Protect your digital enterprise HPE technology discussion. Michael Junhard Regional Sales Manager ESP, Sweden

Relevanta dokument
Applikationsloggar. Vad vill vi göra Vad får vi får göra. Exempel från verkligheten. Roger Lindblom Secorum AB

Föreläsning SARE. Roger Lindblom Secorum AB

Kan man skapa Windows-loggar som är förståeliga för en lekman?

SIEM FOR BEGINNERS WHITEPAPER TELEFON WHITEPAPER. ADRESS Sentor Managed Security Services AB Björns Trädgårdsgränd STOCKHOLM

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

DIG IN TO Nätverksadministration

Integritetspolicy Rinkaby Rör

Välkommen! Bakgrund Cloud Sweden Vad är molnet? Legala aspekter på molntjänster.

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Framgångsfaktorer i molnet!

HUR MAN LYCKAS MED BYOD

Integritetspolicy. Vårt dataskyddsarbete

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

MOLNTJÄNSTER ÄR DET NÅGOT FÖR OSS?

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

Top Fuel ABs integritetspolicy

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

DATASKYDDSPOLICY. Godkännande av denna policy När du använder våra produkter och tjänster, accepterar du denna Dataskyddspolicy och vår Cookiepolicy.

När systemen inte får stanna

Microsoft Operations Manager 2005

Nå fler kunder och utöka ditt IT-tjänsteutbud med HPE och Ingram Micro

WHITE PAPER. Dataskyddsförordningen

En guide om GDPR och vad du behöver tänka på

PERSONUPPGIFTSBITRÄDESAVTAL

Arkivkrav för IT system med elektroniska handlingar vid Lunds universitet

ALLMÄNNA VILLKOR FÖR ANVÄNDANDE AV TYRA. 1. Allmänt

Dataskyddsförordningen GDPR

GDPR NYA DATASKYDDSFÖRORDNINGEN

Integritetspolicy Upplev Norrköping

EUs nya personuppgiftslagstiftning. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

Utmaningar vid molnupphandlingar

IT-konsekvensanalys dataskyddsförordning

Integritetspolicy Monitor ERP System AB

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSPOLICY

Personuppgiftspolicy. Dokument: Personuppgiftspolicy för Åda Ab Version: 1.0 Fastställd av Åda Ab:s styrelse Version datum:

Ny dataskyddslagstiftning i Europa. Agnes Andersson Hammarstrand

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

I samband med att du söker arbete hos oss och lämnar personuppgifter till oss.

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Så här behandlar vi dina personuppgifter

Tegehalls revisionsbyrå och dataskyddsförordningen

Riktlinjer för informationssäkerhet

SOLLENTUNA FÖRFATTNINGSSAMLING 1

Vi bryr oss om dina personuppgifter

Svensk Artistfaktura AB, , är personuppgiftsansvarig för företagets behandling av personuppgifter.

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Integritet och behandling av personuppgifter

Global Invests dataskyddspolicy

Översikt av GDPR och förberedelser inför 25/5-2018

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Sentrion och GDPR Information och rekommendationer

GDPR- Seminarium 2017

GDPR dataskydd. vid Alandica Kultur & Kongress. (för personal, kunder och samarbetspartners)

Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

TJÄNSTEBESKRIVNING DATACENTER

FUNDERAR DU PÅ SÄKERHET OCH INTEGRITET KRING DINA PERSONUPPGIFTER? PERSONUPPGIFTER OCH HUR VI BEHANDLAR DEM

Bilaga 3c Informationssäkerhet

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

IT-säkerhetsinstruktion Förvaltning

Dataskyddsförordningen

Ta kontroll över dina loggar och gör dem användbara!

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Granskning av polismyndigheternas användning av centrala säkerhetsloggen

I de fall vi har utsett ett dataskyddsombud (DPO) kan du kontakta vår DPO via kontaktuppgifterna som finns i "Frågor och funderingar" nedan.

Praktiska råd vid upphandling av IT-system

Integritetspolicy. Med anledning av ny lagstiftning den 25/ GDPR. General Data Protection Regulation

Economicmodelimpactand cloud management. PART 2: Business model enactment

Så här behandlar vi dina personuppgifter

Riktlinjer för informationssäkerhet

1. Vad är en personuppgift och vad är en behandling av personuppgifter?

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Vi kan komma att göra förändringar i personuppgiftspolicyn. Den finns alltid aktuell under rubriken Om oss/organisation på vår webbplats.

