Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

SECURITY THREAT RESPONSE MANAGEMENT (STRM) Szűcs László, ICTS Hungary Kft.

Hasonló előadás


Az előadások a következő témára: "SECURITY THREAT RESPONSE MANAGEMENT (STRM) Szűcs László, ICTS Hungary Kft."— Előadás másolata:

1 SECURITY THREAT RESPONSE MANAGEMENT (STRM) Szűcs László, ICTS Hungary Kft.

2 2 Copyright © 2009 Juniper Networks, Inc. ÜGYFÉL OLDALI KIHÍVÁS IT “információ” túláradás  A különböző hálózati és biztonsági berendezésekből generált naplózott események zúdulnak ránk  A megfelelő képzettség is tapasztalat hiánya nehezíti az egymástól sokszor eltérő formátumú adatok feldolgozását és eszközök kezelését Megfelelőségi követelmény  Iparág specifikus szabályoknak és rendelkezéseknek kell megfelelni a biztonsági rendszereinknek  Vállalati belső biztonsági követelmények Külső és belső fenyegetettség  Belső felhasználók visszaélései, szellemi termékek eltulajdonítása  Külső, komplex támadások elleni védekezés Iparági szabályok Információ túláradás

3 3 Copyright © 2009 Juniper Networks, Inc. Security Information & Event Management A JUNIPER MEGOLDÁSA: “SECURITY THREAT RESPONSE MANAGER” STRM főbb funkciói  Napló kezelés  Az adatok (adatfolyam és napló) hosszú távú gyűjtése, tárolása, visszakeresése és kimutatások készítése  Biztonsági riasztások események menedzsmentje (SIEM)  Központi kezelése, monitorozása, korrelációja a különböző, eltérő adatformátumú eseményeknek  Hálózati viselkedés és anomáliák kezelése, detektálása (NBAD)  Felfedezi a hálózatok normálistól eltérő működését az alkalmazások és hálózati adatfolyamok figyelése alapján (flow) Integrált megoldás a hálózati és biztonsági berendezéseink adatainak kezelésére Network Behavior Analysis Log Management STRM

4 4 Copyright © 2009 Juniper Networks, Inc. AZ STRM LEGFONTOSABB KÉPESSÉGEI Támadás detektálás Log menedzsment Törvényeknek, szabályoknak való megfelelőség Kiegészíti a Juniper nagyvállalati portfolióját Juniper STRM berendezés Hozzáadott érték

5 5 Copyright © 2009 Juniper Networks, Inc. STRM ARCHITEKTÚRÁJA  STRM – Valós idejű hálózati és biztonsági események megjelenítése  Adat gyűjtés a hálózati, biztonsági eszközökből és alkalmazásokból  A beépített intelligencia és analízis lehetőségek egyszerűsítik az üzemeltetést  Prioritásokkal megjelölt “támadások” kiemelik a fontos információt  Megoldás, amely hatékonyan integrálja a támadások detektálását, napló kezelést és jogszabályi megfelelőséget

6 6 Copyright © 2009 Juniper Networks, Inc. LOG MENEDZSMENT Kiemelten fontos minden központi IT biztonsági menedzsment rendszerben Nagyvállalati probléma STRM megoldás  Nagy mennyiségű napló bejegyzés  Skálázható aggregációja és rendszerezése a beérkező eseményeknek  Multi-vendor környezet, folyamatosan változó formátumú események kezelése  Széleskörű támogatása a különböző gyártóknak és fejlesztési lehetőség a kevésbé ismert formátumokhoz  Biztonságos üzemeltetési követelmények  Egyedülálló log menedzsment az adatok meghamisíthatatlan tárolásával Log Management

7 7 Copyright © 2009 Juniper Networks, Inc. STRM LOG MENEDZSMENT AZ ELTÁROLT ADATOK BIZTONSÁGOS TÁROLÁSA Az események és adatfolyam adatok (flow) állományait titkosítja, illetve ellenőrző összeggel látja el a rendszer tároláskor Bizonyos szabályok/előírások is igénylik (pl. PCI) A legmagasabb szintű adatintegritást a „Secure Hashing Algorithm" (SHA) biztosítja - National Institute of Standards & Technology (NIST) Hashing algoritmusok:  MD2: Message Digest algorithm, RFC1319  MD5: Message Digest algorithm, RFC1321  SHA-1: Secure Hash Algorithm, NIST FIPS  SHA-2: Amely tartalmazza az SHA-256, 384 és 512-t, NIST FIPS Log Management

