Evaluation einer SIEM Lösung: DOs & DON'Ts

Transkript

1 Evaluation einer SIEM Lösung: DOs & DON'Ts ISSS Security Lunch 14. September 2011, Ristorante Certo in Zürich Niklaus Schild Trivadis AG Information Security Society Switzerland 1

2 Agenda Was ist SIEM? Was kann SIEM nicht? Wer möchte nicht eine SIEM Lösung? Die Evaluation SIEM Strategien Aktuelle SIEM Probleme Information Security Society Switzerland ISSS2008X

3 Was ist SIEM? Buzzword SIEM Security Information and Event Management SIM = Security Information Management SEM = Security Event Management Auf Deutsch: Zentrale Lösung für das Sammeln, Verwalten und Visualisieren von Logdaten und sicherheitsrelevanten Ereignissen Logquellen Kollektoren Verarbeitung/ Speicherung Output Information Security Society Switzerland ISSS2008X

4 Was ist SIEM? SIEM Features Zentralisierung Komprimierung Korrelation Aggregation Alerting Reporting SIEM Benefits Segregation of Duties Gesamtheitliches Lagebild Einfachere Auswertung / Analyse Geringere Speicheranforderungen / Konsolidierung von Datensilos Ermöglicht neue Aussagen Schnelle Reaktion (Incident Response) Erlaubt nicht-technische Visualisierung Information Security Society Switzerland ISSS2008X

5 Was kann SIEM nicht? Unsere Sicherheitsprobleme lösen Trugschluss: SIEM soll feststellen, wo und wann wir gerade gehackt wurden Fakt: SIEM kann nur darstellen was andere Systeme liefern/identifizieren Unsere Complianceanforderungen erfüllen Trugschluss: Mit SIEM sind wir Compliant Fakt: SIEM kann bei der Erfüllung lediglich helfen. Für die Compliance ist ein typisches SIEM Produkt aber nicht zwingend notwendig. Kosten senken Trugschluss: Mit SIEM wird die Loganalyse günstiger Fakt: SIEM führt nur zu Kostensenkungen, wenn man vorgängig die Logdaten manuell und proaktiv überwacht hat (doch wer tut dies wirklich?). Information Security Society Switzerland ISSS2008X

6 Wer möchte nicht eine SIEM Lösung? SIEM Lösungen sind derzeit populär Dies ist auch berechtigt, weil wir wissen wollen was in unserer IT-Umgebung geschieht SIEM Lösungen helfen Complianceanforderungen umzusetzen SIEM Evaluation ist einfach: Gartner Quadrant herunter laden Internet-Research über Top-3 Leader Angebote einfordern Entscheiden Implementieren schön wärs! Information Security Society Switzerland ISSS2008X

7 Wer möchte nicht eine SIEM Lösung? Wo liegen die Probleme bei einer SIEM Evaluation? Es gibt viele SIEM Lösungen (~20 Produkte) Es gibt viele SIEM Anbieter Gartner sagt mir nicht welche SIEM Lösung meine Anforderungen am besten erfüllt Der Magic Quadrant ist teilweise etwas Magic Grundsatzfragen sind oft nicht ausreichend definiert Was sind meine Anforderungen? Brauche ich überhaupt eine SIEM Lösung? Information Security Society Switzerland ISSS2008X

8 Die Evaluation Anforderungskatalog Anforderungen definieren Ausgangslage genügend? Ja Nein Grundlagen erarbeiten Long-List Short-List Zuschlagsentscheid Marktanalyse Evaluation PoC - Wer sind die Stakeholder? - Wie sehen die Prozesse aus (z.b. Incident Response)? - Sind die Use Cases bekannt? - Gibt es eine Log-Policy? Wird sie gelebt? - Sind die Logdaten bekannt? Umsetzen Information Security Society Switzerland ISSS2008X

9 Anforderungen definieren Erhebung der übergeordneten Zielen, Vorgaben und Rahmenbedingungen: Was sind die Treiber? Unterstützung Incident Response Prozess Unterstützung der Forensik Complianceanforderungen? Nachvollziehbarkeit? Troubleshooting? Organisationsstruktur Wer sind die Benutzer? Vorhandene Ressourcen inkl. Skills & Knowhow Betriebskonzept Information Security Society Switzerland ISSS2008X

10 Anforderungen definieren Use Cases festlegen (mit Stakeholder) Was geschieht bei einem sicherheitskritischen Ereignis? Welche Gefahren/Ereignisse sollen erkannt werden? Welche Reports müssen erstellt werden? Welche Suchen und Analysen führen die SIEM-Benutzer durch? Suchen einzelner Ereignisse, Klassifizierung, Normalisierung, Korrelation Export der Logdaten Integration Ticketing System Integration CMDB Incident Management z.b. für manuelle Auswertungen zur Aggregation von Logdaten und Assets (z.b. Benutzerinformationen, DHCP und DNS Auflösung, Klassifizierung/Priorisierung von Systemen, etc. Information Security Society Switzerland ISSS2008X

11 Anforderungen definieren Interessante Use Cases False-Positive Reduktion durch Aggregation und Korrelation 1. Aggregation der Assets mit Verwundbarkeiten und Systeminformationen 2. Korrelation von IDS-Alerts mit Asset-Informationen erlaubt FP-Reduktion Blacklist-Abgleich mit Web Proxy-Log 1. Integration von URL/IP Blacklists (C&C, malwareinfizierte Server, etc.) 2. Webzugriffe mit Blacklist abgleichen und potentieller Datenabfluss identifizieren Korrelation kann schnell kompliziert, die ausgedachten Szenarien, realitätsfremd werden. Information Security Society Switzerland ISSS2008X

12 Anforderungen definieren Analyse der Logdaten und deren Quellsysteme Kriterium Anwendung/Service Betriebssystem Logformat Logtransport Netzwerkzone Priorisierung des Systems/der Anwendung Wichtige Ereignisse Logmenge/Zeiteinheit Begründung Die eigentliche Logquelle Relevant für SIEM Einbindung Wie liegen die Logdaten vor? Wie kann auf die Logdaten zugegriffen werden? Wo befindet sich die Logquelle (Netzwerktopologie)? Ist das System/ die Anwendung sicherheitskritisch? Welche Ereignisse erfordern unmittelbare Reaktion? Erforderlich für Sizing SIEM Produkte können alle Logdaten problemlos integrieren! Information Security Society Switzerland ISSS2008X

13 Anforderungen definieren Netzwerk/Storage Wo und wie sollen meine Logdaten gespeichert werden? Wie können die Logdaten transportiert werden? Netzwerkverkehr (Bandbreite) Security-Policies (DMZ- Architektur, etc.) SIEM Produkte mögen keine Zonenkonzepte DMZ Server Zone Secure Zone Information Security Society Switzerland ISSS2008X

14 Anforderungen definieren System und Sicherheitsanforderungen Appliance Ja oder Nein? Anforderungen an Systeme und Anwendungen Authentisierung der SIEM-Benutzer Access Control Speicherung der Logdaten (Originalformat, Integrität, etc.) Sichere Softwareentwicklung SIEM Produkte sind Sicherheitsprodukte, was aber nicht zwingendermassen bedeutet das sie sicher sind! Information Security Society Switzerland ISSS2008X

15 Anforderungen definieren Zum Schluss Schriftliche Dokumentation der Anforderungen Mit entsprechenden Stakeholder referenzieren Kategorisieren Gewichten (muss, soll, kann, ev. Punktesystem) Weniger ist mehr Zu viele Anforderungen erschweren die Evaluation Information Security Society Switzerland ISSS2008X

16 Ausgangslage überdenken Sind die Anforderungen spezifisch genug? Sind die alle nötigen Anforderungen bekannt? Kennen wir die Use Cases? Erforderliche Logquellen spezifiziert? Grundlagen für SIEM vorhanden? Prozesse Rollen Policies Vielleicht lohnt sich zuerst die home made SIEM Version Syslog-Server, einfache Scripte Logdaten sammeln Lernen mit den Logdaten zu arbeiten! - Wie sehen unsere Logdaten aus? - Was ist das Volumen? - Wo gibt es Probleme? - Welche Ereignisse interessieren uns? Information Security Society Switzerland ISSS2008X

17 Marktanalyse Gartner Magic Quadrant gibt einen guten Marktüberblick, aber nicht mehr! Fehlende Nachvollziehbarkeit Sehr allgemeine Aussagen Aufgrund grober Kriterien Long-List definieren Anbieter suchen Prefered Supplier Referenzen Geographische Nähe Skills / Zertifizierungen Information Security Society Switzerland ISSS2008X

18 Evaluation RFI Anfordern RFIs Beurteilen Nutzwertanalyse Kostenschätzung Kosten/Nutzen Berechnung Short-List definieren Wenn möglich, nicht nur Zahlen und Bewertungen berücksichtigen, das Bauchgefühl kann auch wichtig sein! Information Security Society Switzerland ISSS2008X

