IMPLEMENTIERUNG EINER SECURITY- ANALYTICS-ARCHITEKTUR

Transkript

1 IMPLEMENTIERUNG EINER SECURITY- ANALYTICS-ARCHITEKTUR Lösungsübersicht

2 ZUSAMMENFASSUNG Neue Sicherheitsbedrohungen erfordern einen neuen Ansatz für das Sicherheitsmanagement. Sicherheitsteams benötigen eine Security-Analytics-Architektur, die ein im Vergleich zu heute deutlich größeres Volumen und breiteres Spektrum an Daten verarbeiten kann und ihnen nicht zuletzt Tools bietet, mit denen sie die dringendsten Probleme schnell ermitteln können. Sie benötigen Bedrohungsinformationen über die neuesten Tools, Techniken und Verfahren, die von der Angreifer-Community verwendet werden, sowie die Möglichkeit zum Nachverfolgen und Managen der Antworten, die als Ergebnis der von ihnen ermittelten Probleme initiiert wurden. 99 % der Sicherheitsverletzungen führten innerhalb von Tagen oder noch kürzerer Dauer zur Kompromittierung von Daten, wobei 85 % der Verletzungen erst nach Wochen oder später erkannt wurden Data Breach Investigations Report von Verizon HERKÖMMLICHE SICHERHEITSLÖSUNGEN OHNE WIRKUNG Laut 2012 Data Breach Investigations Report von Verizon führten 99 % der Sicherheitsverletzungen innerhalb von Tagen oder noch kürzerer Dauer zur Kompromittierung von Daten, wobei 85 % der Verletzungen erst nach Wochen oder später erkannt wurden. Diese Situation stellt Sicherheitsteams vor erhebliche Herausforderungen, da Angreifer sich über längere Zeiträume in der Unternehmensumgebung aufhalten können. Ein längeres freies Zeitfenster hat mehr gestohlene Daten und einen größeren digitalen Schaden zur Folge. Die Hauptursache hierfür liegt darin, dass aktuelle Sicherheitsmaßnahmen nicht auf die Abwehr moderner, hoch entwickelter Advanced Threats ausgerichtet sind. Herkömmliche Sicherheitsmaßnahmen sind häufig: Signaturbasiert: Sie suchen nach bekannten schädlichen Datensequenzen auf Basis vorheriger identischer Angriffe. Perimeterorientiert: Sie konzentrieren sich auf die Vermeidung oder Erkennung von Bedrohungen, die in das Unternehmen eindringen. Compliance-orientiert: Sie sind auf die Erfüllung der Anforderungen von Prüfern oder spezifischer staatlicher Vorgaben ausgerichtet und nicht auf die Bekämpfung der größten Risiken für das Unternehmen. Gleichzeitig nimmt die Komplexität von Bedrohungen exponentiell zu. Die heute häufig vorkommenden Bedrohungen sind: Flexibel: Sie antizipieren die von den Unternehmen verwendeten Maßnahmen zum Selbstschutz und nutzen anpassungsfähige Techniken, um viele gängige Erkennungsund Vorbeugungssysteme zu umgehen. Fokussiert: Heutige Bedrohungen haben häufig sehr spezifische Ziele. Sie zielen zum Beispiel auf eine klar umrissene Kategorie von Unternehmen oder nur ein einziges Unternehmen ab. Intelligent: Sie nutzen ein breites Spektrum an sozialen Manipulationstechniken (Social Engineering) und technischen Exploits, um im betreffenden Unternehmen Fuß zu fassen und eine Erkennung zu vermeiden. Deshalb müssen Unternehmen die von ihnen eingesetzten Tools und Techniken zum Selbstschutz endlich überdenken. Rasant wachsende Bedrohungen Kriminelle Kleinkriminelle Primitiv Organisiertes Verbrechen Organisierte, hoch entwickelte Lieferketten (personenbezogene Daten, Finanzdienste, Einzelhandel) Staatliche Akteure Personenbezogene Daten, Regierung, Verteidigungsindustrie, Unternehmen mit vielen IP-Adressen Nicht staatliche Akteure Terroristen Personenbezogene Daten, Regierung, kritische Infrastruktur Gegen das Establishment gerichtete Protestgruppen Hacktivisten, Gelegenheitsziele Seite 2

