IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 11.Marec 2008, IBM Bratislava Juraj...
-
date post
19-Dec-2015 -
Category
Documents
-
view
222 -
download
5
Transcript of IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 11.Marec 2008, IBM Bratislava Juraj...
IBM IT & Business Days / Bezpečnosť
11.Marec 2008, IBM Bratislava © 2008 IBM Corporation
Juraj Polak, IBM SW GroupTivoli sales manager
Security Information and Event Management
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation2 11.Marec 2008, IBM Bratislava
Assess
Defend
Access
WatchWATCH internal and external behaviors; address aberrations and violations
ASSESS the overall security and compliance status of business infrastructure
DEFEND against potential security threats and business risks
Manage ACCESS of business systems and information to ensure integrity and compliance
IBM’s security management vízia and stratégia:Kompletná security and compliance ponuka
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation3 11.Marec 2008, IBM Bratislava
Assess
Defend
Access
Watch
GBS Assessment consulting ISS Vulnerability Assessment Service ISS Enterprise Scanner Tivoli Compliance Insight Manager
Tivoli Identity and Access Management Solutions
System z RACF
ISS Site Protector IBM Health Checker for z/OS Tivoli Security
Operations Manager Tivoli Compliance Insight
Manager
ISS preemptive securitysolutions (ahead of the threat)
ISS Products & Managed Services
IBM network and security data encryption offerings
IBM’s security management vision and strategy:Integrované produkty Tivoli, ISS, STG and IGS
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation4 11.Marec 2008, IBM Bratislava
“Najlepšia cesta ako sa ochrániť pred vnútorným porušovaní práv je monitorovať
databázový a sieťový prístup na nezvyžajné aktivity a nastaviť prahové hodnoty ktoré
reprezentujú akceptovateľné správanie sa rôznych používateľov.”
“Najlepšia cesta ako sa ochrániť pred vnútorným porušovaní práv je monitorovať
databázový a sieťový prístup na nezvyžajné aktivity a nastaviť prahové hodnoty ktoré
reprezentujú akceptovateľné správanie sa rôznych používateľov.”
Source: InformationWeek, Feb. 15, 2007
Čo sa stalo:
Zamestnanec odchádzal ku konkurencii
Otvoril databázu
Preniespol 180 documenton na nový laptop
Carnegie Mellon CERT komentár:
“75% … úniku dôverných informácií … bolo pripísaných súčasným zamestnancom”
“45% už potvrdilo prácu pre inú spoločnosť”
CIA Comments:
“…vývojári a vedci majú tendenciu nahliadať na firemné intelektuálne vlastníctvo ako na vlastné… a niečo z toho si chcú vziať so sebou”
Čo sa stalo:
Zamestnanec odchádzal ku konkurencii
Otvoril databázu
Preniespol 180 documenton na nový laptop
Carnegie Mellon CERT komentár:
“75% … úniku dôverných informácií … bolo pripísaných súčasným zamestnancom”
“45% už potvrdilo prácu pre inú spoločnosť”
CIA Comments:
“…vývojári a vedci majú tendenciu nahliadať na firemné intelektuálne vlastníctvo ako na vlastné… a niečo z toho si chcú vziať so sebou”
Massive Insider Breach at DuPontFebruary 15, 2007 – A research chemist who worked for DuPont for 10 years before accepting a job with a competitor downloaded 22,000 sensitive documents and viewed 16,706 more …
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation5 11.Marec 2008, IBM Bratislava
Insider threats – perhaps the most dangerous!
