Sicherheit ist auch ein 24 x 7 Service Johann Lehner, Sales Business Project Manager IT-Symposium,17. April 2007, Nürnberg
Agenda 1 Gute Bekannte Trends - Logfiles 2 IT Sicherheitsdienste, was braucht man denn 3 Monitoring und Korrelation 4 Servicelevel, Betriebsvorschriften, Nachbearbeitung 5 Zusammenfassung Managed Security Services 2
Gute Bekannte Trends Logfiles
Gute Bekannte Eigenes Interesse Administrator der auch manchmal weniger zu tun hat Hotbar Emoticons MyWay Speedbar Installs directly on your Web browser, downloads in just seconds Limewire Gnutella Vieles als Source Code verfügbar Managed Security Services 4
Aus dem Internet Threat Report Top Ten der neuen Malicious Code Familien Auftauchen von neuen und gefährlicheren Techniken: Polip - polymorph Bomka - verwendet rootkit Techniken, Click Fraud Verstecken sich und wollen möglichst wenig auffallen Managed Security Services 5
Aus den Logfiles (Wurm für Backdoor) Beispiel eines internen infizierten Hosts (wahrscheinlich W32.Zotob) Der Wurm versucht sich zu verbreiten Analyse 20,000 logs wurden für diesen Vorfall von der FW generiert Source und Destination IP zeigen internal to internal Verkehr 2 der Destination IPs kamen schon in einem früheren Vorfall vor Vorfall wurde als Critical bewertet Vorfall wurde an den Kunden eskaliert Managed Security Services 6
Aus den Log Files (Filesharing P2P) Beispiel eines internet Hosts mit Gnutella (P2P File Sharing System) Im besten Fall werden Musik, Videos und Software mit Copyright getauscht Im schlechtesten Fall wird vertrauliche Information übertragen Ganzes Laufwerk als Shared Directory Den Verkehr sieht man als bestimmtes Muster in den FW Logs Analyse 1300 Logs wurden von der FW für diesen Vorfall erzeugt (statt 20.000) Nur die Source IP Adresse ist intern Alle Destination IPs sind externe Rechner im Internet Der Vorfall ist als Warning eingestuft Der Vorfall wurde dem Kunden mitgeteilt Der Vorfall wird meistens als Regelverletzung gesehen Manche Kunden nehmen das aber auch sehr ernst Wie ist denn Ihr Stand? Sollten Sie Vorschriften einhalten? (Compliance) Managed Security Services 7
Welche Optionen haben wir Option A: Mit dem Risiko leben Entscheidung: Keine Überwachung und kein Sicherheitsmanagement Das Unternehmen ist unbekannten und nicht kontrollierten Risiken ausgesetzt Option B: Arbeiten mit vorhandenem Personal und vorhandener Technik Potential zur Überlastung Training, Bereitschaftsdienst, Urlaub, Krankheit, Kündigungen Potential zum Übersehen, Beschränkung auf normale Bürozeiten Option C: Selbst einen 24x7 Betrieb organisieren 6 9 hoch qualifizierte Mitarbeiter Training, Schichtwechsel, Urlaub, Krankheit, Kündigungen Es braucht einen F&E Bereich und eine Betriebsorganisation Option D: Von einem vertrauenswürdigem Dienstleister machen lassen Planbare Kosten Die Mitarbeiter dort sind Spezialisten F&E, Analyse, Überwachung, Hilfe bei der Problembehebung sind Routine Die eigenen IT Mitarbeiter können sich auf ihre eigentlichen Aufgabe konzentrieren Über die Zeit lernen die eigenen Mitarbeiter von den MSSP Spezialisten Managed Security Services 8
IT Sicherheitsdienste Was braucht man denn
Parameter für den IT Sicherheitsdienst Zuverlässig Rund um die Uhr (24 x 7) Ein guter Service Level 2nd und 3rd Level Support im Problemfall Einbeziehung der Schwachstellenanalyse Genaue Kenntnis der Internetprobleme Überregional oder besser Global... Managed Security Services 10
Quellen für Sicherheitsinformation Nutzen vorhandener Informationen Logfiles der Systeme Sammeln zusätzlicher Informationen IDS Sensoren Schwachstellenanalysen (Vulnerability Assessments) aktuelle Bedrohungen Managed Security Services 11
Konsolen fürs Device Management Ausschliesslich Konsolen der jeweiligen Hersteller Managed Security Services 12
Benötigte Services Security Monitoring Services Security Monitoring Services Security Monitoring Services Monitored Firewall Service Monitored Network-based IPS/IDS Service Monitored Incident UTM analysis Appliance Service Monitored Incident Server escalation Host-Based IPS/IDS Service Rapid response to emerging Monitored Desktop FW/IPS/IDS Service threats Global Intelligence Services Threat Management System Global Intelligence Services Global Intelligence Services Advisory Services Early warning services Security Device Management Services Security Device Management Security Device Services Management Services Firewall Management Add-On Service Managed Network IPS/IDS Management UTM Appliance Management Fault management Vendor Console Management Service Log Change Collection management Platform Management Service Release/lifecycle management Vulnerability Services Vulnerability Services Vulnerability Services Vulnerability Assessment Service Vulnerability management reporting Managed Security Services 13
