siem 2.0: В чем отличие от привычных решений?23 spam dynamic ips...

© 2012 IBM Corporation

IBM Security Systems

1© 2013 IBM Corporation

SIEM 2.0: В чем отличие от привычных решений?Олег Летаев, IBM Россия/СНГ[email protected]



2

Ландшафт угроз сегодня невероятно сложен, динамичен и целенаправлен – требуется иной уровень интеллекта, чтобы понимать и управлять им

2

Угрозы сегодня динамичны– Ежедневно создаются десятки тысяч экземпляров вредоносного ПО – Новые классы угроз непрерывно создаются и совершенствуются– Топология угроз изменяет форму и превращается в сеть серверов и конечных точек,

соединения между которыми динамически создаются и прерываются

Угрозы сегодня сложны– Полиморфные программы преобразуют вредоносное ПО при каждом использовании– Распространение мобильных устройств, облачных вычислений, виртуализации (и

взаимопроникновение этих технологий) обеспечивает плодородную среду для новых угроз и вредоносного ПО

Угрозы сегодня целенаправлены– Это не случайные атаки, а организованные, целеустремленные и мотивированные– Существует целый “черный рынок”, производящий вредоносное ПО и

автоматизированные средства



3

Вызовы ИБ – это сложный четырехмерный паззл…

… который требует нового подхода

Приложения Веб-приложения

Systems Applications

Web 2.0 Mobile Applications

Инфраструктура ЦОДы ПК Лэптопы Мобильные Облака Нестандартные

ДанныеВ покое

In motionUnstructuredStructured

Люди Хакеры Поставщики

Консультанты Террористы

Employees Outsourcers

Customers

Сотрудники

Неструктурированные

Web 2.0Системные приложения

Аутсорсеры

Структурированные В движении

Заказчики

Мобильные приложения



4

Ваша команда ИБ видит шум



5

Security Intelligence--существительное 1.Сбор, нормализация и анализ в реальном времени данных,

сгенерированных пользователями, приложениями, инфраструктурой и влияющих на информационную безопасность и риски предприятия

Security Intelligence предоставляет исчерпывающую и практически применимую информацию, необходимую для управления рисками и угрозами, от обнаружения и защиты

до устранения

Что такое Security Intelligence



6

Эволюционируя вместе с изменяющимся ландшафтом



7

SIEM 2.0: Что это?Требования к Next-Generation SIEM Анализ сетевых потоков (network flows) и обнаружение аномалий

в сети Анализ сетевых потоков уровня приложения (Level 7), анализ

содержимого пакетов (DPI) Мониторинг активности и анализ аномалий поведения

пользователей Анализ конфигураций сетевых устройств, учет сетевого контекста Производительность и масштабируемость от самых маленьких

до самых больших внедрений Способность анализировать огромные массивы разрозненных

данных и находить взаимосвязи Интеллект «из коробки» Автоматизация рутинных процедур Контент от ведущей исследовательской группы Интеллектуальное сокращение объема данных, подлежащих

анализу оператором ИБ



8

Анализ сетевых потоков и обнаружение аномалий — Зачем?

Обнаруживать больше. Обнаруживать раньше.Как SIEM первого поколения может обнаружить шпионское ПО? Ботсеть? Червей?«Сеть не может лгать»Злоумышленник (хакер, привилегированный пользователь) может отключить или модифицировать журналы, но нельзя «выключить» сеть

Обнаруживает атаки в «день 0» без сигнатур

Определяет аномалии, которые иначе остались бы незамеченными

Обеспечивает четкие доказательства атаки

Обеспечивает видимость всех коммуникаций злоумышленника



9

Анализ сетевых потоков и обнаружение аномалий — Как?

Сбор потоков с сетевой инфраструктуры в любом из распространенных форматов

Исчерпывающие возможности по анализу данных сетевых потоков для исследований и расследований

Обнаружение аномалий на основе правил/политик, порогов, поведения или аномальной активности в сети и/или в журналах безопасности

Не просто способность, а встроенный интеллект



10

Анализ сетевых потоков уровня приложения, анализ содержимого пакетов

На два порядка повышает уровень детализации при анализе поведения и обнаружении аномалий — Вы видите мир цветным, а не черно-белым

Обнаруживает аномалии, которые трудно заметить при анализе обычных сетевых потоков

Контролирует использование протоколов/приложений в сетиАнализирует и позволяет захватывать содержимое пакетов



11

Обнаружена ботсеть?Максимум, что может сделать SIEM

первого поколения

IRC на порту 80?QFlow обнаруживает скрытый

канал коммуникаций при помощи потоков Уровня 7 и анализа содержимого пакетов

Несомненно ботсетьДанные потоков Уровня 7 содержат

команды ботсети

Несомненно ботсетьДанные потоков Уровня 7 содержат

команды ботсети

Анализ сетевых потоков уровня приложения, анализ содержимого пакетов



12

Мониторинг активности и анализ аномалий поведения пользователей

Мониторинг привилегированных и обычных пользователей Отличить ошибки пользователей от злонамеренной активности с