The problem: 3 of the Top 10 Threats to
Enterprise Security are insider related:– Employee error
– Data stolen by partner/employee
– Insider Sabotage
Insider driven fraud costs US enterprises over $600 Billion annually
How to handle:
Get better visibility into activity of privileged user accounts and access
Improve identity controls
Automate monitoring and audit to more easily flag threats
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation6 11.Marec 2008, IBM Bratislava
64%
55%
47%
44%
42%
36%
18%
10%
8%
6%
4%
3%
Security, Complianceand Data Protection
Optimizing Cost andEfficiency
Alignment of IT andBusiness Objectives
Complexity ofInfrastructureManagement
IT ProcessImplementation and
Integration
Change and ReleaseManagement
Rated 7,8, 9 or 10 Rated 10 (The Top Challenge)
Challenges Facing IT Organizations
1: IBM Service Management Market Needs Study, March 2006
64% of CIOs feel that the most significant challenge facing IT organizations is Security, Compliance and Data Protection
63% of IT executives also cite complying with government regulations as a key challenge¹
Q1. I’d like to turn your attention to some of the challenges facing IT organizations today. Please use a scale of 0 to 10 where 10 means it is “the top challenge” and 0 means that it is “not currently a challenge.” N=1089
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation7 11.Marec 2008, IBM Bratislava7
Regulations, Standards, and Source = Compliance, Compliance, Compliance, Compliance, Compliance
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation8 11.Marec 2008, IBM Bratislava
Interní zamestanaci (ne)úmyselne robia veľké škody
87% interných incidentov je zapríčinených privilegovanými alebo technickými používateľmi
Mnohé sú nevedomými porušeniami:– Change management procesu– Používateľských predpisov
Ostatné sú považované ako následok:– Pomsty (84%)– “Negatívnych udalostí” (92%) (spájanie alebo
rozdelenie spoločnosti)
Akokoľvek je to príliš nákladné ignorovať:– Interné útoky stoja 6% hrubého obratu– $400 billion iba v USA Sources: Forrester research, IdM Trends 2006; USSS/CERT Insider Threat Survey
2005; CSI/FBI Survey, 2005; National Fraud Survey; CERT, various documents.
Kto zapríčinil interné incidenty?
Privilegovaný alebo technický používatelia
(87%)
Ostatné (13%)
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation9 11.Marec 2008, IBM Bratislava
Produktivita operatívy – priveľa dát, mnoho formátov, complex procesov
Obmedzené zdroje – závislé na fixných zdrojoch – ľudia, hardware, software
Business Risk – pochopenie súvislosti security porušení na business
Regulatory Compliance – súlad s nariadeniami ako SOX Basel II, PCI DSS = Payment Card Industry Data Security Standard
IT Proces optimalizácia – zdielanie a výmena informácií (NOC, SOC, Help Desk)
Operations
Business
Security
Obmedzenia Security Operatívy
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation10 11.Marec 2008, IBM Bratislava
Špecifické riešnia dodávateľov
Host IDS
Network IDS
Firewall Antivirus
Apps RoutersServers
Manuálna KoreláciaMonžstvo
konzol
Multi-Vendor, Multiple-Domain Prostredie
Virus
Typická Security prevádzka
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation11 11.Marec 2008, IBM Bratislava
Security Information and Event Management (SIEM)
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation12 11.Marec 2008, IBM Bratislava
Network-centric útoky, porušenie konfigurácie použitiaPreťaženiue Security DátamiZmiernenie škody Security Incidentu
Security Operations IT Security Internal Audit
Porušenie používateľských predpisov (Kto?)PUMAReporty súladu s nariadeniami
User Persona:
Problem:
Product:
Tivoli Compliance InSightTivoli Security Operations Manager (TSOM)
Solution:Incident Management
Security Event Mgmt (SEM)
User Activity Monitoring
Security Info Mgmt (SIM)
Tivoli Security Operations Manager and Tivoli Compliance InSight manager
IBM IT & Business Days / Bezpečnosť
11.Marec 2008, IBM Bratislava © 2008 IBM Corporation
Tivoli Security Operations Manager
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation14 11.Marec 2008, IBM Bratislava
Intelligentný panel na manažovanie complexného security prostredia
Komunikuje kritické security informácie v IT organizácii
