IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 11.Marec 2008, IBM Bratislava Juraj...

IBM IT & Business Days / Bezpečnosť

11.Marec 2008, IBM Bratislava © 2008 IBM Corporation

Juraj Polak, IBM SW GroupTivoli sales manager

Security Information and Event Management


© 2008 IBM Corporation2 11.Marec 2008, IBM Bratislava

Assess

Defend

Access

WatchWATCH internal and external behaviors; address aberrations and violations

ASSESS the overall security and compliance status of business infrastructure

DEFEND against potential security threats and business risks

Manage ACCESS of business systems and information to ensure integrity and compliance

IBM’s security management vízia and stratégia:Kompletná security and compliance ponuka



Assess

Defend

Access

Watch

GBS Assessment consulting ISS Vulnerability Assessment Service ISS Enterprise Scanner Tivoli Compliance Insight Manager

Tivoli Identity and Access Management Solutions

System z RACF

ISS Site Protector IBM Health Checker for z/OS Tivoli Security

Operations Manager Tivoli Compliance Insight

Manager

ISS preemptive securitysolutions (ahead of the threat)

ISS Products & Managed Services

IBM network and security data encryption offerings

IBM’s security management vision and strategy:Integrované produkty Tivoli, ISS, STG and IGS



“Najlepšia cesta ako sa ochrániť pred vnútorným porušovaní práv je monitorovať

databázový a sieťový prístup na nezvyžajné aktivity a nastaviť prahové hodnoty ktoré

reprezentujú akceptovateľné správanie sa rôznych používateľov.”

“Najlepšia cesta ako sa ochrániť pred vnútorným porušovaní práv je monitorovať

databázový a sieťový prístup na nezvyžajné aktivity a nastaviť prahové hodnoty ktoré

reprezentujú akceptovateľné správanie sa rôznych používateľov.”

Source: InformationWeek, Feb. 15, 2007

Čo sa stalo:

Zamestnanec odchádzal ku konkurencii

Otvoril databázu

Preniespol 180 documenton na nový laptop

Carnegie Mellon CERT komentár:

“75% … úniku dôverných informácií … bolo pripísaných súčasným zamestnancom”

“45% už potvrdilo prácu pre inú spoločnosť”

CIA Comments:

“…vývojári a vedci majú tendenciu nahliadať na firemné intelektuálne vlastníctvo ako na vlastné… a niečo z toho si chcú vziať so sebou”

Čo sa stalo:

Zamestnanec odchádzal ku konkurencii

Otvoril databázu

Preniespol 180 documenton na nový laptop

Carnegie Mellon CERT komentár:

“75% … úniku dôverných informácií … bolo pripísaných súčasným zamestnancom”

“45% už potvrdilo prácu pre inú spoločnosť”

CIA Comments:

“…vývojári a vedci majú tendenciu nahliadať na firemné intelektuálne vlastníctvo ako na vlastné… a niečo z toho si chcú vziať so sebou”

Massive Insider Breach at DuPontFebruary 15, 2007 – A research chemist who worked for DuPont for 10 years before accepting a job with a competitor downloaded 22,000 sensitive documents and viewed 16,706 more …



Insider threats – perhaps the most dangerous!

The problem: 3 of the Top 10 Threats to

Enterprise Security are insider related:– Employee error

– Data stolen by partner/employee

– Insider Sabotage

Insider driven fraud costs US enterprises over $600 Billion annually

How to handle:

Get better visibility into activity of privileged user accounts and access

Improve identity controls

Automate monitoring and audit to more easily flag threats



64%

55%

47%

44%

42%

36%

18%

10%

8%

6%

4%

3%

Security, Complianceand Data Protection

Optimizing Cost andEfficiency

Alignment of IT andBusiness Objectives

Complexity ofInfrastructureManagement

IT ProcessImplementation and

Integration

Change and ReleaseManagement

Rated 7,8, 9 or 10 Rated 10 (The Top Challenge)

Challenges Facing IT Organizations

1: IBM Service Management Market Needs Study, March 2006

64% of CIOs feel that the most significant challenge facing IT organizations is Security, Compliance and Data Protection

63% of IT executives also cite complying with government regulations as a key challenge¹

Q1. I’d like to turn your attention to some of the challenges facing IT organizations today. Please use a scale of 0 to 10 where 10 means it is “the top challenge” and 0 means that it is “not currently a challenge.” N=1089


© 2008 IBM Corporation7 11.Marec 2008, IBM Bratislava7

Regulations, Standards, and Source = Compliance, Compliance, Compliance, Compliance, Compliance



Interní zamestanaci (ne)úmyselne robia veľké škody

87% interných incidentov je zapríčinených privilegovanými alebo technickými používateľmi

Mnohé sú nevedomými porušeniami:– Change management procesu– Používateľských predpisov

Ostatné sú považované ako následok:– Pomsty (84%)– “Negatívnych udalostí” (92%) (spájanie alebo

rozdelenie spoločnosti)

Akokoľvek je to príliš nákladné ignorovať:– Interné útoky stoja 6% hrubého obratu– $400 billion iba v USA Sources: Forrester research, IdM Trends 2006; USSS/CERT Insider Threat Survey

2005; CSI/FBI Survey, 2005; National Fraud Survey; CERT, various documents.

Kto zapríčinil interné incidenty?

Privilegovaný alebo technický používatelia

(87%)

Ostatné (13%)



Produktivita operatívy – priveľa dát, mnoho formátov, complex procesov

Obmedzené zdroje – závislé na fixných zdrojoch – ľudia, hardware, software

Business Risk – pochopenie súvislosti security porušení na business

Regulatory Compliance – súlad s nariadeniami ako SOX Basel II, PCI DSS = Payment Card Industry Data Security Standard

IT Proces optimalizácia – zdielanie a výmena informácií (NOC, SOC, Help Desk)

Operations

Business

Security

Obmedzenia Security Operatívy



Špecifické riešnia dodávateľov

Host IDS

Network IDS

Firewall Antivirus

Apps RoutersServers

Manuálna KoreláciaMonžstvo

konzol

Multi-Vendor, Multiple-Domain Prostredie

Virus

Typická Security prevádzka



Security Information and Event Management (SIEM)



Network-centric útoky, porušenie konfigurácie použitiaPreťaženiue Security DátamiZmiernenie škody Security Incidentu

Security Operations IT Security Internal Audit

Porušenie používateľských predpisov (Kto?)PUMAReporty súladu s nariadeniami

User Persona:

Problem:

Product:

Tivoli Compliance InSightTivoli Security Operations Manager (TSOM)

Solution:Incident Management

Security Event Mgmt (SEM)

User Activity Monitoring

Security Info Mgmt (SIM)

Tivoli Security Operations Manager and Tivoli Compliance InSight manager



Tivoli Security Operations Manager



Intelligentný panel na manažovanie complexného security prostredia

Komunikuje kritické security informácie v IT organizácii

Real-time, korelácia udalostí z voiacerých zdrojov na zvýšenie rozpoznania incidentov

Integrované váhovanie zariadení napomáhajúce prioritizácií prešetrenia

Integrované incident prešetrenie a automatizovaná náprava

Prispôsobiteľné reporty pre audit, trendovanie a zhoda

Operational Efficiency

Risk Reduction

Audit and Compliance

Tivoli’s Security Operations Manager



Frequency

Event Class

Eve

nt

Cla

ss

Domain

Frequency

Fre

qu

enc

y

Consolidated View via Main Dashboard



Centralizovaný Reporting – On Demand alebo Pravidelne



Management Systems:NS escalates to:Remedy ARSHP OpenView IBM/Tivoli CA Unicenter Micromuse Netcool

Management Systems:Source of events into NS:NetScreen Global Pro ISS RealSecure SiteProtector Tripwire ManagerIntrusion, Inc. SecureNet ManagerMcAfee ePOSymantec ESM

Integrated Investigative Tools:NS GeoLocator Service Hostname and WHOIS Lookup Finger NMAPHTTP Probe OS Fingerprint SNMP Probe SMTP Probe RPC Probe NFS Probe CGI Vulnerability Probe Trace Route UDP/TCP Port ScanQualysGuard

Web Servers:Apache Microsoft IIS BEA WebLogic Server Logs

Operating Systems Logs:Solaris (Sun) AIX (IBM) RedHat Linux SuSE Linux HP/UX Microsoft Windows Event LogNokia IPSOOpenBSDTripplight UPS

Antivirus:CipherTrust IronMail McAfee Virus Scan Norton AntiVirus (Symantec) McAfee ePO Trend Micro InterScan

Application Security:Blue Coat ProxyTeros APS

VPN:Neoteris IVE (NetScreen)Check PointCisco IOSNortel Contivity

Network-based Intrusion Detect/Prevention:

Intruvert (NAI) Intrushield

Sourcefire Network Sensor

Juniper Networks NetScreen IDP

AirMagnet

ISS RealSecure

ISS Proventia

ISS BlackICE Sentry

Cisco Secure IDS

SNORT IDS

Enterasys Dragon

Intrusion's SecureNetPro

NFR NID

Symantec ManHunt

ForeScout ActiveScout

Top Layer Attack Mitigator

Labrea TarPit

IP Angel

AirDefense

Lancope StealthWatch

Tipping Point UnityOne NDS

Host-based Intrusion Detect/Prevention:

Cisco CSA (Okena)

