siem 2.0: В чем отличие от привычных решений?23 spam dynamic ips...
TRANSCRIPT
© 2012 IBM Corporation
IBM Security Systems
1© 2013 IBM Corporation
SIEM 2.0: В чем отличие от привычных решений?Олег Летаев, IBM Россия/СНГ[email protected]
© 2013 IBM Corporation
IBM Security Systems
2
Ландшафт угроз сегодня невероятно сложен, динамичен и целенаправлен – требуется иной уровень интеллекта, чтобы понимать и управлять им
2
Угрозы сегодня динамичны– Ежедневно создаются десятки тысяч экземпляров вредоносного ПО – Новые классы угроз непрерывно создаются и совершенствуются– Топология угроз изменяет форму и превращается в сеть серверов и конечных точек,
соединения между которыми динамически создаются и прерываются
Угрозы сегодня сложны– Полиморфные программы преобразуют вредоносное ПО при каждом использовании– Распространение мобильных устройств, облачных вычислений, виртуализации (и
взаимопроникновение этих технологий) обеспечивает плодородную среду для новых угроз и вредоносного ПО
Угрозы сегодня целенаправлены– Это не случайные атаки, а организованные, целеустремленные и мотивированные– Существует целый “черный рынок”, производящий вредоносное ПО и
автоматизированные средства
© 2013 IBM Corporation
IBM Security Systems
3
Вызовы ИБ – это сложный четырехмерный паззл…
… который требует нового подхода
Приложения Веб-приложения
Systems Applications
Web 2.0 Mobile Applications
Инфраструктура ЦОДы ПК Лэптопы Мобильные Облака Нестандартные
ДанныеВ покое
In motionUnstructuredStructured
Люди Хакеры Поставщики
Консультанты Террористы
Employees Outsourcers
Customers
Сотрудники
Неструктурированные
Web 2.0Системные приложения
Аутсорсеры
Структурированные В движении
Заказчики
Мобильные приложения
© 2013 IBM Corporation
IBM Security Systems
4
Ваша команда ИБ видит шум
© 2013 IBM Corporation
IBM Security Systems
5
Security Intelligence--существительное 1.Сбор, нормализация и анализ в реальном времени данных,
сгенерированных пользователями, приложениями, инфраструктурой и влияющих на информационную безопасность и риски предприятия
Security Intelligence предоставляет исчерпывающую и практически применимую информацию, необходимую для управления рисками и угрозами, от обнаружения и защиты
до устранения
Что такое Security Intelligence
© 2013 IBM Corporation
IBM Security Systems
6
Эволюционируя вместе с изменяющимся ландшафтом
© 2013 IBM Corporation
IBM Security Systems
7
SIEM 2.0: Что это?Требования к Next-Generation SIEM Анализ сетевых потоков (network flows) и обнаружение аномалий
в сети Анализ сетевых потоков уровня приложения (Level 7), анализ
содержимого пакетов (DPI) Мониторинг активности и анализ аномалий поведения
пользователей Анализ конфигураций сетевых устройств, учет сетевого контекста Производительность и масштабируемость от самых маленьких
до самых больших внедрений Способность анализировать огромные массивы разрозненных
данных и находить взаимосвязи Интеллект «из коробки» Автоматизация рутинных процедур Контент от ведущей исследовательской группы Интеллектуальное сокращение объема данных, подлежащих
анализу оператором ИБ
© 2013 IBM Corporation
IBM Security Systems
8
Анализ сетевых потоков и обнаружение аномалий — Зачем?
Обнаруживать больше. Обнаруживать раньше.Как SIEM первого поколения может обнаружить шпионское ПО? Ботсеть? Червей?«Сеть не может лгать»Злоумышленник (хакер, привилегированный пользователь) может отключить или модифицировать журналы, но нельзя «выключить» сеть
Обнаруживает атаки в «день 0» без сигнатур
Определяет аномалии, которые иначе остались бы незамеченными
Обеспечивает четкие доказательства атаки
Обеспечивает видимость всех коммуникаций злоумышленника
© 2013 IBM Corporation
IBM Security Systems
9
Анализ сетевых потоков и обнаружение аномалий — Как?
Сбор потоков с сетевой инфраструктуры в любом из распространенных форматов
Исчерпывающие возможности по анализу данных сетевых потоков для исследований и расследований
Обнаружение аномалий на основе правил/политик, порогов, поведения или аномальной активности в сети и/или в журналах безопасности
Не просто способность, а встроенный интеллект
© 2013 IBM Corporation
IBM Security Systems
10
Анализ сетевых потоков уровня приложения, анализ содержимого пакетов
На два порядка повышает уровень детализации при анализе поведения и обнаружении аномалий — Вы видите мир цветным, а не черно-белым
Обнаруживает аномалии, которые трудно заметить при анализе обычных сетевых потоков
Контролирует использование протоколов/приложений в сетиАнализирует и позволяет захватывать содержимое пакетов
© 2013 IBM Corporation
IBM Security Systems
11
Обнаружена ботсеть?Максимум, что может сделать SIEM
первого поколения
IRC на порту 80?QFlow обнаруживает скрытый
канал коммуникаций при помощи потоков Уровня 7 и анализа содержимого пакетов
Несомненно ботсетьДанные потоков Уровня 7 содержат
команды ботсети
Несомненно ботсетьДанные потоков Уровня 7 содержат
команды ботсети
Анализ сетевых потоков уровня приложения, анализ содержимого пакетов
© 2013 IBM Corporation
IBM Security Systems
12
Мониторинг активности и анализ аномалий поведения пользователей
Мониторинг привилегированных и обычных пользователей Отличить ошибки пользователей от злонамеренной активности с
учетными записями Корреляция информации с IAM-систем, отображение
пользователей на компьютеры, IP-адреса Нормализация информации о пользователях и учетных записях
на различных платформах Готовые правила и предупреждения для мониторинга активности
пользователей Профилирование поведения пользователей и обнаружение
отклонений от нормы Корреляция доступа к данным с сетевой активностью
© 2013 IBM Corporation
IBM Security Systems
13
Интеграция с IAM-решениями
Знание ролей пользователя, членства в группах
Обнаружение подозрительной активности
Почему подключение под привилегированной учетной записью происходит с рабочего места контрактного сотрудника?
Полная видимость на кончиках Ваших пальцев
Пользователи, события, потоки – Все доступно для дальнейшего анализа
Полная видимость на кончиках Ваших пальцев
Пользователи, события, потоки – Все доступно для дальнейшего анализа
Мониторинг активности и анализ аномалий поведения пользователей
© 2013 IBM Corporation
IBM Security Systems
14
Потенциальная утечка данных?
Кто? Что? Куда?
Кто?Внутренний пользователь
Что?Данные из БД Oracle
Куда?Gmail
Корреляция доступа к данным с сетевой активностью
© 2013 IBM Corporation
IBM Security Systems
15
QRadar User & Application Activity Monitoring предупреждает о ненормальном характере доступа пользователя к БД
QRadar определяет нормальное поведение пользователя и аномальное поведение
Профилирование поведения пользователей и обнаружение отклонений от нормы
© 2013 IBM Corporation
IBM Security Systems
16
Анализ конфигураций сетевых устройств
Аудит конфигураций сетевых устройств (маршрутизаторов, межсетевых экранов, коммутаторов, систем предотвращения вторжений)
Учет контекста уязвимостей: одна и та же уязвимость, но степень риска разная в зависимости от топологии сети
Обнаружении ошибок в конфигурации сетевых устройств — брешей в безопасности
Приоритезация угроз (уязвимостей, атак) с учетом от топологии сети
Непрерывный мониторинг новых рисков
© 2013 IBM Corporation
IBM Security Systems
17
Найти устройства с опасными настройками
Использовать знания о сетевом трафике и уязвимостях
Найти бреши, прежде чем это сделает Ваш оппонент
Постоянная видимость и мониторинг на все 360º
Найти бреши, прежде чем это сделает Ваш оппонент
Постоянная видимость и мониторинг на все 360º
Анализ конфигураций сетевых устройств
Быстро оценить и проанализировать опасный трафик
Быстро оценить и проанализировать опасный трафик
© 2013 IBM Corporation
IBM Security Systems
18
Производительность и масштабируемость
Собирать и коррелировать все события, потоки, активы, топологию, уязвимости, identity-информацию и пр., чтобы своевременно обнаруживать и точно приоритезировать угрозы — без исключений, без предварительной фильтрации
Точечное связывание необходимой информации в огромных массивах входных данных — найти иголку в стоге иголок
Способность анализировать данные на большом интервале времени — обнаружение атак типа low&slow
© 2013 IBM Corporation
IBM Security Systems
19
Звучит неприятно…Но как мы об этом узнали?Доказательство — всего в
одном клике мышью.
