Upload
others
View
4
Download
1
Embed Size (px)
Citation preview
TWINSOFT
TWINSOFT
Security Information und Event Management (SIEM)erweiterte Sicherheitsanforderungen
bei wachsender Datenflut
05.06.2013
GI Themenabend BIG DATA: Matthias Hesse, Twinsoft
Ablauf…
2
1. Wer ist denn TWINSOFT?
2. Warum sprechen wir über dieses Thema?
3. Was ist SIEM und wo kommt es her?
4. Was hat Compliance / IT-Compliance damit zu tun?
5. Warum SIEM bei TWINSOFT?
6. Wie sieht SIEM aus?
3
Aufbau der TWINSOFT
• Aktuell ca. 100 Mitarbeiter
• Darmstadt, Ratingen, Köln
Twinsoft …. Integrations & Sicherheitsexperte
4
Auszug der Referenzen:
Stellen Sie sich vor Ihnen würde so etwas passieren ……
RBS WorldPay (2008) � 1,5 Mio Debitkarten-Accounts gehackt, 9 Mio US$ Schaden innerhalb 12 Stunden � Lizenz für Kartenverarbeitung entzogen Google-Hack (2010) � Anzahl betroffener Accounts unbekannt; Börsenwert sinkt um 1,5 Mrd. US$ Sony: Playstation Netzwerk (2011) � mehrfache Angriffe über Tage hinweg, ohne erkennbare Gegenmaßnahmen � 100 Mio. Accounts kompromittiert (Datendiebstahl) Burger King (2013) � Kaperung des Onlineauftritts von Burger King. Hacker tauschten Werbebanner mit
dem von McDonalds aus
5
Wie es dazu kam…
Hacker Angriffe
6
Public Network
Home VPN
Public VPN
Remote Workers
Mobile Users
Wireless Hot-Spot
Branch Office
Corporate HQ
Millionen von Log-Daten innerhalb einer Organisatio n
7
� Riesige Flut an Log-Daten (sog. „Events“)
� Zeitaufwendige Untersuchungen
� Unterschiedliche Konsolen
� Verschiedenste Formate
���� Manuelles Sammeln, Speichern und Analysieren ist ze itlich nicht zu bewerkstelligen
AntiVirus
AntiVirusDatabases
ApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsAnti-VirusServer andDesktop OS
NetworkEquipment
VulnerabilityAssessment
IntrusionDetectionSystems
FirewallsFirewallsFirewallsFirewallsFirewallsFirewalls/VPN
Sign-OnSign-OnIdentityManagement
DirectoryServices
UserAttributes
PhysicalInfrastructure
BusinessProcessesMainframes
IT Abteilungen sind täglich konfrontiert mit
SIEM Treiber
ComplianceSecurity IT OperationsIT Operations
Wie entdecken und behandeln Sie Cyber Attacken?
Wie werden Sie Fehler im Netzwerk finden ?
Wie bestehen Sie Ihre Sicherheits Audits ?
Compliance
Begriffe: SIEM / SIM / SEM / Log-Management
9
Log-Management (LM)• (zentrale) Sammlung und Analyse von Log-Daten, Suchen, Reporting
SIM – „Security Information Management“ (im Wesentl ichen: Log-Management)• Reporting für Audits, Compliance-Anforderungen• Application- und (privileged) User-Monitoring
SEM – „Security Event Management“• Erkennen von Bedrohungen in Echtzeit• Benachrichtigung• Korrelationen
SIEM – „ Security Information and Event Management“
(Begriffe sind nicht scharf definiert!)
Zei
t
Funktionsumfang
manuell
LM
SIEM
Was machen SIEM -Tools ?
Sammlung der Log-Daten aus unterschiedlichen Quellen� syslog, SNMP, Files, Zugriff über API, …� mit und ohne Agent (installierte Software auf dem überwachten
System)
Filtering� uninteressante Daten gleich an der Quelle ausfiltern� wichtig bei verteilten Standorten und WAN-Verbindungen
Normalisierung / Kategorisierung� Daten aus unterschiedlichen Quellen auf einheitliches
Daten-Format abbilden
Korrelationen� Beziehungen zwischen unabhängigen und zusammenhangslosen
Event-Quellen herstellen� Sichtbarkeit für sicherheitsrelevante Ereignisse, die sonst unentdeckt
geblieben wären10
Alarm
action
Was macht ein SIEM Tool ?���� Kategorisierung / Normalisierung
Bedeutet: Daten aus unterschiedlichen Quellen auf einheitliches Daten-Format abbilden
12
BedrohungenMonitoren…Compliance Status Business Continuity
Sicherstellen…Addressieren…
Zentralisiertes Management und Auswertung von Logs
AntiVirus
AntiVirusDatabases
ApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsAnti-VirusServer andDesktop OS
NetworkEquipment
VulnerabilityAssessment
IntrusionDetectionSystems
FirewallsFirewallsFirewallsFirewallsFirewallsFirewalls/VPN
Sign-OnSign-OnIdentityManagement
DirectoryServices
UserAttributes
PhysicalInfrastructure
BusinessProcessesMainframes
Report&
Archivieren
Analysieren&
Alarmieren
Sammeln
Agieren
Gartners „Magic Quadrant“ für SIEM -Lösungen (2012)
13
TWINSOFT
Anzeige von IT-Compliance-verstössen
Anzeige von IT-Compliance-verstössen
Visualisierung der aktuellen IT-Infrastruktur
Erkennen von Schwachstellen
Schutz vor Angriffen
Anzeige von IT-Compliance-verstössen
���� alles auf Basis der ohnehin vorhandenen Daten
Screens…
15
16
Am Beispiel ArcSight (HP)Simples 3teiliges Dashboard zur Ansicht der Operatin g System Logon/Logoffs und damit verbundener Failures
Screenshots ArcSight
17
Screenshots ArcSight
18
19
Am Beispiel ArcSight (HP)Netzmodell zur Verfolgung zweifelhafter IP Adressen
20
TWINSOFT
Europaplatz 264293 DarmstadtTel: 06151/39756-0
Siemensstr. 8-1040885 RatingenTel: 02102/3004-0
Ihr Ansprechpartner:
Matthias Hesse
Tel.: 02102 3004-69Mobil: 0151 44 333 069E-Mail: [email protected]: www.twinsoft.de
21