Recommended
Recommended
More Related Content
What's hot
What's hot (20)
Viewers also liked
Viewers also liked (10)
Similar to IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
Similar to IBM - SIEM 2.0: Информационая безопасность с открытыми глазами (20)
More from Expolink
More from Expolink (20)
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
- 1. © 2012 IBM Corporation IBM Security Systems SIEM 2.0: Информационая безопасность с открытыми глазами. Николай Поборцев, IBM Россия/СНГ n.pobortsev@ru.ibm.com Г. НИЖНИЙ НОВГОРОД 13 НОЯБРЯ 2014 1© 2013 IBM Corporation
- 2. © 2013 IBM Corporation IBM Security Systems 2 #CODEIB
- 3. © 2013 IBM Corporation IBM Security Systems 3 IBM Security и история. 38 лет, 18 компаний IBM Security 1977 – IBM разработала Data Encryption Standard (DES) #CODEIB
- 4. © 2013 IBM Corporation IBM Security Systems Решение для полного цикла. IBM Qradar 4 Каковы внешние и внутренние угрозы? Защищает ли текущая конфигурация от этих угроз? Прогнозирование и предотвращение Реакция и исправление SIEM. Log Management. Incident Response. Network and Host Intrusion Prevention. Network Anomaly Detection. Packet Forensics. Database Activity Monitoring. Data Loss Prevention. Risk Management. Vulnerability Management. Configuration Monitoring. Patch Management. X-Force Research and Threat Intelligence. Compliance Management. Reporting and Scorecards. Что происходит прямо сейчас? Каков результат? #CODEIB
- 5. SIEM 2.0: Что это? Требования к Next-Generation SIEM Анализ сетевых потоков (network flows) и обнаружение аномалий в © 2013 IBM Corporation IBM Security Systems 5 сети Анализ сетевых потоков уровня приложения (Level 7), анализ содержимого пакетов (DPI) Мониторинг активности и анализ аномалий поведения пользователей Анализ конфигураций сетевых устройств, учет сетевого контекста Анализ уязвимостей прикладного ПО и ОС Производительность и масштабируемость от самых маленьких до самых больших внедрений Способность анализировать огромные массивы разрозненных данных и находить взаимосвязи Интеллект «из коробки» Автоматизация рутинных процедур Интеллектуальное сокращение объема данных, подлежащих анализу оператором ИБ Полный сбор данных для расследования инцидентов
- 6. Анализ сетевых потоков и обнаружение аномалий — Зачем? © 2013 IBM Corporation IBM Security Systems Обнаруживать больше. Обнаруживать раньше. Как SIEM первого поколения может обнаружить шпионское ПО? Ботсеть? Червей? «Сеть не может лгать» Злоумышленник (хакер, привилегированный пользователь) может отключить или модифицировать журналы, но нельзя «выключить» сеть 6 Обнаруживает атаки в «день 0» без сигнатур Определяет аномалии, которые иначе остались бы незамеченными Обеспечивает четкие доказательства атаки Обеспечивает видимость всех коммуникаций злоумышленника #CODEIB
- 7. Анализ сетевых потоков уровня приложения, анализ содержимого пакетов На два порядка повышает уровень детализации при анализе поведения и обнаружении аномалий — Вы видите мир цветным, а не черно-белым Обнаруживает аномалии, которые трудно заметить при анализе обычных сетевых потоков Контролирует использование протоколов/приложений в сети Анализирует и позволяет захватывать содержимое пакетов © 2013 IBM Corporation IBM Security Systems 7 #CODEIB
- 8. Несомненно ботсеть Данные потоков Уровня 7 содержат команды ботсети © 2013 IBM Corporation IBM Security Systems 8 Обнаружена ботсеть? Максимум, что может сделать SIEM первого поколения IRC на порту 80? QFlow обнаруживает скрытый канал коммуникаций при помощи потоков Уровня 7 и анализа содержимого пакетов Несомненно ботсеть Данные потоков Уровня 7 содержат команды ботсети Анализ сетевых потоков уровня приложения, анализ содержимого пакетов #CODEIB
- 9. © 2013 IBM Corporation IBM Security Systems Мониторинг активности и анализ аномалий поведения пользователей 9 Мониторинг привилегированных и обычных пользователей Отличить ошибки пользователей от злонамеренной активности с учетными записями Корреляция информации с IAM-систем, отображение пользователей на компьютеры, IP-адреса Нормализация информации о пользователях и учетных записях на различных платформах Готовые правила и предупреждения для мониторинга активности пользователей Профилирование поведения пользователей и обнаружение отклонений от нормы Корреляция доступа к данным с сетевой активностью #CODEIB
