SlideShare ist ein Scribd-Unternehmen logo
Big Data in der IT-Security
IT-Security muss Big Data nutzen und damit umgehen können
1Axel S. Gruner
2
Big Data?
Klassisch BigData
Datenmenge
Geschwindigkeit (Datengenerierung und
Übertragung)
Vielfalt (strukturiert vs. unstrukturierte Daten)
Axel S. Gruner
3
IT-Security?
„IT-Security ist mehr als Tools, IT-Security ist immer ein Konzept.“
„IT-Security ist die Zeit welche wir einem Angreifer nicht geben.“
„Wer „alles“ sieht, kann auf alles reagieren.“
„Da das „Böse“ nicht sichtbar ist, finde Deine Schwachstellen oder sei
Dir diesen bewußt.“
Axel S. Gruner
BigData und IT-Security?
Sehr viele und große Datenmengen
Die Generierung von Daten erfolgt im Netz
fortlaufend und in Echtzeit
Einsatz einer Vielzahl von unterschiedlichen IT-
Security Tools/ Devices mit unterschiedlichen
Informationen und Formaten
4Axel S. Gruner
Woher kommen die Daten?
5
Big Data Security?
Server
AV Schutz
IDS/IPS
Firewalls
Clients
Router/ Switche
Proxies
Datenbanken
WAF
Vulnerability Scanner
Axel S. Gruner
Datenmenge Outsourcer
Raw
Aggregiert
Raw Offenses
Offenses
0 200000000 400000000 600000000 800000000
30 /EPD
30.000 /EPD
200.000.000 /EPD
800.000.000 /EPD
Dies entspricht ca. 9200 Events in der Sekunde (EPS).
6
Effizienz: 99.999%
Axel S. Gruner
Datenmenge
Ein Administrator kann ca. 1.500 Events/Tag
bearbeiten
Wir bräuchten ca. 500.000 Administratoren
Unterschiedlichste Quellen mit
unterschiedlichem Datenformat
Würde man die Events ausdrucken und das
DIN A4 Papier schichten, wäre der Stapel
Papier doppelt so hoch wie das Matterhorn.
Jeden Tag.
7
Dies ist Big Data.
Axel S. Gruner
Wir haben also BigData. Aber wie
damit umgehen? Das Problem…
Zu viele Menschen, welche nicht
zusammenarbeiten, sollen (nebenbei) die IT-Security
sicherstellen
Keine Aggregation
Die Quantität muss zur Auswertung verringert
werden
Keine Normalisierung
Daten müssen lesbar und verständlich sein
Keine Korrelation
Zusammenhängende Daten müssen erkannt
werden
8Axel S. Gruner
In der Praxis…
Mehr als 10.000 sicherheitsrelevante Devices
Jedes Device liefert Informationen zu Anomalien und/oder Angriffen (Logs)
Zusammenfassung der Daten
Abschaffen von verteilten Datensilos
Spezielles Security-Wissen wird benötigt
Forensik, Zusammenhänge erkennen, Daten müssen verstanden, qualifiziert und bewertet
werden
Security Operating Center mit 24/7
Einen sicheren Betrieb der Kundenumgebungen und Sicherheit der Daten gewährleisten
Compliance- und Kundenanforderungen gerecht werden
ISO27001:Basis IT Grundschutz, ISAE3402, Auflagen Banken, SOX, PCI-DSS, und weitere
Revisionssichere Aufbewahrung der Logdaten (Unveränderbarkeit)
9Axel S. Gruner
Die Lösung des Problems: SIEM
Big Data
SIEM
…Aggregation
Normalisierung
Korrelation...
Jedes Device wird einzeln
durch eine oder mehr Personen
überwacht.
Ein System mit dem professionellen