3 HERKÖMMLICHES SIEM WAR EIN GUTER ANFANG RSA ist seit vielen Jahren Anbieter von branchenführenden SIEM-Lösungen (Security Information and Event Management; Management von Sicherheitsinformationen und Ereignissen) und der Ansicht, dass herkömmliche SIEM-Systeme sich in folgenden Bereichen als wertvoll erwiesen haben: Sicherheitsteams müssen die Art und Weise eines Angriffs schnell feststellen, um das freie Zeitfenster für Angreifer, d. h. die Zeit zwischen dem Eindringen des Angreifers in die Umgebung und dem Erkennen des Angreifers in der Infrastruktur, zu verkürzen, und sie müssen Maßnahmen zur Vermeidung ähnlicher Angriffe in Zukunft ergreifen. Reporting zu Geräteaktivitäten, das wichtige Einblicke hinsichtlich Umfang, Ort und Zeit von kritischen Aktivitäten sowie damit in Zusammenhang stehenden Personen liefert Grundlegende Warnmeldungen zu bekannten Sequenzen mithilfe von Korrelationsregeln, die die Aufmerksamkeit auf die auffälligsten oder verdächtigsten Verwendungen von Rechenressourcen lenken Nachweis der Compliance für interne und externe Prüfer mittels regelmäßiger Berichte, die automatisiert erstellt werden und nicht manuell für jedes einzelne Audit oder jede einzelne Bewertung Zentraler Überblick über verteilte Ereignisquellen, die erfasst werden, sodass Sicherheitsteams auf Basis von Informationen, die aus zahlreichen Quellen ermittelt werden, schneller Entscheidungen treffen können In der heutigen IT-Landschaft müssen jedoch neue Anforderungen berücksichtigt werden. Angriffe werden nicht mehr nur von Vandalen oder Amateuren, sondern von hoch entwickelten, kriminellen Unternehmen und sogar Staaten durchgeführt. Die Angreifer verwenden fortschrittliche Techniken wie die Verwischung ihrer Spuren in Protokolldateien und die Minimierung der Anzahl überprüfbarer Ereignisse. Herkömmliches SIEM erweist sich daher als unzureichend. Aus diesem Grund müssen Unternehmen einen fortschrittlicheren Ansatz zur Abwehr dieser Bedrohungen verfolgen. UNTERNEHMEN BENÖTIGEN EFFEKTIVERE LÖSUNGEN ZUM SICHERHEITSMANAGEMENT In dieser Welt von Advanced Threats müssen Sicherheitsteams schnell die Art und Weise eines Angriffs feststellen, um das freie Zeitfenster für Angreifer, d. h. die Zeit zwischen dem Eindringen des Angreifers in die Umgebung und dem Erkennen des Angreifers in der Infrastruktur, zu verkürzen, und sie müssen Maßnahmen zur Vermeidung ähnlicher Angriffe in Zukunft ergreifen. Vor diesem Hintergrund ist RSA davon überzeugt, dass Unternehmen eine effektivere Plattform benötigen, die eine größere Anzahl von Problemen im Sicherheitsmanagement löst, denn: Advanced Threats erfordern eine unternehmensweite Übersicht über Netzwerkverkehrsund Protokollereignisdaten: Weder Netzwerkverkehrsdaten noch Protokollereignisdaten allein liefern ausreichende Informationen zur Erkennung und Untersuchung dieser Bedrohungsarten. Sicherheit ist jetzt ein Big Data-Problem für SOC-Analysten: SOC-Analysten müssen sich jetzt mit einem viel umfangreicheren, dynamischeren und vielfältigeren Datensatz auseinandersetzen, um Advanced Threats zu ermitteln, wozu die Kombination interner und externer Informationen erforderlich ist. Kompromittierung ist unvermeidlich: Ein realistisches Ziel ist nicht die Abwehr aller Angriffe, sondern die schnelle Reaktion zur Minderung der Schäden und damit der Minimierung der Auswirkungen auf Ihr Unternehmen. RSA-Sicherheitsmanagement und -Compliance Seite 3