- 10. Мониторинг активности и анализ аномалий поведения пользователей Полная видимость на кончиках Ваших пальцев Пользователи, события, потоки – Все доступно для дальнейшего анализа © 2013 IBM Corporation IBM Security Systems 10 Интеграция с IAM- решениями Знание ролей пользователя, членства в группах Обнаружение подозрительной активности Почему подключение под привилегированной учетной записью происходит с рабочего места контрактного сотрудника? Полная видимость на кончиках Ваших пальцев Пользователи, события, потоки – Все доступно для дальнейшего анализа #CODEIB
- 11. © 2013 IBM Corporation IBM Security Systems Корреляция доступа к данным с сетевой активностью 11 Потенциальная утечка данных? Кто? Что? Куда? Кто? Внутренний пользователь Что? Данные из БД Oracle Куда? Gmail #CODEIB
- 12. Профилирование поведения пользователей и обнаружение отклонений от нормы © 2013 IBM Corporation IBM Security Systems 12 QRadar User & Application Activity Monitoring предупреждает о ненормальном характере доступа пользователя к БД QRadar определяет нормальное поведение пользователя и аномальное поведение #CODEIB
- 13. © 2013 IBM Corporation IBM Security Systems Анализ конфигураций сетевых устройств 13 Аудит конфигураций сетевых устройств (маршрутизаторов, межсетевых экранов, коммутаторов, систем предотвращения вторжений) Учет контекста уязвимостей: одна и та же уязвимость, но степень риска разная в зависимости от топологии сети Обнаружении ошибок в конфигурации сетевых устройств — брешей в безопасности Приоритезация угроз (уязвимостей, атак) с учетом топологии сети Непрерывный мониторинг новых рисков #CODEIB
- 14. Blocked: QRadar Risk Manager helps QVM understand which vulnerabilities are blocked by firewalls and IPSs Patched © 2013 IBM Corporation IBM Security Systems Анализ уязвимостей прикладного ПО и ОС. 14 Inactive: QFlow Collector data helps QRadar Vulnerability Manager sense application activity Blocked CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE Inactive CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE Patched: IBM Endpoint Manager helps QVM understand which vulnerabilities will be patched Critical Critical: Vulnerability knowledge base, remediation flow and QRM policies inform QVM about business critical vulnerabilities At Risk! Exploited! At Risk: X-Force Threat and SIEM security incident data, coupled with QFlow network traffic visibility, help QVM see assets communicating with potential threats Exploited: SIEM correlation and IPS data help QVM reveal which vulnerabilities have been exploited #CODEIB
- 15. © 2013 IBM Corporation IBM Security Systems Производительность и масштабируемость 15 Собирать и коррелировать все события, потоки, активы, топологию, уязвимости, identity-информацию и пр., чтобы своевременно обнаруживать и точно приоритезировать угрозы — без исключений, без предварительной фильтрации Точечное связывание необходимой информации в огромных массивах входных данных — найти иголку в стоге иголок Способность анализировать данные на большом интервале времени — обнаружение атак типа low&slow #CODEIB
- 16. © 2013 IBM Corporation IBM Security Systems Интеллект «из коробки» 16 Сотни фильтров, поисковых запросов, виджетов Сотни готовых правил корреляции Почти 1500 отчетов, включая все модули compliance Лучшие практики реализованы Интеллект в системе, а не в головах людей, которые с ней работают #CODEIB
- 17. © 2013 IBM Corporation IBM Security Systems Автоматизация рутинных процедур 17 Автоматическое обнаружение источников событий, автоматическая настройка Автоматическое обнаружение активов Автоматическое пассивное профилирование активов Классификация серверной инфраструктуры на базе профилей активов Радикальное сокращение объема ручной работы и времени внедрения #CODEIB
- 18. © 2013 IBM Corporation IBM Security Systems 18 За 24 часа получено почти 700 млн событий и потоков В результате корреляции сгенерировано более 14 тыс скоррелированных событий В результате анализа создано 129 нарушений (Offense) Сокращение объема данных и приоритезация Offense содержит полную историю угрозы/атаки/нарушения, включая полный контекст (сеть, активы, пользователи) #CODEIB
