Felhasználó-központú biztonság Contextual Security Intelligence Szegvári János BalaBit Europe 2016.05.11
Napirend 1. Adatgyűjtés 2. Feldolgozás 3. Reagálás
Hagyományos (Orthodox) biztonsági megközelítés már nem elég Túl sok az azonosítás Túl sok az eszköz Gartner Security & Risk Management Summit September 2015 London, UK People-Centric Security: Experiences and Lessons Learned Tom Scholtz, Research Vice President Túl sok a telephely Túl sok az adat Túl sok a fenyegetés
BalaBit válasza: Contextual Security Intelligence Összegyűjteni az összes releváns security adatot a teljes vállalati informatikai rendszerből Felfedezni a kockázatos tevékenységeket amik túlmutatnak normál felhasználói viselkedésen Reagálni a security fenyegetésekre olyan módon, hogy az teljes mértékben megszüntesse a kockázatos aktivitást
Ma használt tipikus megoldások A hagyományos security eszközök nem adnak elegendő információt a fenyegetések teljes összefüggésének megértéséhez Okok (Firewall, IPS, VPN, DLP, SIEM) A logok nem adnak szükséges mélységű információt A teljes aktivitás sorozatot nem lehet rekonstruálni ezekből az adatokból A támadók jogosult felhasználóknak tűnnek
Contextual Security Intelligence Platform syslog-ng Shell Control Box Blindspotter Megbízható log gyűjtés SIEM előtti szűrés Univerzális log normalizáció Zero-log-vesztés kiemelt felhasználók monitorozása 4-eyes engedélyezés Gyors bizonyítás Indexelt videó állományok Felhasználó viselkedés elemzés Anomális detektálás Valós idejű biztonsági dashboard
CSI: Első lépés Összegyűjteni az összes releváns security adatot a teljes vállalati informatikai rendszerből Felfedezni a kockázatos tevékenységeket amik túlmutatnak normál felhasználói viselkedésen Reagálni a security fenyegetésekre olyan módon, hogy az teljes mértékben megszüntesse a kockázatos aktivitást
Gyűjtés = Syslog-ng/Sylog-ng Store Box A logok segítenek megérteni: - IT operációban bekövetkezett eseményeket - A fejlesztések debugolását - IT security incidenseket - Megfelelni a lokális és nemzetközi előírásoknak (compliance) BalaBit válasz Syslog-ng log management család - Syslog-ng OSE - Syslog-ng PE - Syslog-ng Store Box
CSI: Második lépés Összegyűjteni az összes releváns security adatot a teljes vállalati informatikai rendszerből Felfedezni a kockázatos tevékenységeket amik túlmutatnak normál felhasználói viselkedésen Reagálni a security fenyegetésekre olyan módon, hogy az teljes mértékben megszüntesse a kockázatos aktivitást
Kiemelt felhasználók monitorozása = Shell Bevezetése nem igényli az IT infrastruktúra megváltoztatását Kiterjesztett napló adatok Control Box Központi hitelesítés és engedélyezés Jogosultság felügyelet Audit trail-ek a segítenek az incidensek felderítésében és hibaelhárításban
IT Staff NO AGENTS Firewall, Network devices, Databases, Web/file servers, Citrix server Outsourcing partners Managers VDI users TRANSPARENT PROXY SOLUTION
IT Staff USE STANDARD TOOLS Firewall, Network devices, Databases, Web/file servers, Citrix server Outsourcing partners Managers VDI users TRANSPARENT PROXY SOLUTION
IT Staff TAMPER-PROOF EVIDENCE Firewall, Network devices, Databases, Web/file servers, Citrix server Outsourcing partners Managers VDI users TRANSPARENT PROXY SOLUTION
Összes releváns Security adat User Directory System Logs Application Logs Activity Monitoring API Real-time trusted data collection Filter Normalize Enrich Context Data Ingestion Hub Context Activity Repository Activity Records Indexing Search Video Replay Report Threat Management Third Party Integration
CSI: Harmadik lépés Összegyűjteni az összes releváns security adatot a teljes vállalati informatikai rendszerből Felfedezni a kockázatos tevékenységeket amik túlmutatnak normál felhasználói viselkedésen Reagálni a security fenyegetésekre olyan módon, hogy az teljes mértékben megszüntesse a kockázatos aktivitást
A viselkedés elemzéssel kiegészítette CSI platform = Blindspotter User Directory System Logs Application Logs Activity Monitoring API Real-time trusted data collection Filter Normalize Enrich Context Data Ingestion Hub Context Activity Repository User Profiles Activity Records Indexing Behavioral Analytics Risk Assessment Real-time Response Context Intelligence Search Video Replay Risk Landscape Report Threat Management Third Party Integration
Digitalis viselkedés avagy mi a normális Tipikus belépési szokások Gépelési, egér használati szokások, sebességek Szokásos képernyő felbontás Szokásos szerverekhez való hozzáférés, használt alkalmazások Tipikus aktivitások (tipikus parancsok)
Felhasználó viselkedés elemzés & Kiemelt felhasználók monitorozása Megkönnyíti teljes folyamat bemutatásával az összefüggéseket felismerését Megmutatja a tipikus viselkedését a felhasználóknak Kiemeli és megmutatja a kockázatos esemény miért és miben különbözik a szokásostól Korai fázisban észleli a támadásokat és megakadályozza az adatok kiszivárgását
Végül, de nem utolsó sorban Hogy lehet ezeket a megoldásokat elérni? Örökös és előfizetéses licence formában Örökös licence eddig is ismert volt: Örökös felhasználói jog Magas beruházási költség (CAPEX) Tipikusan nagyvállatok vásárolják
Előfizetéses licence konstrukció Előnyei: Éves alapú licence alacsony bekerülési költség A felhasználó nem kap örökös felhasználói jogot Beruházás helyett operatív költség (OPEX) Alacsony a lekötött tőke értéke Nem igényel hosszú távú elkötelezettséget Egyszerűbb döntési folyamat Teljes termék funkcionalitás alacsonyabb költségszinten Kinek ajánljuk: Önkormányzatoknak Változó környezettel rendelkező vállalatoknak Beruházás helyett (CAPEX) a operatív költségek (OPEX) terhére szeretnének beszerezni Alacsonyabb IT költségvetéssel rendelkeznek Alacsonyabb költséggel szeretnének megoldást tesztelni
Contextual Az események közötti összefüggések ismerete Security Biztonságos védekezés a veszélyek és kockázatokkal szemben Intelligence Események teljes megértése
Köszönöm a figyelmüket! További információk: www.balabit.com