Řízení bezpečnosti
Symantec Security Information Manager
Jakub Jiříček
Symantec ČR a SR
Agenda
1
Problémy zpracování IT událostí
2
Proces řízení bezpečnosti
3
Vybrané funkce SSIM řešení
4
Co připravujeme..
Security Information
Management
2
Zahlcení bezpečnostními daty
Jaká obchodní aktiva jsou
ohrožena?
Help Desk
Jaké aktivity mám podniknout
abych odvrátil hrozby?
Řízení bezpečnosti
Právní
100
Audit
100,000
10,000,000
Incidenty
Normalizované
události
Logy ze sítě, hostů a
Bezpečnostních produktů
•
Odezva a prevence incidentů
•
Korelace a agregace
•
Nastavení priorit
•
Podpora workflow a týmové práce
Správa událostí
•
IDS/IPS, IDM, Firewall, Antivirus
•
Shoda s politikami
•
Hodnocení zranitelností
Konsolidace logů
•
IDS/IPS, IDM, Firewall, Antivirus
•
Shoda s politikami
•
Hodnocení zranitelností
Security Information
Management
Řešení Symantec Security
Information Manager
Symantec Security Information Manager
• Symantec Security Information Manager (SSIM) je
platformou pro sběr událostí a řízení bezpečnosti podle
incidentů, které umožňuje zákazníkům:
– Sbírat bezpečnostní informace a prioritizovat je
– Hledat souvislosti s aktuální bezpečnostní situací v
internetu
– Identifikovat a řešit kritické bezpečnostní incidenty
– Splnit požadavky auditu v oblasti sběru a analýzy logů,
doložit řešení incidentů
– Definovat jasné bezpečnostní IT kontroly a měřit jejich
účinnost
Security Information
Management
5
Symc Security Information Manager
Klíčové funkce
Sběr
• Široké a
přizpůsobitelné
• Zpracování
velkých objemů
dat
• Smysluplná
normalizace
• Zaručená
spolehlivost
Ukládání
Korelace
• Přizpůsobitelná
kapacita
• Segmentace
archivu
• Rychlé dotazy a
vyhledávání
• Automatické
retenční politiky
• Ověření integrity
• Přehledná analýza
založená na
pravidlech
• Hierarchická
asociace incidentů
• Integrace s Global
Intelligence
Network
• Seskupování cílů
analýzy - assets
• Více než 400
připravených
dotazů
Prezentace
• Přizpůsobitelné
rozhraní
• Webové portály
• Prohlížeč
nezpracovaných
vstupních událostí
• Standardizované
šablony dotazů
Symantec Confidential - roadmap and features subject to change
6
SSIM a bezpečnostní obsah
Integrace s Global Intelligence Network
4 Symantec SOC
+
>6,200 řízených bezp. systémů
74 Symantec
monitorovaných zemí
+
40,000+ registrovaných
senzorů ve 180+ zemích
+
8 dedikovaných center
Symantec Security Response
2 mil. Honeypot
systémů
Millions
Millions
Hundreds
malware
of
of security
threat
of
submissions
MSS
reports
alerts
customers
per
per
month
month
month
+ 200,000
180
milionů
reportujících
syst.
30%
WW
mail. provozu +
+per
Dublin, Ireland
Tokyo, Japan
Calgary, Canada
San Francisco, CA
Redwood City, CA
Twyford, England
Santa Monica, CA
Munich, Germany
Alexandria, VA
Pune, India
Taipei, Taiwan
Sydney, Australia
Security Information
Management
7
Sběr
Centralizace logů a bezpečnostních událostí
• Centralizace a ukládání dat z
řádkových logů
– Pro podrobnou analýzu
SQL dotazy a
reporty
– Pro normalizovaný přehled
• Dlouhodobé uchování záznamů
– Komprese archivu až v poměru 1:30
Vstup událostí
DB událostí
– Flexibilní možnosti ukládání (vlastní
storage nebo SAN/NAS/DAS)
• Bez požadavku na podporu DB
Komprimovaný archív událostí
– Snadná archivace a zálohování
– Možnost vyhledávání, testování
pravidel a okamžité obnovy
– Bez požadavku na podporu databáze
Snížení nákladů, zvýšení ROI
Security Information
Management
8
Plné přizpůsobení sběru dat
Security Information
Management
Event kolektory Přes 250 podporovaných produktů
Intrusion Detection/Prevention
Firewalls
Routers, Switches and VPN
Symantec Network Security (SNS)
Symantec HIDS
Symantec ITA
Snort
Symantec Sygate
Symantec Critical System Protection
Cisco IDS
Cisco Security Agents
TippingPoint NIPS
Enterasys Network Dragon
eEye Retina
JuniperIDP
ISS Siteprotector
McAfee Intrushield
SourceFire
Symantec Gateway Security
Cisco PIX
Cisco FWSM
Nokia FW
Juniper NetScreen Firewall
Checkpoint Firewall-1
Nortel Contivity
Fortinet Fortigate
SunScreen
Microsoft Windows Firewall
Microsoft ISA
SideWinder G2
StoneSoft Stonegate
Cisco IOS
Juniper VPN
CyberGuard
Cisco VPN 3000 Concentrator
Air Defense
Web servers, Filters and Proxies
Apache Web Server
IBM Websphere
Bluecoat Proxy
Microsoft ISA
Microsoft IIS
Sun One WebServer
Vulnerability/Policy/Config Scanners
Symantec ESM
Symantec CCS
Nessus
nCircle
Qualys QualysGuard
StillSecure VAM
Tripwire
Ecora
Databases
Oracle Security Logs (9i & 10g)
MS SQL Server Logs
Operating systems
Microsoft Windows Event Log
Solaris OS Collector
Sun BSM
SUSE Linux
Debian Linux
RedHat Linux
IBM AIX
HP/UX
Tandem
RACF SMF
SELinux
IPTables
Novell Netware
IBM System i (AS/400)
Snare for Windows
Identity Management
Microsoft Windows DHCP
Microsoft Operations Manager
Microsoft Active Directory
RSA SecurID
