Security Analyse für System z mittels SIEM

Transcription

IBM Security Systems
Security Analyse für System z mittels SIEM
Günter Weber
[email protected]
1
© 2013 IBM Corporation
Was sind Ihre Security-Herausforderungen ?
Die Kosten für
“effektive Security”
steigen schneller als die
zur Verfügung
stehenden Budgets
Während ComplianceHerausforderungen auch
weiterhin der Hebel sind um
Security-Funding zu sichern sorgen die Investitionen häufig
nur für mehr „Produkte um
punktuelle Probleme zu lösen“
Die Attacken werden immer komplexer und vielfältiger
Die Komplexität der Security- Probleme und ihrer
Lösungen machen es schwer zu entscheiden:
„wieviel Sicherheit ist eigentlich ausreichend“
Zu bedenken ist außerdem: „Zu viel Sicherheit“ kann die Effizienz einer Organisation beeinträchtigen
2
Mehrere Faktoren machen den Mainframe zu einem
interessanten Ziel für Attacken
§  Die Bedeutung des Mainframe wird häufig unterschätzt in der “heutigen Welt der
Distributed-Systeme“
“Most IT staff view the mainframe as just another network node, and
frequently more thought goes into protecting PCs than into securing
mainframes from intrusion.”
Dan Woods, The Naked Mainframe, Forbes.com
§  80% der zentralen Unternehmensdaten sind nach wie vor auf dem Mainframe. Diese
Daten sind ein ultimatives Ziel für Attacken
–  Datenbank Systeme wie DB2 und IMS
–  Personenbezogene Daten
–  Patientendaten
§  Security Policies werden häufig nicht konsequent umgesetzt oder sind veraltet
“As mainframes become a major component in service-oriented
architectures, they are increasingly exposed to malware. Web
services on the mainframe have had a significant impact on security.”
Meenu Gupta, President of Mittal Technologies Inc.
§  Advanced Persistent Threats (APTs)
3
§  Die Bedeutung des Mainframe wird häufig unterschätzt in der heutigen Welt der
distributed-Systeme
“Most IT staff view the mainframe as just another network node, and
frequently more thought goes into protecting PCs than into securing
mainframes from intrusion.”
Dan Woods, The Naked Mainframe, Forbes.com
§  80% der zentralen Unternehmensdaten sind nach wie vor auf dem Mainframe. Diese
Daten sind ein ultimatives Ziel für Attacken
–  Datenbank Systeme wie DB2 und IMS
–  Personenbezogene Daten
–  Patientendaten
§  Security Policies werden nicht konsequent umgesetzt oder sind veraltet
–  Inadequate Policies – e.g. legacy practices and standards no updated to address increased
technical sophistication of the enterprise and its increased leverage Web-based services
“Die Hacker sollen weit in die umfangreichen Computersysteme der Bank eingedrungen sein und über 90
Servererreicht haben. Wie tief sie letztlich eindringen konnten, scheint noch immer unklar, oder wird von der
Bank unter Verschluss gehalten.“
4
Das IBM Security Framework: Intelligenz, Integration und Expertise
Intelligenz
Integration
Expertise
55
Was ist Security Intelligence?
Security Intelligence
...ist das sammeln ( in real-time), normalisieren und analysieren von
Daten, die von IT-Nutzern, Applikationen und Infrastruktur erzeugt
werden, die Einfluss haben auf die IT-Sicherheit und Risiko-Situation
ihrer Enterprise-Infrastruktur !
6
Das QRadar Produkt Portfolio
Portfolio Overview
QRadar Log Manager
•  Turnkey log management
•  SMB to enterprise
•  Upgradeable to enterprise SIEM
QRadar SIEM
•  Integrated log, flow, threat, compliance mgmt
•  Asset profiling and flow analytics
•  Offense management and workflow
Network Activity Collectors (QFlow / VFlow)
•  Network analytics, behavior and anomaly detection
•  Layer 7 application monitoring
•  Fully integrated with SIEM
QRadar Risk Manager
•  Predictive threat modeling & simulation
•  Scalable configuration monitoring and audit
•  Advanced threat and impact analysis
QRadar Vulnerability Manager
•  Integrated Network Scanning & Workflow
•  Leverage SIEM, Threat, Risk to prioritize Vulnrs
7
Was leistet Security Intelligence für Ihr Business
