© 2012 IBM Corporation
IBM Security Systems
1© 2013 IBM Corporation
SIEM 2.0: Информационая безопасность с открытыми глазами.Николай Поборцев, IBM Россия/СНГ[email protected]
Г. НИЖНИЙ НОВГОРОД13 НОЯБРЯ 2014
© 2013 IBM Corporation
IBM Security Systems
2 #CODEIB
© 2013 IBM Corporation
IBM Security Systems
3
IBM Security и история. 38 лет, 18 компаний
IBM Security
1977 – IBM разработалаData Encryption Standard (DES)
#CODEIB
© 2013 IBM Corporation
IBM Security Systems
4
Прогнозирование и предотвращение
Реакция и исправлениеSIEM. Log Management. Incident Response.
Network and Host Intrusion Prevention. Network Anomaly Detection. Packet Forensics.
Database Activity Monitoring. Data Loss Prevention.
Risk Management. Vulnerability Management. Configuration Monitoring. Patch Management.
X-Force Research and Threat Intelligence. Compliance Management. Reporting and Scorecards.
Каковы внешние и внутренние угрозы?
Защищает ли текущая конфигурация от этих
угроз?
Что происходит прямо сейчас?
Каков результат?
Решение для полного цикла. IBM Qradar
#CODEIB
© 2013 IBM Corporation
IBM Security Systems
5
SIEM 2.0: Что это?
Требования к Next-Generation SIEM Анализ сетевых потоков (network flows) и обнаружение аномалий в
сети Анализ сетевых потоков уровня приложения (Level 7), анализ
содержимого пакетов (DPI) Мониторинг активности и анализ аномалий поведения пользователей Анализ конфигураций сетевых устройств, учет сетевого контекста Анализ уязвимостей прикладного ПО и ОС Производительность и масштабируемость от самых маленьких до
самых больших внедрений Способность анализировать огромные массивы разрозненных
данных и находить взаимосвязи Интеллект «из коробки» Автоматизация рутинных процедур Интеллектуальное сокращение объема данных, подлежащих анализу
оператором ИБ Полный сбор данных для расследования инцидентов
© 2013 IBM Corporation
IBM Security Systems
6
Анализ сетевых потоков и обнаружение аномалий — Зачем?
Обнаруживать больше. Обнаруживать раньше.
Как SIEM первого поколения может обнаружить шпионское ПО? Ботсеть? Червей?
«Сеть не может лгать»
Злоумышленник (хакер, привилегированный пользователь) может отключить или модифицировать журналы, но нельзя «выключить» сеть
Обнаруживает атаки в «день 0» без сигнатур
Определяет аномалии, которые иначе остались бы незамеченными
Обеспечивает четкие доказательства атаки
Обеспечивает видимость всех коммуникаций злоумышленника
#CODEIB
© 2013 IBM Corporation
IBM Security Systems
7
Анализ сетевых потоков уровня приложения, анализ содержимого пакетов
На два порядка повышает уровень детализации при анализе поведения и обнаружении аномалий — Вы видите мир цветным, а не черно-белым
Обнаруживает аномалии, которые трудно заметить при анализе обычных сетевых потоков
Контролирует использование протоколов/приложений в сетиАнализирует и позволяет захватывать содержимое пакетов
#CODEIB
© 2013 IBM Corporation
IBM Security Systems
8
Обнаружена ботсеть?Максимум, что может сделать SIEM
первого поколения
IRC на порту 80?QFlow обнаруживает скрытый
канал коммуникаций при помощи потоков Уровня 7 и анализа содержимого пакетов
Несомненно ботсетьДанные потоков Уровня 7 содержат
команды ботсети
Несомненно ботсетьДанные потоков Уровня 7 содержат
команды ботсети
Анализ сетевых потоков уровня приложения, анализ содержимого пакетов
#CODEIB
© 2013 IBM Corporation
IBM Security Systems
9
Мониторинг активности и анализ аномалий поведения пользователей
Мониторинг привилегированных и обычных пользователей Отличить ошибки пользователей от злонамеренной активности с
учетными записями Корреляция информации с IAM-систем, отображение
пользователей на компьютеры, IP-адреса Нормализация информации о пользователях и учетных записях
на различных платформах Готовые правила и предупреждения для мониторинга активности
пользователей Профилирование поведения пользователей и обнаружение
отклонений от нормы Корреляция доступа к данным с сетевой активностью
#CODEIB
© 2013 IBM Corporation
IBM Security Systems
10
Интеграция с IAM-решениями
Знание ролей пользователя, членства в группах
Обнаружение подозрительной активности
Почему подключение под привилегированной учетной записью происходит с рабочего места контрактного сотрудника?
Полная видимость на кончиках Ваших пальцев
Пользователи, события, потоки – Все доступно для дальнейшего анализа
Полная видимость на кончиках Ваших пальцев
Пользователи, события, потоки – Все доступно для дальнейшего анализа
Мониторинг активности и анализ аномалий поведения пользователей
#CODEIB
© 2013 IBM Corporation
IBM Security Systems
11
Потенциальная утечка данных?
Кто? Что? Куда?
