Felhasználó-központú biztonság

Átírás

1 Felhasználó-központú biztonság Contextual Security Intelligence Szegvári János BalaBit Europe

2 Napirend 1. Adatgyűjtés 2. Feldolgozás 3. Reagálás

3 Hagyományos (Orthodox) biztonsági megközelítés már nem elég Túl sok az azonosítás Túl sok az eszköz Gartner Security & Risk Management Summit September 2015 London, UK People-Centric Security: Experiences and Lessons Learned Tom Scholtz, Research Vice President Túl sok a telephely Túl sok az adat Túl sok a fenyegetés

4 BalaBit válasza: Contextual Security Intelligence Összegyűjteni az összes releváns security adatot a teljes vállalati informatikai rendszerből Felfedezni a kockázatos tevékenységeket amik túlmutatnak normál felhasználói viselkedésen Reagálni a security fenyegetésekre olyan módon, hogy az teljes mértékben megszüntesse a kockázatos aktivitást

5 Ma használt tipikus megoldások A hagyományos security eszközök nem adnak elegendő információt a fenyegetések teljes összefüggésének megértéséhez Okok (Firewall, IPS, VPN, DLP, SIEM) A logok nem adnak szükséges mélységű információt A teljes aktivitás sorozatot nem lehet rekonstruálni ezekből az adatokból A támadók jogosult felhasználóknak tűnnek

6 Contextual Security Intelligence Platform syslog-ng Shell Control Box Blindspotter Megbízható log gyűjtés SIEM előtti szűrés Univerzális log normalizáció Zero-log-vesztés kiemelt felhasználók monitorozása 4-eyes engedélyezés Gyors bizonyítás Indexelt videó állományok Felhasználó viselkedés elemzés Anomális detektálás Valós idejű biztonsági dashboard

7 CSI: Első lépés Összegyűjteni az összes releváns security adatot a teljes vállalati informatikai rendszerből Felfedezni a kockázatos tevékenységeket amik túlmutatnak normál felhasználói viselkedésen Reagálni a security fenyegetésekre olyan módon, hogy az teljes mértékben megszüntesse a kockázatos aktivitást

8 Gyűjtés = Syslog-ng/Sylog-ng Store Box A logok segítenek megérteni: - IT operációban bekövetkezett eseményeket - A fejlesztések debugolását - IT security incidenseket - Megfelelni a lokális és nemzetközi előírásoknak (compliance) BalaBit válasz Syslog-ng log management család - Syslog-ng OSE - Syslog-ng PE - Syslog-ng Store Box

9 CSI: Második lépés Összegyűjteni az összes releváns security adatot a teljes vállalati informatikai rendszerből Felfedezni a kockázatos tevékenységeket amik túlmutatnak normál felhasználói viselkedésen Reagálni a security fenyegetésekre olyan módon, hogy az teljes mértékben megszüntesse a kockázatos aktivitást

10 Kiemelt felhasználók monitorozása = Shell Bevezetése nem igényli az IT infrastruktúra megváltoztatását Kiterjesztett napló adatok Control Box Központi hitelesítés és engedélyezés Jogosultság felügyelet Audit trail-ek a segítenek az incidensek felderítésében és hibaelhárításban

11 IT Staff NO AGENTS Firewall, Network devices, Databases, Web/file servers, Citrix server Outsourcing partners Managers VDI users TRANSPARENT PROXY SOLUTION

12 IT Staff USE STANDARD TOOLS Firewall, Network devices, Databases, Web/file servers, Citrix server Outsourcing partners Managers VDI users TRANSPARENT PROXY SOLUTION

13 IT Staff TAMPER-PROOF EVIDENCE Firewall, Network devices, Databases, Web/file servers, Citrix server Outsourcing partners Managers VDI users TRANSPARENT PROXY SOLUTION

14 Összes releváns Security adat User Directory System Logs Application Logs Activity Monitoring API Real-time trusted data collection Filter Normalize Enrich Context Data Ingestion Hub Context Activity Repository Activity Records Indexing Search Video Replay Report Threat Management Third Party Integration

15 CSI: Harmadik lépés Összegyűjteni az összes releváns security adatot a teljes vállalati informatikai rendszerből Felfedezni a kockázatos tevékenységeket amik túlmutatnak normál felhasználói viselkedésen Reagálni a security fenyegetésekre olyan módon, hogy az teljes mértékben megszüntesse a kockázatos aktivitást

16 A viselkedés elemzéssel kiegészítette CSI platform = Blindspotter User Directory System Logs Application Logs Activity Monitoring API Real-time trusted data collection Filter Normalize Enrich Context Data Ingestion Hub Context Activity Repository User Profiles Activity Records Indexing Behavioral Analytics Risk Assessment Real-time Response Context Intelligence Search Video Replay Risk Landscape Report Threat Management Third Party Integration

17 Digitalis viselkedés avagy mi a normális Tipikus belépési szokások Gépelési, egér használati szokások, sebességek Szokásos képernyő felbontás Szokásos szerverekhez való hozzáférés, használt alkalmazások Tipikus aktivitások (tipikus parancsok)

18 Felhasználó viselkedés elemzés & Kiemelt felhasználók monitorozása Megkönnyíti teljes folyamat bemutatásával az összefüggéseket felismerését Megmutatja a tipikus viselkedését a felhasználóknak Kiemeli és megmutatja a kockázatos esemény miért és miben különbözik a szokásostól Korai fázisban észleli a támadásokat és megakadályozza az adatok kiszivárgását

19 Végül, de nem utolsó sorban Hogy lehet ezeket a megoldásokat elérni? Örökös és előfizetéses licence formában Örökös licence eddig is ismert volt: Örökös felhasználói jog Magas beruházási költség (CAPEX) Tipikusan nagyvállatok vásárolják

20 Előfizetéses licence konstrukció Előnyei: Éves alapú licence alacsony bekerülési költség A felhasználó nem kap örökös felhasználói jogot Beruházás helyett operatív költség (OPEX) Alacsony a lekötött tőke értéke Nem igényel hosszú távú elkötelezettséget Egyszerűbb döntési folyamat Teljes termék funkcionalitás alacsonyabb költségszinten Kinek ajánljuk: Önkormányzatoknak Változó környezettel rendelkező vállalatoknak Beruházás helyett (CAPEX) a operatív költségek (OPEX) terhére szeretnének beszerezni Alacsonyabb IT költségvetéssel rendelkeznek Alacsonyabb költséggel szeretnének megoldást tesztelni

21 Contextual Az események közötti összefüggések ismerete Security Biztonságos védekezés a veszélyek és kockázatokkal szemben Intelligence Események teljes megértése

22 Köszönöm a figyelmüket! További információk: