SlideShare ist ein Scribd-Unternehmen logo

BigData-IT-Security-AGruner

A
Axel S. Gruner
1 von 18
Downloaden Sie, um offline zu lesen
Big Data in der IT-Security IT-Security muss Big Data nutzen und damit umgehen können 1Axel S. Gruner
2 Big Data? Klassisch BigData Datenmenge Geschwindigkeit (Datengenerierung und Übertragung) Vielfalt (strukturiert vs. unstrukturierte Daten) Axel S. Gruner
3 IT-Security? „IT-Security ist mehr als Tools, IT-Security ist immer ein Konzept.“ „IT-Security ist die Zeit welche wir einem Angreifer nicht geben.“ „Wer „alles“ sieht, kann auf alles reagieren.“ „Da das „Böse“ nicht sichtbar ist, finde Deine Schwachstellen oder sei Dir diesen bewußt.“ Axel S. Gruner
BigData und IT-Security? Sehr viele und große Datenmengen Die Generierung von Daten erfolgt im Netz fortlaufend und in Echtzeit Einsatz einer Vielzahl von unterschiedlichen IT- Security Tools/ Devices mit unterschiedlichen Informationen und Formaten 4Axel S. Gruner
Woher kommen die Daten? 5 Big Data Security? Server AV Schutz IDS/IPS Firewalls Clients Router/ Switche Proxies Datenbanken WAF Vulnerability Scanner Axel S. Gruner
Datenmenge Outsourcer Raw Aggregiert Raw Offenses Offenses 0 200000000 400000000 600000000 800000000 30 /EPD 30.000 /EPD 200.000.000 /EPD 800.000.000 /EPD Dies entspricht ca. 9200 Events in der Sekunde (EPS). 6 Effizienz: 99.999% Axel S. Gruner
Datenmenge Ein Administrator kann ca. 1.500 Events/Tag bearbeiten Wir bräuchten ca. 500.000 Administratoren Unterschiedlichste Quellen mit unterschiedlichem Datenformat Würde man die Events ausdrucken und das DIN A4 Papier schichten, wäre der Stapel Papier doppelt so hoch wie das Matterhorn. Jeden Tag. 7 Dies ist Big Data. Axel S. Gruner
Wir haben also BigData. Aber wie damit umgehen? Das Problem… Zu viele Menschen, welche nicht zusammenarbeiten, sollen (nebenbei) die IT-Security sicherstellen Keine Aggregation Die Quantität muss zur Auswertung verringert werden Keine Normalisierung Daten müssen lesbar und verständlich sein Keine Korrelation Zusammenhängende Daten müssen erkannt werden 8Axel S. Gruner
In der Praxis… Mehr als 10.000 sicherheitsrelevante Devices Jedes Device liefert Informationen zu Anomalien und/oder Angriffen (Logs) Zusammenfassung der Daten Abschaffen von verteilten Datensilos Spezielles Security-Wissen wird benötigt Forensik, Zusammenhänge erkennen, Daten müssen verstanden, qualifiziert und bewertet werden Security Operating Center mit 24/7 Einen sicheren Betrieb der Kundenumgebungen und Sicherheit der Daten gewährleisten Compliance- und Kundenanforderungen gerecht werden ISO27001:Basis IT Grundschutz, ISAE3402, Auflagen Banken, SOX, PCI-DSS, und weitere Revisionssichere Aufbewahrung der Logdaten (Unveränderbarkeit) 9Axel S. Gruner
Die Lösung des Problems: SIEM Big Data SIEM …Aggregation Normalisierung Korrelation... Jedes Device wird einzeln durch eine oder mehr Personen überwacht. Ein System mit dem professionellen Blick auf alle Devices und den wesentlichen sicherheitsrelevanten Daten. 10 Logging Axel S. Gruner
SIEM: Von raw, zu aggregiert, zu normalisiert, zu korreliert Niemand will alle Events, wir wollen nur den einen, sicherheitsrelevanten, Offense. Axel S. Gruner
SIEM: Eine Konsole - alle Devices Axel S. Gruner
SIEM: Sicherheit wahren Erkennung von Bruteforce Angriffen Erkennung von Kommunikationen mit C&C (Command&Control) Servern (Botnetze) Sichtbarkeit von Verletzung der Compliance-Vorgaben (non „root“ Login) Korrelation von Signaturen (bsp. IDS) und Kontextinformationen des Vulnerability Scanners und Darstellung der betroffenen Hosts Aufspüren von Slowforce Angriffen Erkennung von Insider-Angriffe und/oder Datendiebstahl Erkennung ob Angriffe, durch bsp. IDS gemeldet, erfolgreich waren (ShellShock) 13Axel S. Gruner
SIEM: Ein Beispiel - ShellShock Das IDS erkennt auf Basis von Signaturen die Ausnutzung der ShellShock Schwachstelle(n) IDS liefert diese Informationen auch in Echtzeit an das SIEM SIEM könnte nun alarmieren, da das IDS alarmieren würden (im IPS mode auch blocken) Der ShellShock Angriff ist aber eventuell nicht erfolgreich Kein wget/curl installiert, keine bash, kein Zugriff über den Proxy nach extern, FS ist ro oder no execution Im SIEM können nun die Events des IDS und Events des unixoiden Systems korreliert werden Auditing meldet keinen ShellShock Zugriff (Gründe: siehe oben) oder Kommunikation mit bekannten IPs auf bekannten Ports False positives des IDS werden beseitigt und es werden nur echte Incidents/ Offenses alarmiert welche überprüft werden müssen 14Axel S. Gruner
SIEM: Von der Sicherheit (BigData) zur Überwachung (BigBrother) Benutzerverhalten wäre transparent Wann kommt ein Mitarbeiter (AD) Auf welchen Systemen arbeitet der Mitarbeiter (Server) Nutzt er bsp. torrent und lädt Dateien herunter Auf welche Seiten greift er zu (Proxy) Schaut er Filme, hört Musik (Amazon, youtube) Was schreibt der Mitarbeiter in social networks An wen schreibt er E-Mails mit welchem Inhalt 15Axel S. Gruner
SIEM: Muss gesteuert werden Einsatz eines SIEM fordert ein Datenschutzgutachten und Vereinbarung mit dem Betriebsrat Wer hat Zugriff auf SIEM Daten (nur das Security Operating Center Team) Welche Daten dürfen abgefragt werden (nur securityrelevante Daten) Wer ist einzubinden bei Auffälligkeiten mit personalisierten Daten Maximale Aufbewahrungsfrist (6 Monate im Standard, 12 bei ISAE3402 Kunden) 16Axel S. Gruner
Auch ein SIEM bietet keine 100% Security. Es muss ständig einem Tuning unterzogen werden, nur dann bleibt die Transparenz erhalten und es kann auf wesentliche Vorfälle reagiert werden. 17Axel S. Gruner Jeder wird angegriffen, die Frage ist, haben wir die Möglichkeiten geschaffen dies zu sehen…
–Axel S. Gruner, IT-Security Manager, Fujitsu TDS GmbH, axel.gruner@tds.fujitsu.com Danke. 18Axel S. Gruner,

