Transcript Sustav za prikupljanje i upravljanje sigurnosnim događajima

Sustav za prikupljanje i upravljanje
sigurnosnim događajima
Ivan Poljak
FINA I Sektor informatike I Odjel IT sigurnosti
FINANCIJSKA AGENCIJA
Vodeći hrvatski pružatelj financijskih usluga, poslovnih informacija te
usluga elektroničkog poslovanja
Vodeća kompanija u području primjene informacijskih tehnologija
Moderna financijska institucija izgrađena na polustoljetnom
iskustvu
U državnom vlasništvu, no posluje na tržišnom principu
Pouzdan partner državi na području javnih financija
Uspješno poslujemo s bankama, poslovnim sustavima i građanima
Sadržaj
•
Zahtjevi za praćenje događaja na IT opremi
– Zakonska regulativa
– Zapisi IT sustava (logovi)
•
Opis SIEM sustava
–
–
–
–
–
SIEM
Razlozi korištenja SIEM-a
Zahtjevi na SIEM alat
Uspostava SIEM-a (preduvjeti, resursi, trajanje)
Arhitektura SIEM-a
• Rezultati
– Rezultati uspostave SIEM-a
– Što smo naučili (Lessons learned)
Zakonska regulativa
•
RH
–
–
–
–
–
–
–
•
Zakon o Finacijskoj agenciji
Zakon o tajnosti podataka
Zakon o informacijskoj sigurnosti
Zakon o zaštiti osobnih podataka
Zakon o zaštiti tajnosti podataka
Zakon o platnom prometu
podzakonski akti
HNB
– Odluka o eksternalizaciji (Zakon o kreditnim institucijama, Odluka o primjerenom
upravljanju informacijskim sustavom)
– Odluka o pravilima rada Nacionalnoga klirinškog sustava
•
Norme
– ISO 27001
– PCI DSS
Zapisi IT sustava (logovi)
Malicious Code Detection
Real-Time Monitoring
Spyware detection
Access Control Enforcement
Troubleshooting
Privileged User Management
Configuration Control
Unauthorized
Service Detection
Lockdown enforcement
IP Leakage
Web server
activity logs
Switch logs
VA Scan logs
Windows
domain
logins
Windows logs
Web cache & proxy logs
Content management logs
IDS/IDP logs
Router logs
VPN logs
Firewall logs
Wireless
access
logs
Oracle Financial
Logs
Mainframe
logs
Linux, Unix,
Windows OS
logs
DHCP logs
San File
Access
Logs
VLAN Access
& Control logs
Client & file
server logs
Database Logs
Zapisi IT sustava (logovi)
Milijuni događaja generirani svaki dan
Distribuiranost logova (zapisa)
Različiti formati logova (zapisa)
Otežano prikupljanje i analiza logova (zapisa)!
Otežano upravljanje servisima, IT sigurnošću i rizicima!
SIEM
•
Sustav za prikupljanje i upravljanje sigurnosnim
događajima
(engl.: Security Information Event Management – SIEM)
–
–
–
–
–
Sakupljanje i arhiviranje (sistemski zapisi, logovi)
Obrada i korelacija podataka
Obavještavanje (engl.: alerting)
Forenzička analiza
Izvještavanje
Razlozi korištenja SIEM-a
•
Korelacija podataka iz različitih IT sustava
•
Detekcija anomalija
•
Jedinstven pogled na zapise
•
Prioritizacija događaja i incidenata
•
Nadgledanje i uzbunjivanje (alerting and monitoring)
događaja
•
Nadzor i praćenje pristupa povjerljivim podacima
•
Olakšano praćenje sukladnosti i primjena raznih kontrola
•
Kreiranje izvještaja
Zahtjevi na SIEM alat
•
Kompleksnost
(Na koji način upravljati s velikom količinom podataka?)
– Prikupljanje događaja iz različitih izvora bez ograničenja
– Učenje i pronalaženje uzoraka ponašanja
(patterns of behavior)
– Mogućnost nadogradnje sustava
•
Efikasnost
(Kako izdvojiti bitne informacije?)
– Korelacija i izdvajanje bitnih sigurnosnih
događaja u “realnom vremenu”
– Analiza i prioritizacija događaja
– Povezivanje s ostalim sustavima nadzora i
uzbunjivanja (Incident Management)
Zahtjevi na SIEM alat
•
Neporecivost
(Kako osigurati zaštitu logova i vremensku usklađenost?)
– Efikasno i dugotrajno spremanje logova
– Korištenje u forenzičke svrhe
•
Izvješćivanje
(Kako demonstrirati sukladnost?)
– Fleksibilan sustav izvještavanja
– Praćenje sukladnosti s ISO 27001
Uspostava SIEM-a
•
Projektni pristup
– Cilj: Implementacija centralnog sustava za sakupljanje sigurnosnih događaja sa
raznovrsnih ciljnih sustava,
– Resursi: financijski, kadrovski, HW, SW
– Opseg: odabir (dijela) sustava koji će se pratiti kroz SIEM
– Vrijeme: ovisno o opsegu i dostupnosti resursa
•
Održavanje
– Resursi: min. 2 analitičara/administratora + tehnička podrška
isporučitelja/proizvođača
•
Unaprjeđenje
– Proširenje opsega – nove platforme i povećanje broja nadziranih uređaja
– Proširenje HW resursa
– Daljnji planovi
Arhitektura SIEM-a
SIEM
Konzola
Nadzor SIEM-a
Konektorski
poslužitelji
WEB
poslužitelj
WEB
Manager
poslužitelj
IT sustav
Database
poslužitelj
Rezultati uspostave SIEM-a
•
Uspostavljen sustav za prikupljanje i arhiviranje događaja s
različitih IT uređaja/sustava
(mrežna oprema, windows i linux poslužitelji, virtualna okolina, mail …)
•
Prepoznavanje sigurnosnih incidenata i korelacija događaja
•
Automatizirano uzbunjivanje
(povezivanje na incident management sustav)
•
Generiranje izvještaja automatski i po potrebi
(zahtjevu)
Što smo naučili (Lessons learned)
•
Definirati ciljeve
–
–
–
–
•
Koje sustave nadziremo?
Koje događaje pratimo na sustavima?
Kategorizacija i prioritizacija!
Korelacije?
Ljudi
– Podrška menadžmenta
– Educirani administratori/analitičari
– Dobri međuljudski odnosi i suradnja
•
Podrška dobavljača/proizvođača
Pitanja ?