Wykorzystanie zaawansowanych narzędzi analitycznych w systemach monitorowania cyberbezpieczeństwa

1

Janusz Żmudziński, Pion Infrastruktury, Asseco Data SystemsGrudzień, 2016 r.

Zagrożenia

Typowe środowisko IT – najczęstsze zabezpieczenia

Partnerzy biznesowi

Klienci

Pracownicy

- ochrona sieci (FW, IDS, IPS)- oprogramowanie antywirusowe- kopie danych,- kontrola dostępu- Polityka Bezpieczeństwa- zarządzanie ryzykiem

- kontrola dostępu- ochrona kryptograficzna- ochrona antywirusowa- VPN

Wym

agania

pra

wne

• brak monitorowania

• „ręczne” przeglądanie dzienników zdarzeń

• wykorzystanie dedykowanych narzędzi przeznaczonych dla wybranych obszarów bezpieczeństwa (np. SLA)

• kompleksowe systemy monitorowania

Monitorowanie bezpieczeństwa – spotykane praktyki

• logi systemów operacyjnych

• logi urządzeń sieciowych

• logi rozwiązań bezpieczeństwa (FW, IDS, IPS, AV, itp.)

• logi baz danych i bazy danych

• logi aplikacji biznesowych

• pliki konfiguracyjne

• katalogi (np. Active Directory)

• systemy zewnętrzne (np. kontroli dostępu)

• sieć,

• media (również społecznościowe, również Darknet)

Źródła informacji o stanie bezpieczeństwa

Tradycyjne podejście jest niewystarczające

Źródło: Verizon Data Breach Investigations Report

99% udanych ataków doprowadziło do uzyskania dostępu w ciągu „dni”,

85% z nich skończyło się wyprowadzeniem danych

85% naruszeń zostało wykrytych po „tygodniach”

lub dłużej

7

Monitorowanie powinno obejmować:

→ wszystkie atrybuty (poufność, integralność, dostępność)

→ wszystkie obszary (sprzęt, systemy, aplikacje, logika biznesowa, …)

Monitorowanie bezpieczeństwa musi być procesem ciągłym (24x7x365)

Monitorowanie bezpieczeństwa – dobre praktyki

Monitorowanie bezpieczeństwa - wyzwania

• Napastnicy też myślą

• Wiele różnorakich źródeł informacji dot. bezpieczeństwa

• Problemy techniczne

8

9

Monitorowanie bezpieczeństwa – problemy techniczne

• Danych jest coraz więcej

• Big Data – zbyt dużo danych do zebrania i analizy i przechowywania.

• Jak zwykle, 99.999% danych jest bezużyteczna.

→ Jak znaleźć te 0.001%, która jest wartościowa?

Bezpieczeństwo staje się problemem klasy Big Data

• Coraz bardziej zdeterminowani atakujący to coraz więcej danych do przetworzenia, żeby zidentyfikować atak

• Coraz bardziej skomplikowane środowiska IT – nawet proste ataki mogą pozostać niezauważone w olbrzymiej ilości ruchu

• Osoby odpowiedzialne za bezpieczeństwo zaczynają mieć problem z przetwarzaniem wszystkich danych

→ 40% respondentów jest przytłoczonych ilością danych, które zbierają dzisiaj

→ 35% ma za mało czasu lub specjalistycznej wiedzy do analizy zebranych danych

10

NSA - XKeyScore

• Gromadzi, analizuje, przeszukuje dane

• 700 serwerów, 150 lokalizacji na świecie

• Inwigilacja w czasie rzeczywistym, na bieżąco śledzi ruchy „celu” w Internecie

• Umożliwia analitykom NSA analizę:

→ zawartości e-maili, czaty

→ odwiedzane i wyszukiwane strony

→ metadane

• Teoretycznie przeznaczony do analizy danych o obcokrajowcach, ale zawierał również dane o obywatelach USA

11

Dzisiejsze wymagania wobec bezpieczeństwa

12

Totalna Widoczność

“Chcę widzieć wszystko, co dzieje się w moim środowisku i

móc to znormalizować”

Wysokowydajna analityka

“Dajcie mi szybkie i inteligentne narzędzie do wykrywania i analizy potencjalnych zagrożeń w czasie

bliskim rzeczywistemu”

Infrastruktura Big Data

“Potrzebuję elastyczną infrastrukturę, która umożliwi

krótko- i długoterminową analizę”

Zintegrowana Inteligencja

“Pomóżcie mi zrozumieć, czego szukać i co inni już znaleźli”

Tradycyjne SIEM był dobry w przeszłości

13

• SIEM daje:

→ Cenne raportowanie aktywności urządzeń i systemów

→ Podstawowe alarmowanie na podstawie znanych wzorców

→ Centralny widok na różne źródła zdarzeń

• Zagrożenia mają wiele twarzy, są dynamiczne i niewidoczne• Najgroźniejszych ataków nie obserwowano wcześniej• Skuteczny atak wiąże się z obecnością w różnych miejscach sieci

W dzisiejszym świecie

SIEM – ewolucja do rozwiązań analitycznych

• Splunk

• RSA Netwitness

• IBM QRadar, Watson for Cybersecurity

14

RSA Netwitness

15

• Pojedyncza platforma do zbierania i analizowania olbrzymich ilości danych z sieci i logów

• Rozproszona i skalowalna architektura

• Architektura, która pozwala na szybką i równocześnie inteligentną analizę

• Security Data Warehouse dla długoterminowej analizy i zgodności

• Infrastruktura NetWitness dla krótkoterminowej analizy i śledztw

THE ANALYTICS

Reporting and Alerting

Investigation

MalwareAnalytics

Administration

Complex Event Processing

Free Text Search

Correlation

Metadata Tagging

RSA LIVE INTELLIGENCEThreat Intelligence – Rules – Parsers – Alerts – Feeds – Apps – Directory Services – Reports and Custom Actions

Incident Managemen

t

AssetCriticality

Compliance

REAL-TIME

LONG-TERM

EUROPE

NORTH AMERICA

ASIA

Enrichment Data Logs

Packets

DIS

TRIB

UTED

CO

LLECTIO

N

WAREHOUSE

Architektura RSA Netwitness

Security Analytics Warehouse

Długoterminowe przechowywanie danych oraz Analityka

– hurtownia danych dostosowana do danych typu security

– metadane z logów i pakietów, surowe logi

Architektura oparta o technologię Hadoop zapewnia maksimum skalowalności i wydajności

Complex Event Processing

Wyszukiwanie tekstowe á la Google

Zaawansowane zapytania PIG i HIVE

WAREHOUSE

„Usuwanie siana” vs. „szukanie igieł w stogu siana”

18

Cały ruch i logi

Ściąganie plików exe

Typ nie zgadza się z

rozszerzeniem

!

Terabajty danych - 100% całości

Tysiące punktów – 5% całości

Setki punktów – 0.2% całości

Alarmy dla krytycznych zasobówkilkadziesiąt

RSA NetWitness -zintegrowana Inteligencja

Skąd wiem, czego szukać?

Zbieranie informacji z globalnej społeczności bezpieczeństwa oraz

RSA FirstWatch ®

Agregacja i konsolidacja

najważniejszej informacji i

odniesienie jej do danych dot. organizacji

Automatyczna dystrybucja reguł,

czarnych list, parserów, feedów etc.

Pozwala na wykorzystanie tego, co inni już znaleźli i odniesienia tej informacji do własnych danych bieżących i historycznych

Natychmiastowy podgląd kontekstu ruchu w sieci

Komputer - cel ataku - wysyła wielu dokumentów przez FTP. Możemy wyeksportować, otworzyć, lubpodejrzeć całą zawartość.

Pliki przesłane przez FTP

Natychmiastowy podgląd kontekstu ruchu w sieci

Ruch do serwera C&C w Chinachwskazuje na infekcję celu ataku trojanem ZeuS.

Powtarzajace się ściąganie plików konfiguracyjnych

ZeuSa (.bin) z Chin

Podsumowanie

• Tradycyjne podejście do bezpieczeństwa nie działa

• Bezpieczeństwo staje się problemem Big Data

• Zaawansowane rozwiązania analityczne są nowym podejściem do walki z zaawansowanymi zagrożeniami

• Połączenie cech SIEM-a, monitorowania ruchu sieciowego, zarządzania Big Data i analityki

• Podstawa nowoczesnej strategii ochrony:

→ Infrastruktura Big Data

→ Totalna widoczność

→ Wysokowydajna analityka

→ Zintegrowana inteligencja (machine learning, deep learning, AI)

22

• Brak monitorowania uniemożliwia skuteczne zarządzanie bezpieczeństwem

• Monitorowanie powinno obejmować możliwie wszystkie aktywa

• System monitorowania może uchronić przed poważnymi incydentami oraz ułatwić lub umożliwić analizę śledczą

• System monitorowania musi również monitorować siebie

• Potrzeba wykwalifikowanego zespołu

Uwagi na zakończenie

Kto pilnuje strażników?

NSA wydaje stonowane i uspokajające oświadczenie, że ich działania są w pełni legalne, wnikliwie kontrolowane i nadzorowane, oraz, że robią wszystko by nie

naruszać prywatności obywateli USA. Do ich systemów (np XKS) ma dostęp jedynie przeszkolony personel, a każde zapytanie jest logowane co umożliwia kontrolę

ewentualnych nadużyć

Dziękuję za uwagę