Sustav za prikupljanje i upravljanje sigurnosnim događajima Ivan Poljak FINA I Sektor informatike I Odjel IT sigurnosti

FINANCIJSKA AGENCIJA Vodeći hrvatski pružatelj financijskih usluga, poslovnih informacija te usluga elektroničkog poslovanja Vodeća kompanija u području primjene informacijskih tehnologija Moderna financijska institucija izgrađena na polustoljetnom iskustvu U državnom vlasništvu, no posluje na tržišnom principu Pouzdan partner državi na području javnih financija Uspješno poslujemo s bankama, poslovnim sustavima i građanima

Sadržaj Zahtjevi za praćenje događaja na IT opremi Opis SIEM sustava Zakonska regulativa Zapisi IT sustava (logovi) Opis SIEM sustava SIEM Razlozi korištenja SIEM-a Zahtjevi na SIEM alat Uspostava SIEM-a (preduvjeti, resursi, trajanje) Arhitektura SIEM-a Rezultati Rezultati uspostave SIEM-a Što smo naučili (Lessons learned)

Zakonska regulativa RH HNB Norme Zakon o Finacijskoj agenciji Zakon o tajnosti podataka Zakon o informacijskoj sigurnosti Zakon o zaštiti osobnih podataka Zakon o zaštiti tajnosti podataka Zakon o platnom prometu podzakonski akti HNB Odluka o eksternalizaciji (Zakon o kreditnim institucijama, Odluka o primjerenom upravljanju informacijskim sustavom) Odluka o pravilima rada Nacionalnoga klirinškog sustava Norme ISO 27001 PCI DSS

Zapisi IT sustava (logovi) Unauthorized Service Detection IP Leakage Configuration Control Lockdown enforcement Access Control Enforcement Privileged User Management Malicious Code Detection Spyware detection Real-Time Monitoring Troubleshooting Router logs IDS/IDP logs VPN logs Firewall logs Switch logs Windows logs Client & file server logs Wireless access logs Windows domain logins Oracle Financial Logs San File Access Logs VLAN Access & Control logs DHCP logs Linux, Unix, Windows OS logs Mainframe logs Database Logs Web server activity logs Content management logs Web cache & proxy logs VA Scan logs

Zapisi IT sustava (logovi) Milijuni događaja generirani svaki dan Distribuiranost logova (zapisa) Različiti formati logova (zapisa) Otežano prikupljanje i analiza logova (zapisa)! Otežano upravljanje servisima, IT sigurnošću i rizicima!

SIEM Sustav za prikupljanje i upravljanje sigurnosnim događajima (engl.: Security Information Event Management – SIEM) Sakupljanje i arhiviranje (sistemski zapisi, logovi) Obrada i korelacija podataka Obavještavanje (engl.: alerting) Forenzička analiza Izvještavanje

Razlozi korištenja SIEM-a Korelacija podataka iz različitih IT sustava Detekcija anomalija Jedinstven pogled na zapise Prioritizacija događaja i incidenata Nadgledanje i uzbunjivanje (alerting and monitoring) događaja Nadzor i praćenje pristupa povjerljivim podacima Olakšano praćenje sukladnosti i primjena raznih kontrola Kreiranje izvještaja

Zahtjevi na SIEM alat Kompleksnost (Na koji način upravljati s velikom količinom podataka?) Prikupljanje događaja iz različitih izvora bez ograničenja Učenje i pronalaženje uzoraka ponašanja (patterns of behavior) Mogućnost nadogradnje sustava Efikasnost (Kako izdvojiti bitne informacije?) Korelacija i izdvajanje bitnih sigurnosnih događaja u “realnom vremenu” Analiza i prioritizacija događaja Povezivanje s ostalim sustavima nadzora i uzbunjivanja (Incident Management)

Zahtjevi na SIEM alat Neporecivost (Kako osigurati zaštitu logova i vremensku usklađenost?) Efikasno i dugotrajno spremanje logova Korištenje u forenzičke svrhe Izvješćivanje (Kako demonstrirati sukladnost?) Fleksibilan sustav izvještavanja Praćenje sukladnosti s ISO 27001

Uspostava SIEM-a Projektni pristup Održavanje Unaprjeđenje Cilj: Implementacija centralnog sustava za sakupljanje sigurnosnih događaja sa raznovrsnih ciljnih sustava, Resursi: financijski, kadrovski, HW, SW Opseg: odabir (dijela) sustava koji će se pratiti kroz SIEM Vrijeme: ovisno o opsegu i dostupnosti resursa Održavanje Resursi: min. 2 analitičara/administratora + tehnička podrška isporučitelja/proizvođača Unaprjeđenje Proširenje opsega – nove platforme i povećanje broja nadziranih uređaja Proširenje HW resursa Daljnji planovi

Arhitektura SIEM-a

Rezultati uspostave SIEM-a Uspostavljen sustav za prikupljanje i arhiviranje događaja s različitih IT uređaja/sustava (mrežna oprema, windows i linux poslužitelji, virtualna okolina, mail …) Prepoznavanje sigurnosnih incidenata i korelacija događaja Automatizirano uzbunjivanje (povezivanje na incident management sustav) Generiranje izvještaja automatski i po potrebi (zahtjevu)

Što smo naučili (Lessons learned) Definirati ciljeve Koje sustave nadziremo? Koje događaje pratimo na sustavima? Kategorizacija i prioritizacija! Korelacije? Ljudi Podrška menadžmenta Educirani administratori/analitičari Dobri međuljudski odnosi i suradnja Podrška dobavljača/proizvođača

Pitanja ?