Protect your digital enterprise HPE technology discussion. Michael Junhard Regional Sales Manager ESP, Sweden

Transkript

1 Protect your digital enterprise HPE technology discussion Michael Junhard Regional Sales Manager ESP, Sweden

2 Transform to a hybrid infrastructure Protect your digital enterprise Protect your most prized digital assets whether they are on premise, in the cloud or in between. Enable workplace productivity Empower the data-driven organization

3 Today s digital Enterprise needs a new style of protection On Premise IaaS PaaS SaaS Off Premise USERS Protect your most business-critical digital assets and their interactions, regardless of location device APPS DATA BIG DATA Off Premise BYOD 3

4 NYA LAGAR FÖRÄNDRAR HUR VI JOBBAR MED SÄKERHET! General Data Protection Regulation EU s Dataskyddsförordning Förordning (2015:1052) Huvudsakligt syfte: möjliggöra en förbättrad lägesbild över informationssäkerheten i statlig förvaltning. Förmågan att förebygga, upptäcka och hantera it-angrepp mot statliga informationssystem ska också bli bättre. MSBFS 2016:1, 2016:2 gäller från 4 april 2016

5 Krav och SIEM

6 SIEM i en komplex värld

7 De mjuka kraven runt ett SIEM system Syfte, mål och vision PUL Dataskyddsförordningen SIEM Central analys Vad ska loggas? Organisation Ansvars och ägarförhållanden

8 De mjuka kraven runt ett SIEM system Ändamålsförklaring enligt PUL 9 Syftet och Ändamåletmed Organisationens centrala säkerhetslogg, är att skydda den enskildes integritet samt skydda Organisationens informationsresurser mot otillåtna behandlingar och andra skador. Dessutom, i särskilt angelägna fall, kunna stödja verksamheten vid behov av samordning. Detta innebär att loggdata kan användas för: uppföljning av att användarnas aktiviteter i datasystemen är lagliga och i övrigt sker i överensstämmande med gällande interna regler och riktlinjer samt att användarna är behöriga att ta del av informationen i fråga, att utreda felaktig användning av datasystemen, att övervaka datasystemen av tekniska och säkerhetsmässiga skäl, att leverera information för statistiska ändamål

9 (Dataskyddsförordningen och SIEM) Viktigt att göra i IT-systemen: Enbart behandla de personuppgifter som är nödvändiga för varje specifikt ändamål. Uppgifter ska inte lagras längre än den minimiperiod som är tillåten för just det ändamålet. Se till att en användare kan se hur uppgifterna används och få dem utlämnade. Se till att infrastrukturen möjliggör tillgång till, korrigering och radering av personuppgifter.

10 Anmälningsplikt vid säkerhetsincidenter Enligt en särskild definition i förordningen definieras begreppet "data breach" som en säkerhetsincident som leder till oavsiktlig eller olaglig förlust, obehörigt röjande av eller obehörig åtkomsttill eller ändring av de personuppgifter som behandlas. Inom 72 timmar från det att man upptäckt vad som hänt. Någon anmälan behöver dock inte göras om det är osannolikt att incidenten leder till några risker för enskildas fri- och rättigheter. Automatisk övervakning av åtkomst och hantering är en förutsättning Att inte ha en automatiserad övervakning är knappast ett skäl

11 Right to access Den registrerade bör ha rätt att få tillgång till personuppgifter som insamlats om denne samt på enkelt sätt och med rimliga intervall kunna utöva denna rätt, för att vara medveten om att behandling sker och kunna kontrollera att den är laglig. Kan t.ex. ske genom återkommande loggutdrag

12 Vackra ord från SIEM leverantörer/säljare Komplexiteten i produkt x är enorm jämfört med vår produkt Med vår produkt kommer du igång med din logginsamling på några timmar En agentbaserad logginsamling kräver enormt arbete att övervaka och upprätthålla. Vi använder bara nativeprotocols och behöver inga agenter som tar enorm prestanda Vår produkt kräver minimalt underhåll och förvaltning jfö med x Det är bättre att logga allt då man inte vet vad man senare kommer att behöva. Då kan du känna dig trygg och inga beslut behöver tas på vad som inte ska loggas. Vad ska du med en Ferrari till när du bara behöver en Volvo. Vår produkt är så billig att du rimligtvis inte kostnadsmässigt kan motivera en annan produkt än vår ETT ENORMT BAKTALANDE AV KONKURRENTERNAS PRODUKTER TILL FÖRMÅN TILL SIN EGEN SOM FRAMSTÄLLS SOM ÖVERLÄGSEN