Cisco ACS
Enterprise AV Solutions
Symantec AntiVirus 8, 9, 10
Symantec Endpoint Security 11
Symantec Mail Security for Exchange
Symantec Mail Security for Lotus Domino
Symantec Mail Security for SMTP
Symantec Mail Security
Cisco IronPort
McAfee EPO
McAfee GroupShield
McAfee VirusScan
Kaspersky AV
F-Secure AV
Sophos AV
CA AntiVirus
Trend Micro Control Manager (TMCM)
Trend Server Protect Information Server
Trend Interscan Messaging Security Suite
Trend Scanmail
Trend Interscan Viruswall
Trend Interscan Web Security Suite
Other
Cisco Netflow
Fox Server Control
Blue Lance LT Auditor
PassGo UPM
Kiwi Syslog
Generic Syslog
Symantec Cyberwolf
Mazu Profiler
Security Information Manager 4.6
10
Příklad nasazení
Security Information
Management
11
Výkon při zpracování událostí (v 4.5)
U verze 4.8 očekáváme cca 10.000 EPS
25.000
25.000 25.000
21.000
black bars indicate
SESA 2.1 performance
18000
14000
Collector
10000
8100
5000
850
450
Sensor Translator Filter
Aggregator
450
Agent
3800
1724
850
Event Logger
Normalizer
2000
450
Rule
Filter
Rules Engine
Event
DB Insert
Normalized
Event
DB Insert
SESA
Škálovatelné řešení
Single Appliance:
3000 EPS for single appliance for Event Detail Storage
21000 EPS for Event Correlation
Appliance Federation
Up to 21000 EPS for Event Detail Storage (> 7 appliances)
Up to 21000 EPS for Event Correlation
(10000 EPS when using SESA event forwarding instead of SIM )
Federated Federations
> 50000 EPS for Event Detail Storage (7 appliances)
> 50000 EPS for Event Correlation
Appliances are connected by LDAP directory.
Proces řízení bezpečnosti
Sběr a
prioritizace
Identifikace a
korelace
Odezva a
prevence
Přezkoumání
a zprávy
Security Information
Management
14
Korelace
Změny uživatelských oprávnění
Hlavní schopnosti
•
Poplach při nepovoleném
přístupu
•
Kontrola porušení
•
Poskytuje forenzní
důkazy
•
Poplachy jsou preemptivní
Security Information
Management
15
Korelace
Pokusy uživatelů překonat ochranu
Hlavní schopnosti
•
Detekce možných úniků
ještě před tím, než k nim
skutečně dojde
•
Slučování pomalých a
drobných útoků do
kritických incidentů
Security Information
Management
16
Prezentace dat
Vizualizace útoku
Hlavní schopnosti
•
Ilustrace vzorců útoků
•
Odkazy do seznamu
assets
•
Vizualizace útoků,
možnost detailního
pohledu na události
•
Na základě podrobností
incidentu a závěrech
/conclusions/
Security Information
Management
17
Prezentace dat
Procházení událostí a reporting
Hlavní schopnosti
•
Přizpůsobitelné pro různá
přístupová oprávnění
•
Automatické aktualizace
•
Rychlý reporting přímo z
náhledů v konzoli
Security Information
Management
18
Prezentace dat
Možnosti tisku
Hlavní schopnosti
•
Přizpůsobitelná loga v
záhlaví, hlavičky, patičky
•
Připravené šablony
•
Plánovatelná distribuce
•
Lze vytvářet z dotazů
/queries/
Security Information
Management
19
Symantec Named as a Leader in 2011 Gartner Magic Quadrant
for Security Information and Event Management
Source: Gartner, Inc., Magic Quadrant for Security
Information and Event Management, Mark Nicolett,
Kelly Kavanagh, 2011.
The Magic Quadrant is copyrighted 2011 by Gartner, Inc. and is reused
with permission. The Magic Quadrant is a graphical representation of a
marketplace at and for a specific time period. It depicts Gartner's
analysis of how certain vendors measure against criteria for that
marketplace, as defined by Gartner. Gartner does not endorse any
vendor, product or service depicted in the Magic Quadrant, and does not
advise technology users to select only those vendors placed in the
"Leaders" quadrant. The Magic Quadrant is intended solely as a
research tool, and is not meant to be a specific guide to action. Gartner
disclaims all warranties, express or implied, with respect to this research,
including any warranties of merchantability or fitness for a particular
purpose.
This Magic Quadrant graphic was published by Gartner, Inc. as part of a
larger research note and should be evaluated in the context of the entire
report. The Gartner report is available upon request from Symantec.
Modely SSIM
• Korelační model 9650
• Sběrový model 9630
Snadné nasazení a flexibilita
– Oba modely zahrnují agent-less
kolektory pro CheckPoint, Cisco
PIX, Juniper NetScreen, SNORT,
Generic Syslog a další...
Security Information
Management
21
Co připravujeme..
Novinky pro verze 4.8 – 5.x ... cca 2012
-
Nová verze HW appliance (vyšší výkon,SSD disky)
Další zvýšení EPS
Nové GUI – plně webové rozhraní
Geografické mapování incidentů a jejich prezentace
Přesun na novější podkladový OS (RHEL 6)
Pokračující integrace s dalšími Symantec produkty
- Workflow
- Protection Centre 2.0
- Control Compliance Suite
- Nová verze Collector Studia
Security Information
Management
Download

Řízení bezpečnosti Symantec Security Information