ACDC SIEM AS A SERVICE Multikonferenz Digitale Innovation Track Cybersecurity Leipzig, Consultant Managed Services, PROFI AG

Transkript

1 ACDC SIEM AS A SERVICE Multikonferenz Digitale Innovation Track Cybersecurity Leipzig, Dipl.-Math. Bernhard Przywara (sprich: P[schö]wara) Consultant Managed Services, PROFI AG

2 DIE HERAUSFORDERUNG Physischer Schutz IDS / IPS IT Security: Schutz vor Gefahren Web Security Security Technische Sicht Perimeter basiert Verteidigung in die Tiefe Ziel: Teil Risikomanagement Firewalls Host Security 2

3 DIE HERAUSFORDERUNG Leoni wurde Opfer krimineller Aktivitäten Die Leoni AG hat am Freitag, 12. August 2016, erkannt, dass sie Opfer betrügerischer Handlungen unter Verwendung gefälschter Dokumente und Identitäten sowie Nutzung elektronischer Kommunikationswege wurde. Der Schaden beläuft sich auf einen Abfluss an liquiden Mitteln von insgesamt ca. 40 Mio. Euro. IT-Infrastruktur sowie Datensicherheit sind von den kriminellen Aktivitäten nicht betroffen 3

4 DIE HERAUSFORDERUNG Hacker erbeuten Millionenbetrag von russischer Zentralbank Unbekannte Hacker haben bei Russlands Zentralbank einen Millionenbetrag erbeutet. Es seien insgesamt zwei Milliarden Rubel (umgerechnet 29,2 Millionen Euro) mittels gefälschter Zugangscodes von Konten abgeräumt worden, teilte die Zentralbank mit. 4

5 DIE HERAUSFORDERUNG Komplexe Angriffe Angriffe können nicht durch Einzelsysteme erkannt werden Erweiterte Ereigniserkennung Alarmieren bei Ereignissen, für die das Quellsystem keine Alarmierung bietet Forensik Vereinfachte Nachbereitung von Security Incidents Compliance Automatisierte Kontrolle der Einhaltung von Vorgaben/Richtlinien 5

6 DIE HERAUSFORDERUNG Datenschutzgesetz (BDSG / EU-DSGVO) IT-Sicherheitsgesetz: Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (KRITIS) KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (HGB/AktG Erweiterung) GoBD: Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff durch die Finanzverwaltungen S-Ox: Sarbanes-Oxley Act Basel II, Solvency II KWG: Kreditwesengesetz 6

7 SIEM

8 VORSTELLUNG SIEM SIEM: Definition Security Information Event Monitoring System zur Analyse von Ereignissen, die durch Hardware- oder Software-Komponenten erzeugt werden Zentralisiertes Sammeln von Informationen aus Eventlogs und Netzwerkkommunikation Normalisierung der Daten Compliance SIEM Korrelation: Informationsgewinn durch systemübergreifende Datenauswertung Security Operations 8

9 SIEM 1.0 SIEM 1.0: ZENTRALES LOGGING Zentrales Logging Mehrere Komponenten loggen auf einen zentralen Server Vorhalten von Logs unabhängig von der Quelle Manuelles Durchsuchen möglich SIM / SEM Funktionen Klassische Security Infrastruktur als Quellen: Firewalls, IDS/IPS Wenig flexibel bezüglich eigener Regeln 9

10 SIEM 2.0+ Erweiterung der Möglichkeiten Korrelation Normalisierung Breiteres Feld möglicher Logquellen Netzwerk-Kommunikation Anwendungen IT-ferne Informationsquellen Verhaltensanalyse Anreichern mit weiteren Informationen Externe Security Intelligence Feeds Ergebnisse von Schwachstellen-Analysen Asset Data Security Intelligence Dynamisches Lernen Behaviour Analytics Cognitive Analytics 10

11 SIEM PROBLEME All-In Möglichst viele Quellen werden angeschlossen, ohne begründet zu werden Zu großes Grundrauschen Wirklich wichtige Ereignisse gehen unter Default-Regelwerk Vertrauen auf plug-and-play Versprechen Zu wenig am individuellen Bedarf orientiert Operations Keine freien Ressourcen für den Betrieb Keine Skills für die permanente Pflege 11

12 ACDC

13 EIN NEUER ANSATZ: ACDC ACDC Advanced Cyber Defense Center Schwerpunkt Risiko Erkennung und Alarmierung nur auf klar definierten Ereignisketten Identifizieren der Kronjuwelen, Konzentration auf deren Schutz Qualifizierte Alarme statt undurchschaubares Grundrauschen Schwerpunkt Compliance Umsetzen der individuellen Compliance-Policy Permanentes Monitoring der Compliance, schneller Nachweis durch aktuelle Reports Forensische Optionen Ausrichtung auf Use Cases! 13

14 TREIBER FÜR USE CASES Umsetzung im SIEM Compliance Risiko Management Geschäftsbereiche Incident Response Use Case 1 Use Cases :::: Use Case n Technik Syslogs App logs :::: Sonst. Überwachungen 14

15 EIN NEUER ANSATZ: ACDC ACDC Advanced Cyber Defense Center: Use Cases SIEM As a Service Partner KPMG PROFI AG Consulting Betrieb Alles aus einer Hand 15

16 REALISIERUNG EINES USE CASES Business Need Begründung Schutz der Kronjuwelen Erfüllen von Compliance- Anforderungen Erkennen spezieller Angriffe Umsetzung im SIEM Identifizieren und Anbinden notwendiger Quellen Formulieren der benötigten Bausteine und Regeln Implementierung der vereinbarten Alarmierungen Funktionstests Reporting Generieren regelmäßiger Reports als Compliance-Nachweis Pflege und Tuning False-Positive Tuning Pflege bzgl. Logquellen, Ereignissen und Alarmen 16

17 BEISPIELE USE CASES Ungewöhnliches Nutzerverhalten Zugriffsversuche von HR-Abteilung auf Konstruktionsdaten Durchprobieren von Zugriffsrechten Ungewöhnliche Zugriffszahlen / Datenvolumen Logische Widersprüche Verwenden eines Accounts, obwohl der User nicht im Gebäude Missbrauch von Rechten Zugriff auf Exchange-Postfächer Anlegen eines temporären administrativen Nutzers 17

18 USE CASE VERSTOß GEGEN DAS RADIERVERBOT IN FINANZANWENDUNGEN 18

19 USE CASE ALARMIERUNG BEI ZUGRIFFEN AUF SENSIBLE VERZEICHNISSE 19

20 ACDC ÜBERSICHT ACDC Vorteile: Kooperation von PROFI AG und KPMG Ausrichtung an Compliance und Risiko Anforderungen Option: SIEM as a Service Kein HW- / Lizenz-Kosten Option: Transparente Kosten monatliche Pauschale Daten bleiben im Unternehmen 20

21 MANAGED SIEM / SIEM AS A SERVICE

22 MANAGED SIEM ÜBERSICHT PROFI Managed SIEM Pflege des SIEM Systems: Last, Verfügbarkeit, Backup Überwachung und Alarmierung Use-Case Beratung, Use-Case Implementierung Regelmäßige Reviews PROFI SIEM as a Service Bereitstellung von Hardware, Lizenzen & Wartung Installation, Betrieb, Wartung und Überwachung der SIEM-Infrastruktur Zielgerichtete Überwachung von Use Cases as a Service Alarmierung bei Security Incidents Use-Case Beratung, Use-Case Implementierung Regelmäßige Reviews Implementierung Beratung Betrieb Beratung, Umsetzung und Betrieb aus einer Hand 22

23 MANAGED SIEM ÜBERSICHT Technik PROFI Managed Service SOC Consulting Kundenumgebung SIEM Appliance(s) Datenspeicherung Reporting Korrelation Alarmierung Regelwerk Compliance IT 23

24 SIEM AS A SERVICE ÜBERSICHT Technik PROFI Datacenter SOC Management Console Regelwerk Consulting Reporting Alarmierung Kundenumgebung Event Processor Datenspeicherung Compliance Korrelation IT 24

25 SIEM AS A SERVICE: PREISBEISPIEL SIEM as a Service ermöglicht eine auf die jeweilige Kundensituation und den gewünschten Umfang bezogene, individuelle Preisgestaltung. Im Folgenden wird eine Beispielsituation dargestellt. Für eine individuelle Preisaussage steht ihr PROFI-Ansprechpartner gerne zur Verfügung Beispielsituation Laufzeit: 36 Monate Bereitstellung aller notwendigen Hardware, Softwarelizenzen und Wartungsverträge QRadar Management-Konsolen im RZ der PROFI QRadar Eventprozessoren im RZ des Kunden (Maximum von 500 Events pro Sekunde) Installation, Betrieb, Wartung und Überwachung der SIEM- Infrastruktur durch PROFI Service Desk 7x24 Security Service Center (SSC) 7x24 Event Management für Security Incidents 4 Use Cases Alarmierung des Kunden über die Security Incidents nach den Regeln der Use Cases (SLAs) Monatliche Berichte über Incidents, Security Incidents und SLAs Pflichten des Kunden Bereitstellung der Systeme inkl. Storage für die virtuellen Eventprozessoren im RZ des Kunden VPN-Zugang auf die Eventprozessoren für die PROFI Entwicklung der Use Cases Separates Projekt zu einem Fixpreis Monatliche Kostenpauschale Ca. 3670,- EUR Änderungen und Anpassungen an den Use Cases Zeit & Material Evtl. Anpassung der monatlich Pauschale in Abhängigkeit von den notwendigen Events pro Sekunde 25 PROFI AG Ι SIEM

26 VIELEN DANK FÜR IHRE AUFMERKSAMKEIT Bernhard Przywara Consultant Managed Services PROFI AG, Darmstadt