Big Data in der IT-Security
IT-Security muss Big Data nutzen und damit umgehen können
1Axel S. Gruner
2
Big Data?
Klassisch BigData
Datenmenge
Geschwindigkeit (Datengenerierung und
Übertragung)
Vielfalt (strukturiert vs. uns...
3
IT-Security?
„IT-Security ist mehr als Tools, IT-Security ist immer ein Konzept.“
„IT-Security ist die Zeit welche wir e...
BigData und IT-Security?
Sehr viele und große Datenmengen
Die Generierung von Daten erfolgt im Netz
fortlaufend und in Ech...
Woher kommen die Daten?
5
Big Data Security?
Server
AV Schutz
IDS/IPS
Firewalls
Clients
Router/ Switche
Proxies
Datenbanke...
Datenmenge Outsourcer
Raw
Aggregiert
Raw Offenses
Offenses
0 200000000 400000000 600000000 800000000
30 /EPD
30.000 /EPD
2...
Datenmenge
Ein Administrator kann ca. 1.500 Events/Tag
bearbeiten
Wir bräuchten ca. 500.000 Administratoren
Unterschiedlic...
Wir haben also BigData. Aber wie
damit umgehen? Das Problem…
Zu viele Menschen, welche nicht
zusammenarbeiten, sollen (neb...
In der Praxis…
Mehr als 10.000 sicherheitsrelevante Devices
Jedes Device liefert Informationen zu Anomalien und/oder Angri...
Die Lösung des Problems: SIEM
Big Data
SIEM
…Aggregation
Normalisierung
Korrelation...
Jedes Device wird einzeln
durch ein...
SIEM: Von raw, zu aggregiert, zu
normalisiert, zu korreliert
Niemand will alle Events, wir wollen nur den einen, sicherhei...
SIEM: Eine Konsole - alle Devices
Axel S. Gruner
SIEM: Sicherheit wahren
Erkennung von Bruteforce Angriffen
Erkennung von Kommunikationen mit C&C
(Command&Control) Servern...
SIEM: Ein Beispiel - ShellShock
Das IDS erkennt auf Basis von Signaturen die Ausnutzung der ShellShock Schwachstelle(n)
ID...
SIEM: Von der Sicherheit (BigData)
zur Überwachung (BigBrother)
Benutzerverhalten wäre transparent
Wann kommt ein Mitarbei...
SIEM: Muss gesteuert werden
Einsatz eines SIEM fordert ein
Datenschutzgutachten und Vereinbarung
mit dem Betriebsrat
Wer h...
Auch ein SIEM bietet keine 100% Security. Es muss ständig einem
Tuning unterzogen werden, nur dann bleibt die Transparenz ...
–Axel S. Gruner, IT-Security Manager, Fujitsu TDS GmbH, axel.gruner@tds.fujitsu.com
Danke.
18Axel S. Gruner,
Nächste SlideShare
Wird geladen in …5
×

BigData-IT-Security-AGruner

509 Aufrufe

Veröffentlicht am

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
509
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
11
Aktionen
Geteilt
0
Downloads
3
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