Blick auf alle Devices und den
wesentlichen sicherheitsrelevanten
Daten. 10
Logging
Axel S. Gruner
SIEM: Von raw, zu aggregiert, zu
normalisiert, zu korreliert
Niemand will alle Events, wir wollen nur den einen, sicherheitsrelevanten, Offense.
Axel S. Gruner
SIEM: Eine Konsole - alle Devices
Axel S. Gruner
SIEM: Sicherheit wahren
Erkennung von Bruteforce Angriffen
Erkennung von Kommunikationen mit C&C
(Command&Control) Servern (Botnetze)
Sichtbarkeit von Verletzung der Compliance-Vorgaben
(non „root“ Login)
Korrelation von Signaturen (bsp. IDS) und
Kontextinformationen des Vulnerability Scanners und
Darstellung der betroffenen Hosts
Aufspüren von Slowforce Angriffen
Erkennung von Insider-Angriffe und/oder Datendiebstahl
Erkennung ob Angriffe, durch bsp. IDS gemeldet,
erfolgreich waren (ShellShock)
13Axel S. Gruner
SIEM: Ein Beispiel - ShellShock
Das IDS erkennt auf Basis von Signaturen die Ausnutzung der ShellShock Schwachstelle(n)
IDS liefert diese Informationen auch in Echtzeit an das SIEM
SIEM könnte nun alarmieren, da das IDS alarmieren würden (im IPS mode auch blocken)
Der ShellShock Angriff ist aber eventuell nicht erfolgreich
Kein wget/curl installiert, keine bash, kein Zugriff über den Proxy nach extern, FS ist ro
oder no execution
Im SIEM können nun die Events des IDS und Events des unixoiden Systems korreliert
werden
Auditing meldet keinen ShellShock Zugriff (Gründe: siehe oben) oder Kommunikation mit
bekannten IPs auf bekannten Ports
False positives des IDS werden beseitigt und es werden nur echte Incidents/ Offenses
alarmiert welche überprüft werden müssen
14Axel S. Gruner
SIEM: Von der Sicherheit (BigData)
zur Überwachung (BigBrother)
Benutzerverhalten wäre transparent
Wann kommt ein Mitarbeiter (AD)
Auf welchen Systemen arbeitet der Mitarbeiter
(Server)
Nutzt er bsp. torrent und lädt Dateien herunter
Auf welche Seiten greift er zu (Proxy)
Schaut er Filme, hört Musik (Amazon,
youtube)
Was schreibt der Mitarbeiter in social
networks
An wen schreibt er E-Mails mit welchem Inhalt
15Axel S. Gruner
SIEM: Muss gesteuert werden
Einsatz eines SIEM fordert ein
Datenschutzgutachten und Vereinbarung
mit dem Betriebsrat
Wer hat Zugriff auf SIEM Daten (nur das
Security Operating Center Team)
Welche Daten dürfen abgefragt werden
(nur securityrelevante Daten)
Wer ist einzubinden bei Auffälligkeiten
mit personalisierten Daten
Maximale Aufbewahrungsfrist (6 Monate
im Standard, 12 bei ISAE3402 Kunden)
16Axel S. Gruner
Auch ein SIEM bietet keine 100% Security. Es muss ständig einem
Tuning unterzogen werden, nur dann bleibt die Transparenz erhalten
und es kann auf wesentliche Vorfälle reagiert werden.
17Axel S. Gruner
Jeder wird angegriffen, die Frage ist, haben wir die Möglichkeiten
geschaffen dies zu sehen…
–Axel S. Gruner, IT-Security Manager, Fujitsu TDS GmbH, axel.gruner@tds.fujitsu.com
Danke.
18Axel S. Gruner,

