IBM Big Data Security Intelligent Platform Baron Wu IBM Security Specialist
Topic 何 謂 Big Data 與 構 成 之 要 素 Big Data 資 安 之 條 件 Big Data 時 代, 機 密 資 料 保 護 能 力 必 須 再 進 化 IBM 針 對 Big Data 資 安 要 件 之 解 決 方 案 這 樣 就 夠 了 嗎?? Big Data 與 SIEM 之 結 合
何 謂 Big Data 與 構 成 之 要 素 巨 量 海 量 資 料 的 特 色 就 在 於 : 龐 大 企 業 資 料 包 羅 萬 端, 很 容 易 便 達 到 數 兆 位 元 組, 甚 至 千 兆 位 元 組 之 譜 即 時 性 海 量 資 料 通 常 具 有 時 效 性, 一 旦 串 流 至 企 業 便 須 立 即 使 用, 方 能 發 揮 其 最 大 價 值 多 樣 性 海 量 資 料 的 範 疇 不 僅 止 於 結 構 化 資 料, 還 包 含 各 類 非 結 構 化 的 資 料 : 諸 如 文 字 音 訊 視 訊 點 擊 串 流 (click stream) 日 誌 檔 等 等 3
Big Data 時 代, 機 密 資 料 保 護 能 力 必 須 再 進 化 伴 隨 雲 端 運 算 行 動 應 用 及 社 群 媒 體 崛 起, 使 資 料 產 生 速 度 加 劇, 若 企 業 能 善 用 分 析 這 些 資 料, 即 可 從 中 挖 掘 擷 出 珍 貴 資 訊 優 化 商 業 決 策, 這 也 讓 Big Data 議 題 因 而 火 熱 但 企 業 莫 忘 記 海 量 資 料 仍 是 資 料, 亦 是 機 密 外 洩 的 潛 在 缺 口, 肯 定 需 要 嚴 加 保 護 ; 尤 其 新 版 個 資 法 上 路, 任 何 涉 及 個 人 資 料 的 數 據, 從 蒐 集 處 理 應 用 傳 遞 至 銷 毀 等 過 程 之 稽 核 軌 跡, 都 應 切 實 管 控, 一 般 交 易 型 資 料 如 此, 海 量 資 料 亦 然
Big Data 資 訊 安 全 之 要 素
人 員 認 證 及 授 權 管 理 (People Access Control) Who can access?? What can be accessed?? When to access??
Big Data 資 料 稽 核 管 理 (Data Auditing and control) Big Data 的 資 料 是 經 過 萃 取 的, 對 企 業 來 說 是 非 常 有 價 值 性 的 誰 存 取 過 資 料 ( 內 部? 外 部?) 存 取 的 資 料 內 容 為 何 是 否 是 公 司 機 密 資 料 什 麼 時 間 點 取 得 的
Big Data 應 用 層 面 之 安 全 性 Big Data 的 使 用 需 要 人 及 應 用 系 統 介 面 來 做 為 存 取 或 者 查 詢, 但 目 前 應 用 層 是 最 容 易 被 攻 擊 的 部 分 企 業 的 Web 層 到 底 有 多 少 弱 點 這 些 弱 點 是 否 可 以 修 補 這 些 弱 點 會 否 讓 我 的 資 料 被 竊 取 企 業 內 部 之 程 式 碼 及 Web 是 否 合 規
Big Data Infra 層 面 之 安 全 性 企 業 內 部 幾 乎 都 有 所 謂 的 防 火 牆,IPS,IDS 來 偵 測 不 正 當 之 入 侵 及 抵 擋 的 動 作 可 偵 測 異 常 網 路 流 量 可 Block 不 正 當 的 網 路 封 包 阻 擋 不 當 IP 進 入 企 業 網 路
這 樣 就 夠 了 嗎????
