Embed Size (px)
Citation preview
Big Data in der IT-SecurityIT-Security muss Big Data nutzen und damit umgehen können
1Axel S. Gruner
2
Big Data?
Klassisch BigData
Datenmenge
Geschwindigkeit (Datengenerierung und Übertragung)
Vielfalt (strukturiert vs. unstrukturierte Daten)
Axel S. Gruner
3
IT-Security?
„IT-Security ist mehr als Tools, IT-Security ist immer ein Konzept.“
„IT-Security ist die Zeit welche wir einem Angreifer nicht geben.“
„Wer „alles“ sieht, kann auf alles reagieren.“
„Da das „Böse“ nicht sichtbar ist, finde Deine Schwachstellen oder sei Dir diesen bewußt.“
Axel S. Gruner
BigData und IT-Security?Sehr viele und große Datenmengen
Die Generierung von Daten erfolgt im Netz fortlaufend und in Echtzeit
Einsatz einer Vielzahl von unterschiedlichen IT-Security Tools/ Devices mit unterschiedlichen Informationen und Formaten
4Axel S. Gruner
Woher kommen die Daten?
5
Big Data Security?
Server
AV Schutz
IDS/IPS
Firewalls
Clients
Router/ Switche
Proxies
DatenbankenWAF
Vulnerability ScannerAxel S. Gruner
Datenmenge Outsourcer
Raw
Aggregiert
Raw Offenses
Offenses
0 200000000 400000000 600000000 800000000
30 /EPD
30.000 /EPD
200.000.000 /EPD
800.000.000 /EPD
Dies entspricht ca. 9200 Events in der Sekunde (EPS).
6
Effizienz: 99.999%Axel S. Gruner
DatenmengeEin Administrator kann ca. 1.500 Events/Tag bearbeiten
Wir bräuchten ca. 500.000 Administratoren Unterschiedlichste Quellen mit unterschiedlichem Datenformat Würde man die Events ausdrucken und das DIN A4 Papier schichten, wäre der Stapel Papier doppelt so hoch wie das Matterhorn. Jeden Tag.
7
Dies ist Big Data.Axel S. Gruner
Wir haben also BigData. Aber wie damit umgehen? Das Problem…
Zu viele Menschen, welche nicht zusammenarbeiten, sollen (nebenbei) die IT-Security sicherstellen Keine Aggregation
Die Quantität muss zur Auswertung verringert werden
Keine Normalisierung Daten müssen lesbar und verständlich sein
Keine Korrelation Zusammenhängende Daten müssen erkannt werden
8Axel S. Gruner
In der Praxis…Mehr als 10.000 sicherheitsrelevante Devices
Jedes Device liefert Informationen zu Anomalien und/oder Angriffen (Logs) Zusammenfassung der Daten
Abschaffen von verteilten Datensilos Spezielles Security-Wissen wird benötigt
Forensik, Zusammenhänge erkennen, Daten müssen verstanden, qualifiziert und bewertet werden Security Operating Center mit 24/7
Einen sicheren Betrieb der Kundenumgebungen und Sicherheit der Daten gewährleisten Compliance- und Kundenanforderungen gerecht werden
ISO27001:Basis IT Grundschutz, ISAE3402, Auflagen Banken, SOX, PCI-DSS, und weitere Revisionssichere Aufbewahrung der Logdaten (Unveränderbarkeit)
9Axel S. Gruner
Die Lösung des Problems: SIEM
Big Data SIEM
…Aggregation Normalisierung Korrelation...
Jedes Device wird einzeln durch eine oder mehr Personen überwacht.
Ein System mit dem professionellen Blick auf alle Devices und den wesentlichen sicherheitsrelevanten Daten. 10
Logg
ing
Axel S. Gruner
SIEM: Von raw, zu aggregiert, zu normalisiert, zu korreliert
Niemand will alle Events, wir wollen nur den einen, sicherheitsrelevanten, Offense.
Axel S. Gruner
SIEM: Eine Konsole - alle Devices
Axel S. Gruner
SIEM: Sicherheit wahrenErkennung von Bruteforce Angriffen Erkennung von Kommunikationen mit C&C (Command&Control) Servern (Botnetze) Sichtbarkeit von Verletzung der Compliance-Vorgaben (non „root“ Login) Korrelation von Signaturen (bsp. IDS) und Kontextinformationen des Vulnerability Scanners und Darstellung der betroffenen Hosts Aufspüren von Slowforce Angriffen Erkennung von Insider-Angriffe und/oder Datendiebstahl Erkennung ob Angriffe, durch bsp. IDS gemeldet, erfolgreich waren (ShellShock)
13Axel S. Gruner
SIEM: Ein Beispiel - ShellShockDas IDS erkennt auf Basis von Signaturen die Ausnutzung der ShellShock Schwachstelle(n) IDS liefert diese Informationen auch in Echtzeit an das SIEM
SIEM könnte nun alarmieren, da das IDS alarmieren würden (im IPS mode auch blocken) Der ShellShock Angriff ist aber eventuell nicht erfolgreich
Kein wget/curl installiert, keine bash, kein Zugriff über den Proxy nach extern, FS ist ro oder no execution
Im SIEM können nun die Events des IDS und Events des unixoiden Systems korreliert werden
Auditing meldet keinen ShellShock Zugriff (Gründe: siehe oben) oder Kommunikation mit bekannten IPs auf bekannten Ports
False positives des IDS werden beseitigt und es werden nur echte Incidents/ Offenses alarmiert welche überprüft werden müssen
14Axel S. Gruner
SIEM: Von der Sicherheit (BigData) zur Überwachung (BigBrother)
Benutzerverhalten wäre transparent Wann kommt ein Mitarbeiter (AD) Auf welchen Systemen arbeitet der Mitarbeiter (Server) Nutzt er bsp. torrent und lädt Dateien herunter Auf welche Seiten greift er zu (Proxy) Schaut er Filme, hört Musik (Amazon, youtube) Was schreibt der Mitarbeiter in social networks An wen schreibt er E-Mails mit welchem Inhalt
15Axel S. Gruner
SIEM: Muss gesteuert werdenEinsatz eines SIEM fordert ein Datenschutzgutachten und Vereinbarung mit dem Betriebsrat
Wer hat Zugriff auf SIEM Daten (nur das Security Operating Center Team) Welche Daten dürfen abgefragt werden (nur securityrelevante Daten) Wer ist einzubinden bei Auffälligkeiten mit personalisierten Daten Maximale Aufbewahrungsfrist (6 Monate im Standard, 12 bei ISAE3402 Kunden)
16Axel S. Gruner
Auch ein SIEM bietet keine 100% Security. Es muss ständig einem Tuning unterzogen werden, nur dann bleibt die Transparenz erhalten
und es kann auf wesentliche Vorfälle reagiert werden.
17Axel S. Gruner
Jeder wird angegriffen, die Frage ist, haben wir die Möglichkeiten geschaffen dies zu sehen…
