Proof of Concept SIEM

Transcriptie

1 INLEIDING Organisaties hebben tegenwoordig te maken met een continue veranderende omgeving waarbij verschillende belangen ook nog eens lijken te conflicteren. Aan de ene kant neemt de druk op bedrijven toe om zich meer en meer te focussen op de kernprocessen van de organisatie. Men moet zich telkens de vraag stellen of bepaalde ICT-activiteiten nog wel door eigen medewerkers uitgevoerd moet of kan worden. Aan de andere kant wordt het belang van betrouwbare informatie in onze samenleving en organisaties steeds groter waardoor ook een toenemende wet- en regelgeving op dit gebied ontstaat. Bij deze ontwikkelingen worden een aantal aspecten van Informatiebeveiliging steeds belangrijker: Wie gebruikt uw informatie?; Blijft de informatie bij transport en gebruik integer en vertrouwelijk?; Hoe regelt u de toegang tot uw informatie?; Is de organisatie gebonden aan regelgeving waarbij eisen aan de fysieke beveiliging van Informatiebeveiliging oplossingen worden gesteld?; Heeft u goed inzicht in de optredende risico s. Dit alles stelt niet alleen veranderende eisen aan uw security-visie en security oplossingen maar ook aan uw leveranciers. Een ontwikkeling die daarbij steeds meer onder de aandacht komt is het zichtbaar maken van de security informatie binnen uw netwerk. ZICHTBAARHEID Alle organisaties hebben inmiddels maatregelen genomen om de risico s met betrekking tot informatiebeveiliging te beperken. Er zijn firewalls geplaatst, Antivirus software geïnstalleerd, er zijn regels voor toegangscontrole ingevoerd, Servers en applicaties zijn dichtgetimmerd etc. etc. Bovendien is vaak op elk onderdeel van dit informatiebeveiligingsbolwerk een bepaalde mate van controle van toepassing. Echter door de diversiteit aan maatregelen en de hoeveelheid aan LOG-informatie die elk van de oplossing kan genereren, is het ondoenlijk om deze informatie goed te beoordelen op beveiligingsrisico s. Een systeem dat LOG-informatie van diverse componenten uit de infrastructuur verzameld (aggregatie) en ook nog eens gebeurtenissen met elkaar in verband brengt (correlatie) biedt zeer veel voordelen. Deze systemen vallen onder de noemer Security Information & Event Management.

2 Avensus levert haar oplossing op basis van de Security Threat Response Manager (STRM) producten van Juniper Networks. Dit kan op 2 manieren: Turn key oplossing waarbij het Security Dashboard wordt overgedragen aan uw eigen beheerorganisatie waarbij Avensus kan dienen als 3e lijns support; Managed Service waarbij het Security Dashboard (maar niet de data) door Avensus wordt beheerd. MEER DAN ALLEEN LOG MANAGEMENT In beide gevallen staat de Security Threat Response Manager aan de basis en dit levert enkele onderscheidende voordelen: Naast LOG aggregation en Correlation geeft STRM ook de onontbeerlijke NETWORK VISIBILITY via: o Toevoeging van Network Behaviour Anomaly Detection(NBAD) informatie. Dus er wordt gekeken naar de INFORMATIE van het netwerk-verkeer (dus niet naar de inhoud van dat verkeer). Zodoende krijgt men veel betere zichtbaarheid van het netwerk. De achterliggende technieken daarbij zijn o.m.sflow, NETFLOW, JFLOW, QFLOW; o User Integratie met user directories zodat gebruikersnamen gekoppeld kunnen worden aan incidenten; Appliance based; De LOG info wordt TAMPER PROOF opgeslagen; Geen expertise nodig voor bijvoorbeeld database tuning ; Informatie kan verrijkt worden met bv Vulnerability/Scanner informatie van o.m. Nessus of Qualys; Vele Compliancy Reporting templates waarmee een uitstekende rapportage is te verzorgen naar alle belanghebbende binnen de organisatie. Verder kan het STRM systeem uitgebreid worden met ondermeer: o Distributed Intrusion Prevention systemen; o Compliancy systemen; o Een workflow / helpdesk ticket systeem;

3 PROOF OF CONCEPT Avensus is gewend om bepaalde oplossingen in een Proof of Concept aan te bieden bij onze klanten. Een Proof of Concept (PoC) leent zich bij uitstek om de waarde van de oplossing voor de organisatie en de impact daarvan aan te tonen tegen minimale investeringen. Voor POC- zijn een aantal uitgangspunten gedefinieerd die in onderstaand schema zijn gevisualiseerd:

4 Device ondersteuning: 2 firewalls 1 Antivirus management server 5 netwerk devices (router/switch) 5 Servers (Windows/Linux) PoC diensten: -inrichting (3dg) Plaatsing en configuratie van STRM appliance en LOG collector; Inregelen van EVENTS en FLOWS; Definities inbrengen van alle assets (netwerken, servers, etc.); Tuning van standaard ruleset; Inrichting Security Dashboard; Bouw van standaard rapportages; Tuning en review (3 x ½ dag); Evaluatie en afbouw (½ dag). Doorloop: 4 weken Specificaties normale proefomgeving: STRM devices (uitbreidbaar tot maximaal ); 250 events per seconden (uitbreidbaar tot 500); 7500 Flows per seconden (uitbreidbaar tot 15000); Full Threat Management correlatie; Security Console (dashboard); LOG collector (Windows Server; fysiek of als virtueel image) Kostenindicatie: Eenmalig: 9.900,= Jaarlijks: 2.000,= Specificaties grote proefomgeving: STRM devices (uitbreidbaar tot maximaal ); 1250 events per seconden (uitbreidbaar tot 2500); Flows per seconden (uitbreidbaar tot 50000); Full Threat Management correlatie; Security Console (dashboard); LOG collector (Windows Server; fysiek of als virtueel image) Kostenindicatie: Eenmalig: ,= Jaarlijks: 8.000,=

5 Randvoorwaarden: SYSLOG verkeer vanaf netwerk devices; Connectie tussen LOG Collector en Windows servers; Windows server voor collector op basis van bv VMWare. Additioneel: QFlow collector (NetFlow informatie op applicatie niveau); Vulnerability Scanning (Qualys); IPS (TIPPINGPOINT-loan). Kosten Proof of Concept De PoC is gebaseerd op het tijdelijk gratis ter beschikking stellen van de benodigde hardware; alleen de ondersteunende diensten zullen op basis van nacalculatie en conform onze leveringsvoorwaarden, worden verrekend.