Практические аспекты реализации мониторинга событий ИБ на базе решений ArcSight ESM Руденко Владимир Руководитель направления комплексных решений по ИБ 7 июня 2012 г.

Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий ИБ Особенности сбора событий ИБ Практические аспекты внедрения систем мониторинга Рынок решений SIEM Архитектура ArcSight ESM и ArcSight Logger Ответы на вопросы

Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий ИБ Особенности сбора событий ИБ Практические аспекты внедрения систем мониторинга Рынок решений SIEM Архитектура ArcSight ESM и ArcSight Logger Ответы на вопросы

О компании «ДиалогНаука» ЗАО «ДиалогНаука» создано 31 января 1992 года. Учредители - СП «Диалог» и Вычислительный центр РАН. Первыми и самыми известными отечественными продуктами, поставляемыми компанией, были Aidstest, ADinf, Sheriff, Doctor Web и DSAV. С 2004 года по настоящее время «ДиалогНаука» - системный интегратор, консультант и поставщик комплексных решений в сфере защиты информации.

Сертификат ФСТЭК на соответствие ТУ 2010 год. ЗАО ДиалогНаука сертифицирует ArcSight ESM на соответствие техническим условиям ФСТЭК

Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий ИБ Особенности сбора событий ИБ Практические аспекты внедрения систем мониторинга Рынок решений SIEM Архитектура ArcSight ESM и ArcSight Logger Ответы на вопросы

Сложности эффективного мониторинга Необходимо контролировать… … Сетевые устройства … Актуальные угрозы … Хранилища критичных данных … Привилегированных пользователей … Сетевые соединения … Мошеннические операции … Активность приложений

Необходимость систем класса SIEM Платформа ArcSight обеспечивает централизованный сбор, обработку и визуализацию происходящего в сети Network Devices Servers Mobile Desktop Security Devices Physical Access AppsDatabases Identity Sources

Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий ИБ Особенности сбора событий ИБ Практические аспекты внедрения систем мониторинга Рынок решений SIEM Архитектура ArcSight ESM и ArcSight Logger Ответы на вопросы

Особенности сбора событий ИБ Выбор цели, проникновение, осваивание в сети (Периметр не помог) Получают привилегированный доступ к критичным данным (Требуется время) Воруют данные в течение определенного времени (Раннее обнаружение)

Особенности сбора событий ИБ Перечень поддерживаемых источников событий ИБ Широко распространенные источники, обновления Проприетарные протоколы сбора и передачи данных Производительность Выявление инцидентов Построение отчетов Хранение и поиск Хранение больших объемов Оптимизация работы с большими объемами Архитектура, масштабируемость Поддерживаемые платформы Горизонтальное и вертикальное масштабирование

Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий ИБ Особенности сбора событий ИБ Практические аспекты внедрения систем мониторинга Рынок решений SIEM Архитектура ArcSight ESM и ArcSight Logger Ответы на вопросы

Базовый сбор событий (анализ и нормализация) -IDS -Firewall Отчеты и оценка соответствия -Топ-10 атакующих -Последние 10 неуспешных попыток авторизации Анализ в режиме реального времени (агрегация и корреляция) -Критичность активов -Данные об уязвимостях Операционное управление рисками (корреляция на основе бизнес угроз) -Встроенные процессы по управлению инцидентами - Пересмотр и улучшения Возможности SIEM Большинство организаций использует SIEM таким образом Более продвинутые пользователи Использование SIEM для защиты бизнеса Сценарии использования SIEM

Ключевой момент Расчет требований к аппаратному обеспечению (сайзинг) Ошибки: Недальновидность Некорректные настройки аудита источников событий Практические аспекты внедрения систем мониторинга событий ИБ

Ключевой момент Правила корреляции должны быть основаны на актуальных угрозах Ошибки Правила корреляции «из коробки» Отсутствие пересмотра правил корреляции при изменениях в системе Нежелание донастраивать источники событий, чтобы они регистрировали адекватную информацию Практические аспекты внедрения систем мониторинга событий ИБ

