Presentation is loading. Please wait.

Presentation is loading. Please wait.

IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 11.Marec 2008, IBM Bratislava Juraj Polak, IBM SW Group Tivoli sales manager Security Information.

Similar presentations


Presentation on theme: "IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 11.Marec 2008, IBM Bratislava Juraj Polak, IBM SW Group Tivoli sales manager Security Information."— Presentation transcript:

1 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 11.Marec 2008, IBM Bratislava Juraj Polak, IBM SW Group Tivoli sales manager Security Information and Event Management

2 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 211.Marec 2008, IBM Bratislava Assess Defend Access Watch WATCH internal and external behaviors; address aberrations and violations ASSESS the overall security and compliance status of business infrastructure DEFEND against potential security threats and business risks Manage ACCESS of business systems and information to ensure integrity and compliance IBM’s security management vízia and stratégia: Kompletná security and compliance ponuka

3 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 311.Marec 2008, IBM Bratislava Assess Defend Access Watch  GBS Assessment consulting  ISS Vulnerability Assessment Service  ISS Enterprise Scanner  Tivoli Compliance Insight Manager  Tivoli Identity and Access Management Solutions  System z RACF  ISS Site Protector  IBM Health Checker for z/OS  Tivoli Security Operations Manager  Tivoli Compliance Insight Manager  ISS preemptive security solutions (ahead of the threat)  ISS Products & Managed Services  IBM network and security data encryption offerings IBM’s security management vision and strategy: Integrované produkty Tivoli, ISS, STG and IGS

4 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 411.Marec 2008, IBM Bratislava “Najlepšia cesta ako sa ochrániť pred vnútorným porušovaní práv je monitorovať databázový a sieťový prístup na nezvyžajné aktivity a nastaviť prahové hodnoty ktoré reprezentujú akceptovateľné správanie sa rôznych používateľov.” Source: InformationWeek, Feb. 15, 2007 Čo sa stalo:  Zamestnanec odchádzal ku konkurencii  Otvoril databázu  Preniespol 180 documenton na nový laptop Carnegie Mellon CERT komentár:  “75% … úniku dôverných informácií … bolo pripísaných súčasným zamestnancom”  “45% už potvrdilo prácu pre inú spoločnosť” CIA Comments:  “…vývojári a vedci majú tendenciu nahliadať na firemné intelektuálne vlastníctvo ako na vlastné… a niečo z toho si chcú vziať so sebou” Čo sa stalo:  Zamestnanec odchádzal ku konkurencii  Otvoril databázu  Preniespol 180 documenton na nový laptop Carnegie Mellon CERT komentár:  “75% … úniku dôverných informácií … bolo pripísaných súčasným zamestnancom”  “45% už potvrdilo prácu pre inú spoločnosť” CIA Comments:  “…vývojári a vedci majú tendenciu nahliadať na firemné intelektuálne vlastníctvo ako na vlastné… a niečo z toho si chcú vziať so sebou” Massive Insider Breach at DuPont February 15, 2007 – A research chemist who worked for DuPont for 10 years before accepting a job with a competitor downloaded 22,000 sensitive documents and viewed 16,706 more …

5 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 511.Marec 2008, IBM Bratislava Insider threats – perhaps the most dangerous! The problem:  3 of the Top 10 Threats to Enterprise Security are insider related: –Employee error –Data stolen by partner/employee –Insider Sabotage  Insider driven fraud costs US enterprises over $600 Billion annually How to handle:  Get better visibility into activity of privileged user accounts and access  Improve identity controls  Automate monitoring and audit to more easily flag threats

6 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 611.Marec 2008, IBM Bratislava Challenges Facing IT Organizations 1: IBM Service Management Market Needs Study, March 2006 64% of CIOs feel that the most significant challenge facing IT organizations is Security, Compliance and Data Protection 63% of IT executives also cite complying with government regulations as a key challenge¹ Q1. I’d like to turn your attention to some of the challenges facing IT organizations today. Please use a scale of 0 to 10 where 10 means it is “the top challenge” and 0 means that it is “not currently a challenge.” N=1089

7 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 711.Marec 2008, IBM Bratislava 7 Regulations, Standards, and Source = Compliance, Compliance, Compliance, Compliance, Compliance

8 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 811.Marec 2008, IBM Bratislava Interní zamestanaci (ne)úmyselne robia veľké škody  87% interných incidentov je zapríčinených privilegovanými alebo technickými používateľmi  Mnohé sú nevedomými porušeniami: –Change management procesu –Používateľských predpisov  Ostatné sú považované ako následok: –Pomsty (84%) –“Negatívnych udalostí” (92%) (spájanie alebo rozdelenie spoločnosti)  Akokoľvek je to príliš nákladné ignorovať: –Interné útoky stoja 6% hrubého obratu –$400 billion iba v USA Sources: Forrester research, IdM Trends 2006; USSS/CERT Insider Threat Survey 2005; CSI/FBI Survey, 2005; National Fraud Survey; CERT, various documents. Kto zapríčinil interné incidenty? Privilegovaný alebo technický používatelia (87%) Ostatné (13%)

9 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 911.Marec 2008, IBM Bratislava  Produktivita operatívy – priveľa dát, mnoho formátov, complex procesov  Obmedzené zdroje – závislé na fixných zdrojoch – ľudia, hardware, software  Business Risk – pochopenie súvislosti security porušení na business  Regulatory Compliance – súlad s nariadeniami ako SOX Basel II, PCI DSS = Payment Card Industry Data Security Standard  IT Proces optimalizácia – zdielanie a výmena informácií (NOC, SOC, Help Desk) Operations Business Security Obmedzenia Security Operatívy

10 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 1011.Marec 2008, IBM Bratislava Špecifické riešnia dodávateľov Host IDS Network IDS Firewall Antivirus Apps Routers Servers Manuálna Korelácia Monžstvo konzol Multi-Vendor, Multiple-Domain Prostredie Virus Typická Security prevádzka

11 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 1111.Marec 2008, IBM Bratislava Security Information and Event Management (SIEM)

12 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 1211.Marec 2008, IBM Bratislava Network-centric útoky, porušenie konfigurácie použitia Preťaženiue Security Dátami Zmiernenie škody Security Incidentu Security Operations IT Security Internal Audit Porušenie používateľských predpisov (Kto?) PUMA Reporty súladu s nariadeniami User Persona: Problem: Product: Tivoli Compliance InSight Tivoli Security Operations Manager (TSOM) Solution: Incident Management Security Event Mgmt (SEM) User Activity Monitoring Security Info Mgmt (SIM) Tivoli Security Operations Manager and Tivoli Compliance InSight manager

13 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 11.Marec 2008, IBM Bratislava Tivoli Security Operations Manager

14 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 1411.Marec 2008, IBM Bratislava  Intelligentný panel na manažovanie complexného security prostredia  Komunikuje kritické security informácie v IT organizácii  Real-time, korelácia udalostí z voiacerých zdrojov na zvýšenie rozpoznania incidentov  Integrované váhovanie zariadení napomáhajúce prioritizácií prešetrenia  Integrované incident prešetrenie a automatizovaná náprava  Prispôsobiteľné reporty pre audit, trendovanie a zhoda Operational Efficiency Risk Reduction Audit and Compliance Tivoli’s Security Operations Manager

15 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 1511.Marec 2008, IBM Bratislava Frequency Event Class Domain Frequency Consolidated View via Main Dashboard

16 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 1611.Marec 2008, IBM Bratislava Centralizovaný Reporting – On Demand alebo Pravidelne