Переполнение буфераПопытка запуска эксплойта обнаружена Snort
Сканирование сетиОбнаружено QFlow
Целевой хост уязвимОбнаружено Nessus
Total Security IntelligenceКонвергенция данных сети, событий и уязвимостей
Total Security IntelligenceКонвергенция данных сети, событий и уязвимостей
Точечное связывание информации в огромных массивах данных
© 2013 IBM Corporation
IBM Security Systems
20
Интеллект «из коробки»
Сотни фильтров, поисковых запросов, виджетов
Сотни готовых правил корреляции
Почти 1500 отчетов, включая все модули compliance
Лучшие практики реализованы
Интеллект в системе, а не в головах людей, которые с ней работают
© 2013 IBM Corporation
IBM Security Systems
21
Автоматизация рутинных процедур
Автоматическое обнаружение источников событий, автоматическая настройка
Автоматическое обнаружение активов
Автоматическое пассивное профилирование активов
Классификация серверной инфраструктуры на базе профилей активов
Радикальное сокращение объема ручной работы и времени внедрения
© 2013 IBM Corporation
IBM Security Systems
22
Контент от исследовательской группы с мировым именем – IBM X-Force Research. Квалификация и инфраструктура
Интернет
Глобальный ЦОД
Базы ДанныхThreat Intelligence
X-Force Threat Intelligence
Сбор данных • Роботы-краулеры
анализируют веб• Honeypots & darknets
собирают информацию• Spamtraps собирают IP и
образцы спама
Анализ• Мощные сервера
анализируют собранную информацию
• Данные тщательно анализируются и преобразуются в контент
• Более 12 лет опыта• Более 17 миллиардов страниц и адресов в каталоге• БД динамически обновляется ежеминутно
© 2013 IBM Corporation
IBM Security Systems
23
Spam Dynamic IPs Malware
IBM 12 M 900 M 19K
Top Competitor 8 M 736 M 1K
- Хосты с вредоносным ПО
- Источники спама
- Динамические IP
- Анонимные прокси
- Command & Control ботсетей
- Сканирующие IP
Категории угроз
IBM has market competitive coverage across different threat categories
E-mail Lists
Honeypots
Spam Traps
Web Crawlers
Darknets
(# of addresses as of Nov. 2012)
Контент от исследовательской группы с мировым именем – IBM X-Force Research
© 2013 IBM Corporation
IBM Security Systems
24
X-Force Threat Intelligence дополняет стандартные источники информации, обеспечивая оперативность, полноту, точность
Онлайн службыX-Force Threat Intelligence
IP репутация
Сочетание информации, собранной из разнообразных источников по всему миру, с возможностями QRadar Security Intelligence Platform повышает точность определения и приоритезации инцидентов ИБ
…………………........
© 2013 IBM Corporation
IBM Security Systems
25
Правила корреляции,использующие X-ForceThreat IntelligenceКатегории вредоносных IP
Информационные панелис X-Force Threat Intelligence
Интеграция X-Force Threat Intelligence со средствами анализа QRadar
© 2013 IBM Corporation
IBM Security Systems
26
За 24 часа получено почти 700 млн событий
и потоков
В результате корреляции
сгенерировано более 14 тыс скоррелированных
событий
В результате анализа создано 129 нарушений
(Offense)
Сокращение объема данных и приоритезация
Offense содержит полную историю
угрозы/атаки/нарушения, включая полный
контекст (сеть, активы, пользователи)
© 2013 IBM Corporation
IBM Security Systems
27
Что за атака?