Weitere ähnliche Inhalte

Andere mochten auch

Module ppp voyage_iut_gea(italie)
Module ppp voyage_iut_gea(italie)Module ppp voyage_iut_gea(italie)
Module ppp voyage_iut_gea(italie)
Kamel Ben Youssef
 
Presentation christine pellat_140328
Presentation christine pellat_140328Presentation christine pellat_140328
Presentation christine pellat_140328
ACPcef
 
Life Sciences_GER
Life Sciences_GERLife Sciences_GER
Life Sciences_GER
Lawrence Harvey Group
 
[Centre magnétique] compte rendu d’innovation2 - janvier 2015
[Centre magnétique] compte rendu d’innovation2 - janvier 2015  [Centre magnétique] compte rendu d’innovation2 - janvier 2015
[Centre magnétique] compte rendu d’innovation2 - janvier 2015
Centre Magnétique
 
Natihonny
NatihonnyNatihonny
presentación 3
presentación 3presentación 3
presentación 3
Gorka J Palacio Arko
 
Les Ptits déj Pros en Créonnais #2
Les Ptits déj Pros en Créonnais #2Les Ptits déj Pros en Créonnais #2
Les Ptits déj Pros en Créonnais #2
OTCREONNAIS
 
UDESA 2010 - Educación y Tecnología - Ciencias de la Educación - Taller 03
UDESA 2010 - Educación y Tecnología - Ciencias de la Educación - Taller 03UDESA 2010 - Educación y Tecnología - Ciencias de la Educación - Taller 03
UDESA 2010 - Educación y Tecnología - Ciencias de la Educación - Taller 03
Ramiro Nahuel Pol
 
Dossiers 0018
Dossiers 0018Dossiers 0018
Dossiers 0018
Idrissou Fmsb
 
Thursday Workshop. La adaptación del modelo de Círculos de apoyo y responsabi...
Thursday Workshop. La adaptación del modelo de Círculos de apoyo y responsabi...Thursday Workshop. La adaptación del modelo de Círculos de apoyo y responsabi...
Thursday Workshop. La adaptación del modelo de Círculos de apoyo y responsabi...
Departament de Justícia. Generalitat de Catalunya.
 
ExáMenes [1]..
ExáMenes [1]..ExáMenes [1]..
ExáMenes [1]..
paquitaguapa
 
Sesion 4
Sesion 4Sesion 4
Sesion 4
miguedeth
 
150515 - FFBB Infos 047
150515 - FFBB Infos 047150515 - FFBB Infos 047
150515 - FFBB Infos 047
ComiteBasketCalvados
 
Journal grand prix du bâtiment durable
Journal grand prix du bâtiment durableJournal grand prix du bâtiment durable
Journal grand prix du bâtiment durable
Martine Promess
 
Proceso RAP (Renewed Approach to Programme). Scouts MSC
Proceso RAP (Renewed Approach to Programme). Scouts MSCProceso RAP (Renewed Approach to Programme). Scouts MSC
Proceso RAP (Renewed Approach to Programme). Scouts MSC
Melo Sánchez
 
Rat
RatRat
Dossier de production substainable performance groupe 48
Dossier de production substainable performance groupe 48Dossier de production substainable performance groupe 48
Dossier de production substainable performance groupe 48
rochauss
 

Andere mochten auch (20)

Module ppp voyage_iut_gea(italie)
Module ppp voyage_iut_gea(italie)Module ppp voyage_iut_gea(italie)
Module ppp voyage_iut_gea(italie)
 
Presentation christine pellat_140328
Presentation christine pellat_140328Presentation christine pellat_140328
Presentation christine pellat_140328
 
Life Sciences_GER
Life Sciences_GERLife Sciences_GER
Life Sciences_GER
 
04
0404
04
 
Deber 8
Deber 8Deber 8
Deber 8
 
[Centre magnétique] compte rendu d’innovation2 - janvier 2015
[Centre magnétique] compte rendu d’innovation2 - janvier 2015  [Centre magnétique] compte rendu d’innovation2 - janvier 2015
[Centre magnétique] compte rendu d’innovation2 - janvier 2015
 
Natihonny
NatihonnyNatihonny
Natihonny
 
presentación 3
presentación 3presentación 3
presentación 3
 
Les Ptits déj Pros en Créonnais #2
Les Ptits déj Pros en Créonnais #2Les Ptits déj Pros en Créonnais #2
Les Ptits déj Pros en Créonnais #2
 
UDESA 2010 - Educación y Tecnología - Ciencias de la Educación - Taller 03
UDESA 2010 - Educación y Tecnología - Ciencias de la Educación - Taller 03UDESA 2010 - Educación y Tecnología - Ciencias de la Educación - Taller 03
UDESA 2010 - Educación y Tecnología - Ciencias de la Educación - Taller 03
 
Dossiers 0018
Dossiers 0018Dossiers 0018
Dossiers 0018
 
test2
test2test2
test2
 
Thursday Workshop. La adaptación del modelo de Círculos de apoyo y responsabi...
Thursday Workshop. La adaptación del modelo de Círculos de apoyo y responsabi...Thursday Workshop. La adaptación del modelo de Círculos de apoyo y responsabi...
Thursday Workshop. La adaptación del modelo de Círculos de apoyo y responsabi...
 