Empfohlen

Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Sopra Steria Consulting
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter A. Baggenstos & Co. AG
 
Computer
ComputerComputer
ComputerJalal Sobhaninia
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2Werner Buhre
 
Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitFraunhofer AISEC
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)ThingFraunhofer AISEC
 
Privileged Access Management
Privileged Access Management Privileged Access Management
Privileged Access Management TWINSOFT
 
Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Tim Cole
 

Empfohlen

Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Sopra Steria Consulting
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter A. Baggenstos & Co. AG
 
Computer
ComputerComputer
ComputerJalal Sobhaninia
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2Werner Buhre
 
Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitFraunhofer AISEC
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)ThingFraunhofer AISEC
 
Privileged Access Management
Privileged Access Management Privileged Access Management
Privileged Access Management TWINSOFT
 
Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Tim Cole
 
Module ppp voyage_iut_gea(italie)
Module ppp voyage_iut_gea(italie)Module ppp voyage_iut_gea(italie)
Module ppp voyage_iut_gea(italie)Kamel Ben Youssef
 
Presentation christine pellat_140328
Presentation christine pellat_140328Presentation christine pellat_140328
Presentation christine pellat_140328ACPcef
 
Life Sciences_GER
Life Sciences_GERLife Sciences_GER
Life Sciences_GERLawrence Harvey Group
 
04
0404
04lidoush
 
Deber 8
Deber 8Deber 8
Deber 8Rosyta Gavilanes Bustos
 
[Centre magnétique] compte rendu d’innovation2 - janvier 2015
[Centre magnétique] compte rendu d’innovation2 - janvier 2015 [Centre magnétique] compte rendu d’innovation2 - janvier 2015
[Centre magnétique] compte rendu d’innovation2 - janvier 2015 Centre Magnétique
 