Real-time, korelácia udalostí z voiacerých zdrojov na zvýšenie rozpoznania incidentov
Integrované váhovanie zariadení napomáhajúce prioritizácií prešetrenia
Integrované incident prešetrenie a automatizovaná náprava
Prispôsobiteľné reporty pre audit, trendovanie a zhoda
Operational Efficiency
Risk Reduction
Audit and Compliance
Tivoli’s Security Operations Manager
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation15 11.Marec 2008, IBM Bratislava
Frequency
Event Class
Eve
nt
Cla
ss
Domain
Frequency
Fre
qu
enc
y
Consolidated View via Main Dashboard
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation16 11.Marec 2008, IBM Bratislava
Centralizovaný Reporting – On Demand alebo Pravidelne
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation17 11.Marec 2008, IBM Bratislava
Management Systems:NS escalates to:Remedy ARSHP OpenView IBM/Tivoli CA Unicenter Micromuse Netcool
Management Systems:Source of events into NS:NetScreen Global Pro ISS RealSecure SiteProtector Tripwire ManagerIntrusion, Inc. SecureNet ManagerMcAfee ePOSymantec ESM
Integrated Investigative Tools:NS GeoLocator Service Hostname and WHOIS Lookup Finger NMAPHTTP Probe OS Fingerprint SNMP Probe SMTP Probe RPC Probe NFS Probe CGI Vulnerability Probe Trace Route UDP/TCP Port ScanQualysGuard
Web Servers:Apache Microsoft IIS BEA WebLogic Server Logs
Operating Systems Logs:Solaris (Sun) AIX (IBM) RedHat Linux SuSE Linux HP/UX Microsoft Windows Event LogNokia IPSOOpenBSDTripplight UPS
Antivirus:CipherTrust IronMail McAfee Virus Scan Norton AntiVirus (Symantec) McAfee ePO Trend Micro InterScan
Application Security:Blue Coat ProxyTeros APS
VPN:Neoteris IVE (NetScreen)Check PointCisco IOSNortel Contivity
Network-based Intrusion Detect/Prevention:
Intruvert (NAI) Intrushield
Sourcefire Network Sensor
Juniper Networks NetScreen IDP
AirMagnet
ISS RealSecure
ISS Proventia
ISS BlackICE Sentry
Cisco Secure IDS
SNORT IDS
Enterasys Dragon
Intrusion's SecureNetPro
NFR NID
Symantec ManHunt
ForeScout ActiveScout
Top Layer Attack Mitigator
Labrea TarPit
IP Angel
AirDefense
Lancope StealthWatch
Tipping Point UnityOne NDS
Host-based Intrusion Detect/Prevention:
Cisco CSA (Okena)
NFR HID
Sana Security – Primary Response
Snare
Symantec Intruder Alert (ITA)
Sygate Secure Enterprise
Tripwire
ISS RealSecure
Entercept HIDS (NAI)
Firewalls:Juniper Networks NetScreenCheck Point Firewall-1 Cisco PIX CyberGuardFortinet FortiGate GNATBoxLinux IP Tables Lucent Brick Stonesoft's StoneGate Secure Computing's Sidewinder Symantec's Enterprise FirewallSonicWALLSun SunScreen
Vulnerability Assessment:NessusVigilante ISS Internet ScannerQualysGuardFoundstoneeEye RetinaSPI Dynamics WebInspect Harris STAT
Routers/Switches:Cisco Routers Cisco Catalyst Switches Nortel RoutersTACACS / TACACS+
Policy Compliance:Vericept
Podporované zariadenia
IBM IT & Business Days / Bezpečnosť
11.Marec 2008, IBM Bratislava © 2008 IBM Corporation
Tivloli Compliance Insight Manager
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation19 11.Marec 2008, IBM Bratislava
Spoločnosť ConsulExpert na security audit a compliance
Ocenený tlačou a analytikmi
350+ zákazníkov celosvetovo
• Založená 1986 (20 rokov v 2006)• Centrála Herndon, VA• EMEA ústredie Delft, Holandsko• Partnerstvo s BMC, IBM a predajcami na celom
svete
• Najúplnejšie riešenie pre monitoring, auditing a reporting dúverných používateľov
• Log management• Database and Application auditing• Mainframe audit and Admin
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation20 11.Marec 2008, IBM Bratislava
Tivloi Compliance Insight ManagerTCIM konsoliduje všetky informácie v logoch všetkých serverov podniku, a reportuje porušenia správania používateľov a predpisov.
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation21 11.Marec 2008, IBM Bratislava
Unikátna schopnosť monitorovať správanie sa používateľov
Manažment zhody mpoduly a špecifický reporty podľa nariadení
Široký a kompletný log a audit sledovací systém
W7 log normalizácia prekladá logy do zrozumiteľnýho tvaru (English)
Jednoduichá možnosť porovnať správanie voči nariadeniam a firmeným predpisom
InSight
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation22 11.Marec 2008, IBM Bratislava
IT a Business manažment: Dokážete monitorovať kohokoľvek kto je v styku alebo monitoruje citlivé dáta neadekvátne?