17 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 1711.Marec 2008, IBM Bratislava Management Systems: NS escalates to: Remedy ARS HP OpenView IBM/Tivoli CA Unicenter Micromuse Netcool Management Systems: Source of events into NS: NetScreen Global Pro ISS RealSecure SiteProtector Tripwire Manager Intrusion, Inc. SecureNet Manager McAfee ePO Symantec ESM Integrated Investigative Tools: NS GeoLocator Service Hostname and WHOIS Lookup Finger NMAP HTTP Probe OS Fingerprint SNMP Probe SMTP Probe RPC Probe NFS Probe CGI Vulnerability Probe Trace Route UDP/TCP Port Scan QualysGuard Web Servers: Apache Microsoft IIS BEA WebLogic Server Logs Operating Systems Logs: Solaris (Sun) AIX (IBM) RedHat Linux SuSE Linux HP/UX Microsoft Windows Event Log Nokia IPSO OpenBSD Tripplight UPS Antivirus: CipherTrust IronMail McAfee Virus Scan Norton AntiVirus (Symantec) McAfee ePO Trend Micro InterScan Application Security: Blue Coat Proxy Teros APS VPN: Neoteris IVE (NetScreen) Check Point Cisco IOS Nortel Contivity Network-based Intrusion Detect/Prevention: Intruvert (NAI) Intrushield Sourcefire Network Sensor Juniper Networks NetScreen IDP AirMagnet ISS RealSecure ISS Proventia ISS BlackICE Sentry Cisco Secure IDS SNORT IDS Enterasys Dragon Intrusion's SecureNetPro NFR NID Symantec ManHunt ForeScout ActiveScout Top Layer Attack Mitigator Labrea TarPit IP Angel AirDefense Lancope StealthWatch Tipping Point UnityOne NDS Host-based Intrusion Detect/Prevention: Cisco CSA (Okena) NFR HID Sana Security – Primary Response Snare Symantec Intruder Alert (ITA) Sygate Secure Enterprise Tripwire ISS RealSecure Entercept HIDS (NAI) Firewalls: Juniper Networks NetScreen Check Point Firewall-1 Cisco PIX CyberGuard Fortinet FortiGate GNATBox Linux IP Tables Lucent Brick Stonesoft's StoneGate Secure Computing's Sidewinder Symantec's Enterprise Firewall SonicWALL Sun SunScreen Vulnerability Assessment: Nessus Vigilante ISS Internet Scanner QualysGuard Foundstone eEye Retina SPI Dynamics WebInspect Harris STAT Routers/Switches: Cisco Routers Cisco Catalyst Switches Nortel Routers TACACS / TACACS+ Policy Compliance: Vericept Podporované zariadenia

18 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 11.Marec 2008, IBM Bratislava Tivloli Compliance Insight Manager

19 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 1911.Marec 2008, IBM Bratislava Spoločnosť Consul Expert na security audit a compliance Ocenený tlačou a analytikmi 350+ zákazníkov celosvetovo Založená 1986 (20 rokov v 2006) Centrála Herndon, VA EMEA ústredie Delft, Holandsko Partnerstvo s BMC, IBM a predajcami na celom svete Najúplnejšie riešenie pre monitoring, auditing a reporting dúverných používateľov Log management Database and Application auditing Mainframe audit and Admin

20 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 2011.Marec 2008, IBM Bratislava Tivloi Compliance Insight Manager TCIM konsoliduje všetky informácie v logoch všetkých serverov podniku, a reportuje porušenia správania používateľov a predpisov.

21 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 2111.Marec 2008, IBM Bratislava  Unikátna schopnosť monitorovať správanie sa používateľov  Manažment zhody mpoduly a špecifický reporty podľa nariadení  Široký a kompletný log a audit sledovací systém  W7 log normalizácia prekladá logy do zrozumiteľnýho tvaru (English)  Jednoduichá možnosť porovnať správanie voči nariadeniam a firmeným predpisom InSight