BigData-IT-Security-AGruner

  1. 1. Big Data in der IT-Security IT-Security muss Big Data nutzen und damit umgehen können 1Axel S. Gruner
  2. 2. 2 Big Data? Klassisch BigData Datenmenge Geschwindigkeit (Datengenerierung und Übertragung) Vielfalt (strukturiert vs. unstrukturierte Daten) Axel S. Gruner
  3. 3. 3 IT-Security? „IT-Security ist mehr als Tools, IT-Security ist immer ein Konzept.“ „IT-Security ist die Zeit welche wir einem Angreifer nicht geben.“ „Wer „alles“ sieht, kann auf alles reagieren.“ „Da das „Böse“ nicht sichtbar ist, finde Deine Schwachstellen oder sei Dir diesen bewußt.“ Axel S. Gruner
  4. 4. BigData und IT-Security? Sehr viele und große Datenmengen Die Generierung von Daten erfolgt im Netz fortlaufend und in Echtzeit Einsatz einer Vielzahl von unterschiedlichen IT- Security Tools/ Devices mit unterschiedlichen Informationen und Formaten 4Axel S. Gruner
  5. 5. Woher kommen die Daten? 5 Big Data Security? Server AV Schutz IDS/IPS Firewalls Clients Router/ Switche Proxies Datenbanken WAF Vulnerability Scanner Axel S. Gruner
  6. 6. Datenmenge Outsourcer Raw Aggregiert Raw Offenses Offenses 0 200000000 400000000 600000000 800000000 30 /EPD 30.000 /EPD 200.000.000 /EPD 800.000.000 /EPD Dies entspricht ca. 9200 Events in der Sekunde (EPS). 6 Effizienz: 99.999% Axel S. Gruner
  7. 7. Datenmenge Ein Administrator kann ca. 1.500 Events/Tag bearbeiten Wir bräuchten ca. 500.000 Administratoren Unterschiedlichste Quellen mit unterschiedlichem Datenformat Würde man die Events ausdrucken und das DIN A4 Papier schichten, wäre der Stapel Papier doppelt so hoch wie das Matterhorn. Jeden Tag. 7 Dies ist Big Data. Axel S. Gruner
  8. 8. Wir haben also BigData. Aber wie damit umgehen? Das Problem… Zu viele Menschen, welche nicht zusammenarbeiten, sollen (nebenbei) die IT-Security sicherstellen Keine Aggregation Die Quantität muss zur Auswertung verringert werden Keine Normalisierung Daten müssen lesbar und verständlich sein Keine Korrelation Zusammenhängende Daten müssen erkannt werden 8Axel S. Gruner
  9. 9. In der Praxis… Mehr als 10.000 sicherheitsrelevante Devices Jedes Device liefert Informationen zu Anomalien und/oder Angriffen (Logs) Zusammenfassung der Daten Abschaffen von verteilten Datensilos Spezielles Security-Wissen wird benötigt Forensik, Zusammenhänge erkennen, Daten müssen verstanden, qualifiziert und bewertet werden Security Operating Center mit 24/7 Einen sicheren Betrieb der Kundenumgebungen und Sicherheit der Daten gewährleisten Compliance- und Kundenanforderungen gerecht werden ISO27001:Basis IT Grundschutz, ISAE3402, Auflagen Banken, SOX, PCI-DSS, und weitere Revisionssichere Aufbewahrung der Logdaten (Unveränderbarkeit) 9Axel S. Gruner
  10. 10. Die Lösung des Problems: SIEM Big Data SIEM …Aggregation Normalisierung Korrelation... Jedes Device wird einzeln durch eine oder mehr Personen überwacht. Ein System mit dem professionellen Blick auf alle Devices und den wesentlichen sicherheitsrelevanten Daten. 10 Logging Axel S. Gruner
  11. 11. SIEM: Von raw, zu aggregiert, zu normalisiert, zu korreliert Niemand will alle Events, wir wollen nur den einen, sicherheitsrelevanten, Offense. Axel S. Gruner
  12. 12. SIEM: Eine Konsole - alle Devices Axel S. Gruner
  13. 13. SIEM: Sicherheit wahren Erkennung von Bruteforce Angriffen Erkennung von Kommunikationen mit C&C (Command&Control) Servern (Botnetze) Sichtbarkeit von Verletzung der Compliance-Vorgaben (non „root“ Login) Korrelation von Signaturen (bsp. IDS) und Kontextinformationen des Vulnerability Scanners und Darstellung der betroffenen Hosts Aufspüren von Slowforce Angriffen Erkennung von Insider-Angriffe und/oder Datendiebstahl Erkennung ob Angriffe, durch bsp. IDS gemeldet, erfolgreich waren (ShellShock) 13Axel S. Gruner
  14. 14. SIEM: Ein Beispiel - ShellShock Das IDS erkennt auf Basis von Signaturen die Ausnutzung der ShellShock Schwachstelle(n) IDS liefert diese Informationen auch in Echtzeit an das SIEM SIEM könnte nun alarmieren, da das IDS alarmieren würden (im IPS mode auch blocken) Der ShellShock Angriff ist aber eventuell nicht erfolgreich Kein wget/curl installiert, keine bash, kein Zugriff über den Proxy nach extern, FS ist ro oder no execution Im SIEM können nun die Events des IDS und Events des unixoiden Systems korreliert werden Auditing meldet keinen ShellShock Zugriff (Gründe: siehe oben) oder Kommunikation mit bekannten IPs auf bekannten Ports False positives des IDS werden beseitigt und es werden nur echte Incidents/ Offenses alarmiert welche überprüft werden müssen 14Axel S. Gruner
  15. 15. SIEM: Von der Sicherheit (BigData) zur Überwachung (BigBrother) Benutzerverhalten wäre transparent Wann kommt ein Mitarbeiter (AD) Auf welchen Systemen arbeitet der Mitarbeiter (Server) Nutzt er bsp. torrent und lädt Dateien herunter Auf welche Seiten greift er zu (Proxy) Schaut er Filme, hört Musik (Amazon, youtube) Was schreibt der Mitarbeiter in social networks An wen schreibt er E-Mails mit welchem Inhalt 15Axel S. Gruner
  16. 16. SIEM: Muss gesteuert werden Einsatz eines SIEM fordert ein Datenschutzgutachten und Vereinbarung mit dem Betriebsrat Wer hat Zugriff auf SIEM Daten (nur das Security Operating Center Team) Welche Daten dürfen abgefragt werden (nur securityrelevante Daten) Wer ist einzubinden bei Auffälligkeiten mit personalisierten Daten Maximale Aufbewahrungsfrist (6 Monate im Standard, 12 bei ISAE3402 Kunden) 16Axel S. Gruner
  17. 17. Auch ein SIEM bietet keine 100% Security. Es muss ständig einem Tuning unterzogen werden, nur dann bleibt die Transparenz erhalten und es kann auf wesentliche Vorfälle reagiert werden. 17Axel S. Gruner Jeder wird angegriffen, die Frage ist, haben wir die Möglichkeiten geschaffen dies zu sehen…
  18. 18. –Axel S. Gruner, IT-Security Manager, Fujitsu TDS GmbH, axel.gruner@tds.fujitsu.com Danke. 18Axel S. Gruner,

×