Natihonny
NatihonnyNatihonny
NatihonnyNatihonni Montilla
 
presentación 3
presentación 3presentación 3
presentación 3Gorka J Palacio Arko
 
Les Ptits déj Pros en Créonnais #2
Les Ptits déj Pros en Créonnais #2Les Ptits déj Pros en Créonnais #2
Les Ptits déj Pros en Créonnais #2OTCREONNAIS
 
UDESA 2010 - Educación y Tecnología - Ciencias de la Educación - Taller 03
UDESA 2010 - Educación y Tecnología - Ciencias de la Educación - Taller 03UDESA 2010 - Educación y Tecnología - Ciencias de la Educación - Taller 03
UDESA 2010 - Educación y Tecnología - Ciencias de la Educación - Taller 03Ramiro Nahuel Pol
 
Dossiers 0018
Dossiers 0018Dossiers 0018
Dossiers 0018Idrissou Fmsb
 
test2
test2test2
test2fukushimac
 
Thursday Workshop. La adaptación del modelo de Círculos de apoyo y responsabi...
Thursday Workshop. La adaptación del modelo de Círculos de apoyo y responsabi...Thursday Workshop. La adaptación del modelo de Círculos de apoyo y responsabi...
Thursday Workshop. La adaptación del modelo de Círculos de apoyo y responsabi...Departament de Justícia. Generalitat de Catalunya.
 
ExáMenes [1]..
ExáMenes [1]..ExáMenes [1]..
ExáMenes [1]..paquitaguapa
 
Sesion 4
Sesion 4Sesion 4
Sesion 4miguedeth
 
150515 - FFBB Infos 047
150515 - FFBB Infos 047150515 - FFBB Infos 047
150515 - FFBB Infos 047ComiteBasketCalvados
 
Journal grand prix du bâtiment durable
Journal grand prix du bâtiment durableJournal grand prix du bâtiment durable
Journal grand prix du bâtiment durableMartine Promess
 
Proceso RAP (Renewed Approach to Programme). Scouts MSC
Proceso RAP (Renewed Approach to Programme). Scouts MSCProceso RAP (Renewed Approach to Programme). Scouts MSC
Proceso RAP (Renewed Approach to Programme). Scouts MSCMelo Sánchez
 
Rat
RatRat
Ratpaquitaguapa
 
Dossier de production substainable performance groupe 48
Dossier de production substainable performance groupe 48Dossier de production substainable performance groupe 48
Dossier de production substainable performance groupe 48rochauss
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 

Weitere ähnliche Inhalte

Andere mochten auch

Module ppp voyage_iut_gea(italie)
Module ppp voyage_iut_gea(italie)Module ppp voyage_iut_gea(italie)
Module ppp voyage_iut_gea(italie)Kamel Ben Youssef
 
Presentation christine pellat_140328
Presentation christine pellat_140328Presentation christine pellat_140328
Presentation christine pellat_140328ACPcef
 
[Centre magnétique] compte rendu d’innovation2 - janvier 2015
[Centre magnétique] compte rendu d’innovation2 - janvier 2015 [Centre magnétique] compte rendu d’innovation2 - janvier 2015
[Centre magnétique] compte rendu d’innovation2 - janvier 2015 Centre Magnétique
 
Les Ptits déj Pros en Créonnais #2
Les Ptits déj Pros en Créonnais #2Les Ptits déj Pros en Créonnais #2
Les Ptits déj Pros en Créonnais #2OTCREONNAIS
 
UDESA 2010 - Educación y Tecnología - Ciencias de la Educación - Taller 03
UDESA 2010 - Educación y Tecnología - Ciencias de la Educación - Taller 03UDESA 2010 - Educación y Tecnología - Ciencias de la Educación - Taller 03
UDESA 2010 - Educación y Tecnología - Ciencias de la Educación - Taller 03Ramiro Nahuel Pol
 
Journal grand prix du bâtiment durable
Journal grand prix du bâtiment durableJournal grand prix du bâtiment durable
Journal grand prix du bâtiment durableMartine Promess
 
Proceso RAP (Renewed Approach to Programme). Scouts MSC
Proceso RAP (Renewed Approach to Programme). Scouts MSCProceso RAP (Renewed Approach to Programme). Scouts MSC
Proceso RAP (Renewed Approach to Programme). Scouts MSCMelo Sánchez
 
