sentors frukostseminarium om siem - sentors del
TRANSCRIPT
SIEM I PRAKTIKEN
Kristian Kolb
Agenda
Vem är jag?
Vad är SIEM och hur inför man det?
Vanliga problem
Exempel från verkligheten
SENTORWE PROTECT CLIENTS FROM THE NEXT GENERATION THREATS
Kristian Kolb
• Arbetat på Sentor sedan 2003
• Pen-test
• Forensics
• Awareness-utbildning
• Informationssäkerhet / ISO
• Log Management / SIEM
Sentor
• Startade 1998, ~ 50 anställda 2015
• Managerade säkerhetstjänster
• Konsulttjänster
• Självfinansierat
• Sveriges näst bästa arbetsplats!
Vad är SIEMoch
Hur gör man
Vad är SIEM?Vad SIEM är och vad det inte är
• Utnyttja (huvudsakligen) befintliga
datakällor för att upptäcka och utreda
incidenter
• Korrelering av händelser
• Delvis automatiserat sätt att lösa
compliance-problem
• Centralisering av loggdata
Security Information and Event Management
NAME USERID ACTION DATE
John Doe jdoe Lockout2015-03-24
11:23
Alice Anka aanka Disabled2015-03-24
08:36
Apan Ola aola OK2015-03-25
17:52
King Kong kkong Lockout2015-03-26
07:47
Minnie Mouse mmouse OK
2015-03-26 08:12
Series10 204060
Hur inför man SIEM?
Tyvärr är det inte fullt så enkelt…
=+ Security!
IMPLEMENTATIONSPROCESSHur man äter en elefant
Projekt
Applikationsmiljö
Site
Enterprise
Isolerat i tid och omfattning
Ax till limpa
Alla teknologier
Osv till man nått önskad täckningsgrad.
SUCCESS
SIEM Införande• Varför SIEM? Sec./ Compl. / Ops• Vilka use-cases? • Vilka är användarna?
Krav /
use-cases
Verifiera data
CentraliseraNormalisera & klassificera
Rapporter, larm dashboards &
processer
• Finns ‘rätt’ data?• Var finns data?• Utveckling?
• Datamängder• Gallringstid• Är det hemligt?• Hur ska det flyttas?• Agenter?
• Finns stöd för format X• Utveckling / dokumentation
• Vilket data ska ut• Till vem• Hur ska det hanteras
SIEMHur man äter en elefant
AD SIEM
Firewall
WWW AppSrv
Malware
DB
Net
SOC / Ticketing
SIEM
Virtualisering EmailProxy
Mainframe
ERP
Problem och fallgropar
Problem och fallgropar
• Check-the-box
• Ingen PoC
• Verksamheten inte involverad
Problem kring projekt/ledning
Problem och fallgropar
• Bristfällig kunskapsöverföring
• Otillräcklig bemanning
• Otillräcklig utbildning
• Ansvarsfördelning SIEM / IT-drift
Problem kring systemdrift
Problem och fallgropar
• Förlust av data
• Capacity mgmt / performance
• Underhåll av SIEM-infrastruktur
Diverse tekniska problem
Problem och fallgropar
• Beroenden och påverkan
• Underhåll av SIEM-logik
• Tidsoptimism
Processer och övrigt
Problem och fallgropar
• Mainframe
• Databaser
• SAP / VMWare
• binärloggar
• Loggar utan tidsstämplar
• Loggfiler med blandade meddelandetyper
“Svåra” datakällor
Exempel från verkligheten
Erfarenheter från SIEM-projekt
• Bransch: finans
• Storlek: <1000
• Tidigare erfarenhet av SIEM: NEJ
• Införande: 4-5 månader
+ väldefinierad initial omfattning
+ intern kompetens
+ use cases utanför säkerhet
- otillräcklig bemanning
Säkerhetsövervakning ++
Erfarenheter från SIEM-projekt
• Bransch: finans
• Storlek: >10.000
• Tidigare erfarenhet av SIEM: NEJ
• Införande: 8 månader
+ hög prioritet
+ klart i tid, PCI-certifikat
± interna resurser, men långa ledtider
- mindre väl vald produkt
- otillräcklig bemanning för drift/utveckling
PCI-certifiering
Sammanfattning
Sammanfattning
• Varför SIEM: Use-cases
• Vilken SIEM: PoC
• Stegvis införande
• Utveckling kan behövas
• Champion
• Processer för larm/rapporthantering
• Andra intressenter
Viktiga punkter!