13 Vad döljer sig bakom säljarnas vackra ord Allt har en fram-och baksida En enkel installation påverkar andra funktioner som t.ex. en säker insamling En enkel anslutning av loggenererande system går som regel inte att administrera centralt Ingen hänsyn tas till dina driftförhållanden när säljaren går igång (outsourcat, zonindelade nät, infoklassade nät med mera) En mer komplicerad installation innebär som regel krav på större kompetens hos den som installerar komponenterna. Det man inte säger är om logghantering är komplex verksamhet som många gånger kräver en komplex produkt Ingen säljare lyfter fram nackdelarna med sin egen produkt. Jag kan inte köra mina övervakningsregler samtidigt som du gör en analys Jag slutar ta emot loggdata när licensnyckelns begränsning i volym eller EPS är nådd Nästa års support baseras på x% av listpris och inte nettopriset du fick vid försäljningen Jag kan inte aggregera så du får betala för varje loggpost jag tar emot vid en DOS-attack Jag tar lika mycket betalt per loggpost du filtrerar bort (brus) som vid en full analys och lagring Kostnadsutvecklingen visar sig vara oväntat/orimligt dyr vid utbyggnad av installationen

14 Kravspecarnaär idag generellt dåliga Viktade börkrav möjliggör premiering av funktionalitet före pris Definitionerav nyckelord i kravspecen saknas = fri tolkning där inget kan påstås vara fel. Vad är korrelering? Vad är Aggregering? Krav på lagringsvolymer brukar anges, men inte hur stor installationen kan förväntas bli. Jag offererar då den billigaste lösningen som många gånger skalar genom att nya instanser måste köpas i stället för en utökad licensnyckel Mycket sällan förekommande att kravspecen är anpassad till de faktiska analysbehoven, att kunna lita på loggdatas riktighet samt att all loggar samlats in Endast ett fåtal kravspecar bygger på vetskapen om hur dina loggar ser ut (multirad, xml, databas, syslog m.m.) och dess informationsinnehåll

15 Tragisk sanning En oroväckande stor del av alla SIEM installationer förlorar sin status och nyttostämpel efter några år. Varför? Man klarar inte av att kravställa på rätt information Det finns ingen SIEM produkt i världen som räddar dig om du föder din analysfunktion med fel loggdata Många organisationer byter ut sin SIEM installation efter några år då de inser att den de köpt är orimligt dyr när den byggs ut eller vid versionsuppgradering

16 Du måste själv ta fram dina krav på SIEM produkten, dess organisation och vad den ska födas med och det är lätt att göra fel

17 Vilka genererar loggarna som ska analyseras? Infrastruktur Människor

18 Logginsamling från infrastrukturkomponenter

19 Traditionell loggkontroll användargenererad loggdata Olika Information Avsaknad av information Svårförståelig information Avsaknad av kontext Olika format INGEN KORRELERING?

20 Kan befintliga loggar analyseras i en SIEM produkt?

21 DET ÄR DINA ANALYSBEHOV OCH DRIFTSITUATION SOM AVGÖR MÅNGA AV DINA KRAV Loggar du fel information spelar valet av SIEM produkt ingen roll Att ta fram sina analysbehov uppfattas ofta som den svåraste biten Kravställningen på vad som ska loggas härleds ur dina analysbehov Existerande regelverk som styr loggningen är förödande för en central analys Alla säkerhetsrelevanta handlingar i eller kring IT-systemet ska loggas (FM) All åtkomst till särskilt skyddsvärda uppgifter ska loggas (polisen) En central analys ställer helt andra krav på dina loggar

22 Lågt informationsvärde Traditionell lokal loggkontroll Kombination av logg och databas :04:15 12:00: Läsa Intervju Dokument_id EXD_REFRESH TB E Högt informationsvärde = Loggrapport 2. SELECT dokumentnamn, forfattare FROM Tabell_X WHERE Dokument_id= ; 3. 12:00: Läsa Intervju Dokument_id Intervju med Sture Svensson kl 14:00 Roger Lindblom EXD_REFRESH TB E RESULTAT En loggrapport som är helt OK

23 Central logganalys Samma logg 2010:04:15 12:00: Läsa Intervju Dokument_id EXD_REFRESH TBE Applikationens databas nås ej = = 2010:04:15 12:00: Läsa Intervju Dokument_id EXD_REFRESH TBE RESULTAT Analysen kan inte fullföljas utan uppslag mot applikationens databas. Dokument-ID (PN) säger inget utan översättning

24

25 Rimliga krav när människor ska hållas ansvariga Det ska vara möjligt att värdera loggposternas riktighet Beskriv den tekniska och administrativa miljön Det ska vara möjligt att fatta långtgående beslut baserat på loggposternas innehåll Vi vill kunna lita på att loggposterna visar det som faktiskt har hänt

26 Analysbehoven styr insamling och stora delar av din SIEM produkt Övergå från en manuell reaktiv logghantering till en maskinell logganalys i snar realtidi syfte att minimera/eliminera fortsatt/pågående informationsläckage/informationsförlust. Leverera loggutdrag som är förståeliga för en lekman Binda en enskild användare till sina operationer i ett IT-system trots att flera användare har skrivrättigheter i samma objekt. Fatta långtgående beslut baserat på loggposternas informationsinnehåll Se samband mellan händelser som loggas i olika IT-system (korrelering) Upptäcka oauktoriserad åtkomst till organisationens information Följa upp en händelsekedja genom organisationens IT-miljö