ExáMenes [1]..
ExáMenes [1]..ExáMenes [1]..
ExáMenes [1]..
 
Sesion 4
Sesion 4Sesion 4
Sesion 4
 
150515 - FFBB Infos 047
150515 - FFBB Infos 047150515 - FFBB Infos 047
150515 - FFBB Infos 047
 
Journal grand prix du bâtiment durable
Journal grand prix du bâtiment durableJournal grand prix du bâtiment durable
Journal grand prix du bâtiment durable
 
Proceso RAP (Renewed Approach to Programme). Scouts MSC
Proceso RAP (Renewed Approach to Programme). Scouts MSCProceso RAP (Renewed Approach to Programme). Scouts MSC
Proceso RAP (Renewed Approach to Programme). Scouts MSC
 
Rat
RatRat
Rat
 
Dossier de production substainable performance groupe 48
Dossier de production substainable performance groupe 48Dossier de production substainable performance groupe 48
Dossier de production substainable performance groupe 48
 

Ähnlich wie BigData-IT-Security-AGruner

Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
ONE Schweiz
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
ONE Schweiz
 
Microsoft security workshop komplett
Microsoft security workshop   komplettMicrosoft security workshop   komplett
Microsoft security workshop komplett
Allessandra Negri
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
ICT Economic Impact
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
Symantec
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
Fraunhofer AISEC
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
Informationssicherheitsmanagment
Claus Brell
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Fraunhofer AISEC
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurz
Allessandra Negri
 
Die Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitDie Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP Sicherheit
Virtual Forge
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
Peter Teufl
 
Clt2008 Onlinedurchsuchung
Clt2008 OnlinedurchsuchungClt2008 Onlinedurchsuchung
Clt2008 Onlinedurchsuchung
bofh42
 
[DE] "Revisionssichere Archivierung Kontra Ransomware | Dr. Ulrich Kampffmeye...
[DE] "Revisionssichere Archivierung Kontra Ransomware | Dr. Ulrich Kampffmeye...[DE] "Revisionssichere Archivierung Kontra Ransomware | Dr. Ulrich Kampffmeye...
[DE] "Revisionssichere Archivierung Kontra Ransomware | Dr. Ulrich Kampffmeye...
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
Schaeffer Jester Smart Metering Datensicherheit
Schaeffer Jester Smart Metering DatensicherheitSchaeffer Jester Smart Metering Datensicherheit
Schaeffer Jester Smart Metering Datensicherheit
Philippe A. R. Schaeffer
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-Camp
Alexander Benoit
 
Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk
 
ESET Multi-Device Security
ESET Multi-Device SecurityESET Multi-Device Security
ESET Multi-Device Security
ESET | Enjoy Safer Technology (Deutsch)
 
test
testtest
test
jule
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Fujitsu Central Europe
 
Proaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat ModelingProaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat Modeling
Philippe A. R. Schaeffer
 

Ähnlich wie BigData-IT-Security-AGruner (20)

Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldSicherheitsprobleme mit privaten Geräten im Firmenumfeld
Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
Microsoft security workshop komplett
Microsoft security workshop   komplettMicrosoft security workshop   komplett
Microsoft security workshop komplett
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
Informationssicherheitsmanagment
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurz
 
Die Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitDie Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP Sicherheit
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
 
Clt2008 Onlinedurchsuchung
Clt2008 OnlinedurchsuchungClt2008 Onlinedurchsuchung
Clt2008 Onlinedurchsuchung
 
[DE] "Revisionssichere Archivierung Kontra Ransomware | Dr. Ulrich Kampffmeye...
[DE] "Revisionssichere Archivierung Kontra Ransomware | Dr. Ulrich Kampffmeye...[DE] "Revisionssichere Archivierung Kontra Ransomware | Dr. Ulrich Kampffmeye...
[DE] "Revisionssichere Archivierung Kontra Ransomware | Dr. Ulrich Kampffmeye...
 