Datacentertjänster IaaS

VILKA PERSONUPPGIFTER SAMLAR VI IN OM DIG?

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Så här behandlar vi dina personuppgifter

Introduktion till molntjänster Tekniken bakom molntjänster och legala utmaningar

QC i en organisation SAST

Precious dataskyddspolicy

Säkra trådlösa nät - praktiska råd och erfarenheter

Säkerhet och förtroende

Integritetspolicy Pure Water Scandinavia AB

Effektgruppen AB ( ) med adress Trafikgatan 52, Sundsvall/ Sverige bedriver verksamhet i huvudsak Sverige och inom EU/EES.

GDPR Användare Maj 2018

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Bilaga 3 Säkerhet Dnr: /

THOR SHIPPING & TRANSPORT

INTEGRITETSPOLICY. Integritetspolicy Implementa Sol AB (6)

Victoria Behandlingscenter AB Integritetspolicy

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Art Projekt AB Integritetspolicy

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

GDPR. Dataskyddsförordningen

vid Geritrim vård- och rehabiliteringsenhet

Nationell lagstiftning, EU och ny teknik för utlämnande av data

POLICY FÖR PERSONUPPGIFTSHANTERING uppdaterad:

Transkript:

Protect your digital enterprise HPE technology discussion Michael Junhard Regional Sales Manager ESP, Sweden

Transform to a hybrid infrastructure Protect your digital enterprise Protect your most prized digital assets whether they are on premise, in the cloud or in between. Enable workplace productivity Empower the data-driven organization

Today s digital Enterprise needs a new style of protection On Premise IaaS PaaS SaaS Off Premise USERS Protect your most business-critical digital assets and their interactions, regardless of location device APPS DATA BIG DATA Off Premise BYOD 3

NYA LAGAR FÖRÄNDRAR HUR VI JOBBAR MED SÄKERHET! General Data Protection Regulation EU s Dataskyddsförordning Förordning (2015:1052) Huvudsakligt syfte: möjliggöra en förbättrad lägesbild över informationssäkerheten i statlig förvaltning. Förmågan att förebygga, upptäcka och hantera it-angrepp mot statliga informationssystem ska också bli bättre. MSBFS 2016:1, 2016:2 gäller från 4 april 2016

Krav och SIEM roger.lindblom@secorum.se

SIEM i en komplex värld

De mjuka kraven runt ett SIEM system Syfte, mål och vision PUL Dataskyddsförordningen SIEM Central analys Vad ska loggas? Organisation Ansvars och ägarförhållanden

De mjuka kraven runt ett SIEM system Ändamålsförklaring enligt PUL 9 Syftet och Ändamåletmed Organisationens centrala säkerhetslogg, är att skydda den enskildes integritet samt skydda Organisationens informationsresurser mot otillåtna behandlingar och andra skador. Dessutom, i särskilt angelägna fall, kunna stödja verksamheten vid behov av samordning. Detta innebär att loggdata kan användas för: uppföljning av att användarnas aktiviteter i datasystemen är lagliga och i övrigt sker i överensstämmande med gällande interna regler och riktlinjer samt att användarna är behöriga att ta del av informationen i fråga, att utreda felaktig användning av datasystemen, att övervaka datasystemen av tekniska och säkerhetsmässiga skäl, att leverera information för statistiska ändamål

(Dataskyddsförordningen och SIEM) Viktigt att göra i IT-systemen: Enbart behandla de personuppgifter som är nödvändiga för varje specifikt ändamål. Uppgifter ska inte lagras längre än den minimiperiod som är tillåten för just det ändamålet. Se till att en användare kan se hur uppgifterna används och få dem utlämnade. Se till att infrastrukturen möjliggör tillgång till, korrigering och radering av personuppgifter.