27 Analysbehoven påverkar din kravställning på produkten Logginsamling med garanterad riktighet och sekretess Standardprotokoll eller godtas proprietära protokoll Logginsamling ska ske utan förlust av loggdata Garanterad mottagning på applikationsnivå Kräver cache om kommunikationskedjan faller Kräver automatisk återläsning av cachad loggdata när kommunikationen är uppe igen Kräver som regel en agentbaserad logginsamling Tidsstämplar som visar när agenten konsumerat loggen och när den mottagits av SIEM systemet Jag vill inte drunkna i loggdata vid peakar eller DOS-attacker Aggregering Jag vill filtrera bort bruset som saknar analysvärde Filtrering Jag vill inte bygga fast mig i övervakningsprogramvarorna, de ska kunna byta ut Kategorisering Möjliggör att byta ut brandväggar, IPS m.fl. till annat fabrikat utan att övervakningsreglerna behöver skrivas om

28 Agentbaserad logginsamling eller inte = Agent Applikationer Applikation OS NIC DB Bandbreddskontroll Filtrering Cache Aggregering Förvaltningar SLA Drift (Outsourcad?)

29 Bandbreddskontroll? = Agent Backup Server A Log/management Agentens cache töms Peakar p.g.a ökad användning Begränsningar i nät/infrastruktur Produktionsdata Med bandbreddskontroll Utan bandbreddskontroll Peaken konkurrerar inte med prod data och eventuell backupdata Peaken konkurrerar med prod data och eventuell backupdata

30 Aggregering? DOSattack Jan 28 18:00: %ASA : Denyudpsrcdmz-bei: /123 dst dmz-tieto-dmz: /80 by access-group"acl-dmz-bei" [0x0, 0x0] Jan 28 18:00: %ASA : Denyudpsrcdmz-bei: /123 dst dmz-tieto-dmz: /80 by access-group"acl-dmz-bei" [0x0, 0x0] Med aggregering Utan aggregering Skapa en loggpost av t.ex förekomster Volymen loggdata påverkas inte nämnvärt av en DOS-attack Vissa produkter kan inte filtrera utan att det kostar lika mycket som att lagra den Vissa produkter slutar ta emot loggdata då licensen begränsningar är nådd Vad händer när licensnyckelns begränsningar nås? Detta varierar mellan olika produkter

31 Filtrering? = Agent Med filtrering Utan filtrering Bruset filtreras bort Allt brus följer ingår i överföringen bara för att raderas på mottagarsidan

32 Exempel på krav i en kravspecifikation Systemet avses kunna hantera ca 300 loggkällor, ca 50GB loggdata/dygn och lagra totalt ca 25TB loggdata i sökbar form. Anbudssökande ska kunna tillhandahålla minst två personer som under åren var och en har deltagit i minst två uppdrag som om-fattar installation, konfigurering och integration av system för insamling, lagring, indexering, korrelering, övervakning och rapportering av loggdata från olika typer av IT-system, s.k. SIEM (Security Information and Event Management). Inte ett enda annat krav på logganalyssystemet??? RESULTAT: Den billigaste produkten vann som hanterade volymkraven.

33 Överföring av loggdata från loggkälla till ett centralt loggsystem bör ske på ett säkert sätt Det centrala loggsystemet ska vara användarvänligt Bör? Vad är användarvänligt? Hur bedöms detta krav? Vad är et Säkert sätt? Möjlighet till korrelering på flera unika logghändelser på loggdata i realtid Stöd för aggregering av inkommande logghändelser Definitioner saknas Var? Arkiv, agent, analys??? Det centrala loggsystemet ska ha stöd för mekanismer som säkrar loggens riktighet Verktyget ska tillåta flexibla sökbegrepp och kunna hantera stora mängder loggdata

34 Definitioner När ett begrepp förekommer i något av kraven i kravspecen och begreppet har definierats i begreppstabellen är det definitionen i begreppstabellen som gäller. Agent Aggregering Filtrering Kategorisering Korrelering Programvara som installeras på eller utanför den Loggenererande enheten för inläsning, hämtning eller mottagning av loggdata för en säker transport till Mottagningsenheten. Funktion som innebär att skapa en Loggpost av många Loggposter med liknande (definierbart) informationsinnehåll. Exempel: 1000 brandväggsloggar visar stoppade paket mot samma destination och port. Aggregeringen innebär att dessa 1000 loggposter ersätts med en loggpost innehållande information om 1000 loggade händelser mot angiven destination och port. Huvudsyftet är att skydda Logganalyssystemets datalager mot Loggdata med lågt eller inget informationsinnehåll.

35 Lär av andras misstag Använd aldrig ordet ungefär i en it-upphandling. Då kan det gå som för Konsumentverket. Hela deras mångmiljonupphandling av it-driftunderkänns nu av förvaltningsrätten enbart på grund av det olycksaliga lilla ordet. Ta in hjälp utifrån när kravspecen skrivs Nyttja möjligheten till att fritt prata med leverantörerna innan en upphandling Nyttja möjligheten till en RFI som en del i processen inför en upphandling Nyttja möjligheten att skicka din kravspec på remiss innan den skickas ut för upphandling Den som utfört flera SIEM upphandlingar har gjort sina misstag. Du som gör det första gången kommer att göra om mina misstag