稽核軌跡與資訊安全分析平台 C. K. Lin ( 林傳凱 ) 北亞區資深技術顧問 (ArcSight) ck.lin@hp.com HP ESP (Enterprise Security Products) 2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice
議程 HP ESP - Arcsight 簡介 因應個資法日誌保存要點 ArcSight Logger 產品介紹 銷售及成功案例分享 Q&A
HP ESP Arcsight 簡介
HP Enterprise Security 1,500 security professionals from ArcSight, Fortify, TippingPoint and Atalla teams 1,500 security professionals in HP Enterprise Security Services Only security company with all flagship products in Gartner s leaders quadrant One Team, One Vision Magic Quadrant Leadership Unparalleled Customer Base Unrivaled Industry Awards ATALLA DATA SECURITY
ArcSight/Fortify/TP Gartner Magic Quadrant 5 Enterprise Security HP Confidential
HP ESP Arcsight Company Background Founded May 2000 2000+ customers 500+ employees, offices worldwide Industry Recognition Analyst Recognition SIEM Leader s Quadrant - Seven years running #1 in Market Share Last three reports #1 In-use for both SIEM and Log Management
代表性公司 Bn F
ArcSight APAC Clients (partial list)
因應個資法日誌保存要點
個資法擴大適用拚 7/1 上路 ( 中國時報 : 2/13 報導 )
個資法擴大適用目標 10/1 ( 資安人 : 5/2 報導 )
什麼是個人資料? 個人資料保護法第二條定義
個人資料保護法 罰則 第二十八條 公務機關違反本法規定,., 依前二項情形, 如被害人不易或不能證明其實際損害額時, 得請求法院依侵害情節, 以每人每一事件新臺幣五百元以上二萬元以下計算 對於同一原因事實造成多數當事人權利受侵害之事件, 經當事人請求損害賠償者, 其合計最高總額以新臺幣二億元為限 第二十九條 非公務機關違反本法規定, 致個人資料遭不法蒐集 處理 利用或其他侵害當事人權利者, 負損害賠償責任 但能證明其無故意或過失者, 不在此限 依前項規定請求賠償者, 適用前條第二項至第六項規定 第三十條 損害賠償請求權, 自請求權人知有損害及賠償義務人時起, 因二年間不行使而消滅 ; 自損害發生時起, 逾五年者亦同 此指當事人不知有損害發生的狀況
管理面 vs. 操作面 14
資料外洩 外部對內部的入侵 DDoS SQL Injection XSS Port Scan Spam Internet EMail DB AP Web 防護技術 : Firewall : 攔截不必要的主機或連接埠 IPS : 阻擋特定特徵攻擊 WAF: 避免網頁攻擊 AntiSpam : 阻擋垃圾信, 釣魚郵件等流入企業
資料外洩 內部對外部的連線 木馬傀儡電腦傀儡網路連線緩攻擊 (APT) DB Internet DB EMail AP Web 防護技術 : Firewall : 攔截不必要的主機或連接埠的訪問 IPS : 阻擋特定的攻擊特徵 AntiSPam : 阻擋敏資料流出企業 Content Filter : 內容過濾攔截 Web 傳送敏感資料 IM 控管 : 檢測 IM 等傳送訊息
資料外洩 內部用戶的複製與存取行為 列印 USB 存取光碟機 Storage 防護技術 : 端點防護 : 攔截惡意程式 端點控制 : 控制 USB 或外接裝置存取 內容加密 : 文件, 硬碟等加密
平台基礎 證據保全與證據可靠性 蒐集日誌 (Log) 操作面 : 追查事件 - 服務異常, 事件調查 營運面 : 稽核, 舉證, 法規遵從 ArcSight 在 Log 的保護上提供以下的安全措施, 以確保 Log 的安全性 : 儲存在 ArcSight Logger/Express/ESM 或 Connector 中的 Log 使用符合 NIST 800-92 Log management standard 批准的 SHA-1 演算法加密 Log 在傳輸過程中使用 SSL 加密 Log 無法也不允許修改, 以避免遭有心人士竄改 接下來的問題 要蒐集哪些日誌? 這是個不夠深入的問題 18
對的問題是 我們想達到什麼目的 日誌用途 日誌源 / 功能 網路組 查詢, 除錯, 報表 FW, IPS, WAF, VPN 系統組 查詢, 除錯, 報表 OS, DB 應用組 查詢, 除錯, 報表 AP 資安組 分析安全事件, 診斷 蒐集到的日誌 內部稽核快速產生報表 Report 管理者 重要事件追蹤 事件管理 CxO ISMS, ISO 認證, 落實個資法 19
面對個資法, 對的問題是 需求 追蹤資料存取軌跡 處理 哪些應用會接觸到用戶資料? 該應用程式有日誌產生? 如何蒐集日誌?
