Kam směřují SIEM systémy,aneb od logů přes SOC po eGRC
David Matějů
RSA, The Security Division of EMC
Agenda
Bezpečnostní monitoring Útoky na infrastrukturu
Útoky na data a informace
Porušení bezpečnostních politik
Dnešní možnosti monitoringu a analýzy událostí Krok 1: Log Collection
Krok 2: SIEM a SOC – Security Information and Event Management a Security Operations Center
Krok 3: Integrace s eGRC – Governance, Risk, Compliance
Shrnutí a výhled
16. února 2011
Realita: Stále rostoucí počet útoků
16. února 2011
Internal Employees
BusinessAnalytics
EnterpriseApplications
Replica BackupDisk
Backup Tape
SharePointeRoom, etc.
File Server
DiskArrays
ProductionDatabase
Privileged UsersContractors Privileged Users Privileged Users
Entry Points
Channels
Customers/Partners
Entry Points
Thieves
Channels
Remote Employees
Channels
VPN
Apps/DB StorageFS/CMSNetworkEndpoint
IP Sent to non trusted user
Stolen IP
App, DB or Encryption Key Hack
Fraud Stolen Credentials
Endpoint theft/loss
Network LeakEmail-IM-HTTP-FTP-
etc.
PrivilegedUser Breach
InappropriateAccess
Privileged UsersTapes lost or stolen
Data LeakVia USB/Print
Public Infrastructure Access Hack
UnintentionalDistribution
(Semi) Trusted User Misuse
Discarded disk exploited
Krok 1: Log Collection Dashboard
16. února 2011
Může ale IT trávit 20% času nad logy?
16. února 2011
20% of IT staff time
Když ano, umí pak odpovědět?
16. února 2011
Jsme zabezpečeni?
Jsme ve shodě s předpisy?
Kde máme ještě mezery?
Jak prioritizovat úkoly?
Asi ne. Potřebuje totiž SIEM ...
16. února 2011
Turn real time events, e.g.
threats, into actionable data
Create a closed-loop incident handling process
Report on the effectiveness
of security management
Triage
Analysis
Forensics
Track & Trace
Remediation
Notification
SIEM supports 3 key aspects of Security Operations
Krok 2: SIEM/SOC Dashboard
16. února 2011
Možnosti současných SIEM
16. února 2011
Compliance Management
Monitoring Sustainable Reporting
Investigative & Legal
Alert Correlation SEC(e.g. SOX)
Notifications
Watchlists
Breach Disclosure
Record Immutability
Record Chain of Custody
Financial (e.g. PCI, Basel II)
Internal & External Audit
Security Management
Policy Management
Security Log Aggregation
Incident Management
Policy Implementation
Firewall Logs
ForensicsPolicy
ReviewIDS / IPS
Logs
Patch Management
Logs
Alert Escalation
Vulnerability & Asset
Correlation
Policy Enforcement
IT Management
Infrastructure Optimization
Log Storage & Archival
IT Log Aggregation
Process Automation
Network Logs
Host Logs
Record Discovery
Log Collection & Retention
Helpdesk Integration
StorageLogs
Log Backup and
Recovery
System Backup and Recovery
16. února 2011
Krok 3: Integrace s eGRC
eGRC umí zodpovědět ...
16. února 2011
Je celé moje snažení efektivní?
Podporuji klíčové procesy podniku?
Shrnutí
Pouhý sběr logů (log collection) zdaleka nestačí na smysluplný monitoring.
SIEM s možnostmi SOC je pro většinu středních institucí dostačující.
Velké firmy využijí navíc eGRC pro integraci SOC do celkového obchodního a procesního pohledu.
SIEM, SOC a eGRC se budou stále více integrovat -> balíková řešení.
16. února 2011
16. února 2011
David MatějůRSA, The Security Division of EMC
Děkuji za pozornost.
? PROSTORPRO OTÁZKY