учетными записями Корреляция информации с IAM-систем, отображение

пользователей на компьютеры, IP-адреса Нормализация информации о пользователях и учетных записях

на различных платформах Готовые правила и предупреждения для мониторинга активности

пользователей Профилирование поведения пользователей и обнаружение

отклонений от нормы Корреляция доступа к данным с сетевой активностью



13

Интеграция с IAM-решениями

Знание ролей пользователя, членства в группах

Обнаружение подозрительной активности

Почему подключение под привилегированной учетной записью происходит с рабочего места контрактного сотрудника?

Полная видимость на кончиках Ваших пальцев

Пользователи, события, потоки – Все доступно для дальнейшего анализа

Полная видимость на кончиках Ваших пальцев

Пользователи, события, потоки – Все доступно для дальнейшего анализа

Мониторинг активности и анализ аномалий поведения пользователей



14

Потенциальная утечка данных?

Кто? Что? Куда?

Кто?Внутренний пользователь

Что?Данные из БД Oracle

Куда?Gmail

Корреляция доступа к данным с сетевой активностью



15

QRadar User & Application Activity Monitoring предупреждает о ненормальном характере доступа пользователя к БД

QRadar определяет нормальное поведение пользователя и аномальное поведение

Профилирование поведения пользователей и обнаружение отклонений от нормы



16

Анализ конфигураций сетевых устройств

Аудит конфигураций сетевых устройств (маршрутизаторов, межсетевых экранов, коммутаторов, систем предотвращения вторжений)

Учет контекста уязвимостей: одна и та же уязвимость, но степень риска разная в зависимости от топологии сети

Обнаружении ошибок в конфигурации сетевых устройств — брешей в безопасности

Приоритезация угроз (уязвимостей, атак) с учетом от топологии сети

Непрерывный мониторинг новых рисков



17

Найти устройства с опасными настройками

Использовать знания о сетевом трафике и уязвимостях

Найти бреши, прежде чем это сделает Ваш оппонент

Постоянная видимость и мониторинг на все 360º

Найти бреши, прежде чем это сделает Ваш оппонент

Постоянная видимость и мониторинг на все 360º

Анализ конфигураций сетевых устройств

Быстро оценить и проанализировать опасный трафик

Быстро оценить и проанализировать опасный трафик



18

Производительность и масштабируемость

Собирать и коррелировать все события, потоки, активы, топологию, уязвимости, identity-информацию и пр., чтобы своевременно обнаруживать и точно приоритезировать угрозы — без исключений, без предварительной фильтрации

Точечное связывание необходимой информации в огромных массивах входных данных — найти иголку в стоге иголок

Способность анализировать данные на большом интервале времени — обнаружение атак типа low&slow



19

Звучит неприятно…Но как мы об этом узнали?Доказательство — всего в

одном клике мышью.

Переполнение буфераПопытка запуска эксплойта обнаружена Snort

Сканирование сетиОбнаружено QFlow

Целевой хост уязвимОбнаружено Nessus

Total Security IntelligenceКонвергенция данных сети, событий и уязвимостей

Total Security IntelligenceКонвергенция данных сети, событий и уязвимостей

Точечное связывание информации в огромных массивах данных



20

Интеллект «из коробки»

Сотни фильтров, поисковых запросов, виджетов

Сотни готовых правил корреляции

Почти 1500 отчетов, включая все модули compliance

Лучшие практики реализованы

Интеллект в системе, а не в головах людей, которые с ней работают



21

Автоматизация рутинных процедур

Автоматическое обнаружение источников событий, автоматическая настройка

Автоматическое обнаружение активов

Автоматическое пассивное профилирование активов

Классификация серверной инфраструктуры на базе профилей активов

Радикальное сокращение объема ручной работы и времени внедрения



22

Контент от исследовательской группы с мировым именем – IBM X-Force Research. Квалификация и инфраструктура

Интернет

Глобальный ЦОД

Базы ДанныхThreat Intelligence

X-Force Threat Intelligence

Сбор данных • Роботы-краулеры

анализируют веб• Honeypots & darknets

собирают информацию• Spamtraps собирают IP и

образцы спама

Анализ• Мощные сервера

анализируют собранную информацию

• Данные тщательно анализируются и преобразуются в контент

• Более 12 лет опыта• Более 17 миллиардов страниц и адресов в каталоге• БД динамически обновляется ежеминутно