- 19. © 2013 IBM Corporation IBM Security Systems Сбор данных для расследования. Incident Forensics 19 Захват всех пакетов для полной реконструкции сесии Унифицированное представление всех потоков, пользователей, событий и информации для расследования Обратное отслеживание событий в хронологическом порядке Визуальное воссоздание взаимодействия участников инцидента Реализует поисковые механизмы для получения детальной информации за секунды #CODEIB
- 20. Полностью интегрированная платформа Security Intelligence © 2013 IBM Corporation IBM Security Systems 20 • Log management и отчеты, включив вилку в розетку • От СМБ до масштаба предприятия • Расширяется до SIEM • Корреляция журналов, потоков, уязвимостей, identity • Передовое профилирование активов • Offense management и workflow • Мониторинг конфигурации средств сетевой безопасности • Приоритезация уязвимостей • Прогнозирующее моделирование угроз и симуляция Log Management SIEM Управление конфигурацией и уязвимостями Обнаружение аномалий сетевой активности Видимость сети и приложений • Анализ сетей • Обнаружение поведенческих аномалий • Полностью интегрирован с SIEM • Мониторинг приложений на Уровне 7 • Захват контента для глубокого анализа и расследований • Физические и виртуальные среды #CODEIB
- 21. Полностью интегрированная платформа Security Intelligence © 2013 IBM Corporation IBM Security Systems 21 • Turn-key log management and reporting • SME to Enterprise • Upgradeable to enterprise SIEM Единая консоль безопасности • Log, flow, vulnerability & identity correlation • Sophisticated asset profiling • Offense management and workflow • Network security configuration monitoring • Vulnerability prioritization • Predictive threat modeling & simulation Log Management SIEM Управление конфигурацией и уязвимостями Обнаружение аномалий сетевой активности Видимость сети и приложений • Network analytics • Behavioral anomaly detection • Fully integrated in SIEM Построена на унифицированной • Layer 7 application monitoring • Content capture for deep insight & forensics • Physical and virtual environments архитектуре данных #CODEIB
- 22. © 2013 IBM Corporation IBM Security Systems 22
- 23. © 2013 IBM Corporation IBM Security Systems 23 ibm.com/security
Editor's Notes
- 1976 IBM introduces Resource Access Control Facility (RACF), to provides access control and auditing functionality for applications on the mainframe eliminating the need for each application to imbed security 1977 The IBM develops Data Encryption Standard (DES), a cryptographic algorithm, adopted as the national standard by the US National Bureau of Standards 1978 IBM announces the 3624 automatic teller machine, utilizing DES 1995 IBM starts contributing to Java Security technologies 1996 IBM launches Cryptolope containers to seal intellectual property in a digital package so that content transactions are secured over the Internet IBM launches the SecureWay Key Management Framework, a collection of applications, services and cryptographic engines that help make the Internet safe for e-commerce IBM begins pilot program with MasterCard using Secure Electronic Transaction (SET) technology which secures credit card transactions over the Internet IBM develops and certifies the IBM Secure Crypto Co-processor (4758) at FIPS 104-1 Level 4, the highest level of FIPS IBM releases its first enterprise-grade LDAP Directory Server (now known as Directory Server) 1998 IBM extends Secure Electronic Transaction (SET) standard support which secures payments over the Internet and is largely based on technology developed at IBM Research and adopted by major credit card companies 1999 IBM acquires Dascom, the basis for IBM's Access Manager portfolio IBM Research's breakthrough paper on Side Channel Cryptanalysis Attacks and Countermeasures (1999 – 2004) 2000 IBM patents a system and method for alerting computer users to digital security intrusions IBM appoints Harriet Pearson its first Chief Privacy Officer 2002 IBM acquires Access 360, the basis for IBM's Identity Manager portfolio IBM acquires MetaMerge for meta-directory and directory synch capability (now known as Directory Integrator) 2005 IBM debuts the first ThinkPad with an integrated fingerprint reader, at the time offering an unmatched level of data protection through a new biometric capability and embedded security subsystem 2006 IBM acquires Internet Security Systems, Inc, the basis for today’s IBM X-Force® IT security research team and the IBM network protection product family