Schaeffer Jester Smart Metering Datensicherheit
Schaeffer Jester Smart Metering DatensicherheitSchaeffer Jester Smart Metering Datensicherheit
Schaeffer Jester Smart Metering Datensicherheit
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-Camp
 
Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
 
ESET Multi-Device Security
ESET Multi-Device SecurityESET Multi-Device Security
ESET Multi-Device Security
 
test
testtest
test
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
 
Proaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat ModelingProaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat Modeling
 

BigData-IT-Security-AGruner

  • 1. Big Data in der IT-Security IT-Security muss Big Data nutzen und damit umgehen können 1Axel S. Gruner
  • 2. 2 Big Data? Klassisch BigData Datenmenge Geschwindigkeit (Datengenerierung und Übertragung) Vielfalt (strukturiert vs. unstrukturierte Daten) Axel S. Gruner
  • 3. 3 IT-Security? „IT-Security ist mehr als Tools, IT-Security ist immer ein Konzept.“ „IT-Security ist die Zeit welche wir einem Angreifer nicht geben.“ „Wer „alles“ sieht, kann auf alles reagieren.“ „Da das „Böse“ nicht sichtbar ist, finde Deine Schwachstellen oder sei Dir diesen bewußt.“ Axel S. Gruner
  • 4. BigData und IT-Security? Sehr viele und große Datenmengen Die Generierung von Daten erfolgt im Netz fortlaufend und in Echtzeit Einsatz einer Vielzahl von unterschiedlichen IT- Security Tools/ Devices mit unterschiedlichen Informationen und Formaten 4Axel S. Gruner
  • 5. Woher kommen die Daten? 5 Big Data Security? Server AV Schutz IDS/IPS Firewalls Clients Router/ Switche Proxies Datenbanken WAF Vulnerability Scanner Axel S. Gruner
  • 6. Datenmenge Outsourcer Raw Aggregiert Raw Offenses Offenses 0 200000000 400000000 600000000 800000000 30 /EPD 30.000 /EPD 200.000.000 /EPD 800.000.000 /EPD Dies entspricht ca. 9200 Events in der Sekunde (EPS). 6 Effizienz: 99.999% Axel S. Gruner
  • 7. Datenmenge Ein Administrator kann ca. 1.500 Events/Tag bearbeiten Wir bräuchten ca. 500.000 Administratoren Unterschiedlichste Quellen mit unterschiedlichem Datenformat Würde man die Events ausdrucken und das DIN A4 Papier schichten, wäre der Stapel Papier doppelt so hoch wie das Matterhorn. Jeden Tag. 7 Dies ist Big Data. Axel S. Gruner
  • 8. Wir haben also BigData. Aber wie damit umgehen? Das Problem… Zu viele Menschen, welche nicht zusammenarbeiten, sollen (nebenbei) die IT-Security sicherstellen Keine Aggregation Die Quantität muss zur Auswertung verringert werden Keine Normalisierung Daten müssen lesbar und verständlich sein Keine Korrelation Zusammenhängende Daten müssen erkannt werden 8Axel S. Gruner
  • 9. In der Praxis… Mehr als 10.000 sicherheitsrelevante Devices Jedes Device liefert Informationen zu Anomalien und/oder Angriffen (Logs) Zusammenfassung der Daten Abschaffen von verteilten Datensilos Spezielles Security-Wissen wird benötigt Forensik, Zusammenhänge erkennen, Daten müssen verstanden, qualifiziert und bewertet werden Security Operating Center mit 24/7 Einen sicheren Betrieb der Kundenumgebungen und Sicherheit der Daten gewährleisten Compliance- und Kundenanforderungen gerecht werden ISO27001:Basis IT Grundschutz, ISAE3402, Auflagen Banken, SOX, PCI-DSS, und weitere Revisionssichere Aufbewahrung der Logdaten (Unveränderbarkeit) 9Axel S. Gruner