Ключевой момент: Правильно определить область внедрения (перечень источников событий) и типы событий Ошибки: Пакеты решений от вендора Самостоятельная подготовка Практические аспекты внедрения систем мониторинга событий ИБ

Ключевой момент: Процессы, процедуры, персонал Основные ошибки: Неадекватное взаимодействие между подразделениями Отсутствие обучения и тестирования сотрудников, задействованных в процессе управления инцидентами Практические аспекты внедрения систем мониторинга событий ИБ

Эволюция системы мониторинга событий ИБ

Сценарии использования SIEM ArcSight может быть использован для реализации разных сценариев ArcSight Logger Отчеты Базовый аудит Отчеты и соответствие Сбор журналов и управление Создание отчетов Задержка в реакции на инцидент ArcSight Logger ArcSight ESM Pattern Discovery Расширенная корреляция Панели мониторинга Ситуационный центр ИБ 24x7 Расширение штата персонала Реагирование в режиме реального времени Виртуальный SOC Необслуживаемые операции Инвестирование в автоматизацию Базовый анализ и расследование ArcSight Logger ArcSight ESM ArcSight Express Ограниченная корреляция Оповещения

Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий ИБ Особенности сбора событий ИБ Практические аспекты внедрения систем мониторинга Рынок решений SIEM Архитектура ArcSight ESM и ArcSight Logger Ответы на вопросы

Рынок решений SIEM Отчет Gartner: ArcSight становится единоличным лидером рынка RSA теряет позиции CA уходит с рынка

Рынок решений SIEM Отчет Gartner: ArcSight становится единоличным лидером рынка RSA теряет позиции CA уходит с рынка

Основана в Мае 2000 года 300+ сотрудников 500+ прямых клиентов, 850+ партнерских клиентов ArcSight входит в состав HP в октябре 2010 года О компании ArcSight

Платформа ArcSight Инфраструктура Базы данных Транзакции Пользователи © 2009 ArcSight Confidential 24 Преимущество: общий сбор, низкая стоимость владения и интеграция Направленное реагирование Расширенная корреляция Безопасность Конфиденциальных данных Мониторинг активности пользователей Обнаружение мошенничества Безопасность транзакций приложения Управление журналами Сбор

ArcSight Express vs. ArcSight ESM Возможность доступа с помощью Web Console Программно-аппаратная реализация Предустановленные правила и отчеты Корреляция событий Настраиваемые дополнительные пакеты Неограниченное кол-во типов правил и источников Настраиваемые правила/отчеты Поставка в виде программного обеспечения Неограниченное расширение кол-ва устройств Поведенческие шаблоны (Pattern Discovery) Мониторинг пользователей, мошеннических операций Расширение дискового пространства Дополнительные возможности интеграции ArcSight Express ArcSight ESM

Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий ИБ Особенности сбора событий ИБ Практические аспекты внедрения систем мониторинга Рынок решений SIEM Архитектура ArcSight ESM и ArcSight Logger Ответы на вопросы

ArcSight Manager TM Анализ и корреляция SmartConnector FlexConnector Сбор данных Консоль управления Web- интерфейс ArcSight Console TM ArcSight Web TM Database Архитектура ArcSight ESM

Что делает ArcSight уникальным © 2009 ArcSight Confidential 28 Взаимодействие Корреляция Непревзойденное решение Масштабируемость

Access and Identity Anti-Virus Applications Content Security Database Data Security Firewalls Honeypot Network IDS/IPS Host IDS/IPS Integrated Security Log Consolidation Mail Relay & Filtering Mail Server Mainframe Network Monitoring Operating Systems Payload Analysis Policy Management Router Switch Security ManagementWeb Cache Web ServerVPN Vulnerability MgmtWireless Security Web Filtering ArcSight SmartConnectors и FlexConnectors 180+ продуктов в 35+ категориях от 80+ партнеров

Управление событиями ИБ в режиме реального времени Масштабируемость

Фильтрация - исключение из рассмотрения определенных событий, соответствующих заданным критериям Агрегация Фильтрация и агрегация

Windows Failed Login Event Oracle Failed Login Event UNIX Failed Login Event Badge Reader Entry Denied OS/390 Failed Login Event Нормализация