4 Zu diesem Zweck bitten erfahrene Sicherheitsfachleute RSA um Unterstützung: Erfassen Sie alle Aktivitäten in meiner Infrastruktur. Frühere Sicherheitsansätze basierten auf der Nutzung von Informationen zu bekannten Bedrohungen, um Entscheidungen bezüglich der zu erfassenden Daten zu treffen, die Auskunft über die Aktivitäten innerhalb der Umgebung geben. Angesichts agilerer Advanced Threats ist es bei solchen Annahmen im Voraus jedoch wahrscheinlich, dass Sicherheitsteams beim Aufkommen einer Bedrohung nicht über alle Informationen verfügen, die sie für eine angemessene Reaktion benötigen. Dies bedeutet, dass Sicherheitsteams im heutigen Umfeld sämtliche Informationen über Aktivitäten erfassen möchten. Helfen Sie mir bei der Ermittlung von wichtigen Zielen und Bedrohungen. In einer großen, komplexen IT-Infrastruktur ist es schwierig, die Aktivitäten jedes einzelnen Systems und die Art und Weise möglicher Angriffe auf dieses System nachzuverfolgen. Sicherheitsteams benötigen eine Schnittstelle zum Unternehmen, um die wichtigsten Informationen, Geschäftsprozesse und unterstützenden Ressourcen zu ermitteln. So können sie die Bedrohungen, denen das Unternehmen ausgesetzt ist, bestmöglich bewerten. Unterstützen Sie mich bei der Untersuchung und Priorisierung von Ereignissen. Darüber hinaus gibt es in einer großen und komplexen IT-Infrastruktur häufig so viele Probleme, die bewältigt werden müssen, dass Sicherheitsteams mehr Hilfestellungen bezüglich der Ermittlung der dringendsten Probleme sowie der Probleme mit den möglicherweise größten Auswirkungen auf das Unternehmen benötigen. Das heißt, dass sie mehr Informationen über den geschäftlichen Zusammenhang von Ereignissen und die Wichtigkeit von Systemen und Prozessen, auf die sich die Ereignisse auswirken, benötigen. Unterstützen Sie mich beim Management dieser Ereignisse. Die Reaktion auf Ereignisse von der Schadensbewertung über die Kommunikation bis hin zur Behebung und Bereinigung kann kompliziert sein und erfordert die Koordination von Ressourcen aus unterschiedlichsten Teams sowohl innerhalb der IT als auch im gesamten Unternehmen. Sicherheitsteams benötigen die Möglichkeit zum Einleiten und Koordinieren dieser Aktivitäten, um die negativen Auswirkungen auf das Unternehmen auf ein Mindestmaß zu reduzieren. VOLLSTÄNDIGE NETZWERKTRANSPARENZ IST EIN MUSS Modernste Advanced Threats können äußerst schwer zu erkennen sein. Die sichtbarste Spur hinterlassen sie häufig im Netzwerk, wenn sie in die IT-Umgebung eindringen, sich in der gesamten Umgebung ausbreiten und Daten zur Ablage an den vorgesehenen Ort herausfiltern. Daher ist eine vollständige Netzwerkpaketerfassung für Folgendes erforderlich: Identifizierung von Malware, die in die Umgebung eindringt, und Priorisierung diesbezüglicher Maßnahmen: Moderne Malware sieht anderen Dateien, die über ein Netzwerk übertragen werden, sehr ähnlich. Vollständige Paketerfassung ermöglicht Unternehmen jedoch die Isolierung und Wiederherstellung ausführbarer Dateien sowie die weitgehende Automatisierung der Analysen, die für die Erkennung verdächtiger Anzeichen für bösartige Angriffsversuche erforderlich sind. Dies hilft Malware-Analysten, Probleme nach ihrer Dringlichkeit zu priorisieren. Nachverfolgen der lateralen Bewegungen eines Angreifers, sobald er sich im Unternehmen befindet: Sobald sich ein Angreifer im Unternehmen befindet, bewegt er sich häufig lateral von Endpunkt zu Endpunkt und sammelt dabei die für das Starten der nächsten Angriffsstufe erforderlichen Informationen. Da diese Endpunkte selten zentral überwacht werden, ist eine vollständige Netzwerkpaketerfassung erforderlich, um einen Überblick über diese lateralen Bewegungen innerhalb eines Unternehmens zu erhalten. Genauer Nachweis des Ereignisses und der herausgefilterten Daten: Viele Advanced Threats werden erst dann erkannt, wenn der Angriff bereits stattfindet oder sogar schon stattgefunden hat. Dann müssen Sicherheitsteams in der Lage sein, den Schaden zu bewerten, indem sie den Angriff rekonstruieren und feststellen, ob und welche Daten das Unternehmen verlassen haben und ob diese Daten verschlüsselt oder unverschlüsselt waren. DER ANSATZ VON RSA: END-TO-END-SICHERHEITSMANAGEMENT Der Ansatz von RSA für Sicherheitsmanagement basiert auf vier wichtigen Elementen (siehe Abbildung): Ein Big Data-Ansatz für das Sicherheitsmanagement: Dank der verteilten Datenarchitektur von RSA können Kunden Sicherheitsdaten in beispiellosem Umfang und unerreichter Änderungsrate erfassen und analysieren. Seite 4

5 Ein einheitlicher Ansatz für Security Analytics: Ziel von RSA ist es, eine einheitliche Reihe von Tools zur Analyse von Sicherheitsdaten bereitzustellen, um die wichtigsten Analyseaktivitäten von Warnmeldungen über Reporting bis hin zur Malware-Analyse zu unterstützen. Eine Governance-Ebene, die Security Analytics mit dem Unternehmen verknüpft: Das einzigartige Portfolio von RSA unterstützt Kunden bei der Rationalisierung des Prozesses zur Erfassung von Informationen aus dem Unternehmen hinsichtlich wichtiger Geschäftsprozesse und -systeme und der geschäftlichen Anforderungen für ihre Sicherung. Bedrohungsinformationen, die Kunden mit aktuellem Wissen unterstützen: RSA verteilt aktuelle, verwertbare Informationen über die Bedrohungsumgebung an die Produkte und ermöglicht Unternehmen die Verknüpfung von gezielten Informationen für ihre Umgebung. Analysen und Reporting RSA Security Analytics Datensammlung Vollständige Paketdatensammlung Archivierung Kurzfristige Archivprotokolle und -pakete Ermittlungen Reporting und Warnmeldungen zur Sicherheit Malware-Analyse Protokolldatensammlung Langfristige Archivprotokolle Compliance-Reporting und forensische Analyse Bedrohungsinformationen Der Ansatz von RSA bietet Kunden: Umfassende Transparenz: Das Portfolio von RSA ermöglicht eine beispiellose Übersicht über die Aktivitäten innerhalb der Infrastruktur. Infrastruktur zur Unterstützung einer uneingeschränkten Erfassung: die Fähigkeit zur Erfassung vieler Arten von Sicherheitsdaten, in großen Mengen und aus zahlreichen Arten von Datenquellen Einheitliche Übersicht über Netzwerk- und Protokolldaten: Eine einzige Anzeige von Daten zu Advanced Threats und Anwenderaktivitäten basierend auf Daten, die unmittelbar aus dem Netzwerk oder aus wichtigen Systemen stammen Agile Analysen: RSA bietet Tools, die Ermittlern detaillierte Informationen so einfach wie möglich zugänglich machen. Plattform zur Durchführung schneller Ermittlungen: intuitive Tools zur Ermittlung, deren Darstellung eine schnelle Analyse ermöglicht, mit detaillierten Drilldown-Funktionen und Integration von Unternehmenskontext für eine fundiertere Entscheidungsfindung Sitzungswiedergabe und signaturfreie Analysen: Tools zum gezielten Verweis auf die verdächtigsten, mit Ihrer Infrastruktur verknüpften Benutzer und Endpunkte sowie verdächtige Anzeichen von bösartigen Aktivitäten und die Möglichkeit zur Rekonstruktion und Wiedergabe der genauen Vorgänge Verwertbare Informationen: Bedrohungsinformationen von RSA helfen Sicherheitsanalysten dabei, den größtmöglichen Nutzen aus RSA-Produkten zu ziehen, indem sie Feeds mit aktuellen Bedrohungsdaten integrieren. Zuordnung aktueller Bedrohungsinformationen zu erfassten Daten: proprietäre Informationen von einer Community von Sicherheitsexperten, die in unsere Tools integriert und von Regeln, Berichten und Beobachtungslisten genutzt werden, um Einblicke in Bedrohungen aus Daten zu erhalten, die im Unternehmen erfasst wurden Priorisierte Aktionen basierend auf dem Unternehmenskontext: Integration von Informationen aus dem Unternehmen, die die Beziehungen zwischen den betroffenen Systemen und den von ihnen unterstützten Geschäftsfunktionen aufzeigen Seite 5