8 8 Copyright © 2009 Juniper Networks, Inc. EGYEDÜLÁLLÓ ADAT-, ÉS NAPLÓKEZELÉS Hálózati események  Switch-ek & routerek, beleértve adatfolyam adatokat (flow) Biztonsági naplók  Tűzfalak, IDS/IPS, VPN, sérülékenység vizsgálók, Antivírus & UTM berendezések Operációs rendszerek  Microsoft, Unix és Linux Alkalmazások  Adatbázisok, levelező rendszerek, webes rendszerek Felhasználók és IT eszközök  Azonosítási adatok A legnagyobb gyártók támogatása:  Hálózatok: Juniper, Cisco, Extreme, Nokia, F5, 3Com, TopLayer …  Biztonság: Juniper, Bluecoat, Checkpoint, Fortinet, ISS, McAfee,Snort, SonicWall, Sourcefire, Secure Computing, Symantec, …  Adatfolyam adatok: NetFlow, JFlow, Packeteer FDR, & SFlow  Operációs rendszerek: Microsoft, AIX, HP-UX, Linux (RedHat, SuSe), SunOS, …  Alkalmazások: Oracle, MS SQL, MS IIS, MS AD, MS Exchange, …  Botnet Egyedi naplóformátumok kezelése a Device Support Module (DSM) és Adaptive Logging Exporter (ALE) segítségével  Egyedi és általánosan elterjedt alkalmazások kezelésének lehetősége Compliance Templates Forensics Search Policy Reporting Log Management

9 9 Copyright © 2009 Juniper Networks, Inc. JELENTÉSEK KÉSZÍTÉSE  előre elkészített minta  Teljes körűen konfigurálható jelentéskészítő motor, jelentéskészítő varázslók támogatásával  Előre elkészített csomagok a különböző előírásoknak megfelelően: PCI, SOX, FISMA, GLBA, és HIPAA  Jelentések készítése folyamat leírásoknak megfelelően: NIST, ISO and CoBIT  Gyártó specifikus jelentések •Router-ek /switchek •VPN/SSL •Tűzfalak/IDP •UTM •Alkalmazások •Adatbázisok •Hozzáférések (Access) Log Management

10 10 Copyright © 2009 Juniper Networks, Inc. BIZTONSÁGI ESEMÉNYEK KORRELÁLÁSA ÉS TÁMADÁSOK KEZELÉSE Fontos komponens a beérkező adatok értelmezéséhez Nagyvállalati probléma STRM megoldás  A különböző gyártók napló formátumai  „QID map” funkcióval összerendelhetőek a különböző események  Egyszerűsített építőelemekből összeállított szabályrendszer  A hálózat/rendszer folyamatos változásainak kezelése  Korábbi adatok strukturált megjelenítésének lehetősége  A korrelációs szabályok kezelése nehézkes Threat Management

11 11 Copyright © 2009 Juniper Networks, Inc. STRM TÁMADÁS (OFFENSE) MENEDZSMENT Biztonsági események, flow adatok, sérülékenységi és támadási minták összehozása egy un. „Offense”-be Figyelembe veszi a hálózat különböző pontjain megjelenő és időben is eltérő eseményeket, tranzakciókat az esetleges támadás során. A beérkező események ezrei és láncolatai tartozhatnak össze és alkothatnak egy támadást, melyeket egy támadásként jelenít meg. A hálózat viselkedés alapú megfigyelését is elvégzi a még nem ismert támadások beazonosítására. (NBAD) Prioritásokat rendel a támadásokhoz súlyossági, hihetőségi és relevancia alapokon. Threat Management

12 12 Copyright © 2009 Juniper Networks, Inc. ADATFOLYAMOK KEZELÉSE - ÁTTEKINTÉS Adatfolyam többféle forrásból érkezhet:  Csomag alapú monitorozásból: SPAN, tükrözött port, vagy „tap" port  Layer 7 szintű monitorozás  Konfigurálhatóan, hogy mennyi csomagot vizsgáljon az adatfolyam indulásakor (session felépítésnél)  Adatfolyam (flow) adatok switch-ből vagy router-ekből  Tipikusan Layer 4 szintű adatok kezelése  Alkalmazások azonosítása port szám alapján  Formátumok: NetFlow, JFlow, sFlow, etc… Mindenféle beérkezett flow egységes formátumban kerül tárolásra  Szövegelemzővel szűrve (IP, Portok, Protokol, Protocol specifikus opciók pl. TCP flag-ek vagy ICMP kódok, Interface IDs, etc…) Threat Management

13 13 Copyright © 2009 Juniper Networks, Inc. AZ ADATFOLYAM (FLOW) HOZZÁADOTT ÉRTÉKE A passzív adatfolyam (flow) monitorozással létrehozhatóak az eszközökre jellemző profile- ok, melyek segítenek az osztályozásban  Felhasználhatóak korreláláshoz Az ismeretlen támadások – amelyek aláírás mintáit még nem ismerjük - felismerésében is segíthet (day-zero attacks) Szabályok monitorozásában és a rosszindulatú szerverek detektálásában is használható A támadások teljesen láthatóvá válnak akkor is, hacsak egy eseményt okoztak A hálózat viselkedését láthatóvá teszi, és segíthet nem csak a hálózatbiztonsági problémák megoldásában  Pl. levelezési hurkok, rosszul beállított alkalmazások, teljesítménnyel kapcsolatos problémák Threat Management

14 14 Copyright © 2009 Juniper Networks, Inc. AZ ADATKEZELÉS KULCSA AZ ADATMENNYISÉG CSÖKKENTÉSE Az elmúlt 24 órában keletkezett adat (2.7M logs) STRM korreláció után megjelenő Offense (129) STRM A támadás (offense) teljes folyamata megjeleníthető részletes információkkal Későbbiekben prioritás rendelődik hozzá az okozott követlezmények függvényében Threat Management

15 15 Copyright © 2009 Juniper Networks, Inc. TÁMADÁS MENEDZSMENT Ki a támadó ? Mit támadnak ? Mi a követ- kezmény ? Hol kell még vizsgálódni ? Threat Management

16 16 Copyright © 2009 Juniper Networks, Inc. AZ STRM ALKALMAZÁSÁNAK ELŐNYEI Központi menedzsment konzol  Integrált megjelenítése az egyébként elkülönült hálózati és biztonsági adatoknak A hálózati infrastruktúrától az alkalmazásokig lefedi a biztonsági menedzsment igényeket  Páratlan adat menedzsment segíti az informatikai biztonsággal kapcsolatosan kitűzött célok megvalósítását Fejlett analitikai és támadás detektáló képességek  Minimális „false-positive” jelzés, a valódi fenyegetettségek biztos jelzésével Szabályzóknak való megfelelősség Skálázható, rugalmas alkalmazási lehetőségek  Kisebb egy telephelyes rendszerektől az országokon átívelő óriás rendszerekig

17 17 Copyright © 2009 Juniper Networks, Inc. ÖSSZEFOGLALÁS STRM teljes körű biztonsági és megfelelőségi menedzsment megoldás:  Integrált hálózat biztonsági menedzsment platform, amely a hálózati elemektől az alkalmazásokig figyeli a rendszer viselkedését  Kifinomult korrelációs képességeivel segíti a biztonsági szakemberek munkáját (offenses)  Egyedülálló módon kiszűri a „zajokat” a bejövő információból és kiemeli a fontos eseményeket, támadásokat  Hatékony és biztonságos log menedzsmentet biztosít  A külső és belső előírásoknak megfelelően, auditálhatóan  Sokféle, rugalmas alkalmazási lehetőség, a log menedzsmenttől a teljes körű hálózatbiztonsági menedzsmentig Log Management Log Management Threat Management Threat Management Compliance Management Compliance Management

