•

Verkkoratkaisut

•

Tietoturvaratkaisut

Verkkoinfrastruktuuri

Etäkäyttö ja pääsynhallinta

Sähköposti- ja Web-liikenne

Tietoturvatapahtumat

Työasemat ja palvelimet

•

Viestintäpalvelut

•

Tallennusratkaisut

•

Projekti- ja asiantuntijapalvelut

•

Cygate WebGate

Lokit ja tietoturva

Kiitos osallistumisesta Tietoturvatapahtumaan!

Lataa Cygaten esitys pdf-muodossa tästä linkistä.

Tapahtumassa esitetyn teknologiapainoitteisen demoesityksen materiaaleja ei ole saatavilla, mutta mikäli haluat tietää teknisesti lisää RSA enVision SIEM-järjestelmän ominaisuuksista tai nähdä yksityiskohtaisen demon aiheesta - varaa meiltä aika: sales@cygate.fi

Tietoturvatapahtumien ja lokitietojen hallintajärjestelmä tarvitaan - mitä muuta?

Strategiat ja käytännöt ohjaavat toimintaa sekä prosessien kehittämistä
Toteutus hallittuna projektina ja jalkautus prosesseihin
Kokemuksia ja haasteita SIEM-projekteista
Puhujana: Antti Jääskeläinen, tietoturvakonsultti, Cygate Oy

Tapahtumassa puhuttiin paljon mm. pilvipalveluista ja virtualisoinnista. Lokit liittyvät oleellisena osana virtualisointiin ja myös monella tavalla erilaisiin pilvipalveluihin. Alla lyhyt kuvaus lokitietojen ja tietoturvatapahtumien merkityksellisyydestä.

Lue lisää tapahtumasta ja tutustu muihin esityksiin osoitteesta www.tietoturvatapahtuma.fi

Tiesitkö, että virtualisoidut palvelut voivat vaihtaa lähes yhtä nopeasti omistajaa kuin paikkaa konesalista toiseen?

Palvelimien ja palveluiden virtualisointi lisääntyy kiihtyvällä vauhdilla. Virtualisoinnilla saavutetaan merkittäviä säästöjä niin laitekustannuksissa kuin päivittäiseen ylläpitoon liittyvissä kustannuksissa. Virtualisoinnin avulla pystytään rakentamaan myös erittäin vikasietoisia ympäristöjä.

Suurinpana huolenaiheena palveluita virtualisoitaessa on nykyisin tietoturva. Kuinka estää haitallinen liikenne eri virtuualikoneiden välillä ja kuinka pystytään havainnoimaan tietoturvapoikkeavuudet esimerkiksi VMware-infrastruktuurin osalta?

VMware-infrastruktuuri on käytännössä kaikkein kriittisin komponentti koko konesalissa, mitä tulee palveluiden käyttöön ja tietoturvaan virtualisoidussa ympäristössä. VMwaren hallintakomponenteilla pystytään tekemään paljon hyvää, mutta hallinnan avulla voidaan tehdä tahattomasti tai tahallisesti myös monia haitallisia asioita.

Järjestelmänvalvoja voi halutessaan mm.:

Tuhota virtuualikoneita
Kloonata virtuaalikoneita
Aiheuttaa ongelmatilanteita ja sallia yhteyksiä virtuaalikytkimissä
Poistaa lokit tapahtumien peittämiseksi

Yksi pahimmista uhkakuvista yritysten kannalta on se, että virtuaalikoneet voidaan helposti kloonata ja pistään taskuun omaa käyttöä varten. Palvelimen pystyttäminen tien toiselle puolelle avattavaan uuteen yritykseen käy hetkessä. Organisaatio menettää silmän räpäyksessä vuosien kokemuksen kautta saavutetut kilpailuedut liiketoiminnassaan.

Lokit talteen myös virutaaliympäristöstä ja epäilyttävät tapahtumat suurennuslasin alle

RSA enVision lokijärjestelmän avulla lokit voidaan kerätä helposti ymmärrettävään muotoon myös virtualisoidusta VMware-ympäristöstä. Tällä varmistetaan, että:

Järjestelmänvalvojien tekemisistä jää varmasti jälki
Suurimmat poikkeukset pystytään havaitsemaan niin tietoturvan kuin vikatilanteiden kannalta
Yleiset tietoturvavaatimukset saadaan täytettyä myös virtualisoidun ympäristön kannalta

RSA enVision kerää lokia mistä tahansa

RSA enVision -järjestelmällä pystytään keräämään lokit mistä tahansa lokia tuottavasta järjestelmästä. Se tukee valmiiksi erittäin laajaa kirjoa eri järjestelmiä, mutta siihen voidaan liittää myös järjestelmiä, joiden lokit ovat puhtaasti tarpeeseen räätälöityjä. enVision mahdollistaa tehokkaasti lokien keräämisen, varmistetun talleuksen, lokien integriteetin, lokien elinkaaren hallinnan sekä lokien käsittelyn käyttäjäkohtaisesti.

RSA enVision visualisoi tapahtumat

RSA enVision kerää lokit oliopohjaiseen erittäin tehokkaaseen tietokantaan lokia muuttamatta. Lokit voidaan ottaa vastaan mm. syslogin, SNMP:n, SFTP:n ja monien muiden rajapintojen kautta lähes täysin agentittomasti. Lokien vastaanottamisen jälkeen erilaiset tapahtumat kategorisoidaan. Jokainen tapahtuma saa oman EventID:n ja jokainen yksittäinen lokimerkintä avataan ns. raportointitauluhin, joista päästään käsiksi yksityiskohtaisiin tietoihin kuten kohdeporttiin, IP-osoitteisiin, käyttäjätunnuksiin jne. Kategoriapohjainen tapahtumien käsittely mahdollistaa sen, että tietoverkon tapahtumia voidaan tulkita ymmärrettävästi täysin laiteriippumattomasti - Login.Failures, Denied.Connections, Attacks.Spyware jne.

Itse tietoturvatapahtumien ja lokien analysointiin RSA enVision tarjoaa kaksi eri työkalua. Web-pohjaisen graafisen käyttöliittymän kautta onnistuu kaikki oleellinen raakalokin analysoinnista kompleksisten korrelointisääntöjen tuottamiseen. Dynaamisempaa lokien analysointia voidaan tehdä erillisellä RSA Event Explorerilla, jollla päästään pureutumaan (drill-down) hyvin nopeasti ja tarkasti eri tapahtumiin niin kategoria- kuin raportointitaulukohtaisesti hyödyntäen SQL-tauluja. RSA Event Exploreria käytetään pääasiassa tapahtumien jälkikäteisanalysointiin, mutta sillä voidaan ottaa tapahtumia vastaan myös reaaliajassa.

Lokien käsitellylle on monia eri tarpeita

Security Information and Event Management (SIEM) on erittäin laaja käsite. RSA enVision SIEM -järjestelmä antaa avaimet koko konseptin toteuttamiselle. Todellisuudessa SIEM-järjestelmien käyttöönotoissa on lähdettävä liikkeelle vaiheittain. Kaikkea ei saada kerralla kuntoon ja SIEM-järjestelmä yksistään ei riitä täyttämään pitemmälle vietyjä tietoturvatarpeita.

Tärkeimmät lokien keskittämisen tarpeet järjestyksessä ovat tyypillisesti:

Lokien muuttumattomuus on pystyttävä todentamaan ja lokit on saatava turvatusti pitkäksikin aikaa säilöön
Tapahtumaketju on oltava tallessa aina reunan palomuurista sovelluksen tietokantaan asti
Lokitapahtumia on pystyttävä analysoimaan formaalilla tavalla tehokkaasti eri järjestelmistä - tietoturvatapahtumien ja vikatilanteiden selvittäminen jälkikäteen
Lokeista on tarve saada erilaisia raportteja - mm. tarkka palomuuriliikenteen raportointi, palvelinten tietoturvatapahtumat ja vikatilanteet, verkkolaitteiden vikatilanteet, autentukoitumistapahtumat, trendit tapahtumamäärissä ja liikenteissä jne.
Lokeja on seurattava tietoturvastandardien mukaan päivittäin poikkeuksien havaitsemiseksi - PCI DSS, ISO 27002, potilastiedot...
Lokien avulla on tarve tehdä eri tietoturvatapahtumista hälytyksiä - autentikoitumisyritykset, hyökkäysyritykset, poikkeavuudet tapahtumamäärissä jne.
SIEM-järjestelmää halutaan käyttää osana Security Operations Center -toiminnallisuutta (SOC)

Liikkeelle vaiheittain?