Кто атаковал?
Сколько целей поражено?
Была ли атака успешной?
Где мне их найти?
Какие из них уязвимы?
Важность для бизнеса?
Где доказательства?
Четко, лаконично и исчерпывающе о нарушении
Управление нарушениями
© 2013 IBM Corporation
IBM Security Systems
28
Ваша команда ИБ видит…
© 2013 IBM Corporation
IBM Security Systems
29
Четкость…
© 2013 IBM Corporation
IBM Security Systems
30
Понимание…
© 2013 IBM Corporation
IBM Security Systems
31
Все
© 2013 IBM Corporation
IBM Security Systems
32
Прогнозирование и предотвращение Реакция и исправление
SIEM. Log Management. Incident Response.Network and Host Intrusion Prevention.
Network Anomaly Detection. Packet Forensics. Database Activity Monitoring. Data Loss Prevention.
Risk Management. Vulnerability Management. Configuration Monitoring. Patch Management.
X-Force Research and Threat Intelligence. Compliance Management. Reporting and Scorecards.
Каковы внешние и внутренние угрозы?
Защищает ли текущая конфигурация от этих
угроз?
Что происходит прямо сейчас? Каков результат?
Решения для полного цикла
© 2013 IBM Corporation
IBM Security Systems
33
Контекст и корреляция позволяют понять суть происходящего
Обширный перечень
источниковГлубокий интеллект
Исключительно точные и практически применимые выводы+ =
Подозрительные инциденты
Корреляция событий
Анализ активности и обнаружение аномалий
• Журналы• Потоки
• IP репутация• Геолокация
• Активность пользователей• Активность БД• Активность приложений• Сетевая активность
Идентификация нарушений• Достоверность• Критичность• Релевантность
Активность данных
Сервера и мэйнфреймы
Пользователи и учетные записи
Уязвимости и угрозы
Конфигурация
Устройства безопасности
Сетевая и виртуальная активность
Активность приложений
Настоящие нарушения
© 2013 IBM Corporation
IBM Security Systems
34
Видимость сети и
приложений
• Мониторинг приложений на Уровне 7• Захват контента для глубокого анализа и
расследований• Физические и виртуальные среды
• Корреляция журналов, потоков, уязвимостей, identity
• Передовое профилирование активов• Offense management и workflow
SIEM
Обнаружение аномалий сетевой
активности
• Анализ сетей• Обнаружение поведенческих аномалий• Полностью интегрирован с SIEM
• Log management и отчеты, включив вилку в розетку
• От СМБ до масштаба предприятия• Расширяется до SIEM
Log Management
• Мониторинг конфигурации средств сетевой безопасности
• Приоритезация уязвимостей• Прогнозирующее моделирование угроз и
симуляция
Управление конфигурацией
и уязвимостями
Масштабируемость
• Процессоры Событий• Процессоры Потоков• Отказоустойчивость и
Катастрофоустойчивость• Горизонтальное масштабирование
Полностью интегрированная платформа Security Intelligence
© 2013 IBM Corporation
IBM Security Systems
35
• Turn-key log management and reporting• SME to Enterprise• Upgradeable to enterprise SIEM
• Log, flow, vulnerability & identity correlation• Sophisticated asset profiling• Offense management and workflow
• Network security configuration monitoring• Vulnerability prioritization• Predictive threat modeling & simulation
SIEM
Log Management
Управление конфигурацией
и уязвимостями
Обнаружение аномалий сетевой
активности
Видимость сети и
приложений
• Network analytics• Behavioral anomaly detection• Fully integrated in SIEM
• Layer 7 application monitoring• Content capture for deep insight & forensics• Physical and virtual environments
Единая консоль безопасности
Построена на унифицированной архитектуре данных
Полностью интегрированная архитектура и интерфейс
© 2013 IBM Corporation
IBM Security Systems
36
ibm.com/security