22 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 2211.Marec 2008, IBM Bratislava IT a Business manažment:  Dokážete monitorovať kohokoľvek kto je v styku alebo monitoruje citlivé dáta neadekvátne?  Dokážete verifikovať či outsourcing firma manažuje systémy a dáta zodpovedne?  Dokážete reportovať neautorizované zmeny v prevádzke IT?  Ste upozortnený na vytvorenie root administratívneho účtu?  Dokážete prešetrovať incidenty pravidelne? Otázky auditora:  Sú logy aplikácie, databázy, OS a zariadení udržované a kontrolované?  Sú aktivity systémových administrátorov a operátorov logované a kontrolované pravidelne_  Je každý prístup k citlivým dátam – vrátane root admin a DB admin logovaný?  Sú používané automatizované nástroje pre kontrolu audit záznamov?  Sú security incitenty a podpozrivé aktovoty analyzované, prešetrené a následne prijaté opravné opatrenia? Aký PROBLEM riešime ???? Aké otázky sa spýtame ?

23 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 2311.Marec 2008, IBM Bratislava Ďalšie možné otázky auditora  Ochrana osobných dát: –Má DB Admin prístup k dôverným informáciám? –Poškodzujú dôveryhodný používatelia HR data? –Môže administrator porušiť identity napr. prevzatím identity?  Porušenie systémových predisov: –Boli vykonané neautorizované systémové zmeny? –Vypol root user audit? –Kedy OS administrator vymazal audit logy? –Kto zastavil kľúčové system procesy bez oprávnenia?  Administrator narušenia segregation of duties:Oddelenie právomoci –Inicioval kotokoľvek a schválil transakciu v applikácii? –Admin vytvoril a potvrdil novú identity(účet)/oprávnenia v systéme?

24 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 2411.Marec 2008, IBM Bratislava Consul InSight Monitoruje zhodu spávania používateľov ergo RISKMANAGEMENT !!!!! Tivoli Compliance InSight manager porovnáva čo by sa malo diať (policy) versus čo sa deje (správanie), poskytoje nepretržitú gap analýzu zhody. Porovnanie “Žiadaného” Versus “Skutočného” správania Čo robia ľudia v mojej sieti?

25 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 2511.Marec 2008, IBM Bratislava Posledné správy  New version of TCIM 8.5 TSOM 4.1 TSIEM bbundle –TSIEM announcement : –http://www.ibm.com/common/ssi/rep_ca/8/897/ ENUS208-008/ENUS208008.PDFhttp://www.ibm.com/common/ssi/rep_ca/8/897/ ENUS208-008/ENUS208008.PDF –TCIM, TSOM –http://www.ibm.com/common/ssi/rep_ca/8/649/ ENUSA07-2438/ENUSA072438.PDFhttp://www.ibm.com/common/ssi/rep_ca/8/649/ ENUSA07-2438/ENUSA072438.PDF –http://www.ibm.com/common/ssi/cgi- bin/ssialias?infotype=AN&subtype=CA&htmlfid =897/ENUS208-007&appname=USN –TSIEM information center –http://publib.boulder.ibm.com/infocenter/tivihel p/v2r1/index.jsp?topic=/com.ibm.tsiem.doc/wel come.htm  REDBOOK –http://www.redbooks.ibm.com/abstracts/sg247 531.html  TCIM –Embedded DB2 database –- No more need for Oracle –Centralized User Management –- Uses IBM TDS to make user management on multiple servers easy. –Compliance Modules –- New modules for PCI and ISO 27001 –Event Sources/ Integration –- Tivoli Federated Identity Manager –- Tivoli Directory Server –- IBM Informix Dynamic Server –- IBM DB2 9.2 –- ISS SiteProtector –- TAMeB 5.1/ zLinux –- MySAP –- (Updates to z/OS event source as fixes, and zSecure specific)

26 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 2611.Marec 2008, IBM Bratislava “DEMO” 

27 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 2711.Marec 2008, IBM Bratislava Compliance Modules W7 Policy Tab.

28 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 2811.Marec 2008, IBM Bratislava Špecifické moduly podľa nariadení pomocou reportov urýchlia prácu na zisťovaní zhody, šetria Vaše zdroje a náklady na audit.

29 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 2911.Marec 2008, IBM Bratislava Operational Change Control Operational Change Control Report Prehľad pervádzkových zmien vykonaných rôznymi skupinami.