Anmälningsplikt vid säkerhetsincidenter Enligt en särskild definition i förordningen definieras begreppet "data breach" som en säkerhetsincident som leder till oavsiktlig eller olaglig förlust, obehörigt röjande av eller obehörig åtkomsttill eller ändring av de personuppgifter som behandlas. Inom 72 timmar från det att man upptäckt vad som hänt. Någon anmälan behöver dock inte göras om det är osannolikt att incidenten leder till några risker för enskildas fri- och rättigheter. Automatisk övervakning av åtkomst och hantering är en förutsättning Att inte ha en automatiserad övervakning är knappast ett skäl

Right to access Den registrerade bör ha rätt att få tillgång till personuppgifter som insamlats om denne samt på enkelt sätt och med rimliga intervall kunna utöva denna rätt, för att vara medveten om att behandling sker och kunna kontrollera att den är laglig. Kan t.ex. ske genom återkommande loggutdrag

Vackra ord från SIEM leverantörer/säljare Komplexiteten i produkt x är enorm jämfört med vår produkt Med vår produkt kommer du igång med din logginsamling på några timmar En agentbaserad logginsamling kräver enormt arbete att övervaka och upprätthålla. Vi använder bara nativeprotocols och behöver inga agenter som tar enorm prestanda Vår produkt kräver minimalt underhåll och förvaltning jfö med x Det är bättre att logga allt då man inte vet vad man senare kommer att behöva. Då kan du känna dig trygg och inga beslut behöver tas på vad som inte ska loggas. Vad ska du med en Ferrari till när du bara behöver en Volvo. Vår produkt är så billig att du rimligtvis inte kostnadsmässigt kan motivera en annan produkt än vår ETT ENORMT BAKTALANDE AV KONKURRENTERNAS PRODUKTER TILL FÖRMÅN TILL SIN EGEN SOM FRAMSTÄLLS SOM ÖVERLÄGSEN

Vad döljer sig bakom säljarnas vackra ord Allt har en fram-och baksida En enkel installation påverkar andra funktioner som t.ex. en säker insamling En enkel anslutning av loggenererande system går som regel inte att administrera centralt Ingen hänsyn tas till dina driftförhållanden när säljaren går igång (outsourcat, zonindelade nät, infoklassade nät med mera) En mer komplicerad installation innebär som regel krav på större kompetens hos den som installerar komponenterna. Det man inte säger är om logghantering är komplex verksamhet som många gånger kräver en komplex produkt Ingen säljare lyfter fram nackdelarna med sin egen produkt. Jag kan inte köra mina övervakningsregler samtidigt som du gör en analys Jag slutar ta emot loggdata när licensnyckelns begränsning i volym eller EPS är nådd Nästa års support baseras på x% av listpris och inte nettopriset du fick vid försäljningen Jag kan inte aggregera så du får betala för varje loggpost jag tar emot vid en DOS-attack Jag tar lika mycket betalt per loggpost du filtrerar bort (brus) som vid en full analys och lagring Kostnadsutvecklingen visar sig vara oväntat/orimligt dyr vid utbyggnad av installationen

Kravspecarnaär idag generellt dåliga Viktade börkrav möjliggör premiering av funktionalitet före pris Definitionerav nyckelord i kravspecen saknas = fri tolkning där inget kan påstås vara fel. Vad är korrelering? Vad är Aggregering? Krav på lagringsvolymer brukar anges, men inte hur stor installationen kan förväntas bli. Jag offererar då den billigaste lösningen som många gånger skalar genom att nya instanser måste köpas i stället för en utökad licensnyckel Mycket sällan förekommande att kravspecen är anpassad till de faktiska analysbehoven, att kunna lita på loggdatas riktighet samt att all loggar samlats in Endast ett fåtal kravspecar bygger på vetskapen om hur dina loggar ser ut (multirad, xml, databas, syslog m.m.) och dess informationsinnehåll

Tragisk sanning En oroväckande stor del av alla SIEM installationer förlorar sin status och nyttostämpel efter några år. Varför? Man klarar inte av att kravställa på rätt information Det finns ingen SIEM produkt i världen som räddar dig om du föder din analysfunktion med fel loggdata Många organisationer byter ut sin SIEM installation efter några år då de inser att den de köpt är orimligt dyr när den byggs ut eller vid versionsuppgradering

Du måste själv ta fram dina krav på SIEM produkten, dess organisation och vad den ska födas med och det är lätt att göra fel

Vilka genererar loggarna som ska analyseras? Infrastruktur Människor

Logginsamling från infrastrukturkomponenter

Traditionell loggkontroll användargenererad loggdata Olika Information Avsaknad av information Svårförståelig information Avsaknad av kontext Olika format INGEN KORRELERING?

