introducing the next phase of security intelligence · 2015-10-08 · ibm security qradar qflow-...

© 2015 IBM Corporation

IBM Security QRadar

Joerg Weikopf

[email protected]

IBM Security

September 24, 2015

Introducing the Next Phase of Security Intelligence

2© 2015 IBM Corporation

Agenda

Einführung und Herausforderungen

Was ist „Security Intelligence“

IBM QRadar


Einführung


Cloud

Social Media

„Internet of Things“

Mobile

„Bring your own IT“

Steigende

Komplexität

Vernetzte Welt


Motivation der Angreifer

Monetärer

Nutzen

Organisiertes VerbrechenZeus

Rache,

Neugierde

Insider und Script-kiddies“I love you”

Nationale

Sicherheit

Wettbewerber und Hacktivisten

Aurora

Spionage,

Aktivismus

Staatliche AkteureStuxnet


Aktuell

Angriff auf die IT des Bundestages

Schwachstelle waren zwei Rechner

von zwei Bundestagsfraktionen

Infizierung über fingierte E-Mail mit

Trojaner zum Ausspähen von

Administrator-Kennwörtern

Die gesamte IT muß ausgetauscht

werden


Sicherheit hat Priorität

Ergebnisse Image Lieferkette Hacktivismus

Sony schätzt

Schaden auf

1 Mrd. $

Datenleck bei

HSBC legt Daten

von

24000privaten

Bankkunden offen

Epsilons

Datenleck

beeinflusste über

100amerikanische

Marken

Lulzsecs 50-

tägigeHackserie trifft

Nintendo, CIA,

PBS, UK, NHS,

UK SOCA, Sony

…


63%der Betroffenen von Angriffen wurden von externen

Organisationen auf einen Einbruch in das

Netzwerk aufmerksam gemacht.

Anzahl an Tagen, die ein Angreifer im Netzwerk

seines Opfers verbringt, bis der Angreifer erkannt

wurde.*

243*Mandiant: “M-Trends 2013: Attack the Security Gap“, USA , 2013

Klassische Schutzmechanismen


Was ist ein “Advanced Persistent Threat”?

1.

2.

3.

Nutzt unbekannte (“Zero-Day”) Schwachstellen

Angriffe dauern Monate oder Jahre

(im Durchschnitt 243 Tage)

Visiert spezielle Personen oder kleine Gruppen von

Organisationen an


• Professionalisierung der Hackerszene

zielgerichtete Angriffe

• Gesetzliche Auflagen

Datenschutzgesetz, IT-Sicherheitsgesetz, Bafin, etc.

• Reputationsverlust

• Verlust des Wettbewerbsvorteils; Wirtschaftsspionage

• Störung des Betriebsablaufes

Industrie 4.0, Produktionssteuerung, etc.

• Finanzieller Schaden

Warum muss ein Unternehmen in IT-Security investieren?


Security Intelligence


Klassische Schutzmechanismen alleine sind nicht mehr ausreichend


• Zentrale Darstellung aller Sicherheitsalarme?

• Erkennen von gewöhnlicher Malware?

• Brute-Force?

• Network-Scans?

• Aufspüren von Script-Kiddies?

• Ja schon, aber…!

Worum geht es bei „SIEM“?


• Aufspüren von Advanced Persistent Threats!

• Mehrstufige Angriffe erkennen

• Internal Threats erkennen

• Erkennen von Zero Day Attacks und

unternehmensspezifischer Malware!

• Low and Slow Attacks

• Übersichtige Darstellung der Angriffe

• Reduzierung von Fehlalarmen

Erkennen von Dingen, die man sonst nicht wahrnimmt!

Worum geht es bei „Security Intelligence“?


IBM QRadar


Security Intelligence – eine Lösung für den gesamten Zeitstrahl

Prediction & Prevention Reaction & Remediation

• SIEM (Security Information and Event

Management)

• Netzwerk/Benutzer Anomalie Erkennung,

• Log Management

• Risko Management,.

• Compliance Management.

• Schwachstellen Management.

Konfigurations Management.

Was sind die externen

und internen

Bedrohungen?

Sind wir vor diesen

Bedrohungen

geschützt?

Was passiert jetzt

gerade?

Was sind die

Auswirkungen?


DatenquellenNetwork Activity

Virtual Activity

Application Activity

Data Activity

Servers & Clients

Security Systems

Account Activity

KontextinformationenHost Definitions & Assets

Network Architecture

Accounts & Privileges

Configuration Information

Vulnerabilities and Threats

Global threat intelligence

• Massive data

reduction and

aggregation

• Cross-Device and

Context Correlation

• Activity base lining and

(network)anomaly

detection

• Alert-Aggregation

Prioritized Alerts Forensic Research

Incident Analysis

„Ich sehe was, was Du nicht siehst…“


Integrierte einheitliche Architektur mit einer web-basierten Console

Echtzeit SicherheitsvorfälleIBM X-Force®

Informationen

Eingehende

Sicherheits-

EventsEchtzeit Netzwerk Visualisierung

Identität &

Benutzer Kontext


QRadar Log ManagerIBM Security QRadar Log Manager ist Erfassung, Analyse, Archivierung

und Speicherung von großen Mengen ein Hochleistungssystem für die an

netz- und sicherheitsbezogenen Ereignisprotokollen.

