Integriertes Security Management Mit Sicherheit compliant! Götz Walecki Manager System Engineering Goetz.Walecki@netiq.com
Herausforderung: Datenschutz ~ $2 Billion Loss ~ $7 Billion Loss 2
Primäres Ziel: DATEN
Was können Sie tun? Was wäre, wenn Sie bereits im Vorfeld Fehlkonfigurationen aufdecken könnten um Vorfällen vorzubeugen? Würden detaillierte und sprechende Audit-Events, unabhängig von nativen Protokolldaten, Ihnen weiterhelfen? Sind Sie an einer ganzheitlichen Transparenz interessiert, die alle Aspekte bzw. KPIs betrachtet? (Performance & Availability, Security, Compliance etc.) 4
Prävention: Konfigurationsmanagement Lassen Sie Vorfälle erst gar nicht entstehen Prävention Proaktives Scannen von Schwachstellen und Fehlkonfigurationen Risk Management Fokus auf relevante Misstände und Systeme Härtung der Systeme Transparenz Nachweis von Compliance! 5
Beispiel einer präventiven Prüfung 6
Reaktion: Sicherheitsüberwachung Nachweisbarkeit von Änderungen und Zugriffen Ergänzende Maßnahme: Security Information and Event Management (SIEM) Intelligenz notwendig: Anomalie-Erkennung Adaptive Schwellwerte Flexibles Reporting und Alarmierung Integration von Compliance und Change Ereignissen Korrelation von Ursache und Wirkung (z.b. gehackt: und was hat der Hacker dann gemacht?) 7
Transparenz durch einfache Nachvollziehbarkeit Aussagekräftige Audit Events Wer, wann, was? Vorher-/Nachher Werte SIEM Integration Privileged User Monitoring Compliance Reporting Z.B. File Integrity Monitoring 8
Beispiel eines Audit Events 9
Ein zentrales globales Dashboard Abdeckung aller KPIs 10
Integration Integration Integration Integration Integrierte NetIQ Lösungen Change Guardian Dashboard Change Guardian: Hoch angereicherte Audit Trails für AD, Windows, Gruppenrichtlinien etc. Sentinel 7* SCM: Schwachstellenmanagement auf Basis von Betriebssystemen, sowie Datenbanken *Sentinel 7: Zentrale SIEM-Konsole (Security Operation Center) für realtime Analysen sicherheitsrelevanter Events Configuration Management IDS-Intrusion Detection Systeme DLP / Data Loss Lösungen System Monitoring / Management Lösungen CMDBs Uvm. 11
Fazit: Konfigurationsmanagement NetIQ prüft Ihre IT Infrastruktur präventiv auf Schwachstellen und Fehlkonfigurationen um Vorfälle erst gar nicht entstehen zu lassen SIEM NetIQ stellt eine einfache aber skalierbare und leistungsstarke SIEM Lösung zur Verfügung Erweiterte Auditierung NetIQ liefert Monitoring jenseits der nativen Protokolldaten mittels konsolidierten und aussagekräftigen Eventdaten Dashboard NetIQ integriert diese und andere Daten in ein allumfassendes ganzheitliches Dashboard für maximale Service Qualität und Transparenz 12
Geben Sie uns Ihr Feedback und kommen Sie zu uns: Stand 524 in Halle 12! Thank you. 13
Worldwide Headquarters 1233 West Loop South Suite 810 Houston, TX 77027 USA +1 713.548.1700 (Worldwide) 888.323.6768 (Toll-free) info@netiq.com NetIQ.com http://community.netiq.com 14
Reales Fallbeispiel Failed Login Versuche von extern auf Server im Intranet Anmeldung von extern auf Server im Intranet mit Systemaccount Zugriff auf Dateien, die als kritisch eingestuft wurden Warum kann man natives Monitoring nicht wirklich verwenden? (Windows Object Auditing) 15
2.907 Events von EINEM Windows Server in nur 10 min. (ohne Last) 16
Davon 175 Events nur für einen File Access 17
Im Vergleich zu einem Change Guardian Event 18
This document could include technical inaccuracies or typographical errors. Changes are periodically made to the information herein. These changes may be incorporated in new editions of this document. NetIQ Corporation may make improvements in or changes to the software described in this document at any time. Copyright ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, the cube logo design, Directory and Resource Administrator, Directory Security Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, the NetIQ logo, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator, VigilEnt, and Vivinet are trademarks or registered trademarks of NetIQ Corporation or its subsidiaries in the United States and other countries.