Kam směřují SIEM systémy,aneb od logů přes SOC po eGRC

David Matějů

RSA, The Security Division of EMC

Agenda

Bezpečnostní monitoring Útoky na infrastrukturu

Útoky na data a informace

Porušení bezpečnostních politik

Dnešní možnosti monitoringu a analýzy událostí Krok 1: Log Collection

Krok 2: SIEM a SOC – Security Information and Event Management a Security Operations Center

Krok 3: Integrace s eGRC – Governance, Risk, Compliance

Shrnutí a výhled

16. února 2011

Realita: Stále rostoucí počet útoků

16. února 2011

Internal Employees

BusinessAnalytics

EnterpriseApplications

Replica BackupDisk

Backup Tape

SharePointeRoom, etc.

File Server

DiskArrays

ProductionDatabase

Privileged UsersContractors Privileged Users Privileged Users

Entry Points

Channels

Customers/Partners

Entry Points

Thieves

Channels

Remote Employees

Channels

VPN

Apps/DB StorageFS/CMSNetworkEndpoint

IP Sent to non trusted user

Stolen IP

App, DB or Encryption Key Hack

Fraud Stolen Credentials

Endpoint theft/loss

Network LeakEmail-IM-HTTP-FTP-

etc.

PrivilegedUser Breach

InappropriateAccess

Privileged UsersTapes lost or stolen

Data LeakVia USB/Print

Public Infrastructure Access Hack

UnintentionalDistribution

(Semi) Trusted User Misuse

Discarded disk exploited

Krok 1: Log Collection Dashboard

16. února 2011

Může ale IT trávit 20% času nad logy?

16. února 2011

20% of IT staff time

Když ano, umí pak odpovědět?

16. února 2011

Jsme zabezpečeni?

Jsme ve shodě s předpisy?

Kde máme ještě mezery?

Jak prioritizovat úkoly?

Asi ne. Potřebuje totiž SIEM ...

16. února 2011

Turn real time events, e.g.

threats, into actionable data

Create a closed-loop incident handling process

Report on the effectiveness

of security management

Triage

Analysis

Forensics

Track & Trace

Remediation

Notification

SIEM supports 3 key aspects of Security Operations

Krok 2: SIEM/SOC Dashboard

16. února 2011

Možnosti současných SIEM

16. února 2011

Compliance Management

Monitoring Sustainable Reporting

Investigative & Legal

Alert Correlation SEC(e.g. SOX)

Notifications

Watchlists

Breach Disclosure

Record Immutability

Record Chain of Custody

Financial (e.g. PCI, Basel II)

Internal & External Audit

Security Management

Policy Management

Security Log Aggregation

Incident Management

Policy Implementation

Firewall Logs

ForensicsPolicy

ReviewIDS / IPS

Logs

Patch Management

Logs

Alert Escalation

Vulnerability & Asset

Correlation

Policy Enforcement

IT Management

Infrastructure Optimization

Log Storage & Archival

IT Log Aggregation

Process Automation

Network Logs

Host Logs

Record Discovery

Log Collection & Retention

Helpdesk Integration

StorageLogs

Log Backup and

Recovery

System Backup and Recovery

16. února 2011

Krok 3: Integrace s eGRC

eGRC umí zodpovědět ...

16. února 2011

Je celé moje snažení efektivní?

Podporuji klíčové procesy podniku?

Shrnutí

Pouhý sběr logů (log collection) zdaleka nestačí na smysluplný monitoring.

SIEM s možnostmi SOC je pro většinu středních institucí dostačující.

Velké firmy využijí navíc eGRC pro integraci SOC do celkového obchodního a procesního pohledu.

SIEM, SOC a eGRC se budou stále více integrovat -> balíková řešení.

16. února 2011

16. února 2011

David MatějůRSA, The Security Division of EMC

david.mateju@rsa.com

Děkuji za pozornost.

? PROSTORPRO OTÁZKY