ArcSight: 解決方案結構圖 桌上型電腦 網路設備 身份認證來源 資安設備 電子郵件實體存取設備 資料庫 無線裝置 應用程式 伺服器 日誌來源各種設備裝置應用 日誌存取方式 Syslog, FTP, JDBC.. 連接器 (Connector) 硬體 / 軟體 資料格式 CEF 日誌蒐集保存 (Logger) 硬體 (EPS) / 軟體 (GB/Day) 日誌關聯 (SIEM) 硬體 (Express) / 軟體 (ESM)
ArcSight Logger: Universal Log Management Solution Simultaneously addresses cybercrime, compliance, IT ops and application development challenges: Capture everything ArcSight Logger Analyze anything Use everywhere Cybercrime App Dev Compliance IT-Ops The industry s most powerful and comprehensive log management solution
Capture Everything Any structured or unstructured log data Categorization (CEF) for future proofing and intuitive analysis Audit-quality collection (secure, reliable, bandwidth controls) ArcSight Connectors Rackable Appliances Branch Office/Store Appliance Installable Software Benefit: Insulates device choices from analysis
Common Event Format Explanation Without Jun 17 2009 12:16:03: %PIX-6-106015: Deny TCP (no connection) from 10.50.215.102/15605 to 204.110.227.16/443 flags FIN ACK on interface outside Jun 17 2009 14:53:16 drop gw.foobar.com >eth0 product VPN-1 & Firewall-1 src xxx.xxx.146.12 s_port 2523 dst xxx.xxx.10.2 service ms-sql-m proto udp rule 49 With Time (Event Time) name Device Vendor deviceproduct Category Behavior Category DeviceGroup Category Outcome Category Significance 6/17/2009 12:16:03 Deny Cisco PIX /Access /Firewall /Failure 6/17/2009 14:53:16 Drop Checkpoint Firewall-1/VPN-1 /Access/Start /Firewall /Failure /Informational/ Warning /Informational/ Warning Benefit: Future proofing and fast and efficient forensic analysis
Analyze Anything Google like search interface for all enterprise logs Pre-packaged regulatory content (PCI, SOX, ISO/NIST) Forensics on the fly (dashboards, reports, searches, alerts) ArcSight Cybersecurity survey: More than 75% said they very rarely or hardly ever knew what exactly to look for when researching a cyber attack Benefit: Business intelligence at your fingertips
Use Everywhere Fast collection (100K EPS collection rate) Storage efficiency and flexibility (42 TB/instance, NAS/DAS/SAN) Quick analysis (Millions of EPS) ArcSight Logger Data Center Appliance SAN-based Appliance SMB/Regional Appliance Multiple software deployment options Benefit: Optimal price / performance for deployments of any size
Simplified and Automated Compliance NIST ISO FISMA PCI DSS NERC SOX / JSOX Dashboards Reports Report Templates ( 多台 Logger 整合一份 Report)
Comparing with Splunk Initial Cost Cheaper Logger is ½ to ¼ the price of Splunk Easier Community Cooler 29 Enterprise Security HP Confidential
ArcSight vs. Splunk 日誌儲存有問題嗎? Mature, established collection capability, well beyond competitors products Broadest device support Connectors add 300+ distinct products, 100+ vendors, across 35 categories Flex Connector capability Connectors allow searching on categorized events Ability to filter unnecessary events Audit quality data Support for multiple retention and suspension policies Integrity checks computed as data received (FISMA requirement NIST 800-92 recommendation) Supports FIPS and CAC Performance under simultaneous collection, search and storage/compression load Logger does not allow the deletion of logs! Log integrity is compromised by design 30 Enterprise Security HP Confidential
ArcSight vs. Splunk 日誌系統存在資安漏洞嗎? # Source: ISC Daily 2012/3/7
成功案例分享
ArcSight Logger 銷售案例 : XX 銀行 問題 : 證據保全, 個資法合規 解決方案 : Express + Logger + Connector Appliance 價值 : 幫助客戶收納不同系統之日誌, 達到證據保全的需求 展現 ArcSight 的能力 統一日誌蒐集平台, 提供舉證, 查詢介面 IBM Mainframe/R6 上的應用系統日誌 ( 如 MQ), 經由 FlexConnector, 輕鬆納入證據保全的範圍 輕易產生各部門所需要的報表 CEF 成為日後應用程式設計之日誌標準
ArcSight Logger 銷售案例 : XX 軍方單位 問題 : 日誌蒐集, 證據保全 解決方案 : Logger + Connector Appliance 價值 : 達成最嚴謹的證據保全規格 ( 無軟體式 Connector) 展現 ArcSight 的能力 純 appliance 架構, 任何人都無法接觸到日誌檔案 Peer 功能, 登入任何一台 Logger 可以搜尋日誌, 產生整合性報表 具擴充性的儲存架構, 可隨時擴充儲存日誌的空間及提升日誌蒐集的效能
Q & A Enterprise 35 7/31/2012 Security HP Confidential
Thank you