Dokážete verifikovať či outsourcing firma manažuje systémy a dáta zodpovedne?
Dokážete reportovať neautorizované zmeny v prevádzke IT?
Ste upozortnený na vytvorenie root administratívneho účtu?
Dokážete prešetrovať incidenty pravidelne?
Otázky auditora: Sú logy aplikácie, databázy, OS a zariadení udržované a kontrolované?
Sú aktivity systémových administrátorov a operátorov logované a kontrolované pravidelne_
Je každý prístup k citlivým dátam – vrátane root admin a DB admin logovaný?
Sú používané automatizované nástroje pre kontrolu audit záznamov?
Sú security incitenty a podpozrivé aktovoty analyzované, prešetrené a následne prijaté opravné opatrenia?
Aký PROBLEM riešime ????Aké otázky sa spýtame ?
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation23 11.Marec 2008, IBM Bratislava
Ďalšie možné otázky auditora
Ochrana osobných dát:– Má DB Admin prístup k dôverným informáciám?
– Poškodzujú dôveryhodný používatelia HR data?
– Môže administrator porušiť identity napr. prevzatím identity?
Porušenie systémových predisov:– Boli vykonané neautorizované systémové zmeny?
– Vypol root user audit?
– Kedy OS administrator vymazal audit logy?
– Kto zastavil kľúčové system procesy bez oprávnenia?
Administrator narušenia segregation of duties:Oddelenie právomoci– Inicioval kotokoľvek a schválil transakciu v applikácii?
– Admin vytvoril a potvrdil novú identity(účet)/oprávnenia v systéme?
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation24 11.Marec 2008, IBM Bratislava
Consul InSight Monitoruje zhodu spávania používateľovergo RISKMANAGEMENT !!!!!
Tivoli Compliance InSight manager porovnáva čo by sa malo diať (policy) versus čo sa deje (správanie), poskytoje nepretržitú gap analýzu zhody.
Tivoli Compliance InSight manager porovnáva čo by sa malo diať (policy) versus čo sa deje (správanie), poskytoje nepretržitú gap analýzu zhody.
Porovnanie “Žiadaného” Versus “Skutočného” správania
Čo robia ľudia v mojej sieti?
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation25 11.Marec 2008, IBM Bratislava
Posledné správy
New version of TCIM 8.5 TSOM 4.1 TSIEM bbundle– TSIEM announcement :– http://www.ibm.com/common/ssi/rep_ca/8/897/
ENUS208-008/ENUS208008.PDF– TCIM, TSOM– http://www.ibm.com/common/ssi/rep_ca/8/649/
ENUSA07-2438/ENUSA072438.PDF– http://www.ibm.com/common/ssi/cgi-bin/
ssialias?infotype=AN&subtype=CA&htmlfid=897/ENUS208-007&appname=USN
– TSIEM information center– http://publib.boulder.ibm.com/infocenter/
tivihelp/v2r1/index.jsp?topic=/com.ibm.tsiem.doc/welcome.htm
REDBOOK– http://www.redbooks.ibm.com/abstracts/
sg247531.html
TCIM– Embedded DB2 database– - No more need for Oracle– Centralized User Management– - Uses IBM TDS to make user management
on multiple servers easy.– Compliance Modules– - New modules for PCI and ISO 27001– Event Sources/ Integration– - Tivoli Federated Identity Manager– - Tivoli Directory Server– - IBM Informix Dynamic Server– - IBM DB2 9.2– - ISS SiteProtector– - TAMeB 5.1/ zLinux– - MySAP– - (Updates to z/OS event source as fixes, and
zSecure specific)
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation26 11.Marec 2008, IBM Bratislava
“DEMO”
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation27 11.Marec 2008, IBM Bratislava
Compliance Modules W7W7
Policy Tab.Policy Tab.
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation28 11.Marec 2008, IBM Bratislava
Špecifické moduly podľa nariadení pomocou reportov urýchlia prácu na zisťovaní zhody, šetria Vaše zdroje a náklady na audit.