Das Erkennen von Gefahren
Das Kosolidieren von Daten-Silos
Erkennen von „Insider-Attacken“
Die bessere Vorhersage von Business-Risiken
Das Erfüllen regulatorischer Vorgaben
8
QRadar ist der SIEM market leader
§  http://www.gartner.com/technology/
reprints.do?
id=1-1VW8N7D&ct=140625&st=sb
§ 
9
QRadar bietet eine integrierte Architektur
Eine Konsole für Security
Log
Management
SIEM
Risk &
Vulnerability
Management
Network and
Application
Visibility
•  Turn-key log management and reporting
•  SME to Enterprise
•  Upgradeable to enterprise SIEM
•  Log, flow, vulnerability & identity correlation
•  Sophisticated asset profiling
•  Offense management and workflow
•  Network security configuration monitoring
•  Vulnerability prioritization
•  Predictive threat modeling & simulation
•  Network analytics
•  Behavioral anomaly detection
•  Fully integrated in SIEM
•  Layer 7 application monitoring
•  Content capture for deep insight & forensics
•  Physical and virtual environments
Auf der Basis einer einheitlichen DatenArchitektur
10
QRadar
Core Capabilities:
Client Benefits:
• Real-time correlation of events, network flows, vulnerabilities,
assets, and threat intelligence
• Flow capture and analysis to support deep application insight
• Automated dashboards & numerous report templates out of
the box
• Workflow management to track threats and ensure resolution
• Scalable architecture to support largest enterprise
deployments
• Reduce the risk and severity of security breaches
• Remediate security incidents faster and more
thoroughly
• Ensure regulatory and internal policy compliance
effectively
• Reduce manual effort of security intelligence
operations
11
Die QRadar und System z Integration erfolgt mittels DSMs
§  DSMs (Device Support Module) sind “pluggable QRadar” Komponenten:
–  Jede “log source” benötigt ihren speziellen DSM
–  DSMs werden von einem speziellen QRadar Integrations Team entwickelt, und werden
unabhängig von QRadar Produkt Releases verfügbar gemacht.
–  Hunderte von DSMs werden als Teil des QRadar Produkts geliefert.
–  QRadar ‘autoupdate’ lädt neue oder aktualisierte DSMs automatisch auf ein existierendes
QRadar system.
§  DSMs werden konfiguriert und deployed auf dem QRadar SIEM-System
12
zSecure, Guardium, AppScan & QRadar
zSecure
§ z/OS
§ RACF
§ ACF2, TSS
§ CICS
Security Devices
Servers & Mainframes
Network/Virtual Activity
Guardium
§ DB2
§ IMS
§ VSAM
Database Activity
Application Activity
Configuration Info
AppScan
§ Web Apps
§ Mobile Apps
§ Web services
§ Desktop Apps
Event
Correlation
Activity Baselining &
Anomaly Detection
Offense
Identification
Threat Intelligence
User Activity
Vulnerability Information
Extensive Data Sources
+
Deep
Intelligence
=
Exceptionally Accurate and
Actionable Insight
ü  Bietet eine zentrale Sicht auf Mainframe und Distributed Netzwerk-Security Ereignisse, Aktivitäten und
Trends
ü  Bessere Real-Time Gefahren-Erkennung und Priorisierung mittels Guardium and zSecure
ü  S-TAP Informationen werden zu QRadar gesendet via Guardium Central Policy Manager
ü  SMF Daten mittels zSecure Audit und Alert (oder mittels der neu verfügbaren QRadar Adapter)
13
Fragen ?
14
14
ibm.com/security
© Copyright IBM Corporation 2013. All rights reserved. The information contained in these materials is provided for informational purposes
only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use
of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any
warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement
governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in
all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM’s sole
discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any
way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United
States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.
15

Security Analyse für System z mittels SIEM

Transcription

Similar documents

Compliance – stabile Säule des Unternehmenserfolgs