Tarpeista riippuen SIEM-projekti on vietävissä maaliin vaiheittain. Kaikkia vaiheita ei voida saavuttaa pelkän järjestelmän avulla. RSA enVision antaa hyvät ja nopeat avaimet vaiheen 1 läpiviemiseen, mutta seuraavat vaiheet vaativat useinmiten laajempaa määrittelyä ja suunnittelua. Mitä pidemmälle SIEM-kokonaisuutta viedään, sitä korkeammalle nousee arvostuksessa määrittely ja suunnittelu. SIEM-kokonaisuutta ei voi siis ostaa pelkkänä rautana oli valmistaja mikä tahansa. Tärkeintä tavoitteiden saavuttamisessa on johdonmukainen määrittely ja suunnittelu. Toteuttamisen kannalta on kuitenkin myös tärkeää, että käytössä on järjestelmä, jolla pystytään saavuttamaan asetetut tavoitteet.

[Vaihe 1 - Lokitiedot keskitetysti & turvatusti talteen]

Lokijärjestelmän piiriin otetaan palomuurit, VPN-järjestelmät, kytkimet/reitittimet sekä Windows- ja Linux-palvelimet
Lokijärjestelmät piiriin voidaan ottaa pelkästään myös kriittisimmät lähteet kuten esimerkiksi joku dedikoitu tietojärjestelmä
Lokit tuodaan järjestelmään pääasiassa säilytystä ja mahdollisesti myös jälkikäteisanalysointia varten
Lokien elinkaari toteutetaan kuntoon ja järjestelmän käytettävyys varmistetaan mahdollisimman hyvin

[Vaihe 2 - Lokitietojen analysointia ja raportointia]

Lisätään lokilähteitä
Lisätään raportointia halutuista tapahtumista (Dashboard-näkymät, analysointiraportit, kuukausiraportit jne.)
Suunnitellaan raporttien läpikäyntiin ja tapahtumien mahdollisiin analysointeihin formaalit prosessit
Otetaan huomioon eri käyttäjäryhmät sekä tarpeet (erilaiset Dashboardit - Security/Network/Server)

[Vaihe 3 - Lokitietojen käsittely päivittäin osana tietoturvaprosessia]

Kehitetään tietoturvaprosesseja siten, että lokeja seurataan tiettyjen tapahtumien osalta päivittäin
Kehitetään analysointiraportteja ja Dashboard-näkymiä siten, että tietoturvapoikkeukset ja vikatilanteet saadaan selvitettyä mahdollisimman nopeasti sekä tarkasti
Luodaan tietyistä tapahtumista hälytyksiä (trendeistä, yksittäisistä tapahtumista, korreloituja hälyjä)

[Vaihe 4 - Security Operations Center]

Tietoturvaprosessien tehostaminen Security Operations Center -toiminnallisuutta (SOC) ajatellen
Tietoturvatapahtumien käsittely jatkuvana prosessina - hälytyksistä syiden etsintään ja tapahtumien selvittämiseen
Tietoturvapoikkeamien ilmoittaminen

Cygate on mukana määrittelemässä, suunnittelemassa, toteuttamassa ja viemessä palveluun SIEM-kokonaisuuksia

EMC Critical Incident Response Center - Bedford, MA, USA

Lokit ja tietoturva virtualisoidussa maailmassa (ENG)

Cygate SIEM-ratkaisut esite

RSA enVision yleisesittely (video)

RSA enVision dynaaminen tapahtumien käsittely (video)

Lokit ja tietoturva