30 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 3011.Marec 2008, IBM Bratislava Eventlist Event List Detailný pohľad všetkých aktivít admina na serveri Financial – tu uvidíme vytvorenie používateľa USER: Chin055

31 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 3111.Marec 2008, IBM Bratislava EventDetail An Event Detail Report Naviac okamžitý pohľad na špecifickú udalosť, prehľad všetkých detailov dokonca môžme vidieť natívny log file

32 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 3211.Marec 2008, IBM Bratislava Ďakujem  juraj.polak@sk.ibm.com

33 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 3311.Marec 2008, IBM Bratislava Customer Scenario: Demonstrate Compliance Company profile: Fortune1000 food retailer Stock listed 350,000 employees 2,500 stores Issues: Compliance with SOX, HIPAA and PCI –Privileged user monitoring and audit –Monitor the 40,000 monthly changes in access rights –Central and retail IT coverage required IBM Tivoli SIEM fills the gap: Activity auditing across: –Mainframe –AS400 –Windows –UNIX (AIX) –Databases (Oracle, SQL Server, UDB) –Firewalls and IDS SOX Management Module to meet reporting needs Benefits: Lower cost of enterprise compliance: –Collect and archive all security logs –Audit user behavior and data access –Monitor operational changes –Automated distribution of operational change activity reports for authorization and documentation (part of overall workflow process) Monitor and reduce risk of insider and privileged user threat “InSight saves us time, resources and money… By automating audit and compliance, my department can focus on other revenue- bearing areas of the business; we can do more with less.” – Customer Large US Grocery Chain

34 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 3411.Marec 2008, IBM Bratislava Customer Scenario: Protect Intellectual Property Company profile: Major diversified financial and travel services provider S&P 500 Issues: Protect intellectual property across global operations while outsourcing significant IT functions Need to monitor privileged users: –Significant audit finding –Concern for customer data –Major concerns about outsourcers Prove compliance in regulated environment (SOX, PCI) IBM Tivoli SIEM fills the gap: Activity auditing across various systems: –Mainframe –Windows –UNIX (Solaris, AIX) –Databases (Oracle, SQL Server, UDB) –Stratus –AS400 SOX and customized outsourcer reports Multi-million dollar investment with plans to monitor 20,000 systems at full deployment Benefits: Monitor outsourcers for compliance Audit behavior of privileged users Meet audit concern Fulfill regulatory requirements Improve operational efficiency Multinational Financial and Travel Services Provider

35 IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 3511.Marec 2008, IBM Bratislava User Scenario: Manage Security Operations Company profile: Publicly traded 80,000 employees Over 50 million subscribers Benefits: Minimized Business Risk due to automation and centralization of event management 75% reduction in security incidents that affect business and customer outage Increased visibility into the root causes from 25% to approx 90% Reduced time to mitigate worm outbreaks – Zotob was remediated across the company in less than 1 day Improved team efficiency –Team of 8 security analysts doing the job of 40 analysts in a 24x7 SOC. –98% reduction in time to mitigation of incidents IBM Tivoli SIEM fills the gap: Automated correlation and real-time monitoring of over 750 network security devices and 60,000 desktops and servers globally Secure internal & operations network infrastructure –Monitors perimeter networks, VPN interconnections, internal networks & servers authentication & authorization –Monitors traffic patterns to detect abnormal activities & isolate problems –Focuses effort on security exceptions and thresholds for incidents and business impact Real-time alert whenever network policy is violated Major US Wireless & Telco Provider Issues: Avoid business disruptions due to Internet-based incidents Highly complex infrastructure with high volume of events - needed to consolidate, integrate, centralize security operations Unable to detect and mitigate network security violations in a timely manner


Download ppt "IBM IT & Business Days / Bezpečnosť © 2008 IBM Corporation 11.Marec 2008, IBM Bratislava Juraj Polak, IBM SW Group Tivoli sales manager Security Information."

Similar presentations


Ads by Google