Embed Size (px)
Citation preview
Sourcefire v kontextu Zákona o kybernetické bezpečnosti a integrace se SIEM systémy Michal Rapco, Head of Security Department, CCIE#18608 Ivan Svoboda, Security Business Development Manager 17. 6. 2014
• Zákon o kybernetické bezpečnosti (ZKB) – aktuální stav
• Souvislost ZKB se Sourcefire
• Integrované nástroje Sourcefire Defense center
• Integrace Sourcefire do SIEM nástrojů
• ANECT SOC
§ § §
Zákon o kybernetické bezpečnosti – aktuální stav • ZKB prošel 2. čtením v PS PČR • Následuje:
• 3.čtení (plánováno na 18.6.2014) • projednání a schválení Senátem PČR • podepsání zákona prezidentem ČR
• Předpokládaný začátek účinnosti: 1.1.2015 • 30 denní lhůta pro oznámení kontaktních údajů na vládní CERT a národní CERT • roční lhůta na naplnění všech bezpečnostních opatření (organizačních a technických)
• Prováděcí vyhláška k ZKB (NBÚ)
Souvislost ZKB se Sourcefire • Požadavky zákona:
• §5 odst. 3: Technickými opatřeními jsou: “… b) nástroj pro ochranu integrity komunikačních sítí, e) nástroj pro ochranu před škodlivým kódem, f) nástroj pro zaznamenávání činnosti kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů, g) nástroj pro detekci kybernetických bezpečnostních událostí, h) nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí, …“
Souvislost ZKB se Sourcefire • Požadavky zákona:
• §8 Hlášení kybernetického bezpečnostního incidentu (1) Orgány a osoby uvedené v § 3 písm. b) až e) jsou povinny hlásit kybernetické bezpečnostní incidenty v jejich významné síti, informačním systému kritické informační infrastruktury, komunikačním systému kritické informační infrastruktury nebo významném informačním systému, a to bezodkladně po jejich detekci; tím není dotčena informační povinnost podle jiného právního předpisu3). (2) Orgány a osoby uvedené v § 3 písm. b) hlásí kybernetické bezpečnostní incidenty provozovateli národního CERT. (3) Orgány a osoby uvedené v § 3 písm. c) až e) hlásí kybernetické bezpečnostní incidenty Národnímu bezpečnostnímu úřadu (dále jen „Úřad“). (4) Prováděcí právní předpis stanoví a) typy a kategorie kybernetických bezpečnostních incidentů a b) náležitosti a způsob hlášení kybernetického bezpečnostního incidentu.
SIEM / SD
Integrované nástroje SourceFire Defense Center • Korelace událostí • Management incidentů • Hlášení incidentů (reporting)
Integrované nástroje SourceFire Defense Center Korelace událostí
100,000 events
5,000 events
500 events
20 events
+10 events
3 events
Integrované nástroje SourceFire Defense Center Management incidentů
Integrované nástroje SourceFire Defense Center Hlášení incidentů (reporting)
Integrované nástroje SourceFire Defense Center Hlášení incidentů (reporting)
Service Desk
Integrace Sourcefire do SIEM nástrojů Stačí jen Sourcefire Defense Center samotný ? …
AV, AntiSPAM
Server Log
FW, NetworkIPS,
AntiMalware
SIEMIBM QRadar CA
ODBCSyslogOPSEC LEASNMP TrapWMISDEE/RDEPAgent (log reader)Vendor specific
Skript
Detekce Korelace Procesy/Hlášení
Integrace Sourcefire do SIEM nástrojů • Zasílání výstrah:
• E-mail • SNMP trap (v1-2-3) • Syslog
• eStreamer API
• JDBC SSL - RO přístup k Sourcefire 3D systémové databázi
Service Desk
Integrace Sourcefire do SIEM nástrojů
AV, AntiSPAM
Server Log
FW, NetworkIPS,
AntiMalware
SIEMIBM QRadar CA
Detekce Korelace Procesy/Hlášení
Skript
Automatické zakládání incidentů v SD
Analýza reportů
Korelace SIEM
Detekční nástroje LOGY FLOW MALWARE DLP
Preventivní nástroje FW NGFW IPS AV URL SPAM DDOS
Cenná aktiva DATA SERVERY APLIKACE SÍTĚ
Řízení incidentů (ZKB)
SIEM „PLUS“
Opravdová bezpečnost (24x7)
