TWINSOFT

TWINSOFT

Security Information und Event Management (SIEM)erweiterte Sicherheitsanforderungen

bei wachsender Datenflut

05.06.2013

GI Themenabend BIG DATA: Matthias Hesse, Twinsoft

Ablauf…

2

1. Wer ist denn TWINSOFT?

2. Warum sprechen wir über dieses Thema?

3. Was ist SIEM und wo kommt es her?

4. Was hat Compliance / IT-Compliance damit zu tun?

5. Warum SIEM bei TWINSOFT?

6. Wie sieht SIEM aus?

3

Aufbau der TWINSOFT

• Aktuell ca. 100 Mitarbeiter

• Darmstadt, Ratingen, Köln

Twinsoft …. Integrations & Sicherheitsexperte

4

Auszug der Referenzen:

Stellen Sie sich vor Ihnen würde so etwas passieren ……

RBS WorldPay (2008) � 1,5 Mio Debitkarten-Accounts gehackt, 9 Mio US$ Schaden innerhalb 12 Stunden � Lizenz für Kartenverarbeitung entzogen Google-Hack (2010) � Anzahl betroffener Accounts unbekannt; Börsenwert sinkt um 1,5 Mrd. US$ Sony: Playstation Netzwerk (2011) � mehrfache Angriffe über Tage hinweg, ohne erkennbare Gegenmaßnahmen � 100 Mio. Accounts kompromittiert (Datendiebstahl) Burger King (2013) � Kaperung des Onlineauftritts von Burger King. Hacker tauschten Werbebanner mit

dem von McDonalds aus

5

Wie es dazu kam…

Hacker Angriffe

6

Public Network

Home VPN

Public VPN

Remote Workers

Mobile Users

Wireless Hot-Spot

Branch Office

Corporate HQ

Millionen von Log-Daten innerhalb einer Organisatio n

7

� Riesige Flut an Log-Daten (sog. „Events“)

� Zeitaufwendige Untersuchungen

� Unterschiedliche Konsolen

� Verschiedenste Formate

���� Manuelles Sammeln, Speichern und Analysieren ist ze itlich nicht zu bewerkstelligen

AntiVirus

AntiVirusDatabases

ApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsAnti-VirusServer andDesktop OS

NetworkEquipment

VulnerabilityAssessment

IntrusionDetectionSystems

FirewallsFirewallsFirewallsFirewallsFirewallsFirewalls/VPN

Sign-OnSign-OnIdentityManagement

DirectoryServices

UserAttributes

PhysicalInfrastructure

BusinessProcessesMainframes

IT Abteilungen sind täglich konfrontiert mit

SIEM Treiber

ComplianceSecurity IT OperationsIT Operations

Wie entdecken und behandeln Sie Cyber Attacken?

Wie werden Sie Fehler im Netzwerk finden ?

Wie bestehen Sie Ihre Sicherheits Audits ?

Compliance

Begriffe: SIEM / SIM / SEM / Log-Management

9

Log-Management (LM)• (zentrale) Sammlung und Analyse von Log-Daten, Suchen, Reporting

SIM – „Security Information Management“ (im Wesentl ichen: Log-Management)• Reporting für Audits, Compliance-Anforderungen• Application- und (privileged) User-Monitoring

SEM – „Security Event Management“• Erkennen von Bedrohungen in Echtzeit• Benachrichtigung• Korrelationen

SIEM – „ Security Information and Event Management“

(Begriffe sind nicht scharf definiert!)

Zei

t

Funktionsumfang

manuell

LM

SIEM

Was machen SIEM -Tools ?

Sammlung der Log-Daten aus unterschiedlichen Quellen� syslog, SNMP, Files, Zugriff über API, …� mit und ohne Agent (installierte Software auf dem überwachten

System)

Filtering� uninteressante Daten gleich an der Quelle ausfiltern� wichtig bei verteilten Standorten und WAN-Verbindungen

Normalisierung / Kategorisierung� Daten aus unterschiedlichen Quellen auf einheitliches

Daten-Format abbilden

Korrelationen� Beziehungen zwischen unabhängigen und zusammenhangslosen

Event-Quellen herstellen� Sichtbarkeit für sicherheitsrelevante Ereignisse, die sonst unentdeckt

geblieben wären10

Alarm

action

Was macht ein SIEM Tool ?���� Kategorisierung / Normalisierung

Bedeutet: Daten aus unterschiedlichen Quellen auf einheitliches Daten-Format abbilden

12

BedrohungenMonitoren…Compliance Status Business Continuity

Sicherstellen…Addressieren…

Zentralisiertes Management und Auswertung von Logs

AntiVirus

AntiVirusDatabases

ApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsAnti-VirusServer andDesktop OS

NetworkEquipment

VulnerabilityAssessment

IntrusionDetectionSystems

FirewallsFirewallsFirewallsFirewallsFirewallsFirewalls/VPN

Sign-OnSign-OnIdentityManagement

DirectoryServices

UserAttributes

PhysicalInfrastructure

BusinessProcessesMainframes

Report&

Archivieren

Analysieren&

Alarmieren

Sammeln

Agieren

Gartners „Magic Quadrant“ für SIEM -Lösungen (2012)

13

TWINSOFT

Anzeige von IT-Compliance-verstössen

Anzeige von IT-Compliance-verstössen

Visualisierung der aktuellen IT-Infrastruktur

Erkennen von Schwachstellen

Schutz vor Angriffen

Anzeige von IT-Compliance-verstössen

���� alles auf Basis der ohnehin vorhandenen Daten

Screens…

15

16

Am Beispiel ArcSight (HP)Simples 3teiliges Dashboard zur Ansicht der Operatin g System Logon/Logoffs und damit verbundener Failures

Screenshots ArcSight

17

Screenshots ArcSight

18

19

Am Beispiel ArcSight (HP)Netzmodell zur Verfolgung zweifelhafter IP Adressen

20

TWINSOFT

Europaplatz 264293 DarmstadtTel: 06151/39756-0

Siemensstr. 8-1040885 RatingenTel: 02102/3004-0

Ihr Ansprechpartner:

Matthias Hesse

Tel.: 02102 3004-69Mobil: 0151 44 333 069E-Mail: matthias.hesse@twinsoft.deWeb: www.twinsoft.de

21