Dossier de production substainable performance groupe 48
Dossier de production substainable performance groupe 48Dossier de production substainable performance groupe 48
Dossier de production substainable performance groupe 48rochauss
 

Andere mochten auch (20)

Module ppp voyage_iut_gea(italie)
Module ppp voyage_iut_gea(italie)Module ppp voyage_iut_gea(italie)
Module ppp voyage_iut_gea(italie)
 
Presentation christine pellat_140328
Presentation christine pellat_140328Presentation christine pellat_140328
Presentation christine pellat_140328
 
Life Sciences_GER
Life Sciences_GERLife Sciences_GER
Life Sciences_GER
 
04
0404
04
 
Deber 8
Deber 8Deber 8
Deber 8
 
[Centre magnétique] compte rendu d’innovation2 - janvier 2015
[Centre magnétique] compte rendu d’innovation2 - janvier 2015 [Centre magnétique] compte rendu d’innovation2 - janvier 2015
[Centre magnétique] compte rendu d’innovation2 - janvier 2015
 
Natihonny
NatihonnyNatihonny
Natihonny
 
presentación 3
presentación 3presentación 3
presentación 3
 
Les Ptits déj Pros en Créonnais #2
Les Ptits déj Pros en Créonnais #2Les Ptits déj Pros en Créonnais #2
Les Ptits déj Pros en Créonnais #2
 
UDESA 2010 - Educación y Tecnología - Ciencias de la Educación - Taller 03
UDESA 2010 - Educación y Tecnología - Ciencias de la Educación - Taller 03UDESA 2010 - Educación y Tecnología - Ciencias de la Educación - Taller 03
UDESA 2010 - Educación y Tecnología - Ciencias de la Educación - Taller 03
 
Dossiers 0018
Dossiers 0018Dossiers 0018
Dossiers 0018
 
test2
test2test2
test2
 
Thursday Workshop. La adaptación del modelo de Círculos de apoyo y responsabi...
Thursday Workshop. La adaptación del modelo de Círculos de apoyo y responsabi...Thursday Workshop. La adaptación del modelo de Círculos de apoyo y responsabi...
Thursday Workshop. La adaptación del modelo de Círculos de apoyo y responsabi...
 
ExáMenes [1]..
ExáMenes [1]..ExáMenes [1]..
ExáMenes [1]..
 
Sesion 4
Sesion 4Sesion 4
Sesion 4
 
150515 - FFBB Infos 047
150515 - FFBB Infos 047150515 - FFBB Infos 047
150515 - FFBB Infos 047
 
Journal grand prix du bâtiment durable
Journal grand prix du bâtiment durableJournal grand prix du bâtiment durable
Journal grand prix du bâtiment durable
 
Proceso RAP (Renewed Approach to Programme). Scouts MSC
Proceso RAP (Renewed Approach to Programme). Scouts MSCProceso RAP (Renewed Approach to Programme). Scouts MSC
Proceso RAP (Renewed Approach to Programme). Scouts MSC
 
Rat
RatRat
Rat
 
Dossier de production substainable performance groupe 48
Dossier de production substainable performance groupe 48Dossier de production substainable performance groupe 48
Dossier de production substainable performance groupe 48
 

Ähnlich wie BigData-IT-Security-AGruner

Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 
Microsoft security workshop komplett
Microsoft security workshop komplettMicrosoft security workshop komplett
Microsoft security workshop komplettAllessandra Negri
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenICT Economic Impact
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...Symantec
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITFraunhofer AISEC
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
InformationssicherheitsmanagmentClaus Brell
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityFraunhofer AISEC
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurzAllessandra Negri
 
Die Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitDie Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitVirtual Forge
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile securityPeter Teufl
 
Clt2008 Onlinedurchsuchung
Clt2008 OnlinedurchsuchungClt2008 Onlinedurchsuchung
Clt2008 Onlinedurchsuchungbofh42
 
Schaeffer Jester Smart Metering Datensicherheit
Schaeffer Jester Smart Metering DatensicherheitSchaeffer Jester Smart Metering Datensicherheit
Schaeffer Jester Smart Metering DatensicherheitPhilippe A. R. Schaeffer
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampAlexander Benoit
 
Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk
 
test
testtest
testjule
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Fujitsu Central Europe
 
Proaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat ModelingProaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat ModelingPhilippe A. R. Schaeffer
 

Ähnlich wie BigData-IT-Security-AGruner (20)

Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
Microsoft security workshop komplett
Microsoft security workshop komplettMicrosoft security workshop komplett
Microsoft security workshop komplett
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
Informationssicherheitsmanagment
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurz
 
Die Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitDie Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP Sicherheit
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
 
Clt2008 Onlinedurchsuchung
Clt2008 OnlinedurchsuchungClt2008 Onlinedurchsuchung
Clt2008 Onlinedurchsuchung
 
[DE] "Revisionssichere Archivierung Kontra Ransomware | Dr. Ulrich Kampffmeye...
[DE] "Revisionssichere Archivierung Kontra Ransomware | Dr. Ulrich Kampffmeye...[DE] "Revisionssichere Archivierung Kontra Ransomware | Dr. Ulrich Kampffmeye...
[DE] "Revisionssichere Archivierung Kontra Ransomware | Dr. Ulrich Kampffmeye...
 
Schaeffer Jester Smart Metering Datensicherheit
Schaeffer Jester Smart Metering DatensicherheitSchaeffer Jester Smart Metering Datensicherheit
Schaeffer Jester Smart Metering Datensicherheit
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-Camp
 
Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
 
ESET Multi-Device Security
ESET Multi-Device SecurityESET Multi-Device Security
ESET Multi-Device Security
 
test
testtest
test
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
 
Proaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat ModelingProaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat Modeling
 