Kan befintliga loggar analyseras i en SIEM produkt?

DET ÄR DINA ANALYSBEHOV OCH DRIFTSITUATION SOM AVGÖR MÅNGA AV DINA KRAV Loggar du fel information spelar valet av SIEM produkt ingen roll Att ta fram sina analysbehov uppfattas ofta som den svåraste biten Kravställningen på vad som ska loggas härleds ur dina analysbehov Existerande regelverk som styr loggningen är förödande för en central analys Alla säkerhetsrelevanta handlingar i eller kring IT-systemet ska loggas (FM) All åtkomst till särskilt skyddsvärda uppgifter ska loggas (polisen) En central analys ställer helt andra krav på dina loggar

Lågt informationsvärde Traditionell lokal loggkontroll Kombination av logg och databas + 1. 2010:04:15 12:00:10+0200 Läsa 191212121212 Intervju Dokument_id 5068799 0 319752 1 319752 20100505140000 EXD_REFRESH TB E 938 1 1 938 191212121212 1 Högt informationsvärde = Loggrapport 2. SELECT dokumentnamn, forfattare FROM Tabell_X WHERE Dokument_id= 5068799 ; 3. 12:00:10+0200 Läsa 191212121212 Intervju Dokument_id 506879 9 0 Intervju med Sture Svensson 2010-05-05 kl 14:00 Roger Lindblom 0 319752 1 319752 20020529135723 EXD_REFRESH TB E 938 1 1 938 191212121212 1 RESULTAT En loggrapport som är helt OK

Central logganalys Samma logg 2010:04:15 12:00:10+0200 Läsa 191212121212 Intervju Dokument_id 5068799 0 319752 1 319752 20100505140000 EXD_REFRESH TBE 938 1 1 938 191212121212 1 + Applikationens databas nås ej = = 2010:04:15 12:00:10+0200 Läsa 191212121212 Intervju Dokument_id 5068799 0 319752 1 319752 20100505140000 EXD_REFRESH TBE 938 1 1 938 191212121212 1 RESULTAT Analysen kan inte fullföljas utan uppslag mot applikationens databas. Dokument-ID 5068799 (PN) säger inget utan översättning

Rimliga krav när människor ska hållas ansvariga Det ska vara möjligt att värdera loggposternas riktighet Beskriv den tekniska och administrativa miljön Det ska vara möjligt att fatta långtgående beslut baserat på loggposternas innehåll Vi vill kunna lita på att loggposterna visar det som faktiskt har hänt

Analysbehoven styr insamling och stora delar av din SIEM produkt Övergå från en manuell reaktiv logghantering till en maskinell logganalys i snar realtidi syfte att minimera/eliminera fortsatt/pågående informationsläckage/informationsförlust. Leverera loggutdrag som är förståeliga för en lekman Binda en enskild användare till sina operationer i ett IT-system trots att flera användare har skrivrättigheter i samma objekt. Fatta långtgående beslut baserat på loggposternas informationsinnehåll Se samband mellan händelser som loggas i olika IT-system (korrelering) Upptäcka oauktoriserad åtkomst till organisationens information Följa upp en händelsekedja genom organisationens IT-miljö

Analysbehoven påverkar din kravställning på produkten Logginsamling med garanterad riktighet och sekretess Standardprotokoll eller godtas proprietära protokoll Logginsamling ska ske utan förlust av loggdata Garanterad mottagning på applikationsnivå Kräver cache om kommunikationskedjan faller Kräver automatisk återläsning av cachad loggdata när kommunikationen är uppe igen Kräver som regel en agentbaserad logginsamling Tidsstämplar som visar när agenten konsumerat loggen och när den mottagits av SIEM systemet Jag vill inte drunkna i loggdata vid peakar eller DOS-attacker Aggregering Jag vill filtrera bort bruset som saknar analysvärde Filtrering Jag vill inte bygga fast mig i övervakningsprogramvarorna, de ska kunna byta ut Kategorisering Möjliggör att byta ut brandväggar, IPS m.fl. till annat fabrikat utan att övervakningsreglerna behöver skrivas om

Agentbaserad logginsamling eller inte = Agent Applikationer Applikation OS NIC DB Bandbreddskontroll Filtrering Cache Aggregering Förvaltningar SLA Drift (Outsourcad?)

