net iq sentinel log manager (work shop)
Post on 22-Nov-2014
1.115 views
DESCRIPTION
TRANSCRIPT
© 2012 NetIQ Corporation. All rights reserved.
日誌分析 / 即時監控 / 身份管理三合一 描繪資安新藍圖
Novell/NetIQ 台灣區產品經理 李民偉
© 2012 NetIQ Corporation. All rights reserved.
Agenda
§ 為什麼記錄管理如此重要?
§ 威脅與挑戰
§ 靜態事後工具 - 日誌管理平台
§ 即時威脅反應 - SIEM
§ 失落的拼圖 - 身份整合
§ 解決方案藍圖
© 2011 NetIQ Corporation. All rights reserved.
為什麼記錄管理如此重要?
3
© 2012 NetIQ Corporation. All rights reserved.
資訊/稽核人員面臨的環境
資料傳送 traps &報警 動態I/O 設定檔修改
Log
原始碼存取 活動報告
系統日誌
稽核軌跡
© 2012 NetIQ Corporation. All rights reserved.
§ 資訊人員日常管理作業
§ 服務/程式/網路偵錯及效能調校
§ 內控/內稽/違規存取分析
§ 資安事故分析
記錄管理在實務層面的效益
掌握LOG,就掌握整個IT環境的活動!
© 2012 NetIQ Corporation. All rights reserved.
§ 主管機關法規依循/標準導入
§ 訴訟舉證
記錄管理在法規依循層面的效益
© 2012 NetIQ Corporation. All rights reserved.
個資法的壓力及出口…
• 個資法第29條: • 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。
© 2012 NetIQ Corporation. All rights reserved.
達成法規條文規範/要求是最基礎的目標:
§ 個資法第6, 18, 27條相關規定
§ 個資法施行細則第12條:���
§ 一、配置管理之人員及相當資源。
§ 二、界定個人資料之範圍。
§ 三、個人資料之風險評估及管理機制。
§ 四、事故之預防、通報及應變機制。
§ 五、個人資料蒐集、處理及利用之內部管理程序。
§ 六、資料安全管理及人員管理。
§ 七、認知宣導及教育訓練。
§ 八、設備安全管理。
§ 九、資料安全稽核機制。
§ 十、使用紀錄、軌跡資料及證據保存。
§ 十一、個人資料安全維護之整體持續改善。
© 2012 NetIQ Corporation. All rights reserved.
達成法規條文規範/要求是最基礎的目標:
§ 個資法第6, 18, 27條相關規定
§ 個資法施行細則第12條:���
§ 一、配置管理之人員及相當資源。
§ 二、界定個人資料之範圍。
§ 三、個人資料之風險評估及管理機制。
§ 四、事故之預防、通報及應變機制。
§ 五、個人資料蒐集、處理及利用之內部管理程序。
§ 六、資料安全管理及人員管理。
§ 七、認知宣導及教育訓練。
§ 八、設備安全管理。
§ 九、資料安全稽核機制。
§ 十、使用紀錄、軌跡資料及證據保存。
§ 十一、個人資料安全維護之整體持續改善。
• 因應個資事件發生所採取行為的記錄。
• 確認受託人執行委託人要求事項的記錄。
• 提供當事人行使權利的記錄。
• 確認個人資料正確性及更正的記錄。
• 個資存取權限新增、變動及刪除的記錄。
• 違反權限存取個資行為的記錄。
• 備份及還原測試的記錄。
• 個人資料交付、傳輸的記錄。
• 個人資料刪除、廢棄的記錄。
• 存取個人資料系統的記錄 。
• 定期檢查處理個人資料資訊系統的記錄。
• 對員工執行相關教育訓練的記錄。
• 執行計畫稽核及改善程序的記錄。
© 2012 NetIQ Corporation. All rights reserved.
達成法規條文規範/要求是最基礎的目標:
§ 個資法第6, 18, 27條相關規定
§ 個資法施行細則第12條:���
§ 一、配置管理之人員及相當資源。
§ 二、界定個人資料之範圍。
§ 三、個人資料之風險評估及管理機制。
§ 四、事故之預防、通報及應變機制。
§ 五、個人資料蒐集、處理及利用之內部管理程序。
§ 六、資料安全管理及人員管理。
§ 七、認知宣導及教育訓練。
§ 八、設備安全管理。
§ 九、資料安全稽核機制。
§ 十、使用紀錄、軌跡資料及證據保存。
§ 十一、個人資料安全維護之整體持續改善。
記錄管理措施:建立無過失責任的基礎
© 2012 NetIQ Corporation. All rights reserved.