  • 10. Die Lösung des Problems: SIEM Big Data SIEM …Aggregation Normalisierung Korrelation... Jedes Device wird einzeln durch eine oder mehr Personen überwacht. Ein System mit dem professionellen Blick auf alle Devices und den wesentlichen sicherheitsrelevanten Daten. 10 Logging Axel S. Gruner
  • 11. SIEM: Von raw, zu aggregiert, zu normalisiert, zu korreliert Niemand will alle Events, wir wollen nur den einen, sicherheitsrelevanten, Offense. Axel S. Gruner
  • 12. SIEM: Eine Konsole - alle Devices Axel S. Gruner
  • 13. SIEM: Sicherheit wahren Erkennung von Bruteforce Angriffen Erkennung von Kommunikationen mit C&C (Command&Control) Servern (Botnetze) Sichtbarkeit von Verletzung der Compliance-Vorgaben (non „root“ Login) Korrelation von Signaturen (bsp. IDS) und Kontextinformationen des Vulnerability Scanners und Darstellung der betroffenen Hosts Aufspüren von Slowforce Angriffen Erkennung von Insider-Angriffe und/oder Datendiebstahl Erkennung ob Angriffe, durch bsp. IDS gemeldet, erfolgreich waren (ShellShock) 13Axel S. Gruner
  • 14. SIEM: Ein Beispiel - ShellShock Das IDS erkennt auf Basis von Signaturen die Ausnutzung der ShellShock Schwachstelle(n) IDS liefert diese Informationen auch in Echtzeit an das SIEM SIEM könnte nun alarmieren, da das IDS alarmieren würden (im IPS mode auch blocken) Der ShellShock Angriff ist aber eventuell nicht erfolgreich Kein wget/curl installiert, keine bash, kein Zugriff über den Proxy nach extern, FS ist ro oder no execution Im SIEM können nun die Events des IDS und Events des unixoiden Systems korreliert werden Auditing meldet keinen ShellShock Zugriff (Gründe: siehe oben) oder Kommunikation mit bekannten IPs auf bekannten Ports False positives des IDS werden beseitigt und es werden nur echte Incidents/ Offenses alarmiert welche überprüft werden müssen 14Axel S. Gruner
  • 15. SIEM: Von der Sicherheit (BigData) zur Überwachung (BigBrother) Benutzerverhalten wäre transparent Wann kommt ein Mitarbeiter (AD) Auf welchen Systemen arbeitet der Mitarbeiter (Server) Nutzt er bsp. torrent und lädt Dateien herunter Auf welche Seiten greift er zu (Proxy) Schaut er Filme, hört Musik (Amazon, youtube) Was schreibt der Mitarbeiter in social networks An wen schreibt er E-Mails mit welchem Inhalt 15Axel S. Gruner
  • 16. SIEM: Muss gesteuert werden Einsatz eines SIEM fordert ein Datenschutzgutachten und Vereinbarung mit dem Betriebsrat Wer hat Zugriff auf SIEM Daten (nur das Security Operating Center Team) Welche Daten dürfen abgefragt werden (nur securityrelevante Daten) Wer ist einzubinden bei Auffälligkeiten mit personalisierten Daten Maximale Aufbewahrungsfrist (6 Monate im Standard, 12 bei ISAE3402 Kunden) 16Axel S. Gruner
  • 17. Auch ein SIEM bietet keine 100% Security. Es muss ständig einem Tuning unterzogen werden, nur dann bleibt die Transparenz erhalten und es kann auf wesentliche Vorfälle reagiert werden. 17Axel S. Gruner Jeder wird angegriffen, die Frage ist, haben wir die Möglichkeiten geschaffen dies zu sehen…
  • 18. –Axel S. Gruner, IT-Security Manager, Fujitsu TDS GmbH, axel.gruner@tds.fujitsu.com Danke. 18Axel S. Gruner,