Service Bestandteile Überblick Personal Prozesse Technologie Infrastruktur Nachrichtendienst (Intelligence) Steuerung (Governance) Managed Security Services 14
Security Operations Centers (SOCs) Hinter allem steht das SOC (Security Operations Center) Global Netz von state of the art Security Operation Centers Sicher, Skalierbar, Zuverlässig Betrieb für über 600 Kunden mit über 6200 Devices Ein SOC ist auditiert und BS7799 zertifiziert von einem unabhängigen Prüfer Fail over Prozesse sind entwickelt und getestet Redundante Stromversorgung und Netzanbindung Strenge Zugangskontrollen Managed Security Services 15
Empfehlungen und Service Reporting / Portal Funktionen des Portals Tickets Security Incidents Devices Reports Intelligence Organization In Echtzeit Reports on Demand Monthly Reports Managed Security Services 16
Monatlicher Report Report Beispiel PDF Managed Security Services 17
Monitoring und Korrelation
Einfache Korrelation Ports open Operating system Vulnerability findings (maybe) Host alerts Security incident Firewall mgmt. messages IDS alerts Webtrends style reports Significant messages only Vendor-assigned severity Tribal knowledge for incident handling Alert name Managed Security Services 19
Einbeziehen vieler Hersteller und der Schwachstellenanalyse 5% 3% Beispiele 48% 44% Firewall Network IDS Host IDS Vuln Mgmt Product Support Mix Managed Security Services 20
Einbeziehen des Global Security View Security Centers + 72 monitored countries 40,000+ Registered Sensors + in 180+ countries + Security Response Centers >6,200 Managed Security Devices + 120 200,000 million Millions Hundreds malware systems of security threat of worldwide submissions MSS reports alerts customers + per 30% per month of month world s email traffic + Advanced Honeypot Network Tokyo, Japan Calgary, Canada San Francisco, CA Redwood City, CA Santa Monica, CA Dublin, Ireland Twyford, England Munich, Germany Taipei, Taiwan Alexandria, VA Pune, India Sydney, Australia Managed Security Services 21
Nun möglich: Umfassende Korrelation Previous incidents Secondary activity Type of normal activity History of IP (company) Handling guidelines Criteria for critical vs. emergency Days of activity Coordinated activity Targeted attack? Previous assessments Watchlist of known attackers Global Intelligence Analyst notes Description of netblocks History of attackers Confirmation of compromise Security incident Port open Operating system Process name Host alerts Vulnerability findings Does attack target vulnerability? User name Bytes transferred History of alert type Block vs. accept vs. detect Session data IDS/IPS alerts Firewall logs and alerts Sequencing of source and destination ports Number of connections Accept/Deny Managed Security Services 22
Servicelevel, Betriebsvorschriften, Nachbearbeitung von Vorfällen
Service Levels Incident Handling Erkennen Bestimmen Severity Informational Warning Critical Emergency Erlaubte Aktivitäten z.b. Scans Analyse und Korrelation Log und Alarm Collection Normalisierung Aggregation und Korrelation Reporting und Erklärungen Benachrichtigung und Eskalation (< 10 Min) Überwachung der Verfügbarkeit der Kundengeräte Verfügbarkeit der Security Center Infrastruktur Managed Security Services 24
Betriebsvorschriften Workflow für Inbetriebnahme Fault Management / Verfügbarkeit Change Management / Konfiguration Release Management Security Incident Management (Vorfallsbehandlung) Service Requests Inbetriebnahme / Änderungen Umgang mit Log - Dateien Managed Security Services 25
Nachbearbeitung von Vorfällen Macht der IT Betrieb nicht der Security Service Basiert auf den Incident Tickets des Security Service Optimal geeignet um Einhaltung von Vorschriften nachzuweisen Best Practice Regelmäßiges Reporting, meistens monatlich Vorfälle und die getroffenen Maßnahmen werden beim Betriebs - Review Meeting besprochen Getroffene Maßnahmen werden vom Sicherheitsverantwortlichen als geeignet anerkannt und genehmigt IT Betrieb oder Outsourcer ist damit entlastet Managed Security Services 26
Zusammenfassung
Was haben wir erreicht Genauen Überblick über den Stand der eigenen Sicherheit Volle Nachvollziehbarkeit was war Weniger Überraschungen bei neuen Bedrohungen Incident Management mit SLA Eskalation kritischer Vorfälle in Minuten Transparenz des Sicherheitsbetriebs Kostenkontrolle Managed Security Services 28
Die Sicherheitsvorfälle gehen stark zurück Percent of Companies Detecting Severe Events by Client Tenure 120 100 Percent of Companies 80 60 40 20 0 1-3 4-6 7-9 10-12 13-15 16-18 19+ Client Tenure (Months) Managed Security Services 29
Vielen Dank für Ihr Interesse Johann Lehner johann_lehner@symantec.com Tel: 089 / 94302-266 Copyright 2007 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.