3. 3
IT-Security?
„IT-Security ist mehr als Tools, IT-Security ist immer ein Konzept.“
„IT-Security ist die Zeit welche wir einem Angreifer nicht geben.“
„Wer „alles“ sieht, kann auf alles reagieren.“
„Da das „Böse“ nicht sichtbar ist, finde Deine Schwachstellen oder sei
Dir diesen bewußt.“
Axel S. Gruner
4. BigData und IT-Security?
Sehr viele und große Datenmengen
Die Generierung von Daten erfolgt im Netz
fortlaufend und in Echtzeit
Einsatz einer Vielzahl von unterschiedlichen IT-
Security Tools/ Devices mit unterschiedlichen
Informationen und Formaten
4Axel S. Gruner
5. Woher kommen die Daten?
5
Big Data Security?
Server
AV Schutz
IDS/IPS
Firewalls
Clients
Router/ Switche
Proxies
Datenbanken
WAF
Vulnerability Scanner
Axel S. Gruner
6. Datenmenge Outsourcer
Raw
Aggregiert
Raw Offenses
Offenses
0 200000000 400000000 600000000 800000000
30 /EPD
30.000 /EPD
200.000.000 /EPD
800.000.000 /EPD
Dies entspricht ca. 9200 Events in der Sekunde (EPS).
6
Effizienz: 99.999%
Axel S. Gruner
7. Datenmenge
Ein Administrator kann ca. 1.500 Events/Tag
bearbeiten
Wir bräuchten ca. 500.000 Administratoren
Unterschiedlichste Quellen mit
unterschiedlichem Datenformat
Würde man die Events ausdrucken und das
DIN A4 Papier schichten, wäre der Stapel
Papier doppelt so hoch wie das Matterhorn.
Jeden Tag.
7
Dies ist Big Data.
Axel S. Gruner
8. Wir haben also BigData. Aber wie
damit umgehen? Das Problem…
Zu viele Menschen, welche nicht
zusammenarbeiten, sollen (nebenbei) die IT-Security
sicherstellen
Keine Aggregation
Die Quantität muss zur Auswertung verringert
werden
Keine Normalisierung
Daten müssen lesbar und verständlich sein
Keine Korrelation
Zusammenhängende Daten müssen erkannt
werden
8Axel S. Gruner
9. In der Praxis…
Mehr als 10.000 sicherheitsrelevante Devices
Jedes Device liefert Informationen zu Anomalien und/oder Angriffen (Logs)
Zusammenfassung der Daten
Abschaffen von verteilten Datensilos
Spezielles Security-Wissen wird benötigt
Forensik, Zusammenhänge erkennen, Daten müssen verstanden, qualifiziert und bewertet
werden
Security Operating Center mit 24/7
Einen sicheren Betrieb der Kundenumgebungen und Sicherheit der Daten gewährleisten
Compliance- und Kundenanforderungen gerecht werden
ISO27001:Basis IT Grundschutz, ISAE3402, Auflagen Banken, SOX, PCI-DSS, und weitere
Revisionssichere Aufbewahrung der Logdaten (Unveränderbarkeit)
9Axel S. Gruner
10. Die Lösung des Problems: SIEM
Big Data
SIEM
…Aggregation
Normalisierung
Korrelation...
Jedes Device wird einzeln
durch eine oder mehr Personen
überwacht.
Ein System mit dem professionellen
Blick auf alle Devices und den
wesentlichen sicherheitsrelevanten
Daten. 10
Logging
Axel S. Gruner
11. SIEM: Von raw, zu aggregiert, zu
normalisiert, zu korreliert
Niemand will alle Events, wir wollen nur den einen, sicherheitsrelevanten, Offense.
Axel S. Gruner
13. SIEM: Sicherheit wahren
Erkennung von Bruteforce Angriffen
Erkennung von Kommunikationen mit C&C
(Command&Control) Servern (Botnetze)
Sichtbarkeit von Verletzung der Compliance-Vorgaben
(non „root“ Login)
Korrelation von Signaturen (bsp. IDS) und
Kontextinformationen des Vulnerability Scanners und
Darstellung der betroffenen Hosts
Aufspüren von Slowforce Angriffen
Erkennung von Insider-Angriffe und/oder Datendiebstahl
Erkennung ob Angriffe, durch bsp. IDS gemeldet,
erfolgreich waren (ShellShock)
13Axel S. Gruner
14. SIEM: Ein Beispiel - ShellShock
Das IDS erkennt auf Basis von Signaturen die Ausnutzung der ShellShock Schwachstelle(n)
IDS liefert diese Informationen auch in Echtzeit an das SIEM
SIEM könnte nun alarmieren, da das IDS alarmieren würden (im IPS mode auch blocken)
Der ShellShock Angriff ist aber eventuell nicht erfolgreich
Kein wget/curl installiert, keine bash, kein Zugriff über den Proxy nach extern, FS ist ro
oder no execution
Im SIEM können nun die Events des IDS und Events des unixoiden Systems korreliert
werden
Auditing meldet keinen ShellShock Zugriff (Gründe: siehe oben) oder Kommunikation mit
bekannten IPs auf bekannten Ports
False positives des IDS werden beseitigt und es werden nur echte Incidents/ Offenses
alarmiert welche überprüft werden müssen
14Axel S. Gruner
15. SIEM: Von der Sicherheit (BigData)
zur Überwachung (BigBrother)
Benutzerverhalten wäre transparent
Wann kommt ein Mitarbeiter (AD)
Auf welchen Systemen arbeitet der Mitarbeiter
(Server)
Nutzt er bsp. torrent und lädt Dateien herunter
Auf welche Seiten greift er zu (Proxy)
Schaut er Filme, hört Musik (Amazon,
youtube)
Was schreibt der Mitarbeiter in social
networks
An wen schreibt er E-Mails mit welchem Inhalt
15Axel S. Gruner
16. SIEM: Muss gesteuert werden
Einsatz eines SIEM fordert ein
Datenschutzgutachten und Vereinbarung
mit dem Betriebsrat
Wer hat Zugriff auf SIEM Daten (nur das
Security Operating Center Team)
Welche Daten dürfen abgefragt werden
(nur securityrelevante Daten)
Wer ist einzubinden bei Auffälligkeiten
mit personalisierten Daten
Maximale Aufbewahrungsfrist (6 Monate
im Standard, 12 bei ISAE3402 Kunden)
16Axel S. Gruner
17. Auch ein SIEM bietet keine 100% Security. Es muss ständig einem
Tuning unterzogen werden, nur dann bleibt die Transparenz erhalten
und es kann auf wesentliche Vorfälle reagiert werden.
17Axel S. Gruner
Jeder wird angegriffen, die Frage ist, haben wir die Möglichkeiten
geschaffen dies zu sehen…
18. –Axel S. Gruner, IT-Security Manager, Fujitsu TDS GmbH, axel.gruner@tds.fujitsu.com
Danke.
18Axel S. Gruner,