23

Spam Dynamic IPs Malware

IBM 12 M 900 M 19K

Top Competitor 8 M 736 M 1K

- Хосты с вредоносным ПО

- Источники спама

- Динамические IP

- Анонимные прокси

- Command & Control ботсетей

- Сканирующие IP

Категории угроз

IBM has market competitive coverage across different threat categories

E-mail Lists

Honeypots

Spam Traps

Web Crawlers

Darknets

(# of addresses as of Nov. 2012)

Контент от исследовательской группы с мировым именем – IBM X-Force Research



24

X-Force Threat Intelligence дополняет стандартные источники информации, обеспечивая оперативность, полноту, точность

Онлайн службыX-Force Threat Intelligence

IP репутация

Сочетание информации, собранной из разнообразных источников по всему миру, с возможностями QRadar Security Intelligence Platform повышает точность определения и приоритезации инцидентов ИБ

…………………........



25

Правила корреляции,использующие X-ForceThreat IntelligenceКатегории вредоносных IP

Информационные панелис X-Force Threat Intelligence

Интеграция X-Force Threat Intelligence со средствами анализа QRadar



26

За 24 часа получено почти 700 млн событий

и потоков

В результате корреляции

сгенерировано более 14 тыс скоррелированных

событий

В результате анализа создано 129 нарушений

(Offense)

Сокращение объема данных и приоритезация

Offense содержит полную историю

угрозы/атаки/нарушения, включая полный

контекст (сеть, активы, пользователи)



27

Что за атака?

Кто атаковал?

Сколько целей поражено?

Была ли атака успешной?

Где мне их найти?

Какие из них уязвимы?

Важность для бизнеса?

Где доказательства?

Четко, лаконично и исчерпывающе о нарушении

Управление нарушениями



28

Ваша команда ИБ видит…



29

Четкость…



30

Понимание…



31

Все



32

Прогнозирование и предотвращение Реакция и исправление

SIEM. Log Management. Incident Response.Network and Host Intrusion Prevention.

Network Anomaly Detection. Packet Forensics. Database Activity Monitoring. Data Loss Prevention.

Risk Management. Vulnerability Management. Configuration Monitoring. Patch Management.

X-Force Research and Threat Intelligence. Compliance Management. Reporting and Scorecards.

Каковы внешние и внутренние угрозы?

Защищает ли текущая конфигурация от этих

угроз?

Что происходит прямо сейчас? Каков результат?

Решения для полного цикла



33

Контекст и корреляция позволяют понять суть происходящего

Обширный перечень

источниковГлубокий интеллект

Исключительно точные и практически применимые выводы+ =

Подозрительные инциденты

Корреляция событий

Анализ активности и обнаружение аномалий

• Журналы• Потоки

• IP репутация• Геолокация

• Активность пользователей• Активность БД• Активность приложений• Сетевая активность

Идентификация нарушений• Достоверность• Критичность• Релевантность

Активность данных

Сервера и мэйнфреймы

Пользователи и учетные записи

Уязвимости и угрозы

Конфигурация

Устройства безопасности

Сетевая и виртуальная активность

Активность приложений

Настоящие нарушения



34

Видимость сети и

приложений

• Мониторинг приложений на Уровне 7• Захват контента для глубокого анализа и

расследований• Физические и виртуальные среды

• Корреляция журналов, потоков, уязвимостей, identity

• Передовое профилирование активов• Offense management и workflow

SIEM

Обнаружение аномалий сетевой

активности

• Анализ сетей• Обнаружение поведенческих аномалий• Полностью интегрирован с SIEM

• Log management и отчеты, включив вилку в розетку

• От СМБ до масштаба предприятия• Расширяется до SIEM

Log Management

• Мониторинг конфигурации средств сетевой безопасности

• Приоритезация уязвимостей• Прогнозирующее моделирование угроз и

симуляция

Управление конфигурацией

и уязвимостями

Масштабируемость

• Процессоры Событий• Процессоры Потоков• Отказоустойчивость и

Катастрофоустойчивость• Горизонтальное масштабирование

Полностью интегрированная платформа Security Intelligence



35

• Turn-key log management and reporting• SME to Enterprise• Upgradeable to enterprise SIEM

• Log, flow, vulnerability & identity correlation• Sophisticated asset profiling• Offense management and workflow

• Network security configuration monitoring• Vulnerability prioritization• Predictive threat modeling & simulation

SIEM

Log Management

Управление конфигурацией

и уязвимостями

Обнаружение аномалий сетевой

активности

Видимость сети и

приложений

• Network analytics• Behavioral anomaly detection• Fully integrated in SIEM

• Layer 7 application monitoring• Content capture for deep insight & forensics• Physical and virtual environments

Единая консоль безопасности

Построена на унифицированной архитектуре данных

Полностью интегрированная архитектура и интерфейс



36

ibm.com/security

siem 2.0: В чем отличие от привычных решений?23 spam dynamic ips...

Documents