6 Optimiertes Prozessmanagement: RSA-Produkte helfen Sicherheitsteams die unterschiedlichen Aktivitäten in Bezug auf Bereitschaft und Reaktion zu rationalisieren. Technologie und Services für einen vollständigen Sicherheits- und Compliance- Lebenszyklus: ein Workflow-System zur Definition und Aktivierung von Reaktionsprozessen, außerdem Tools zum Nachverfolgen von aktuellen ungelösten Problemen, Trends und Erfahrungen sowie branchenführende Services zur Vorbereitung und Reaktion auf Ereignisse sowie deren Erkennung Integration in ein Sicherheits- und Compliance-Managementsystem: Integration in das Portfolio von RSA und Tools von Drittanbietern zum Informationsaustausch mit den vielfältigen Tools, die für die Ermittlung und Verarbeitung von Ereignissen sowie zum Live-Compliance-Management erforderlich sind GRÜNDE FÜR DAS SICHERHEITSMANAGEMENT MIT RSA RSA ist einzigartig positioniert, um Kunden bei der Erreichung ihrer Ziele wie folgt zu unterstützen: KURZPROFIL RSA RSA, The Security Division of EMC, ist der führende Anbieter von Sicherheits-, Risiko- und Compliance-Managementlösungen zur Beschleunigung des Geschäftsbetriebs. RSA unterstützt weltweit Unternehmen bei der Bewältigung ihrer anspruchsvollen und sensiblen Sicherheitsherausforderungen. Dazu gehören das Unternehmensrisikomanagement, Sicherheitslösungen für Mobilzugriff und Zusammenarbeit, der Nachweis von Compliance und Sicherheitslösungen für virtuelle und Cloud-Umgebungen. Die geschäftskritischen Kontrollmaßnahmen der Lösungen für Identitätsabsicherung, Verschlüsselungs- und Key- Management, SIEM (Management von Sicherheitsinformationen und Ereignissen), Schutz vor Datenverlusten, kontinuierliche Netzwerküberwachung und Betrugsbekämpfung von RSA schaffen zusammen mit branchenführenden egrc- Funktionen und zuverlässigen Beratungsservices Vertrauen bei Millionen von Anwendern und schützen deren Identitäten, Aktivitäten und Daten. Weitere Informationen finden Sie unter und germany.emc.com. RSA bietet ein einzigartiges Produktportfolio zur Bewältigung kritischster Probleme mit Advanced Threats. Mit der Netzwerküberwachung von RSA NetWitness verfügt RSA über die einzige Plattform, die Einblick in eine vollständige Netzwerksitzung sowie Protokolldaten aus dem gesamten Unternehmen bietet. Mit der Überwachung von RSA NetWitness bietet RSA die einzige einheitliche Plattform für forensische Echtzeitdaten inklusive automatisierter Analysen zu Advanced Threats und Zero-Day Malware. RSA verfügt über eine bewährte, skalierbare Plattform, die unternehmensweite situationsbezogene Erkennung in sieben Unternehmen der Fortune 10 und 70 % der US-Bundesbehörden bereitstellt. RSA integriert verwertbare, proprietäre Bedrohungsinformationen in unsere Produkte. RSA ist ein führender Anbieter im Bereich Bedrohungsforschung, bei der die reale Aktivität von Angreifern im Untergrund überwacht wird. Das Forschungsteam von RSA NetWitness Live verfolgt über fünf Millionen IPs und Domains sowie Hunderte eindeutiger Bedrohungs-Feed-Quellen. RSA sorgt für die Aktualisierung und stündliche dynamische Verteilung seiner Bibliothek mit Bedrohungsinhalten über RSA NetWitness Live. RSA bewältigt die Herausforderungen bezüglich Personen, Prozesse und Technologien im Bereich Sicherheit und Compliance. RSA ist ein führender Anbieter von Services zur Unterstützung der Ereignisbereitschaft einschließlich Ereignisreaktion und -bereinigung. RSA verfügt über die einzige Lösung zur Unterstützung von sowohl IT-bezogenen als auch geschäftlichen Aspekten des Sicherheitsmanagements durch Integration in die RSA Archer egrc-plattform. RSA bietet eine einheitliche Plattform zur Unterstützung des Compliance-, Sicherheitsbedrohungs-, Ereignis- und Business-Continuity-Managements. EMC 2, EMC, das EMC Logo, RSA, NetWitness und das RSA-Logo sind eingetragene Marken oder Marken der EMC Corporation in den USA und in anderen Ländern. Alle anderen in diesem Dokument erwähnten Produkte oder Services sind Marken der jeweiligen Inhaber. Copyright 2012 EMC Corporation. Alle Rechte vorbehalten. h9093 impsa sb 0412