IBM 資 訊 安 全 解 決 方 案 概 要 BigFix 行 動 裝 置 端 點 系 統 安 全 防 護 用 戶 身 份 帳 號 管 理 與 認 證 授 權 管 理 HIPS 主 機 式 入 侵 防 禦 系 統 NIPS 網 路 入 侵 防 禦 系 統 Guardium 資 料 庫 防 護 及 稽 核 系 統 Security Intelligent Event Management 日 誌 集 中 管 理 及 安 全 事 件 分 析 1 1
企 業 目 前 所 面 臨 的 Big Data Security 之 挑 戰 是 否 可 以 即 時 知 道 所 有 攻 擊 之 關 聯 是 否 可 以 知 道 企 業 內 部 有 哪 些 設 備 有 弱 點 存 在 是 否 可 以 防 止 日 誌 報 告 被 篡 改 企 業 目 前 本 身 的 IT 合 規 性 是 否 維 持 在 一 定 的 水 準 當 系 統 有 異 常 狀 況, 是 否 可 即 時 告 警 針 對 Layer 7 的 異 常 活 動, 是 否 可 以 及 時 阻 止
IBM SIEM 提 供 全 面 的 風 險 管 理 與 事 件 調 查 影 響 分 析 能 力 弱 點 攻 擊 前 攻 擊 攻 擊 後 補 救 面 對 資 安 正 面 的 作 法 有 那 組 些 態 內 風 部 險 和 外 部 的 管 威 理 脅? 預 測 / 預 防 階 段 反 應 / 補 救 階 段 弱 目 點 前 與 配 置, 是 否 可 網 路 活 目 動 前 發 現 了 資 那 安 些 事 安 件 資 以 產 防 管 止 理 這 些 威 脅? 異 常 檢 測 全 事 件 關? 聯 分 析 IBM 智 能 安 全 與 風 險 管 理 -- 提 倡 積 極 的 五 大 步 驟 該 事 件 會 造 日 成 誌 什 麼 影 響 管? 理 Risk Assessment VA (Vulnerability Assessment) NBAD (Network Behavior Anomaly Detection) SIEM Configuration Audit Firewall Audit Log Management
可 視 化 管 理 : 威 脅 記 錄 管 理 與 法 規 遵 循 的 即 時 可 視 性 IBM SIEM 提 供 了 一 個 高 效 能 安 全 風 險 分 析 管 理 平 台 (embedded database) 先 進 的 數 據 相 關 性 技 術, 透 過 Agentless 方 式, 結 合 不 同 的 即 時 數 據 收 集 ( 日 誌, 事 件,Layer 7 流 量, 網 路 攻 擊, 資 產 弱 點, 使 用 者 / 木 馬 / 病 毒 / 蠕 蟲.. 等 網 路 活 動 ), 並 加 入 正 規 化 (normalized) 證 據 壓 縮 與 保 存 提 供 日 誌 防 篡 改 與 完 整 性 檢 查 ( 不 可 否 認 性 ) 及 時 和 歷 史 事 件 的 可 視 性 和 合 規 報 告 支 援 關 鍵 字 模 糊 搜 尋 (Search Engine) 與 稽 核 日 誌 的 自 動 彙 整 (Aggregation)
日 誌 集 中 管 理 及 分 析 方 案 提 供 廣 泛 的 安 全 事 件 即 時 收 集 收 集 Desktop Network Devices Security Devices mainframe OS 等 的 日 誌, 將 安 全 事 件 關 聯 起 來, 產 生 各 種 合 規 報 表, 並 隨 時 反 映 在 儀 表 板 上 Security Devices Servers & Hosts Normalize Network & Virtual Activity Database Activity Application Activity Priority Identification Configuration Info Vulnerability Info Users & Identities Sources + Intelligence = Most Accurate & Actionable Insight
自 動 化 合 規 檢 查 與 報 表 自 動 檢 查 事 件 是 否 違 反 法 規 (Rule) 被 QRadar 發 現 了 一 個 在 持 卡 人 服 務 器 上 運 行 的 明 文 的 服 務 ( 未 加 密 的 資 料 流 ) 違 反 PCI 法 規 第 四 條 內 建 各 種 合 規 檢 查 報 告 可 自 行 拖 拉 修 改 報 表 樣 本 報 表 自 動 寄 送 超 過 2000 種 最 佳 實 務 報 表 與 規 則, 滿 足 各 種 規 範, 如 COBIT, PCI, SOX, HIPAA, NERC CIP, FISMA, UK GCSx and GLBA.. 等
事 件 管 理.. 資 安 事 件 的 分 析 追 蹤 管 理 與 舉 證 以 不 同 的 角 度 與 面 向 來 探 勘 與 追 蹤 各 種 資 安 事 件 什 麼 樣 攻 擊 或 行 為 什 麼 人 做 的 攻 擊 成 功 了 嗎 我 在 那 發 現 他 們 涉 及 多 少 目 標 系 統 對 企 業 的 影 響 在 那 裡 是 否 存 在 相 對 弱 點? 相 關 聯 的 證 據
Use case: Detecting Insider Fraud Potential Data Loss Who? What? Where? Who? An internal user What? Oracle data Where? Gmail Threat detection in the post-perimeter world User anomaly detection and application level visibility are critical to identify inside threats
Use Case: 網 路 流 量 與 異 常 分 析 Top application 了 解 某 個 使 用 者 的 網 路 活 動 Drill-down 網 路 流 量 內 容 - 使 用 P2P.BitTorrent 下 載, 佔 用 大 量 頻 寬 主 動 偵 測 網 路 異 常 流 量, 並 且 主 動 提 出 告 警 針 對 佔 據 頻 寬 前 十 名 應 用 程 式 進 行 排 名 與 統 計, 快 速 分 析 頻 寬 使 用 狀 況
Big Data 也 可 提 供 豐 富 的 內 容 來 讓 SIEM Rule 更 完 整
Big Data Security Solution components in Yellow Data Sources Real-time Processing Security Operations QRadar Security Intelligence Platform QRadar Console (Web interface) Security and Infrastructure Data Sources External Threat Intelligence Feeds Watch List Custom Rules Big Data Warehouse InfoSphere BigInsights Big Data Analytics and Forensics InfoSphere BigSheets Email, Web, Blogs, and Social Activity Hadoop Store Raw Data Relational Store High-value Information i2 Intelligence Analysis Collect Store & Process Analyze
Where IBM stands (IBM Security)
ibm.com/security Copyright IBM Corporation 2012. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed or misappropriated or can result in damage to or misuse of your systems, including to attack others. No IT system or product should be considered completely secure and no single product or security measure can be completely effective in preventing improper access. IBM systems and products are designed to be part of a comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM DOES NOT WARRANT THAT 23 SYSTEMS AND PRODUCTS ARE IMMUNE FROM THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY. 2013 IBM Corporation