IBM - SIEM 2.0: Информационая безопасность с открытыми глазами

© 2012 IBM Corporation

IBM Security Systems

1© 2013 IBM Corporation

SIEM 2.0: Информационая безопасность с открытыми глазами.Николай Поборцев, IBM Россия/СНГ[email protected]

Г. НИЖНИЙ НОВГОРОД13 НОЯБРЯ 2014



2 #CODEIB



3

IBM Security и история. 38 лет, 18 компаний

IBM Security

1977 – IBM разработалаData Encryption Standard (DES)

#CODEIB



4

Прогнозирование и предотвращение

Реакция и исправлениеSIEM. Log Management. Incident Response.

Network and Host Intrusion Prevention. Network Anomaly Detection. Packet Forensics.

Database Activity Monitoring. Data Loss Prevention.

Risk Management. Vulnerability Management. Configuration Monitoring. Patch Management.

X-Force Research and Threat Intelligence. Compliance Management. Reporting and Scorecards.

Каковы внешние и внутренние угрозы?

Защищает ли текущая конфигурация от этих

угроз?

Что происходит прямо сейчас?

Каков результат?

Решение для полного цикла. IBM Qradar

#CODEIB



5

SIEM 2.0: Что это?

Требования к Next-Generation SIEM Анализ сетевых потоков (network flows) и обнаружение аномалий в

сети Анализ сетевых потоков уровня приложения (Level 7), анализ

содержимого пакетов (DPI) Мониторинг активности и анализ аномалий поведения пользователей Анализ конфигураций сетевых устройств, учет сетевого контекста Анализ уязвимостей прикладного ПО и ОС Производительность и масштабируемость от самых маленьких до

самых больших внедрений Способность анализировать огромные массивы разрозненных

данных и находить взаимосвязи Интеллект «из коробки» Автоматизация рутинных процедур Интеллектуальное сокращение объема данных, подлежащих анализу

оператором ИБ Полный сбор данных для расследования инцидентов



6

Анализ сетевых потоков и обнаружение аномалий — Зачем?

Обнаруживать больше. Обнаруживать раньше.

Как SIEM первого поколения может обнаружить шпионское ПО? Ботсеть? Червей?

«Сеть не может лгать»

Злоумышленник (хакер, привилегированный пользователь) может отключить или модифицировать журналы, но нельзя «выключить» сеть

Обнаруживает атаки в «день 0» без сигнатур

Определяет аномалии, которые иначе остались бы незамеченными

Обеспечивает четкие доказательства атаки

Обеспечивает видимость всех коммуникаций злоумышленника

#CODEIB



7

Анализ сетевых потоков уровня приложения, анализ содержимого пакетов

На два порядка повышает уровень детализации при анализе поведения и обнаружении аномалий — Вы видите мир цветным, а не черно-белым

Обнаруживает аномалии, которые трудно заметить при анализе обычных сетевых потоков

Контролирует использование протоколов/приложений в сетиАнализирует и позволяет захватывать содержимое пакетов

#CODEIB



8

Обнаружена ботсеть?Максимум, что может сделать SIEM

первого поколения

IRC на порту 80?QFlow обнаруживает скрытый

канал коммуникаций при помощи потоков Уровня 7 и анализа содержимого пакетов

Несомненно ботсетьДанные потоков Уровня 7 содержат

команды ботсети

Несомненно ботсетьДанные потоков Уровня 7 содержат

команды ботсети

Анализ сетевых потоков уровня приложения, анализ содержимого пакетов

#CODEIB



9

Мониторинг активности и анализ аномалий поведения пользователей

Мониторинг привилегированных и обычных пользователей Отличить ошибки пользователей от злонамеренной активности с

учетными записями Корреляция информации с IAM-систем, отображение

пользователей на компьютеры, IP-адреса Нормализация информации о пользователях и учетных записях

на различных платформах Готовые правила и предупреждения для мониторинга активности

пользователей Профилирование поведения пользователей и обнаружение

отклонений от нормы Корреляция доступа к данным с сетевой активностью

#CODEIB



10

Интеграция с IAM-решениями

Знание ролей пользователя, членства в группах

Обнаружение подозрительной активности

Почему подключение под привилегированной учетной записью происходит с рабочего места контрактного сотрудника?

Полная видимость на кончиках Ваших пальцев

Пользователи, события, потоки – Все доступно для дальнейшего анализа

Полная видимость на кончиках Ваших пальцев

Пользователи, события, потоки – Все доступно для дальнейшего анализа

Мониторинг активности и анализ аномалий поведения пользователей

#CODEIB



11

Потенциальная утечка данных?

Кто? Что? Куда?