Кто?Внутренний пользователь
Что?Данные из БД Oracle
Куда?Gmail
Корреляция доступа к данным с сетевой активностью
#CODEIB
© 2013 IBM Corporation
IBM Security Systems
12
QRadar User & Application Activity Monitoring предупреждает о ненормальном характере доступа пользователя к БД
QRadar определяет нормальное поведение пользователя и аномальное поведение
Профилирование поведения пользователей и обнаружение отклонений от нормы
#CODEIB
© 2013 IBM Corporation
IBM Security Systems
13
Анализ конфигураций сетевых устройств
Аудит конфигураций сетевых устройств (маршрутизаторов, межсетевых экранов, коммутаторов, систем предотвращения вторжений)
Учет контекста уязвимостей: одна и та же уязвимость, но степень риска разная в зависимости от топологии сети
Обнаружении ошибок в конфигурации сетевых устройств — брешей в безопасности
Приоритезация угроз (уязвимостей, атак) с учетом топологии сети Непрерывный мониторинг новых рисков
#CODEIB
© 2013 IBM Corporation
IBM Security Systems
14
Анализ уязвимостей прикладного ПО и ОС.
CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVECVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE
Inactive
Inactive: QFlow Collector data helps QRadar Vulnerability Manager sense application activity Blocked
Blocked: QRadar Risk Manager helps QVM understand which vulnerabilities are blocked by firewalls and IPSs
PatchedPatched: IBM Endpoint Manager helps QVM understand which vulnerabilities will be patched
Critical
Critical: Vulnerability knowledge base, remediation flow and QRM policies inform QVM about business critical vulnerabilities
At Risk: X-Force Threat and SIEM security incident data, coupled with QFlow network traffic visibility, help QVM see assets communicating with potential threats
At Risk! Exploited!
Exploited: SIEM correlation and IPS data help QVM reveal which vulnerabilities have been exploited
#CODEIB
© 2013 IBM Corporation
IBM Security Systems
15
Производительность и масштабируемость
Собирать и коррелировать все события, потоки, активы, топологию, уязвимости, identity-информацию и пр., чтобы своевременно обнаруживать и точно приоритезировать угрозы — без исключений, без предварительной фильтрации
Точечное связывание необходимой информации в огромных массивах входных данных — найти иголку в стоге иголок
Способность анализировать данные на большом интервале времени — обнаружение атак типа low&slow
#CODEIB
© 2013 IBM Corporation
IBM Security Systems
16
Интеллект «из коробки»
Сотни фильтров, поисковых запросов, виджетов
Сотни готовых правил корреляции
Почти 1500 отчетов, включая все модули compliance
Лучшие практики реализованы
Интеллект в системе, а не в головах людей, которые с ней работают
#CODEIB
© 2013 IBM Corporation
IBM Security Systems
17
Автоматизация рутинных процедур
Автоматическое обнаружение источников событий, автоматическая настройка
Автоматическое обнаружение активов
Автоматическое пассивное профилирование активов
Классификация серверной инфраструктуры на базе профилей активов
Радикальное сокращение объема ручной работы и времени внедрения
#CODEIB
© 2013 IBM Corporation
IBM Security Systems
18
За 24 часа получено почти 700 млн событий
и потоков
В результате корреляции
сгенерировано более 14 тыс скоррелированных
событий
В результате анализа создано 129 нарушений
(Offense)
Сокращение объема данных и приоритезация
Offense содержит полную историю
угрозы/атаки/нарушения, включая полный
контекст (сеть, активы, пользователи)
#CODEIB
© 2013 IBM Corporation
IBM Security Systems
19
Сбор данных для расследования. Incident Forensics
Захват всех пакетов для полной реконструкции сесии Унифицированное представление всех потоков, пользователей,
событий и информации для расследования Обратное отслеживание событий в хронологическом порядке Визуальное воссоздание взаимодействия участников инцидента Реализует поисковые механизмы для получения детальной
информации за секунды
#CODEIB
© 2013 IBM Corporation
IBM Security Systems
20
• Log management и отчеты, включив вилку в розетку
• От СМБ до масштаба предприятия• Расширяется до SIEM
• Корреляция журналов, потоков, уязвимостей, identity
• Передовое профилирование активов• Offense management и workflow
• Мониторинг конфигурации средств сетевой безопасности
• Приоритезация уязвимостей• Прогнозирующее моделирование угроз и
симуляция
SIEM
Log Management
Управление конфигурацией
и уязвимостями
Обнаружение аномалий сетевой
активности
Видимость сети и
приложений
• Анализ сетей• Обнаружение поведенческих аномалий• Полностью интегрирован с SIEM
• Мониторинг приложений на Уровне 7• Захват контента для глубокого анализа и
расследований• Физические и виртуальные среды
Полностью интегрированная платформа Security Intelligence
#CODEIB
© 2013 IBM Corporation
IBM Security Systems
21
• Turn-key log management and reporting• SME to Enterprise• Upgradeable to enterprise SIEM
• Log, flow, vulnerability & identity correlation• Sophisticated asset profiling• Offense management and workflow
• Network security configuration monitoring• Vulnerability prioritization• Predictive threat modeling & simulation
SIEM
Log Management
Управление конфигурацией
и уязвимостями
Обнаружение аномалий сетевой
активности
Видимость сети и
приложений
• Network analytics• Behavioral anomaly detection• Fully integrated in SIEM
• Layer 7 application monitoring• Content capture for deep insight & forensics• Physical and virtual environments
Единая консоль безопасности
Построена на унифицированной архитектуре данных
Полностью интегрированная платформа Security Intelligence
#CODEIB
© 2013 IBM Corporation
IBM Security Systems
22
© 2013 IBM Corporation
IBM Security Systems
23
ibm.com/security