QRadar SIEM

IBM Security QRadar SIEM konsolidiert Ereignisdaten aus

Protokollquellen von Tausenden Endpunkten und Anwendungen im gesamten

Netz. Die Lösung führt sofortige Normalisierungs- und

Korrelationsvorgänge für Rohdaten aus, um echte Bedrohungen von falschen

positiven Werten zu unterscheiden.

QRadar QFlow

QRadar Vflow

IBM Security QRadar QFlow- und IBM Security QRadar VFlow Collector-Appliances

lassen sich hinzufügen, um umfassende Erkenntnisse und Einblick in Anwendungen

(z. B. für Enterprise-Resource-Management), Datenbanken, Collaboration-Produkte

und Social Media über die Erfassung von Layer-7-Netzabläufen zu gewinnen.

QRadar Risk ManagerIBM Security QRadar Risk Manager überwacht die Netztopologie, Switch-,

Router-, Firewall- und IPS-Konfigurationen (Intrusion-Prevention-System)

zur Reduzierung des Risikos und zur Verbesserung der Compliance.

QRadar Vulnerability

Manager

IBM Security QRadar

Incident Forensics

IBM Security QRadar Vulnerability Manager erkennt Sicherheitslücken von

Netzeinheiten und Anwendungen proaktiv, fügt Kontext hinzu und

unterstützt die Priorisierung von Maßnahmen zur Korrektur und Risikominimierung.

Ermöglicht schnelle detaillierte forensische Untersuchungen, mit schrittweiser

Rückverfolgung der Vorgehensweise von Cyberkriminellen und

Erstellung der Dokumente in ursprünglichen Form durch Wiederherstellung

aus Netzwerkdaten.

QRadar Security Intelligence Lösungen


Erkennen von Anomalien durch intelligente Korrelation von Regeln

Flexible Anomalie-Erkennungsfähigkeiten identifizieren Unstimmigkeiten durch

Regeln, Schwellwerte oder Abweichung vom Normalbereich.

"Informationssicherheit wird zu einem Big Data und Analytics Problem.

... Einige der anspruchsvollsten Angriffe können nur mit detailliertem Activity

Monitoring gefunden werden, um sinnvolle Abweichungen vom ‚normalen‘

Verhalten zu bestimmen. "

Neil MacDonald, Gartner, Juni 2012

Zeigt Datenverkehr von einer IP-Adresse in einem Land, zu dem kein Unternehmens-Remote-Zugriff

existiert.


Erkennen von Anomalien auf Datenflussebene (Flows)

Netzwerkverkehr lügt nicht!

Angreifer sind in der Lage Logging zu stoppen und ihre Datenspuren zu

verwischen, können aber nicht das Netzwerk abschalten (Datenfluss)

– Tiefe Paket-Inspektion von Layer 7-Flussdaten

– Pivoting, Drilldown und Data Mining auf Datenflussquellen

für fortschrittliche Aufdeckung und Forensik

Macht die Kommunikation von Angreifern transparent, um Anomalien

zu erkennen, die sonst unentdeckt bleiben.


1. Credibility:

Ein “false positive” oder wirksamer

Verstoß?

2. Severity:

Alarm Level von vorhandenen

Schwachstellen

3. Relevance:

Priorisierung nach Asset- oder

Netzwerk-Bedeutung

Intelligentes Offense Scoring lenkt das Security Team beiUntersuchungen

Priorisierung kann über die Zeit oder situativ variieren

QRadar beurteilt die Offenses durch “Magnitude”:


Erkennen von Angriffen

• Umfassende Security Intelligence durch Application Flows

Konsolidierung von Datensilos

• Collection, Correlation und Reports von Daten in einerintegrierten Lösung

Erkennen von Betrug durch Insider

• Next-generation SIEM mit Identity Korrelation

Bessere Risikovorhersage

• Überwachung des Netzwerks auf Konfigurations- und Compliance-Risiken und Priorisierung für ihre Entschärfung

Abdecken regulatorischer Anforderungen

• Automatisierte Data Collection und Konfigurations Audits

Beispiele für Anwendungsfälle mit QRadar


Beispiel: Erkennen von Angriffen

Mögliches Botnet erkannt?

Das ist was traditionelle SIEM

Lösungen können

IRC auf Port 80?

