SIEM Wenn Sie wüssten, was Ihre Systeme wissen. Marcus Hock, Consultant, CISSP

Transkript

1 SIEM Wenn Sie wüssten, was Ihre Systeme wissen Marcus Hock, Consultant, CISSP

2 SIEM was ist das? Security Information Event Monitoring System zur Echtzeitanalyse von Ereignissen, die durch Hardware- oder Software-Komponenten erzeugt werden 2

3 Ihre IT Infrastruktur Webserver Load Balancer Web Application Firewall Access Point Mail Gateway Proxy Firewall IPS VPN WLAN controller FileServer DB Application Server Softwareverteilung Client-Management Active Directory DHCP DNS RADIUS Mailserver Antivirus 3

4 Logging Verteiltes Loggen Jede Komponente speichert Logs lokal Nur lokale Sicht auf globale Ereignisse Veränderbar Verloren, wenn System kompromittiert Zentrales Loggen Alle Komponenten loggen auf einen zentralen Server Vorhalten von Logs unabhängig von der Quelle Manuelles Durchsuchen möglich 4

5 SIEM Funktionsweise Vielfältige Datenquellen Validierte Auffälligkeiten Security Infrastruktur Server / Mainframes Netzwerkaktivität Datenzugriffe Anwendungen Konfigurations-Information Schwachstellen-Analyse Benutzer / Identitäten Integrierte Intelligenz Automatische Datensammlung, Geräte- Erkennung, Profiling Echtzeit-Analyse Daten-Reduktion Baselining, Anomalie- Erkennung Regeln und Vorlagen Automatisierte Angriffserkennung Angriffe Global threat intelligence 5

6 SIEM Vorteile SECURITY Systemübergreifende Korrelation Echtzeit-Analyse APT / Zero-Day Erkennung Innentäter-Erkennung OPERATIONS Single Pane Of Glass Daten-Konsolidierung Erkennen von Fehlkonfigurationen Fehler-Früherkennung COMPLIANCE Zentrales Logging Integrierte Auswertung Erkennen von Compliance- Verstößen FORENSICS Zentrale Informationsbasis Schnelle Aufbereitung Zugriff auf Netzwerkdaten 6

7 APT Webserver Load Balancer Web Application Firewall 1. Spearphishing Mail 2. Malicious Code Download Access Point Access to known malware URL from 3. Command + Control 4. Privilege Escalation Mail Gateway Proxy Firewall IPS VPN Known C+C, Suspicous Network Activity Hidden Channel WLAN controller 5. Data Gathering FileServer DB Application Server Softwareverteilung Client-Management Multiple Login Attempts New User Created from Src X User added to Group Y Direct DB Access from Client X Large copy of data Access to sensible data Active Directory DHCP DNS RADIUS Mailserver Antivirus 7

8 SIEM Art des Angriffs Schweregrad Wer war beteiligt? Wie viele und welche Ziele sind betroffen? Wo ist er? Sind sie angreifbar? Wie wichtig sind die Systeme für uns? Was sind die Beweise? 8

9 Projektierung Ziele Was will ich wissen? Beteiligte Systeme Vorhaltezeiten Erwarteter Output: Dashboards, Alerts, Reports, SIEM Einführung Beteiligte Governance / Risk / Compliance IT-Abteilung Fachabteilungen Datenschutz-/Sicherheitsbeauftragter Betrieb Beteiligte Personen SLAs, Reaktionen, Tuning Pflege: Onboarding für neue Systeme 9

10 10

11 PROFI AG PROFI ist Spezialist für Konzeption, Aufbau und Pflege von plattformunabhängigen Data Center Lösungen. Unsere Lösungsbausteine umfassen: Virtualisierung & Automation Systemmanagement Netzwerke & Security Hochverfügbarkeit Speicherlösungen Backup & Recovery Hamburg Bremen Berlin Bochum Köln Chemnitz Darmstadt (Zentrale) Darmstadt (GS) Weiden Mannheim Nürnberg Karlsruhe Stuttgart München 11

12 Vielen Dank für Ihre Aufmerksamkeit! Marcus Hock Consultant, CISSP PROFI Engineering Systems AG Zentrale Otto-Röhm-Straße Darmstadt Telefon