Bandbreddskontroll? = Agent Backup Server A Log/management Agentens cache töms Peakar p.g.a ökad användning Begränsningar i nät/infrastruktur Produktionsdata Med bandbreddskontroll Utan bandbreddskontroll Peaken konkurrerar inte med prod data och eventuell backupdata Peaken konkurrerar med prod data och eventuell backupdata

Aggregering? DOSattack Jan 28 18:00:00 172.21.220.53 %ASA-4-106023: Denyudpsrcdmz-bei:119.27.43.165/123 dst dmz-tieto-dmz:172.16.28.86/80 by access-group"acl-dmz-bei" [0x0, 0x0] Jan 28 18:00:00 172.21.220.53 %ASA-4-106023: Denyudpsrcdmz-bei:134.96.5.59/123 dst dmz-tieto-dmz:172.16.28.86/80 by access-group"acl-dmz-bei" [0x0, 0x0] Med aggregering Utan aggregering Skapa en loggpost av t.ex. 1.000 förekomster Volymen loggdata påverkas inte nämnvärt av en DOS-attack Vissa produkter kan inte filtrera utan att det kostar lika mycket som att lagra den Vissa produkter slutar ta emot loggdata då licensen begränsningar är nådd Vad händer när licensnyckelns begränsningar nås? Detta varierar mellan olika produkter

Filtrering? = Agent Med filtrering Utan filtrering Bruset filtreras bort Allt brus följer ingår i överföringen bara för att raderas på mottagarsidan

Exempel på krav i en kravspecifikation Systemet avses kunna hantera ca 300 loggkällor, ca 50GB loggdata/dygn och lagra totalt ca 25TB loggdata i sökbar form. Anbudssökande ska kunna tillhandahålla minst två personer som under åren 2012-2014 var och en har deltagit i minst två uppdrag som om-fattar installation, konfigurering och integration av system för insamling, lagring, indexering, korrelering, övervakning och rapportering av loggdata från olika typer av IT-system, s.k. SIEM (Security Information and Event Management). Inte ett enda annat krav på logganalyssystemet??? RESULTAT: Den billigaste produkten vann som hanterade volymkraven.

Överföring av loggdata från loggkälla till ett centralt loggsystem bör ske på ett säkert sätt Det centrala loggsystemet ska vara användarvänligt Bör? Vad är användarvänligt? Hur bedöms detta krav? Vad är et Säkert sätt? Möjlighet till korrelering på flera unika logghändelser på loggdata i realtid Stöd för aggregering av inkommande logghändelser Definitioner saknas Var? Arkiv, agent, analys??? Det centrala loggsystemet ska ha stöd för mekanismer som säkrar loggens riktighet Verktyget ska tillåta flexibla sökbegrepp och kunna hantera stora mängder loggdata

Definitioner När ett begrepp förekommer i något av kraven i kravspecen och begreppet har definierats i begreppstabellen är det definitionen i begreppstabellen som gäller. Agent Aggregering Filtrering Kategorisering Korrelering Programvara som installeras på eller utanför den Loggenererande enheten för inläsning, hämtning eller mottagning av loggdata för en säker transport till Mottagningsenheten. Funktion som innebär att skapa en Loggpost av många Loggposter med liknande (definierbart) informationsinnehåll. Exempel: 1000 brandväggsloggar visar stoppade paket mot samma destination och port. Aggregeringen innebär att dessa 1000 loggposter ersätts med en loggpost innehållande information om 1000 loggade händelser mot angiven destination och port. Huvudsyftet är att skydda Logganalyssystemets datalager mot Loggdata med lågt eller inget informationsinnehåll.

Lär av andras misstag Använd aldrig ordet ungefär i en it-upphandling. Då kan det gå som för Konsumentverket. Hela deras mångmiljonupphandling av it-driftunderkänns nu av förvaltningsrätten enbart på grund av det olycksaliga lilla ordet. Ta in hjälp utifrån när kravspecen skrivs Nyttja möjligheten till att fritt prata med leverantörerna innan en upphandling Nyttja möjligheten till en RFI som en del i processen inför en upphandling Nyttja möjligheten att skicka din kravspec på remiss innan den skickas ut för upphandling Den som utfört flera SIEM upphandlingar har gjort sina misstag. Du som gör det första gången kommer att göra om mina misstag

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss