Post on 25-Sep-2020
Wykorzystanie zaawansowanych narzędzi analitycznych w systemach monitorowania cyberbezpieczeństwa
1
Janusz Żmudziński, Pion Infrastruktury, Asseco Data SystemsGrudzień, 2016 r.
Zagrożenia
Typowe środowisko IT – najczęstsze zabezpieczenia
Partnerzy biznesowi
Klienci
Pracownicy
- ochrona sieci (FW, IDS, IPS)- oprogramowanie antywirusowe- kopie danych,- kontrola dostępu- Polityka Bezpieczeństwa- zarządzanie ryzykiem
- kontrola dostępu- ochrona kryptograficzna- ochrona antywirusowa- VPN
Wym
agania
pra
wne
• brak monitorowania
• „ręczne” przeglądanie dzienników zdarzeń
• wykorzystanie dedykowanych narzędzi przeznaczonych dla wybranych obszarów bezpieczeństwa (np. SLA)
• kompleksowe systemy monitorowania
Monitorowanie bezpieczeństwa – spotykane praktyki
• logi systemów operacyjnych
• logi urządzeń sieciowych
• logi rozwiązań bezpieczeństwa (FW, IDS, IPS, AV, itp.)
• logi baz danych i bazy danych
• logi aplikacji biznesowych
• pliki konfiguracyjne
• katalogi (np. Active Directory)
• systemy zewnętrzne (np. kontroli dostępu)
• sieć,
• media (również społecznościowe, również Darknet)
Źródła informacji o stanie bezpieczeństwa
Tradycyjne podejście jest niewystarczające
Źródło: Verizon Data Breach Investigations Report
99% udanych ataków doprowadziło do uzyskania dostępu w ciągu „dni”,
85% z nich skończyło się wyprowadzeniem danych
85% naruszeń zostało wykrytych po „tygodniach”
lub dłużej
7
Monitorowanie powinno obejmować:
→ wszystkie atrybuty (poufność, integralność, dostępność)
→ wszystkie obszary (sprzęt, systemy, aplikacje, logika biznesowa, …)
Monitorowanie bezpieczeństwa musi być procesem ciągłym (24x7x365)
Monitorowanie bezpieczeństwa – dobre praktyki
Monitorowanie bezpieczeństwa - wyzwania
• Napastnicy też myślą
• Wiele różnorakich źródeł informacji dot. bezpieczeństwa
• Problemy techniczne
8
9
Monitorowanie bezpieczeństwa – problemy techniczne
• Danych jest coraz więcej
• Big Data – zbyt dużo danych do zebrania i analizy i przechowywania.
• Jak zwykle, 99.999% danych jest bezużyteczna.
→ Jak znaleźć te 0.001%, która jest wartościowa?
Bezpieczeństwo staje się problemem klasy Big Data
• Coraz bardziej zdeterminowani atakujący to coraz więcej danych do przetworzenia, żeby zidentyfikować atak
• Coraz bardziej skomplikowane środowiska IT – nawet proste ataki mogą pozostać niezauważone w olbrzymiej ilości ruchu
• Osoby odpowiedzialne za bezpieczeństwo zaczynają mieć problem z przetwarzaniem wszystkich danych
→ 40% respondentów jest przytłoczonych ilością danych, które zbierają dzisiaj
→ 35% ma za mało czasu lub specjalistycznej wiedzy do analizy zebranych danych
10
NSA - XKeyScore
• Gromadzi, analizuje, przeszukuje dane
• 700 serwerów, 150 lokalizacji na świecie
• Inwigilacja w czasie rzeczywistym, na bieżąco śledzi ruchy „celu” w Internecie
• Umożliwia analitykom NSA analizę:
→ zawartości e-maili, czaty
→ odwiedzane i wyszukiwane strony
→ metadane
• Teoretycznie przeznaczony do analizy danych o obcokrajowcach, ale zawierał również dane o obywatelach USA
11
Dzisiejsze wymagania wobec bezpieczeństwa
12
Totalna Widoczność
“Chcę widzieć wszystko, co dzieje się w moim środowisku i
móc to znormalizować”
Wysokowydajna analityka
“Dajcie mi szybkie i inteligentne narzędzie do wykrywania i analizy potencjalnych zagrożeń w czasie
bliskim rzeczywistemu”
Infrastruktura Big Data
“Potrzebuję elastyczną infrastrukturę, która umożliwi
krótko- i długoterminową analizę”
Zintegrowana Inteligencja
“Pomóżcie mi zrozumieć, czego szukać i co inni już znaleźli”
Tradycyjne SIEM był dobry w przeszłości
13
• SIEM daje:
→ Cenne raportowanie aktywności urządzeń i systemów
→ Podstawowe alarmowanie na podstawie znanych wzorców
→ Centralny widok na różne źródła zdarzeń
• Zagrożenia mają wiele twarzy, są dynamiczne i niewidoczne• Najgroźniejszych ataków nie obserwowano wcześniej• Skuteczny atak wiąże się z obecnością w różnych miejscach sieci
W dzisiejszym świecie
SIEM – ewolucja do rozwiązań analitycznych
• Splunk
• RSA Netwitness
• IBM QRadar, Watson for Cybersecurity
14
RSA Netwitness
15
• Pojedyncza platforma do zbierania i analizowania olbrzymich ilości danych z sieci i logów
• Rozproszona i skalowalna architektura
• Architektura, która pozwala na szybką i równocześnie inteligentną analizę
• Security Data Warehouse dla długoterminowej analizy i zgodności
• Infrastruktura NetWitness dla krótkoterminowej analizy i śledztw
THE ANALYTICS
Reporting and Alerting
Investigation
MalwareAnalytics
Administration
Complex Event Processing
Free Text Search
Correlation
Metadata Tagging
RSA LIVE INTELLIGENCEThreat Intelligence – Rules – Parsers – Alerts – Feeds – Apps – Directory Services – Reports and Custom Actions
Incident Managemen
t
AssetCriticality
Compliance
REAL-TIME
LONG-TERM
EUROPE
NORTH AMERICA
ASIA
Enrichment Data Logs
Packets
DIS
TRIB
UTED
CO
LLECTIO
N
WAREHOUSE
Architektura RSA Netwitness
Security Analytics Warehouse
Długoterminowe przechowywanie danych oraz Analityka
– hurtownia danych dostosowana do danych typu security
– metadane z logów i pakietów, surowe logi
Architektura oparta o technologię Hadoop zapewnia maksimum skalowalności i wydajności
Complex Event Processing
Wyszukiwanie tekstowe á la Google
Zaawansowane zapytania PIG i HIVE
WAREHOUSE
„Usuwanie siana” vs. „szukanie igieł w stogu siana”
18
Cały ruch i logi
Ściąganie plików exe
Typ nie zgadza się z
rozszerzeniem
!
Terabajty danych - 100% całości
Tysiące punktów – 5% całości
Setki punktów – 0.2% całości
Alarmy dla krytycznych zasobówkilkadziesiąt
RSA NetWitness -zintegrowana Inteligencja
Skąd wiem, czego szukać?
Zbieranie informacji z globalnej społeczności bezpieczeństwa oraz
RSA FirstWatch ®
Agregacja i konsolidacja
najważniejszej informacji i
odniesienie jej do danych dot. organizacji
Automatyczna dystrybucja reguł,
czarnych list, parserów, feedów etc.
Pozwala na wykorzystanie tego, co inni już znaleźli i odniesienia tej informacji do własnych danych bieżących i historycznych
Natychmiastowy podgląd kontekstu ruchu w sieci
Komputer - cel ataku - wysyła wielu dokumentów przez FTP. Możemy wyeksportować, otworzyć, lubpodejrzeć całą zawartość.
Pliki przesłane przez FTP
Natychmiastowy podgląd kontekstu ruchu w sieci
Ruch do serwera C&C w Chinachwskazuje na infekcję celu ataku trojanem ZeuS.
Powtarzajace się ściąganie plików konfiguracyjnych
ZeuSa (.bin) z Chin
Podsumowanie
• Tradycyjne podejście do bezpieczeństwa nie działa
• Bezpieczeństwo staje się problemem Big Data
• Zaawansowane rozwiązania analityczne są nowym podejściem do walki z zaawansowanymi zagrożeniami
• Połączenie cech SIEM-a, monitorowania ruchu sieciowego, zarządzania Big Data i analityki
• Podstawa nowoczesnej strategii ochrony:
→ Infrastruktura Big Data
→ Totalna widoczność
→ Wysokowydajna analityka
→ Zintegrowana inteligencja (machine learning, deep learning, AI)
22
• Brak monitorowania uniemożliwia skuteczne zarządzanie bezpieczeństwem
• Monitorowanie powinno obejmować możliwie wszystkie aktywa
• System monitorowania może uchronić przed poważnymi incydentami oraz ułatwić lub umożliwić analizę śledczą
• System monitorowania musi również monitorować siebie
• Potrzeba wykwalifikowanego zespołu
Uwagi na zakończenie
Kto pilnuje strażników?
NSA wydaje stonowane i uspokajające oświadczenie, że ich działania są w pełni legalne, wnikliwie kontrolowane i nadzorowane, oraz, że robią wszystko by nie
naruszać prywatności obywateli USA. Do ich systemów (np XKS) ma dostęp jedynie przeszkolony personel, a każde zapytanie jest logowane co umożliwia kontrolę
ewentualnych nadużyć
Dziękuję za uwagę