Преимущество: Быстрое и эффективное расследование Jun :16:03: %PIX : Deny TCP (no connection) from /15605 to /443 flags FIN ACK on interface outside Jun :53:16 drop gw.foobar.com >eth0 product VPN-1 & Firewall-1 src xxx.xxx s_port 2523 dst xxx.xxx.10.2 service ms-sql-m proto udp rule 49 Jun :16:03: %PIX : Deny TCP (no connection) from /15605 to /443 flags FIN ACK on interface outside Jun :53:16 drop gw.foobar.com >eth0 product VPN-1 & Firewall-1 src xxx.xxx s_port 2523 dst xxx.xxx.10.2 service ms-sql-m proto udp rule 49 Без категоризации и нормализации… Результат Time (Event Time)name Device VendordeviceProduct Category Behavior Category DeviceGroup Category Outcome Category Significance 6/17/ :16:03DenyCiscoPIX/Access/Firewall/Failure /Informational/ Warning 6/17/ :53:16DropCheckpointFirewall-1/VPN-1/Access/Start/Firewall/Failure /Informational/ Warning Категоризация и нормализация

ArcSight Monitoring ArcSight Connector События Централизованное управление и обновление Управление нагрузкой канала Контроль статуса источников Поток сжатых событий Отказоустойчивая архитектура сбора событий

Основные факторы приоритезации: Важность события История событий (System Active Lists) Критичность актива (Very High, High, Medium, Low, Very Low) Приоритезация

Корреляция в режиме реального времени >100 установленных правил корреляции Статистическая корреляция Историческая корреляция Корреляция основанная на данных об уязвимостях Корреляция основанная на данных о пользователе и его роли Графический редактор для изменений правил (без использования программирования) Механизмы корреляции

Корреляция основанная на данных об уязвимостях Unix/Linux/ AIX/Solaris Windows Systems Network Devices Event Sources Mainframe & Apps Other... Событие с уровнем приоритета Vulnerability Scanner SmartConnectors Отчет о сканировании Уязвимости Существуют ли уязвимости у актива? История атак Есть ли исторические записи об атакующем или атаках на эту цель? Критичность актива Насколько важен данный актив для бизнеса? SmartConnectors События

Корреляция, основанная на данных о пользователе и его роли SmartConnectors Корреляция Событие с уровнем приоритета Identity Management Роль Соответствует ли событие роли/правам пользователя? Профайл пользователя Было ли замечено за данным пользователем подозрительное поведение в прошлом? Directories События о действиях Идентификация Кто именно скрывался за IP во время атаки ? Политика Каково влияние данного события на бизнес риски? События идентификации Идентификация пользователя Профайл пользователя Атрибуты пользователя Unix/Linux/ AIX/Solaris Windows Systems Network Devices Event Sources Mainframe & Apps Other...

Разделение событий по категориям Возможность корреляции событий в реальном режиме времени, как по ресурсам, так и по злоумышленникам Возможности подробного анализа Возможность создания коррелированных отчетов Визуализация Консоль реального времени Категоризация событий обеспечивает мгновенную идентификацию атаки

Глобальный режим наблюдения отклонений безопасности Интерфейс реального времени с географическим расположением объектов и представлением отклонений в параметрах безопасности Отображение событий по подразделениям или устройствам Выбор между опасностью события или его категорией Интуитивно понятный инструментальный интерфейс или показ карты нарушений безопасности

Гибкая система отчётности Поиск и анализ трендов Простое создание новых шаблонов Создание графических отчётов Не требует программирование Экспорт в различные форматы HTML, XLS, PDF

Встроенное управление инцидентами Аннотации: Отслеживание и проведение инцидента в системе документооборота Cases: Создание инцидентов для специфических событий Этапы: Обработка инцидентов в соответствии с заданным порядком совместной работы Вложения: Дополнительные данные для расследований Оповещение в реальном времени , пейджер или текстовые сообщения SNMP сообщения

Встроенный документооборот Этапы: обработка инцидентов в соответствии с заранее заданным, предназначенном для совместной работы процессом Аннотация инцидентов для более полного анализа Интеграция со сторонними системами документооборота