Кто?Внутренний пользователь

Что?Данные из БД Oracle

Куда?Gmail

Корреляция доступа к данным с сетевой активностью

#CODEIB



12

QRadar User & Application Activity Monitoring предупреждает о ненормальном характере доступа пользователя к БД

QRadar определяет нормальное поведение пользователя и аномальное поведение

Профилирование поведения пользователей и обнаружение отклонений от нормы

#CODEIB



13

Анализ конфигураций сетевых устройств

Аудит конфигураций сетевых устройств (маршрутизаторов, межсетевых экранов, коммутаторов, систем предотвращения вторжений)

Учет контекста уязвимостей: одна и та же уязвимость, но степень риска разная в зависимости от топологии сети

Обнаружении ошибок в конфигурации сетевых устройств — брешей в безопасности

Приоритезация угроз (уязвимостей, атак) с учетом топологии сети Непрерывный мониторинг новых рисков

#CODEIB



14

Анализ уязвимостей прикладного ПО и ОС.

CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE

Inactive

Inactive: QFlow Collector data helps QRadar Vulnerability Manager sense application activity Blocked

Blocked: QRadar Risk Manager helps QVM understand which vulnerabilities are blocked by firewalls and IPSs

PatchedPatched: IBM Endpoint Manager helps QVM understand which vulnerabilities will be patched

Critical

Critical: Vulnerability knowledge base, remediation flow and QRM policies inform QVM about business critical vulnerabilities

At Risk: X-Force Threat and SIEM security incident data, coupled with QFlow network traffic visibility, help QVM see assets communicating with potential threats

At Risk! Exploited!

Exploited: SIEM correlation and IPS data help QVM reveal which vulnerabilities have been exploited

#CODEIB



15

Производительность и масштабируемость

Собирать и коррелировать все события, потоки, активы, топологию, уязвимости, identity-информацию и пр., чтобы своевременно обнаруживать и точно приоритезировать угрозы — без исключений, без предварительной фильтрации

Точечное связывание необходимой информации в огромных массивах входных данных — найти иголку в стоге иголок

Способность анализировать данные на большом интервале времени — обнаружение атак типа low&slow

#CODEIB



16

Интеллект «из коробки»

Сотни фильтров, поисковых запросов, виджетов

Сотни готовых правил корреляции

Почти 1500 отчетов, включая все модули compliance

Лучшие практики реализованы

Интеллект в системе, а не в головах людей, которые с ней работают

#CODEIB



17

Автоматизация рутинных процедур

Автоматическое обнаружение источников событий, автоматическая настройка

Автоматическое обнаружение активов

Автоматическое пассивное профилирование активов

Классификация серверной инфраструктуры на базе профилей активов

Радикальное сокращение объема ручной работы и времени внедрения

#CODEIB



18

За 24 часа получено почти 700 млн событий

и потоков

В результате корреляции

сгенерировано более 14 тыс скоррелированных

событий

В результате анализа создано 129 нарушений

(Offense)

Сокращение объема данных и приоритезация

Offense содержит полную историю

угрозы/атаки/нарушения, включая полный

контекст (сеть, активы, пользователи)

#CODEIB



19

Сбор данных для расследования. Incident Forensics

Захват всех пакетов для полной реконструкции сесии Унифицированное представление всех потоков, пользователей,

событий и информации для расследования Обратное отслеживание событий в хронологическом порядке Визуальное воссоздание взаимодействия участников инцидента Реализует поисковые механизмы для получения детальной

информации за секунды

#CODEIB



20

• Log management и отчеты, включив вилку в розетку

• От СМБ до масштаба предприятия• Расширяется до SIEM

• Корреляция журналов, потоков, уязвимостей, identity

• Передовое профилирование активов• Offense management и workflow

• Мониторинг конфигурации средств сетевой безопасности

• Приоритезация уязвимостей• Прогнозирующее моделирование угроз и

симуляция

SIEM

Log Management

Управление конфигурацией

и уязвимостями

Обнаружение аномалий сетевой

активности

Видимость сети и

приложений

• Анализ сетей• Обнаружение поведенческих аномалий• Полностью интегрирован с SIEM

• Мониторинг приложений на Уровне 7• Захват контента для глубокого анализа и

расследований• Физические и виртуальные среды

Полностью интегрированная платформа Security Intelligence

#CODEIB



21

• Turn-key log management and reporting• SME to Enterprise• Upgradeable to enterprise SIEM

• Log, flow, vulnerability & identity correlation• Sophisticated asset profiling• Offense management and workflow

• Network security configuration monitoring• Vulnerability prioritization• Predictive threat modeling & simulation

SIEM

Log Management

Управление конфигурацией

и уязвимостями

Обнаружение аномалий сетевой

активности

Видимость сети и

приложений

• Network analytics• Behavioral anomaly detection• Fully integrated in SIEM

• Layer 7 application monitoring• Content capture for deep insight & forensics• Physical and virtual environments

Единая консоль безопасности

Построена на унифицированной архитектуре данных

Полностью интегрированная платформа Security Intelligence

#CODEIB



22



23

ibm.com/security

Business

IBM - SIEM 2.0: Информационая безопасность с открытыми глазами