr lügt nicht!
Angreifer sind in der Lage Logging zu stoppen und ihre Datenspuren zu
verwischen, können aber nicht das Netzwerk abschalten (Datenfluss)
– Tiefe Paket-Inspektion von Layer 7-Flussdaten
– Pivoting, Drilldown und Data Mining auf Datenflussquellen
für fortschrittliche Aufdeckung und Forensik
Macht die Kommunikation von Angreifern transparent, um Anomalien
zu erkennen, die sonst unentdeckt bleiben.
22© 2015 IBM Corporation
1. Credibility:
Ein “false positive” oder wirksamer
Verstoß?
2. Severity:
Alarm Level von vorhandenen
Schwachstellen
3. Relevance:
Priorisierung nach Asset- oder
Netzwerk-Bedeutung
Intelligentes Offense Scoring lenkt das Security Team beiUntersuchungen
Priorisierung kann über die Zeit oder situativ variieren
QRadar beurteilt die Offenses durch “Magnitude”:
23© 2015 IBM Corporation
Erkennen von Angriffen
• Umfassende Security Intelligence durch Application Flows
Konsolidierung von Datensilos
• Collection, Correlation und Reports von Daten in einerintegrierten Lösung
Erkennen von Betrug durch Insider
• Next-generation SIEM mit Identity Korrelation
Bessere Risikovorhersage
• Überwachung des Netzwerks auf Konfigurations- und Compliance-Risiken und Priorisierung für ihre Entschärfung
Abdecken regulatorischer Anforderungen
• Automatisierte Data Collection und Konfigurations Audits
Beispiele für Anwendungsfälle mit QRadar
24© 2015 IBM Corporation
Beispiel: Erkennen von Angriffen
Mögliches Botnet erkannt?
Das ist was traditionelle SIEM
Lösungen können
IRC auf Port 80?
IBM Security QRadar QFlow
entdeckt versteckten Kanal
Unwiderlegbare Botnet
Kommunikation
Layer 7 Flow Data enthält Botnet
Command Control Kommandos
Application Layer Flow Analyse entdeckt Bedrohungen,
die andere übersehen
25© 2015 IBM Corporation
Beispiel: Konsolidierung von Datensilos
Analyse von Flow- und
Event-Daten. Nur IBM
Security QRadar nutzt
vollständig Layer 7
Flows
Reduzierung von
großen Datenmengen
auf handhabbare Größe
Hochentwickelte
Korrelation zwischen Silos
1153571 : 1Data Reduction Ratio
26© 2015 IBM Corporation
Beispiel: Erkennen von Betrug durch Insider
Wer?
Ein interner Nutzer
Möglicher Datenverlust
Wer? Was? Wo?
Was?
Oracle Daten
Wo?
GMail
Erkennung von Bedrohungen im Intranet
Erkennung von abnormalen Nutzerverhalten und Sichtbarkeit auf
Anwendungsebene sind kritisch um Bedrohungen von Insidern zu
identifizieren
27© 2015 IBM Corporation
Beispiel: Bessere Risikovorhersage für Unternehmen
Bewerten von Systemen mit hohem Risiko von Angriffen wegen Schwachstellen
Welche Systeme sind betroffen?
Wie soll ich sie priorisieren?
Was sind die Details?
Schwachstellendetails,
sortiert nach Risiko
Wie beseitige ich die
Schwachstellen?
Security Intelligence vor dem Angriff
Überwachung des Netzwerks auf Konfiguration- und Compliance-Risiken
und Priorisierung für ihre Entschärfung
28© 2015 IBM Corporation
Beispiel: Abdecken regulatorischer Anforderungen
Unverschlüsselter Transfer
IBM Security QRadar QFlow sieht einen Klartextdienst auf einem Accounting Server
PCI Anforderung 4 sagt: Verschlüsselung bei der Übertragung von Karteninhaberdaten
über offene, öffentliche Netze
Einhaltung der PCI
Compliance?
Real-time Erkennung
möglicher Verstöße
Vereinfachung von Compliance
Out-of-the-box Unterstützung für wichtige Compliance Standards
Automatisierte Berichte, vordefinierte Korrelationsregeln, Dashboards
29© 2015 IBM Corporation
Integrierte einheitliche Architektur mit einer web-basierten Console
LogManagement
Security Intelligence
Network Activity
Monitoring
RiskManagement
Vulnerability Management
Network Forensics
30© 2015 IBM Corporation
IBM QRadar unterstützt hundert 3rd Party Produkte
IBM QRadar
Security Intelligence Platform
31© 2015 IBM Corporation
Konsolidierung und Integration hilft Kosten zu senken und Sichtbarkeit zu erhöhen
IBM QRadarSecurity Intelligence
Platform
Packets
Vulnerabilities
Configurations
Flows
Events
Logs
Integrierte einheitliche
Architektur mit einer web-
basierten Console
Traditionelles SIEM6 Produkte von 6 Anbietern warden benötigt
IBM Security
Intelligence und Analytics
32© 2015 IBM Corporation
Warum IBM QRadar ?
Schnell:
- Nach wenigen Tagen implementiert
- Durch vordefinierte Regeln & Anbindungen
Einfach:
- selbsterklärend & intuitiv
- Zusammenfassung von Alarmen
- Automatische Priorisierung von Alarmen
Sicher(er):
- Sicherheitsvorfälle erkennen, die man sonst nicht erkennt
- Native Flow Analyse! Nur so sieht man wirklich alles
- Integrierter Schwachstellenmanager
- Integrierter Risk Manager & Forensics
Zukunft:
- Zentrales SOC Tool
- Klare Roadmap
- Große Investitionen
in F&E
33© 2015 IBM Corporation
Marktanalysten schreiben über QRadar …
IBM Security Intelligence
Leader in the Gartner Magic Quadrant since 2009Security Information and Event Management (SIEM)
IBM QRadar rated #1 by Gartnerin the following categories:
– Ability to execute
– Analytics and behavior profiling
– Compliance use cases
– SIEM use case, product rating, and overall use case
#1 IDC Security Vulnerability Management (including SIEM)
Champion / Leading Product by InfoTech
2013 Global SIEM/LM Customer Value Leadership Awardby Frost and Sullivan
© 2015 IBM Corporation
Fragen ?
© Copyright IBM Corporation 2015. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any
kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor
shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use
of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and / or
capabilities referenced in these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product
or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries
or both. Other company, product, or service names may be trademarks or service marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside
your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks
on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access.
IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessari ly involve additional operational procedures, and may require other
systems, products or services to be most effective. IBM DOES NOT WARRANT THAT ANY SYSTEMS, PRODUCTS OR SERVICES ARE IMMUNE FROM, OR WILL MAKE YOUR ENTERPRISE
IMMUNE FROM, THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.
THANK YOUwww.ibm.com/security