NFR HID

Sana Security – Primary Response

Snare

Symantec Intruder Alert (ITA)

Sygate Secure Enterprise

Tripwire

ISS RealSecure

Entercept HIDS (NAI)

Firewalls:Juniper Networks NetScreenCheck Point Firewall-1 Cisco PIX CyberGuardFortinet FortiGate GNATBoxLinux IP Tables Lucent Brick Stonesoft's StoneGate Secure Computing's Sidewinder Symantec's Enterprise FirewallSonicWALLSun SunScreen

Vulnerability Assessment:NessusVigilante ISS Internet ScannerQualysGuardFoundstoneeEye RetinaSPI Dynamics WebInspect Harris STAT

Routers/Switches:Cisco Routers Cisco Catalyst Switches Nortel RoutersTACACS / TACACS+

Policy Compliance:Vericept

Podporované zariadenia



Tivloli Compliance Insight Manager



Spoločnosť ConsulExpert na security audit a compliance

Ocenený tlačou a analytikmi

350+ zákazníkov celosvetovo

• Založená 1986 (20 rokov v 2006)• Centrála Herndon, VA• EMEA ústredie Delft, Holandsko• Partnerstvo s BMC, IBM a predajcami na celom

svete

• Najúplnejšie riešenie pre monitoring, auditing a reporting dúverných používateľov

• Log management• Database and Application auditing• Mainframe audit and Admin



Tivloi Compliance Insight ManagerTCIM konsoliduje všetky informácie v logoch všetkých serverov podniku, a reportuje porušenia správania používateľov a predpisov.



Unikátna schopnosť monitorovať správanie sa používateľov

Manažment zhody mpoduly a špecifický reporty podľa nariadení

Široký a kompletný log a audit sledovací systém

W7 log normalizácia prekladá logy do zrozumiteľnýho tvaru (English)

Jednoduichá možnosť porovnať správanie voči nariadeniam a firmeným predpisom

InSight



IT a Business manažment: Dokážete monitorovať kohokoľvek kto je v styku alebo monitoruje citlivé dáta neadekvátne?

Dokážete verifikovať či outsourcing firma manažuje systémy a dáta zodpovedne?

Dokážete reportovať neautorizované zmeny v prevádzke IT?

Ste upozortnený na vytvorenie root administratívneho účtu?

Dokážete prešetrovať incidenty pravidelne?

Otázky auditora: Sú logy aplikácie, databázy, OS a zariadení udržované a kontrolované?

Sú aktivity systémových administrátorov a operátorov logované a kontrolované pravidelne_

Je každý prístup k citlivým dátam – vrátane root admin a DB admin logovaný?

Sú používané automatizované nástroje pre kontrolu audit záznamov?

Sú security incitenty a podpozrivé aktovoty analyzované, prešetrené a následne prijaté opravné opatrenia?

Aký PROBLEM riešime ????Aké otázky sa spýtame ?



Ďalšie možné otázky auditora

Ochrana osobných dát:– Má DB Admin prístup k dôverným informáciám?

– Poškodzujú dôveryhodný používatelia HR data?

– Môže administrator porušiť identity napr. prevzatím identity?

Porušenie systémových predisov:– Boli vykonané neautorizované systémové zmeny?

– Vypol root user audit?

– Kedy OS administrator vymazal audit logy?

– Kto zastavil kľúčové system procesy bez oprávnenia?

Administrator narušenia segregation of duties:Oddelenie právomoci– Inicioval kotokoľvek a schválil transakciu v applikácii?

– Admin vytvoril a potvrdil novú identity(účet)/oprávnenia v systéme?



Consul InSight Monitoruje zhodu spávania používateľovergo RISKMANAGEMENT !!!!!

Tivoli Compliance InSight manager porovnáva čo by sa malo diať (policy) versus čo sa deje (správanie), poskytoje nepretržitú gap analýzu zhody.

Tivoli Compliance InSight manager porovnáva čo by sa malo diať (policy) versus čo sa deje (správanie), poskytoje nepretržitú gap analýzu zhody.

Porovnanie “Žiadaného” Versus “Skutočného” správania

Čo robia ľudia v mojej sieti?



Posledné správy

New version of TCIM 8.5 TSOM 4.1 TSIEM bbundle– TSIEM announcement :– http://www.ibm.com/common/ssi/rep_ca/8/897/

ENUS208-008/ENUS208008.PDF– TCIM, TSOM– http://www.ibm.com/common/ssi/rep_ca/8/649/

ENUSA07-2438/ENUSA072438.PDF– http://www.ibm.com/common/ssi/cgi-bin/

ssialias?infotype=AN&subtype=CA&htmlfid=897/ENUS208-007&appname=USN

– TSIEM information center– http://publib.boulder.ibm.com/infocenter/

tivihelp/v2r1/index.jsp?topic=/com.ibm.tsiem.doc/welcome.htm

REDBOOK– http://www.redbooks.ibm.com/abstracts/

sg247531.html

TCIM– Embedded DB2 database– - No more need for Oracle– Centralized User Management– - Uses IBM TDS to make user management

on multiple servers easy.– Compliance Modules– - New modules for PCI and ISO 27001– Event Sources/ Integration– - Tivoli Federated Identity Manager– - Tivoli Directory Server– - IBM Informix Dynamic Server– - IBM DB2 9.2– - ISS SiteProtector– - TAMeB 5.1/ zLinux– - MySAP– - (Updates to z/OS event source as fixes, and

zSecure specific)



“DEMO”



Compliance Modules W7W7

Policy Tab.Policy Tab.



Špecifické moduly podľa nariadení pomocou reportov urýchlia prácu na zisťovaní zhody, šetria Vaše zdroje a náklady na audit.



Operational Change Control

Operational Change Control ReportPrehľad pervádzkových zmien vykonaných rôznymi skupinami.



Eventlist

Event ListDetailný pohľad všetkých aktivít admina na serveri Financial – tu uvidíme vytvorenie používateľa USER: Chin055



EventDetail

An Event Detail Report Naviac okamžitý pohľad na špecifickú udalosť, prehľad všetkých detailov dokonca môžme vidieť natívny log file



Ďakujem

[email protected]



Customer Scenario: Demonstrate Compliance

Company profile:• Fortune1000 food retailer• Stock listed• 350,000 employees• 2,500 stores

Issues:• Compliance with SOX, HIPAA and PCI

–Privileged user monitoring and audit–Monitor the 40,000 monthly changes in access rights–Central and retail IT coverage required

IBM Tivoli SIEM fills the gap:• Activity auditing across:

– Mainframe– AS400– Windows– UNIX (AIX)– Databases (Oracle, SQL

Server, UDB)– Firewalls and IDS

• SOX Management Module to meet reporting needs

Benefits:• Lower cost of enterprise compliance:

– Collect and archive all security logs– Audit user behavior and data access– Monitor operational changes– Automated distribution of operational change activity reports for

authorization and documentation (part of overall workflow process)• Monitor and reduce risk of insider and privileged user threat

“InSight saves us time, resources and money… By automating audit and compliance, my department can focus on other revenue-bearing areas of the business; we can do more with less.” – Customer

Large US Grocery Chain



Customer Scenario: Protect Intellectual Property

Company profile:• Major diversified financial and

travel services provider• S&P 500

Issues:• Protect intellectual property across global operations

while outsourcing significant IT functions• Need to monitor privileged users:

–Significant audit finding–Concern for customer data–Major concerns about outsourcers

• Prove compliance in regulated environment (SOX, PCI)

IBM Tivoli SIEM fills the gap:• Activity auditing across various systems:

– Mainframe– Windows– UNIX (Solaris, AIX)– Databases (Oracle, SQL Server, UDB)– Stratus– AS400

• SOX and customized outsourcer reports• Multi-million dollar investment with plans to

monitor 20,000 systems at full deployment

Benefits:

• Monitor outsourcers for compliance• Audit behavior of privileged users• Meet audit concern• Fulfill regulatory requirements• Improve operational efficiency

Multinational Financial and Travel Services Provider



User Scenario: Manage Security Operations

Company profile:• Publicly traded• 80,000 employees• Over 50 million subscribers

Benefits:• Minimized Business Risk due to automation and

centralization of event management• 75% reduction in security incidents that affect

business and customer outage• Increased visibility into the root causes from 25% to

approx 90%• Reduced time to mitigate worm outbreaks – Zotob

was remediated across the company in less than 1 day

• Improved team efficiency– Team of 8 security analysts doing the job of

40 analysts in a 24x7 SOC.– 98% reduction in time to mitigation of

incidents

IBM Tivoli SIEM fills the gap:• Automated correlation and real-time monitoring of over

750 network security devices and 60,000 desktops and servers globally

• Secure internal & operations network infrastructure– Monitors perimeter networks, VPN

interconnections, internal networks & servers authentication & authorization

– Monitors traffic patterns to detect abnormal activities & isolate problems

– Focuses effort on security exceptions and thresholds for incidents and business impact

• Real-time alert whenever network policy is violated

Major US Wireless & Telco Provider

Issues:• Avoid business disruptions due to Internet-based incidents• Highly complex infrastructure with high volume of events - needed

to consolidate, integrate, centralize security operations• Unable to detect and mitigate network security violations in a timely

manner

IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 11.Marec 2008, IBM Bratislava Juraj...

Documents

Transcript of IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 11.Marec 2008, IBM Bratislava Juraj...