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation29 11.Marec 2008, IBM Bratislava
Operational Change Control
Operational Change Control ReportPrehľad pervádzkových zmien vykonaných rôznymi skupinami.
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation30 11.Marec 2008, IBM Bratislava
Eventlist
Event ListDetailný pohľad všetkých aktivít admina na serveri Financial – tu uvidíme vytvorenie používateľa USER: Chin055
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation31 11.Marec 2008, IBM Bratislava
EventDetail
An Event Detail Report Naviac okamžitý pohľad na špecifickú udalosť, prehľad všetkých detailov dokonca môžme vidieť natívny log file
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation32 11.Marec 2008, IBM Bratislava
Ďakujem
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation33 11.Marec 2008, IBM Bratislava
Customer Scenario: Demonstrate Compliance
Company profile:• Fortune1000 food retailer• Stock listed• 350,000 employees• 2,500 stores
Issues:• Compliance with SOX, HIPAA and PCI
–Privileged user monitoring and audit–Monitor the 40,000 monthly changes in access rights–Central and retail IT coverage required
IBM Tivoli SIEM fills the gap:• Activity auditing across:
– Mainframe– AS400– Windows– UNIX (AIX)– Databases (Oracle, SQL
Server, UDB)– Firewalls and IDS
• SOX Management Module to meet reporting needs
Benefits:• Lower cost of enterprise compliance:
– Collect and archive all security logs– Audit user behavior and data access– Monitor operational changes– Automated distribution of operational change activity reports for
authorization and documentation (part of overall workflow process)• Monitor and reduce risk of insider and privileged user threat
“InSight saves us time, resources and money… By automating audit and compliance, my department can focus on other revenue-bearing areas of the business; we can do more with less.” – Customer
Large US Grocery Chain
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation34 11.Marec 2008, IBM Bratislava
Customer Scenario: Protect Intellectual Property
Company profile:• Major diversified financial and
travel services provider• S&P 500
Issues:• Protect intellectual property across global operations
while outsourcing significant IT functions• Need to monitor privileged users:
–Significant audit finding–Concern for customer data–Major concerns about outsourcers
• Prove compliance in regulated environment (SOX, PCI)
IBM Tivoli SIEM fills the gap:• Activity auditing across various systems:
– Mainframe– Windows– UNIX (Solaris, AIX)– Databases (Oracle, SQL Server, UDB)– Stratus– AS400
• SOX and customized outsourcer reports• Multi-million dollar investment with plans to
monitor 20,000 systems at full deployment
Benefits:
• Monitor outsourcers for compliance• Audit behavior of privileged users• Meet audit concern• Fulfill regulatory requirements• Improve operational efficiency
Multinational Financial and Travel Services Provider
IBM IT & Business Days / Bezpečnosť
© 2008 IBM Corporation35 11.Marec 2008, IBM Bratislava
User Scenario: Manage Security Operations
Company profile:• Publicly traded• 80,000 employees• Over 50 million subscribers
Benefits:• Minimized Business Risk due to automation and
centralization of event management• 75% reduction in security incidents that affect
business and customer outage• Increased visibility into the root causes from 25% to
approx 90%• Reduced time to mitigate worm outbreaks – Zotob
was remediated across the company in less than 1 day
• Improved team efficiency– Team of 8 security analysts doing the job of
40 analysts in a 24x7 SOC.– 98% reduction in time to mitigation of
incidents
IBM Tivoli SIEM fills the gap:• Automated correlation and real-time monitoring of over
750 network security devices and 60,000 desktops and servers globally
• Secure internal & operations network infrastructure– Monitors perimeter networks, VPN
interconnections, internal networks & servers authentication & authorization
– Monitors traffic patterns to detect abnormal activities & isolate problems
– Focuses effort on security exceptions and thresholds for incidents and business impact
• Real-time alert whenever network policy is violated
Major US Wireless & Telco Provider
Issues:• Avoid business disruptions due to Internet-based incidents• Highly complex infrastructure with high volume of events - needed
to consolidate, integrate, centralize security operations• Unable to detect and mitigate network security violations in a timely
manner