記錄管理措施:堅實的舉證/鑑識資料
• 各式作業/存取紀錄須具有還原現場之能力,意即舉證效力
• 常見的方法為利用簽章à加密à封存等技術達到要求
• 採用通過認證的日誌管理平台是最有效的方式!
© 2011 NetIQ Corporation. All rights reserved.
威脅與挑戰
12
© 2012 NetIQ Corporation. All rights reserved.
系統日誌 / 稽核軌跡的特性
幾乎所有設備/系統
皆會產生
依不同廠牌
而有不同格式
文字檔容易修改 保存時間
有法令上之要求
系統日誌
稽核軌跡
© 2012 NetIQ Corporation. All rights reserved.
Case 1
Case: (1) 案例:XX政府單位接獲技
服中心通報 (2) 通報內容:一個月前有內部電腦疑似連接對岸鬼網IP (3) 通報內容僅有此單位對外
IP (4) 承辦人員緊急調閱防火牆
日誌 (5) 防火牆日誌不全、記錄時間沒有進行校時,甚至僅有大量的syslog儲存,無法從巨量日誌中找出是哪一部電腦 (6) 最後終於找到了….但是,
找到的卻是Proxy的IP,Proxy沒有保留日誌。
(7) 資訊安全管理人員:欲哭無淚~~~~
此案例僅為模擬情境,如有雷同,純屬巧合
1. 沒有集中儲存機制 2. 沒有有效分析工具
3. 沒有明確訂立需保留日誌的作業設備
© 2012 NetIQ Corporation. All rights reserved.
Case 2
Case: (1) 案例:個資外洩
(2) 某公司發現有敏感資訊遭竊取 (3) 資訊人員第一時間進行查詢所有日誌,包含防火牆、入侵偵測系統、資料庫稽核系統、甚至所有網頁伺服器日誌,但因為沒有比較明確的時間,以及明確目標,導致無法協
助檢調單位進行數位鑑識。 (4) 檢調單位最後因為數位鑑識缺乏資料而導致無法找出個資外洩原因,此公司最後遭致極大的商譽損失
此案例僅為模擬情境,如有雷同,純屬巧合
1. 沒有集中儲存機制 2. 沒有有效分析工具 3. 缺乏日常安控查核 4. 日誌不具鑑識效力
© 2012 NetIQ Corporation. All rights reserved.
日誌管理的作為
§ 工具:完善的控管/稽核平台 − 集中式/同質性的記錄管理是管理面絕對必須的工具
§ 範圍:以機敏資訊/單位核心業務為關注範圍 − 完整的稽核軌跡應能連結:人/事/時/地/物
§ 準則:主管機關法規及內部作業規範
© 2011 NetIQ Corporation. All rights reserved.
靜態事後工具: ���日誌管理平台
17
© 2012 NetIQ Corporation. All rights reserved.
NetIQ ���Log Manager
日誌集中收集&保存
日誌資料正規化
高速搜尋報表產製
日誌封存保全
NetIQ SIEM Solution Set
© 2012 NetIQ Corporation. All rights reserved.
導入Log Manager所帶來之效益
l 日誌的整合收集&正規化
l 效益:協助設備管理/稽核/風管人員以統一的資料格式,集中的觀察角度分析危安因子
l 便利的報表產製
l 效益:大幅縮短因應各項管理/稽核業務研製報表的作業負擔
l 軌跡資料保存管理
l 效益:確保可達成組織對於軌跡資料留存期間規定之要求
l 效益:對儲存設備投資的合理評估
l 資料完整性確認
l 效益:確保軌跡資料內容的不可否認性&鑑識稽証效力
© 2011 NetIQ Corporation. All rights reserved.
即時威脅反應:���SIEM(Security Information Event Management)
20
© 2012 NetIQ Corporation. All rights reserved.
NetIQ���Sentinel
即時監控儀表板
日誌集中收集&保存
關聯分析引擎
日誌資料正規化
異常偵測
高速搜尋報表產製
資安事故流程管理
日誌封存保全
NetIQ SIEM Solution Set
© 2012 NetIQ Corporation. All rights reserved.
導入NetIQ Sentinel SIEM 所帶來之效益
l 即時監控儀表版
l 效益:增強對事件監控之視覺化操作,補強靜態搜尋之分析缺損
l 關聯分析/異常偵測
l 效益:將事件監控分析達到自動化,智慧化
l 事故流程系統
l 效益:達成事故處理明文化.具體化,可供驗證覆核
© 2012 NetIQ Corporation. All rights reserved.