19 Proof of Concept durchführen Die wichtigsten Anforderungen überprüfen (Gewichtung, Punkteschema) Wichtige Logquellen integrieren (inkl. proprietäre) Use Cases durchspielen Performance und Zuverlässigkeit Testen Security Tests durchführen Referenzinstallationen besuchen Anbieter und Integrator kennen lernen Verifikation der Sales-Aussagen und Resultate der Nutzwertanalyse in PoC Information Security Society Switzerland ISSS2008X

20 Umsetzung Grob/Detailkonzept erstellen Architektur Kommunikationsmatrix Datenfluss Betriebskonzept/Manual Benutzerkonzept/Manual FW Changerequests, etc. Installation der Komponenten Integration der Logdaten und Use Cases Test und Verifikation Übergang in Produktion Information Security Society Switzerland ISSS2008X

21 SIEM Strategien Zentrale oder dezentrale Datenspeicherung? Zentrale Datenspeicherung: alle Logdaten werden zentral in einer Datenbank gespeichert. Dezentrale Datenspeicherung: die Logdaten werden an mehreren Orten gespeichert. Die Speicherung erfolgt meist dort wo die Logdaten anfallen (z.b. Niederlassungen, Standorte, etc.). Impact Netzwerklast Komplexität von Storage/Backup und Archivierung Beeinträchtigung von Features wie zentrale Suche, Korrelation, Reporting, etc. Information Security Society Switzerland ISSS2008X

22 SIEM Strategien Sollen sämtliche Logdaten oder nur dedizierte Logdaten erfasst werden? Speicherung aller Logdaten, so wie sie die Logquellen liefern Speicherung derjenigen Logdaten, welche für die Use Cases relevant sind, oder Filterung der Logdaten bevor sie gespeichert werden Impact Beeinflusst erforderlichen Storage Erfordert je nach dem Filtermöglichkeiten der Lösungen Denial of Service wenn Logquellen in Verbose-Mode geschalten werden (z.b. durch Systembetreiber, Entwickler, etc.) Beeinflusst Use Cases wie z.b. Forensik Information Security Society Switzerland ISSS2008X

23 SIEM Strategien Soll Normalisierung durchgeführt werden? Normalisierte Logdaten werden für die Analyse, das Reporting etc. in eine Normal-Form gebracht, so dass eine generische Bearbeitung möglich ist. Impact: Normalisierung erfordert spezielle Fähigkeit der Lösung Einfluss auf Speicherung der Logdaten: sollen Logdaten normalisiert oder roh gespeichert werden? Nicht normalisierte Logdaten erfordert gute Logdatenkenntnisse Unterschiedlicher Impact für homogene/heterogene IT- Umgebung - Nutzen der Normalisierung steigt bei heterogener Umgebung Unterschiedlicher Impact ja nach Benutzerkonzept - Wie gut kennen die Benutzer die Logdaten? Information Security Society Switzerland ISSS2008X

24 SIEM Strategien Soll die Logdatensammlung mit oder ohne Agent durchgeführt werden? Agenteninstallation auf einigen/allen Quellsystemen Logdaten werden ohne Agenten bezogen (Syslog, WMI, ODBC, etc.) Impact Agenten können Zugang zu Logdaten vereinfachen Installation von Agenten kann aufwändig und nicht erwünscht sein Sicherheit und Performance der Logübertragung Verschiebung der proprietären SIEM Schnittstellen (von Kollektor zu Quelle) Information Security Society Switzerland ISSS2008X

25 SIEM Strategien Alternative Architekturen Entkopplung der Abhängigkeiten (Logquellen/SIEM Produkt) Reduktion der proprietären Schnittstellen Standardisierung der Schnittstellen Speicherung der Logdaten in offenem Format Impact Geringere Produktabhängigkeiten Migrationsmöglichkeiten Weiterverwendung bereits vorhandener Logdaten Information Security Society Switzerland ISSS2008X

26 Aktuelle SIEM Probleme Probleme Auswertemöglichkeiten sind nicht ausgeschöpft Eingeschränkter Fokus auf Logdaten Mögliche Lösungen Erweiterung Funktionsumfang Business Intelligence ähnliche Auswertungen KI / Heuristik Erweiterung auf weitere Sicherheitsrelevante Logdaten IDS/IPS DPI Forensik-Lösungen Life-Aggregation/Feeds CMDB / Assetintegration Information Security Society Switzerland ISSS2008X

27 Aktuelle SIEM Probleme Probleme Geringe Standardisierung führt zu Produktabhängigkeiten Mögliche Lösungen Ausser Syslog und CEF (Common Event Format) keine Lösung in Sicht Information Security Society Switzerland ISSS2008X

28 Danke für Ihre Aufmerksamkeit! Information Security Society Switzerland ISSS2008X