IBM Security QRadar QFlow

entdeckt versteckten Kanal

Unwiderlegbare Botnet

Kommunikation

Layer 7 Flow Data enthält Botnet

Command Control Kommandos

Application Layer Flow Analyse entdeckt Bedrohungen,

die andere übersehen


Beispiel: Konsolidierung von Datensilos

Analyse von Flow- und

Event-Daten. Nur IBM

Security QRadar nutzt

vollständig Layer 7

Flows

Reduzierung von

großen Datenmengen

auf handhabbare Größe

Hochentwickelte

Korrelation zwischen Silos

1153571 : 1Data Reduction Ratio


Beispiel: Erkennen von Betrug durch Insider

Wer?

Ein interner Nutzer

Möglicher Datenverlust

Wer? Was? Wo?

Was?

Oracle Daten

Wo?

GMail

Erkennung von Bedrohungen im Intranet

Erkennung von abnormalen Nutzerverhalten und Sichtbarkeit auf

Anwendungsebene sind kritisch um Bedrohungen von Insidern zu

identifizieren


Beispiel: Bessere Risikovorhersage für Unternehmen

Bewerten von Systemen mit hohem Risiko von Angriffen wegen Schwachstellen

Welche Systeme sind betroffen?

Wie soll ich sie priorisieren?

Was sind die Details?

Schwachstellendetails,

sortiert nach Risiko

Wie beseitige ich die

Schwachstellen?

Security Intelligence vor dem Angriff

Überwachung des Netzwerks auf Konfiguration- und Compliance-Risiken

und Priorisierung für ihre Entschärfung


Beispiel: Abdecken regulatorischer Anforderungen

Unverschlüsselter Transfer

IBM Security QRadar QFlow sieht einen Klartextdienst auf einem Accounting Server

PCI Anforderung 4 sagt: Verschlüsselung bei der Übertragung von Karteninhaberdaten

über offene, öffentliche Netze

Einhaltung der PCI

Compliance?

Real-time Erkennung

möglicher Verstöße

Vereinfachung von Compliance

Out-of-the-box Unterstützung für wichtige Compliance Standards

Automatisierte Berichte, vordefinierte Korrelationsregeln, Dashboards


Integrierte einheitliche Architektur mit einer web-basierten Console

LogManagement

Security Intelligence

Network Activity

Monitoring

RiskManagement

Vulnerability Management

Network Forensics


IBM QRadar unterstützt hundert 3rd Party Produkte

IBM QRadar

Security Intelligence Platform


Konsolidierung und Integration hilft Kosten zu senken und Sichtbarkeit zu erhöhen

IBM QRadarSecurity Intelligence

Platform

Packets

Vulnerabilities

Configurations

Flows

Events

Logs

Integrierte einheitliche

Architektur mit einer web-

basierten Console

Traditionelles SIEM6 Produkte von 6 Anbietern warden benötigt

IBM Security

Intelligence und Analytics


Warum IBM QRadar ?

Schnell:

- Nach wenigen Tagen implementiert

- Durch vordefinierte Regeln & Anbindungen

Einfach:

- selbsterklärend & intuitiv

- Zusammenfassung von Alarmen

- Automatische Priorisierung von Alarmen

Sicher(er):

- Sicherheitsvorfälle erkennen, die man sonst nicht erkennt

- Native Flow Analyse! Nur so sieht man wirklich alles

- Integrierter Schwachstellenmanager

- Integrierter Risk Manager & Forensics

Zukunft:

- Zentrales SOC Tool

- Klare Roadmap

- Große Investitionen

in F&E


Marktanalysten schreiben über QRadar …

IBM Security Intelligence

Leader in the Gartner Magic Quadrant since 2009Security Information and Event Management (SIEM)

IBM QRadar rated #1 by Gartnerin the following categories:

– Ability to execute

– Analytics and behavior profiling

– Compliance use cases

– SIEM use case, product rating, and overall use case

#1 IDC Security Vulnerability Management (including SIEM)

Champion / Leading Product by InfoTech

2013 Global SIEM/LM Customer Value Leadership Awardby Frost and Sullivan


Fragen ?

© Copyright IBM Corporation 2015. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any

kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor

shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use

of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and / or

capabilities referenced in these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product

or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries

or both. Other company, product, or service names may be trademarks or service marks of others.

Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside

your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks

on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access.

IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessari ly involve additional operational procedures, and may require other

systems, products or services to be most effective. IBM DOES NOT WARRANT THAT ANY SYSTEMS, PRODUCTS OR SERVICES ARE IMMUNE FROM, OR WILL MAKE YOUR ENTERPRISE

IMMUNE FROM, THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.

THANK YOUwww.ibm.com/security

introducing the next phase of security intelligence · 2015-10-08 · ibm security qradar qflow-...

Documents