18 18 Copyright © 2009 Juniper Networks, Inc. JUNIPER STRM – Q1 LABS

19 STRM MODELLEK

20 20 Copyright © 2009 Juniper Networks, Inc. HARDVER ÖSSZEFOGLALÓ STRM modellekCPUMemoryTároló Kis STRM II Intel Core 2 Dual8GB 2x 500GB HDD RAID 1 Közepes STRM II Intel Core 2 Quad8GB 6x 500GB HDD RAID 5 array Nagy STRM 5000 –II STRM 5000 NEBS Intel Core 2 Quad12GB 6x 500GB HDD RAID 10 array

21 21 Copyright © 2009 Juniper Networks, Inc. MIT TUD GYŰJTENI AZ STRM? SyslogSNMPAlkalmazásDSMAgentsWMIAPI Esemény Standard UDP/TCP Version 2 & 3 Oracle SAP RDBMS DSM 120+ device types ALE Snare Exchange, DHCP, IIS, Windows logs LEA SDEE JDBC NetFlowJFlowSFlowQFlowPacketeer Flows Version 1,5, 7,9, IPFIX All versions Version 2, 4, 5 On QFC and Monitor Interfaces FDR

22 22 Copyright © 2009 Juniper Networks, Inc. STRM TERMÉKCSALÁD STRM500-II STRM2500-II STRM5000-II 250EPS 500EPS 1000EPS 2500EPS 5000EPS 100 & 200KF STRM 5000-II STRM II FP EPS 200KF to 400KF STRM 5000-II STRM 2500-II EP Small Enterprise Small Medium Enterprise Large enterprises &Service Providers Log Management STRM 500-II QFC (50 MB – 200MB QFlow collection) STRM 500- II QFC Distributed Solution

23 STRM TELEPÍTÉSI MÓDOK

24 24 Copyright © 2009 Juniper Networks, Inc. „MINDEN EGY DOBOZBAN” MEGOLDÁS Példa követelmények:  200K Flows  5000 EPS (esemény/másodperc)  1000-nél több eszköz STRM megoldás  STRM 5000 STRM Web Console Biztonsági eszközök (log források) Hálózati eszközök (Flow források)  Korrelálás  Jelentések készítése  Naplókezelés  Flow Menedzsment

25 25 Copyright © 2009 Juniper Networks, Inc. OSZTOTT RENDSZER TIPIKUS KIALAKÍTÁSA STRM 2500 EP Biztonsági eszközök (log források) Hálózati eszközök (Flow források) STRM 2500 FP STRM 500 Qflow STRM Web Console STRM 5000 Console Példa követelmények  Osztott környezet  200K Flows  2500 EPS (esemény/másodperc)  100-nál több eszköz STRM megoldás  STRM 5000 CON  STRM 2500 EP  STRM 2500 FP  STRM QFC

26 26 Copyright © 2009 Juniper Networks, Inc. NAGY RENDSZER: 50K ESEMÉNY/MÁSODPERC STRM Web Console Biztonsági eszközök (log források) 10K EPS STRM 5000 Console Biztonsági eszközök (log források) Biztonsági eszközök (log források) Biztonsági eszközök (log források) Biztonsági eszközök (log források) 10K EPS  Valódi osztott rendszer  Nagyvállalati megoldás  Központi konzol

27 27 Copyright © 2009 Juniper Networks, Inc. STRM HASZNÁLATA MEGLÉVŐ (SIM) RENDSZERREL 3 rd Party SEM Solution Biztonsági eszközök (log források) 3 rd Party Syslog Servers ArcSight, RSA etc Correlation  Rugalmas telepítési módok  Együttműködik konkurens termékkel  Log menedzsment  Log konszolidáció Optimized Syslog Forwarding Syslog Forwarding STRM (LM) Log Consolidation Biztonsági eszközök (log források)

28 28 Copyright © 2009 Juniper Networks, Inc. NAGY MEGBÍZHATÓSÁGÚ TELEPÍTÉS (HA) STRM Web Console Biztonsági eszközök (log források) Hálózati eszközök (Flow források) STRM 5000 In HA Mode STRM EP or FP In HA Mode STRM 500 In HA Mode HA STRM 2500 In HA Mode

29 KÖSZÖNÖM A FIGYELMET


Letölteni ppt "SECURITY THREAT RESPONSE MANAGEMENT (STRM) Szűcs László, ICTS Hungary Kft."

Hasonló előadás


Google Hirdetések