即時威脅反應:符合法意/條文的安管措施
§ 個資法第6, 18, 27條相關規定
§ 個資法施行細則第12條:���
§ 一、配置管理之人員及相當資源。
§ 二、界定個人資料之範圍。
§ 三、個人資料之風險評估及管理機制。
§ 四、事故之預防、通報及應變機制。
§ 五、個人資料蒐集、處理及利用之內部管理程序。
§ 六、資料安全管理及人員管理。
§ 七、認知宣導及教育訓練。
§ 八、設備安全管理。
§ 九、資料安全稽核機制。
§ 十、使用紀錄、軌跡資料及證據保存。
§ 十一、個人資料安全維護之整體持續改善。
© 2012 NetIQ Corporation. All rights reserved.
Log Manager V.S. SIEM
SIEM Log Manager
• 事件過濾 • 事件關聯分析 • 事件監控 • 事件報警 • 事故回應管理
• 軌跡資料保存管理 • 軌跡資料壓縮儲存 • 資料完整性確認 • 可接收任何設備的軌跡資料
• 資料搜索 • 報告產生
擔任系統軌跡資訊管理的角色 擔任資安事故反應管理的角色
© 2012 NetIQ Corporation. All rights reserved.
回顧:您的單位在記錄管理措施上,做到哪裡了?
© 2011 NetIQ Corporation. All rights reserved.
失落的拼圖:���身份整合
26
© 2012 NetIQ Corporation. All rights reserved.
Case 1
§ 某企業透過SIEM平台發現內部有電腦感染病毒,但每次清除病毒一段時間,又會發生中毒的現象。
§ 透過IAM所提供的使用者資訊做關連身分追蹤後,才發現原來是IT人員使用遭感染的USB裝置連接電腦以執行日常維護作業,導致電腦中毒的情況不斷出現。
© 2012 NetIQ Corporation. All rights reserved.
Case 2
§ 某企業的IAM顯示員工半夜在台北登入系統後,5分鐘後又於高雄再次登入系統
§ 雖然此現象極不合理,但管理人員卻難以判斷該帳號是在不知情的情況下遭人所盜用?還是該員工擅自將自己的帳號分享給他人使用?
© 2012 NetIQ Corporation. All rights reserved.
Case 3
§ 是某銀行的系統管理者,透過密碼函的流程申請特權帳號和密碼,在指定時間內執行昇級維護或程式過版任務,但為一時之便,未經主管同意,偷開了一個帳號以利日後不時之需。能做到即時通報和阻止嗎?
© 2012 NetIQ Corporation. All rights reserved.
全球趨勢與規劃策略
§ 遵循Gartner研究機構的最佳規劃與實作建議(Best Practices)
− Gartner Research Note G00150692: Security Information and Event Management Complement Identity and Access Management Audits (2007)
− Gartner Research Note G00162649: Best Practices for Managing Superuser Privileges (2008)
− Gartner Research Note G00173382: Top 10 Security Technology Project Priorities for 2010
§ 規劃策略與目標:建置符合 IT GRC 策略的方案架構
− 達成帳號與權限管理自動化(Automation)目標
− 符合法規稽核與日誌管理驗證(Validation)要求
© 2012 NetIQ Corporation. All rights reserved.
關鍵發現
- 有了SIEM的配合,可以有效補足並延伸IAM(帳號與權限管理)方案中稽核與報告的功能與視野
- 而SIEM(稽核與日誌管理)方案,也需要參考到IAM中的使用者
和資源存取政策的定義,以有效進行使用者活動與行為的關連分析,兩者合作相得益彰。
以IAM+SIEM 達成
User Activity Monitoring + Audit
© 2012 NetIQ Corporation. All rights reserved.
Other
Applications… Human
Resources
資料庫檢索/查詢/異動
eMail AD
LDAP
業務系統 檔案伺服器
密碼管理
? 存取安全
?
權限管理精準度
?
幽靈帳號
?
管理成本,作業效率
? 帳號資料
一致性 ?
認證與稽核 ?
員工 駐外員工 內部員工 約聘員工 臨時雇員 外包合作夥伴 廠商
Windows, Linux, UNIX, 各式DB, AD, LDAP…中皆有帳號
方案定位: 解決IT資源與人員的複雜關係
© 2012 NetIQ Corporation. All rights reserved.
員工 駐外員工 內部員工 約聘員工 臨時雇員 外包合作夥伴 廠商
Identity
身分整合。單一簽入。存取安全。權限控管。稽核。自動化
Identity & Security 方案的定位
Other
Applications… Human
Resources
資料庫檢索/查詢/異動
eMail AD
LDAP
業務系統 檔案伺服器
Windows, Linux, UNIX, 各式DB, AD, LDAP…中皆有帳號
帳號與權限管理
© 2012 NetIQ Corporation. All rights reserved.