Smart cards, highly efficient JavaCard™ technology developed at IBM Research – Zurich, is licensed by a leading smart card manufacturer for secure multi-application smart cards and is used in many JavaCard™ projects The technology is used today in 10s of millions of VISA credit cards 2007 IBM acquires Consul, to help accelerate data and governance strategy 2008 IBM patents a secure system and method for enforcement of privacy policy and protection of confidentiality IBM acquires Encentuate, the basis for 'IBMs Enterprise Single-sign-on (ESSO) product Zone Trusted Information Channel: Plugs into the USB port of any computer and creates a direct, secure channel to a bank’s online transaction server, bypassing the PC which could be infected by malicious software (malware) or susceptible to hacker attacks 2009 IBM acquires Ounce Labs, a provider of software that analyzes software code for security vulnerabilities, today’s AppScan family IBM acquires Guardium, a market leader in real-time enterprise database monitoring and protection Pioneers the use of Big Data analytics to cybersecurity problems (FAA, USAF) 2010 IBM acquires Big Fix, helping organizations extend security and compliance to endpoints, today Endpoint Manager IBM Research’s breakthrough on Fully Homomorphic Encryption 2011 IBM Security Systems division is created IBM acquires Q1 Labs, with its QRadar security intelligence portfolio, to strengthen its offerings around advanced security analytics IBM launches Cloud-based Mobile Security Services, IBM Hosted Mobile Device Security Management 2012 IBM delivers next-gen Intrusion system, new access appliance and privileged identity technology IBM announces 25 new product releases in security, a record year of innovation IBM extends its market leading static application security testing (IBM Security AppScan) to native Android applications, which allows clients to conduct their own testing for mobile applications 2013 IBM announces breakthrough with combination of Security Intelligence and Big Data IBM announces new QRadar Vulnerability Manager software to help organizations identify and predict security risk IBM announces MobileFirst security software (IBM AppScan Source 87 for iOS) to improve security quality without sacrificing time-to-market of mobile app projects IBM announces acquiring Trusteer for mobile and application security, counter-fraud and malware detection IBM announced acquiring Fiberlink. Fiberlink’s MaaS360 offering expands IBM MobileFirst solutions with new cloud-based capabilities to deliver a comprehensive mobile management and security solution for global organizations of all sizes. This acquisition supports IBM’s expanding vision for enterprise mobility management, which encompasses secure transactions between businesses, partners and customers. 2014 IBM announced it has acquired CrossIdeas, a provider of identity and access governance solutions for on premise and cloud-based software IBM announces acquiring Lighthouse Security Group, a premier cloud security services provider. Lighthouse Security Group protects identity and data in an increasingly complex IT environment where more company information is being stored in the cloud and accessed from mobile devices
- Пользователь Олег Летаев вошел в ОС. Успешная аутентификация с первой попытки. Можно отбросить. Пользователь Топ-Менеджер успешно вошел в приложение с высокими привилегиями. Успешная аутентификация с первой попытки. Можно отбросить. А теперь представим, что оба события произошли с одной рабочей станции. Нарушение! Добавим еще контекста: Олег Летаев — не сотрудник организации, а внешний контрагент, консультант, который имеет временный и ограниченный доступ к сети организации. Высокая степень риска! Можно ли обнаружить данный инцидент, если отбрасывать события на этапе предварительной фильтрации? Для любого события можно определить контекст, в котором оно безопасно, не несет риска для организации, и контекст, в котором оно опасно. Для правильной классификации события нужно учесть контекст, т.е. скоррелировать.
- In summary, Q1 Labs is uniquely qualified to provide you with solutions to address your growing compliance and security intelligence needs, before—during—and after threats take place. Now. Let’s talk about your specific issues that we can work on together.