BigData-IT-Security-AGruner

  • 1. Big Data in der IT-Security IT-Security muss Big Data nutzen und damit umgehen können 1Axel S. Gruner
  • 2. 2 Big Data? Klassisch BigData Datenmenge Geschwindigkeit (Datengenerierung und Übertragung) Vielfalt (strukturiert vs. unstrukturierte Daten) Axel S. Gruner
  • 3. 3 IT-Security? „IT-Security ist mehr als Tools, IT-Security ist immer ein Konzept.“ „IT-Security ist die Zeit welche wir einem Angreifer nicht geben.“ „Wer „alles“ sieht, kann auf alles reagieren.“ „Da das „Böse“ nicht sichtbar ist, finde Deine Schwachstellen oder sei Dir diesen bewußt.“ Axel S. Gruner
  • 4. BigData und IT-Security? Sehr viele und große Datenmengen Die Generierung von Daten erfolgt im Netz fortlaufend und in Echtzeit Einsatz einer Vielzahl von unterschiedlichen IT- Security Tools/ Devices mit unterschiedlichen Informationen und Formaten 4Axel S. Gruner
  • 5. Woher kommen die Daten? 5 Big Data Security? Server AV Schutz IDS/IPS Firewalls Clients Router/ Switche Proxies Datenbanken WAF Vulnerability Scanner Axel S. Gruner
  • 6. Datenmenge Outsourcer Raw Aggregiert Raw Offenses Offenses 0 200000000 400000000 600000000 800000000 30 /EPD 30.000 /EPD 200.000.000 /EPD 800.000.000 /EPD Dies entspricht ca. 9200 Events in der Sekunde (EPS). 6 Effizienz: 99.999% Axel S. Gruner
  • 7. Datenmenge Ein Administrator kann ca. 1.500 Events/Tag bearbeiten Wir bräuchten ca. 500.000 Administratoren Unterschiedlichste Quellen mit unterschiedlichem Datenformat Würde man die Events ausdrucken und das DIN A4 Papier schichten, wäre der Stapel Papier doppelt so hoch wie das Matterhorn. Jeden Tag. 7 Dies ist Big Data. Axel S. Gruner
  • 8. Wir haben also BigData. Aber wie damit umgehen? Das Problem… Zu viele Menschen, welche nicht zusammenarbeiten, sollen (nebenbei) die IT-Security sicherstellen Keine Aggregation Die Quantität muss zur Auswertung verringert werden Keine Normalisierung Daten müssen lesbar und verständlich sein Keine Korrelation Zusammenhängende Daten müssen erkannt werden 8Axel S. Gruner
  • 9. In der Praxis… Mehr als 10.000 sicherheitsrelevante Devices Jedes Device liefert Informationen zu Anomalien und/oder Angriffen (Logs) Zusammenfassung der Daten Abschaffen von verteilten Datensilos Spezielles Security-Wissen wird benötigt Forensik, Zusammenhänge erkennen, Daten müssen verstanden, qualifiziert und bewertet werden Security Operating Center mit 24/7 Einen sicheren Betrieb der Kundenumgebungen und Sicherheit der Daten gewährleisten Compliance- und Kundenanforderungen gerecht werden ISO27001:Basis IT Grundschutz, ISAE3402, Auflagen Banken, SOX, PCI-DSS, und weitere Revisionssichere Aufbewahrung der Logdaten (Unveränderbarkeit) 9Axel S. Gruner
  • 10. Die Lösung des Problems: SIEM Big Data SIEM …Aggregation Normalisierung Korrelation... Jedes Device wird einzeln durch eine oder mehr Personen überwacht. Ein System mit dem professionellen Blick auf alle Devices und den wesentlichen sicherheitsrelevanten Daten. 10 Logging Axel S. Gruner
  • 11. SIEM: Von raw, zu aggregiert, zu normalisiert, zu korreliert Niemand will alle Events, wir wollen nur den einen, sicherheitsrelevanten, Offense. Axel S. Gruner
  • 12. SIEM: Eine Konsole - alle Devices Axel S. Gruner
  • 13. SIEM: Sicherheit wahren Erkennung von Bruteforce Angriffen Erkennung von Kommunikationen mit C&C (Command&Control) Servern (Botnetze) Sichtbarkeit von Verletzung der Compliance-Vorgaben (non „root“ Login) Korrelation von Signaturen (bsp. IDS) und Kontextinformationen des Vulnerability Scanners und Darstellung der betroffenen Hosts Aufspüren von Slowforce Angriffen Erkennung von Insider-Angriffe und/oder Datendiebstahl Erkennung ob Angriffe, durch bsp. IDS gemeldet, erfolgreich waren (ShellShock) 13Axel S. Gruner
  • 14. SIEM: Ein Beispiel - ShellShock Das IDS erkennt auf Basis von Signaturen die Ausnutzung der ShellShock Schwachstelle(n) IDS liefert diese Informationen auch in Echtzeit an das SIEM SIEM könnte nun alarmieren, da das IDS alarmieren würden (im IPS mode auch blocken) Der ShellShock Angriff ist aber eventuell nicht erfolgreich Kein wget/curl installiert, keine bash, kein Zugriff über den Proxy nach extern, FS ist ro oder no execution Im SIEM können nun die Events des IDS und Events des unixoiden Systems korreliert werden Auditing meldet keinen ShellShock Zugriff (Gründe: siehe oben) oder Kommunikation mit bekannten IPs auf bekannten Ports False positives des IDS werden beseitigt und es werden nur echte Incidents/ Offenses alarmiert welche überprüft werden müssen 14Axel S. Gruner
  • 15. SIEM: Von der Sicherheit (BigData) zur Überwachung (BigBrother) Benutzerverhalten wäre transparent Wann kommt ein Mitarbeiter (AD) Auf welchen Systemen arbeitet der Mitarbeiter (Server) Nutzt er bsp. torrent und lädt Dateien herunter Auf welche Seiten greift er zu (Proxy) Schaut er Filme, hört Musik (Amazon, youtube) Was schreibt der Mitarbeiter in social networks An wen schreibt er E-Mails mit welchem Inhalt 15Axel S. Gruner
  • 16. SIEM: Muss gesteuert werden Einsatz eines SIEM fordert ein Datenschutzgutachten und Vereinbarung mit dem Betriebsrat Wer hat Zugriff auf SIEM Daten (nur das Security Operating Center Team) Welche Daten dürfen abgefragt werden (nur securityrelevante Daten) Wer ist einzubinden bei Auffälligkeiten mit personalisierten Daten Maximale Aufbewahrungsfrist (6 Monate im Standard, 12 bei ISAE3402 Kunden) 16Axel S. Gruner
  • 17. Auch ein SIEM bietet keine 100% Security. Es muss ständig einem Tuning unterzogen werden, nur dann bleibt die Transparenz erhalten und es kann auf wesentliche Vorfälle reagiert werden. 17Axel S. Gruner Jeder wird angegriffen, die Frage ist, haben wir die Möglichkeiten geschaffen dies zu sehen…
  • 18. –Axel S. Gruner, IT-Security Manager, Fujitsu TDS GmbH, axel.gruner@tds.fujitsu.com Danke. 18Axel S. Gruner,