策略藍圖: Automation and Validation���Supporting Governance, Risk Management, and Compliance
帳號與權限管理 Identity and Access
Management
• Roles, Rules, Workflow and Approval Process
• Identity Integration and Lifecycle Management
Line-of-Business Manager
Compliance Manager CSO, or Auditor
稽核與日誌管理 Security Event
Management • Logging, Audit and
Reporting
• Activity Monitoring
• Event Correlation
• Validation and Remediation
資安政策, 稽核作業
Mainframes UNIX Linux
Windows Apps Directories AD, LDAP
Physical Access
Databases Firewall
Automate 自動化
Validate 驗證
成為企業IT部署的標準
© 2012 NetIQ Corporation. All rights reserved.
建置啟用身分識別功能的安全性
識別身分的安全性與法規依循監控
角色型佈建
帳戶同步
帳密管理
稽核作業
即時監控
記錄管理
身份識別管理 安全性監控
權限控管:能做什麼?
帳號管理:建立對應關係
辨識身份:是誰? 軌跡紀錄:做了什麼?
即時自動分析可能違規/可疑活動
事後調閱事件,產生符合作業規範的管理
報表
© 2012 NetIQ Corporation. All rights reserved.
更多有價值的資訊…
§ 記錄應將安全性中多方面的事務與多個角色連結:��� − 網路安全性 (防火牆、IDS)
− 主機安全性 (管理員、開發人員)
− 法規相符 (稽核、隱私權)
− 物件存取 (機敏資訊及單位關鍵業務平台)
− 建立記錄與其他資料 (如資產、弱點、效能與設定) ���之間的相互關聯,可造就更全面的安全性管理循環
© 2012 NetIQ Corporation. All rights reserved.
兼顧IT治理及法規依循的安全管理週期
日誌管理平台
即時威脅監控 身份管理整合
維安因子審閱/稽核/作業規
範
結合法規依循項目,修訂/落實單位作業規範及章程
完備的記錄使用者活動
定期審閱日誌/報表
集中的身分à權限對應管理,落實以身份為目標的
安全管控
人力分析à智慧性的監測分析工具
事後查核à即時監控/反應
© 2012 NetIQ Corporation. All rights reserved.
日誌管理/SIEM:匯集各項安控資訊的指揮中心
日誌管理威脅反應
整合身份驗證
權限控管同步
使用者行為記錄
維運/資產參照資料
日誌管理威脅反應
整合身份驗證
權限控管同步
使用者行為記錄
維運/資產參照資料
日誌管理威脅反應
整合身份驗證
權限控管同步
使用者行為記錄
維運/資產參照資料
日誌管理威脅反應
整合身份驗證
權限控管同步
使用者行為記錄
維運/資產參照資料
⽇日誌管理威脅反應
整合⾝身份驗證
權限控管同步
使⽤用者⾏行為記錄
維運/資產���參照資料
© 2011 NetIQ Corporation. All rights reserved.
面對資料外洩 及訴訟相關風險
您該怎麼計劃您的IT投資?
© 2012 NetIQ Corporation. All rights reserved. 4
About Us
© 2012 NetIQ Corporation. All rights reserved. 4
About Us
© 2012 NetIQ Corporation. All rights reserved. 4
About Us
經過數次財務&品牌上的整併 Novell旗下主力產品(身份認證/存取管理/日誌管理/SIEM)相關產品線
改由NetIQ進行銷售 Attachmate集團中四個BU的產品
在台灣統一由原有之Novell台灣辦公室銷售及售後服務
© 2012 NetIQ Corporation. All rights reserved.
完整架構藍圖
© 2011 NetIQ Corporation. All rights reserved.
符合資安稽核的帳號管理NetIQ Identity Manager (IDM)
主機權限.稽核軌跡.異動管理 NetIQ Privileged User Manager (NPUM)
NetIQ Change Guardian
日誌保存 NetIQ Sentinel LogManager
即時安控管理 NetIQ Sentinel SIEM, Compliance Platform
整體方案設計
© 2012 NetIQ Corporation. All rights reserved. 4
Gartner魔術象限 (Magic Quadrant)
“Novell在有關身份及安全管理的四個魔術象限 ,全部� 都在右上角的領導者區域 (Leader): user provisioning, web access�
Management, enterprise single sign-on and security information and event management (SIEM).”� �
Novell is the only vendor in the leaders quadrant of Gartner's Magic Quadrant for all four markets: user provisioning, web access management, enterprise single sign-on and security information and event
management (SIEM).� �
Worldwide Headquarters 1233 West Loop South, Suite 810 Houston, Texas 77027 USA Worldwide: 713.548.1700 N. America Toll Free: 1.888.323.6768 [email protected] NetIQ.com
Follow NetIQ:
NetIQ, an Attachmate business. © 2011 NetIQ Corporation. All rights reserved.
46