Используется механизм партиций Запись данных на физические носители по расписанию Активные партиции Будущие партиции Каталог заархивированных партиций Заархивированные партиции, которые были активированы База данных

Badge Swipes Database Queries USB Files Saved VPN Logins Files Accessed s Sent Screen Prints Web Surfing Hosted Apps Директории Пользователи Identity Management Роли Мониторинг действий пользователей

Идентиф икатор пользов ателя АккаунтТип занятост и Департа мент Начальн ик СобытиеАдрес атакующег о Адрес целиВендорПродукт John Doe cjvdak ПолнаяСервиса Morris Hicks Успешный вход в сеть MicrosoftWindows doej Полная Сервиса Morris Hicks Обновление данных клиента PeoplesoftCRM cjvdak Полная Сервиса Morris Hicks Обмен файлами (P2P) McAfeeIntrushield cjvdak Полная Сервиса Morris Hicks Вирус отправлен в карантин McAfeeEPO cjvdak Полная Сервиса Morris Hicks com/jobs BlueCoatProxy company.com Полная Сервиса Morris Hicks конкуренту.com MicrosoftExchange Мониторинг действий пользователей

Оповещение Успешный доступ с заблокированного аккаунта Identity Model Activerandalla DisableddanAlan Activerjackson Statususer Login Success: danAlan Is User Active? User: danAlan Проблема: аккаунт заблокирован в системе управления идентификационными данными, но продолжает существовать в критичных системах и приложениях ArcSight ESM Пример: действия заблокированного аккаунта

Оповещение Обнаружение неактивного аккаунта Login Success: richardS Проблема: ИТ, ИБ аутсорсинг равен большому числу людей работающих на подряде Обновление активных аккаунтов [ :33:33] аккаунт недействителен richardS Список активных идентификационных данных Истечение срока действия 2 недели :35:37randalla :32:45rjackson Last UsedAccount :33:33 richardS Пример: действия заблокированного аккаунта ArcSight ESM

Пример: Групповые аккаунты 49 Доступ к приложению: Источник: [ :33:46] Login Success fmadmin Доступ к приложению: Источник: [ :21:51] Login Success fmadmin ? ? Проблема: Мой аудитор требует продемонстрировать активность администраторов в приложениях

IP AddressIdentity haroldr czfb bobc Brianc jimmyj jimmyj: Login to host Обновление сессий пользователя с уникальными идентификационными данными ArcSight ESM Пример: Групповые аккаунты

Пример: Групповые аккаунты (продолжение) 51 IP AddressIdentity haroldr czfb bobc katie jimmyj Application Access: Source: [ :33:46] Login Success fmadmin Проверка Identity Sessions Application Access: Source: [ :21:51] Login Success fmadmin ArcSight ESM

CNWire Transfer CNWire Transfer Account CNWire Transfer CNLogon NY, NYWithdraw AmountLocationAction Географически распределенные операции в короткий промежуток времени Оповещение: Снятие наличных в банкомате, США, Нью-Йорк Авторизация с помощью клиент-банка, Россия, Москва Пример: мошенничество по географическому признаку

Мониторинг пользователей Лист мониторинга: (100s) Повторяющаяся подозрительная активность Повторные нарушения Проблема: кража конфиденциальных данных сотрудниками Лист наблюдений: (1000s) Уволенные Работающие по контракту Получившие выговор/замечание Новые сотрудники Нарушители политик Лист расследований: (10) Утрата доверия (нарушения) Нарастание конфликта

Результаты Централизованный сбор, хранение и обработка событий ИБ Мониторинг, анализ и корреляции событий информационной безопасности в режиме реального времени Использование средств визуализации и детализации инцидента Снижение времени расследования и реагирования на инциденты Снижение рисков информационной безопасности за счет своевременного обнаружения и обработки инцидентов информационной безопасности

Вопросы , г. Москва, ул. Нагатинская, д. 1, стр.1 Телефон: +7 (495) Факс: +7 (495)

Наши контакты , г. Москва, ул. Нагатинская, д. 1, стр.1 Телефон: +7 (495) Факс: +7 (495)