Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

Transkript

1 Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

2 Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen der folgenden Regularien Payment Card Industries Data Security Standard (PCI DSS) Sarbanes-Oxley Act (SOX) Basel II Health Insurance and Accountability Act (HIPAA) unterliegen. Aber auch seitens der Wirtschaftsprüfer bzw. der internen Revision werden die Aufzeichnungen zunehmend gefordert.

3 Herausforderungen des zentralen Log Managements Unterschiedliche Verantwortlichkeiten Unterschiedliche Log-Formate Unterschiedliche Zeitstempel Unterschiedliche Betriebssysteme Die hohe Anzahl von Events aus unterschiedlichen Datenquellen Domain Controller Firewalls Fileserver Netzwerkkomponenten

4 Warum Log Management? Alle Unternehmensdaten, die Integrität der IT Infrastruktur und die Nachvollziehbarkeit aller Systeminteraktionen durch Benutzer sind ein schützenswerter Unternehmenswert!

5 Log Management unterstützt CEO/CIO/CSO Wirtschaftsprüfer Systemadministratoren Staatsanwalt Unterschiedliche Sichten und unterschiedliche Zeithorizonte erfordern langfristige Datenarchivierung sowie mehrstufige und flexible Darstellungsmöglichkeiten!

6 Log Management Aufgaben Security Unabhängige Security Überwachung Zentrale Log Analyse mit Korrelation Alarmierung Honeypot-Funktion Reporting Compliance Langzeitarchivierung von Logdaten entsprechend: Konzernrichtlinien Nationale Richtlinien ISO SOX PCI/DSS Grundschutzhandbuch (BSI)

7 Log Konsolidierung SQL Mail Server Honey pot LAN/ WLAN VPN Firewalls Events Alarme Reports Single Point of Security

8 Checkliste Log Management Zentralisiertes Management der Agents LogAgent für Windows und Linux Integration von Netzwerkgeräten via Syslog-Proxy Echtzeitkorrelation und Alarmierung Vier Augenprinzip für Log Zugriff Langzeitarchivierung Log-Puffer der Agents bei Verbindungsverlust zur LogApp Verschlüsselte Kommunikation zwischen Agents Verwaltung verschiedener Datenquellen (Windows Log, ASCII Log, Syslog, )

9 SIEM (Security Information & Event Management) SIEM bringt Korrelationsfunktion in das Log Management Verdächtige Aktivitäten können echtzeitnah miteinander in Verbindung gebracht werden. Pro Gerät Pro Gerätegruppe (z.b. alle Systeme in der DMZ) über alle überwachten Geräte Gesicherte Alarmierung der Sicherheitsverantwortlichen bei Richtlinienverstößen

10 Warum LogApp? Die Abbildung eines SIEM ist ohne technische Unterstützung nicht effizient umsetzbar.

11 LogApp Architektur

12 Syslog map Definition des Logformats erfolgt anhand einer XML-map Beispiel Log <!-- date= time=19:20:24 devname=fg50bh3g device_id=fg50bh3g log_id= type=event subtype=admin pri=information vd=root user="admin" ui=http( ) action=login status=success reason=none profile="super_admin" msg="administrator admin logged in successfully from http( )" --> Standard Syslog map <maps> </maps> <map> </map> <identifier>(.*)</identifier> <regex> <attribute save="true" name="name">(.*)</attribute> </regex> <staticinfo></staticinfo>

13 SIEM & Honeypots Ablenkung des Angreifers von produktiven Systemen Frühzeitige Erkennung und Alarmierung von Angriffen Lernen der Vorgehensweise eines Angreifers Auffinden infizierter Systeme im eigenen Netzwerk, die als Bots dienen können Frühwarnung für neue und unbekannte Angriffe Korrelation von IPS/Firewall/Honeypot Alarmen

14 Honeypot-Dienste Honeypot Dienst Amun Dionaea Insidiator Beschreibung Amun ist ein Open Source Malware Analyse Tool, das in LogApp integriert wurde. Amun verhält sich bei einzelnen Zugriffen und Port Scans eher zurückhaltend und erzeugt nur Events, wenn konkrete Exploit-Versuche festgestellt werden. Dionaea ist ein Open Source Honeypot, der in LogApp integriert wurde. Dionaea reagiert sehr sensibel auf Zugriffe und Port Scans und erzeugt eine Vielzahl von Events. Insidiator ist ein Honeypot von iqsol. Die Services und Ports, die von Insidiator simuliert werden, können frei konfiguriert werden. Bei Zugriffen auf die konfigurierten Ports erzeugt Insidiator Events.

15 Enterprise Reporting Server Reporting-Templates stehen für die Auswertung zur Verfügung PCI Reports (Payment Card Industry Data Security Standard) (Attacks, File Auditing, Logins, ) BSI Grundschutzhandbuch (Bundesamt für Sicherheit in der Informationstechnik ) ISO27001

16 Log Management & SIEM The Power to Control WARUM Kontrolle? WAS kontrolliere ich? WIE kontrolliere ich? Erhöhung der Sicherheit Verbesserung der Compliance Revision Server Firewalls Netzwerk Geräte Applikationen Revisionssicher echtzeitnah korreliert Mit gesicherter Alarmierung

17 Sie wollen compliant sein? Kontaktieren Sie uns, oder unseren Partner BLUECARAT.