Sourcefire v kontextu
Zákona o kybernetické bezpečnosti a
integrace se SIEM systémy
Michal Rapco, Head of Security Department, CCIE#18608
Ivan Svoboda, Security Business Development Manager
17. 6. 2014
§§
§ •  Zákon o kybernetické bezpečnosti (ZKB) – aktuální stav
•  Souvislost ZKB se Sourcefire
•  Integrované nástroje Sourcefire Defense center
•  Integrace Sourcefire do SIEM nástrojů
•  ANECT SOC
Zákon o kybernetické bezpečnosti – aktuální stav
•  ZKB prošel 2. čtením v PS PČR
•  Následuje:
•  3.čtení (plánováno na 18.6.2014)
•  projednání a schválení Senátem PČR
•  podepsání zákona prezidentem ČR
•  Předpokládaný začátek účinnosti: 1.1.2015
•  30 denní lhůta pro oznámení kontaktních údajů na vládní CERT a národní CERT
•  roční lhůta na naplnění všech bezpečnostních opatření (organizačních a technických)
•  Prováděcí vyhláška k ZKB (NBÚ)
Souvislost ZKB se Sourcefire
•  Požadavky zákona:
•  §5 odst. 3: Technickými opatřeními jsou:
“…
b) nástroj pro ochranu integrity komunikačních sítí,
e) nástroj pro ochranu před škodlivým kódem,
f) nástroj pro zaznamenávání činnosti kritické informační infrastruktury a významných
informačních systémů, jejich uživatelů a administrátorů,
g) nástroj pro detekci kybernetických bezpečnostních událostí,
h) nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí,
…“
Souvislost ZKB se Sourcefire
•  Požadavky zákona:
•  §8 Hlášení kybernetického bezpečnostního incidentu
(1) Orgány a osoby uvedené v § 3 písm. b) až e) jsou povinny hlásit kybernetické
bezpečnostní incidenty v jejich významné síti, informačním systému kritické informační
infrastruktury, komunikačním systému kritické informační infrastruktury nebo významném
informačním systému, a to bezodkladně po jejich detekci; tím není dotčena informační
povinnost podle jiného právního předpisu3).
(2) Orgány a osoby uvedené v § 3 písm. b) hlásí kybernetické bezpečnostní incidenty
provozovateli národního CERT.
(3) Orgány a osoby uvedené v § 3 písm. c) až e) hlásí kybernetické bezpečnostní incidenty
Národnímu bezpečnostnímu úřadu (dále jen „Úřad“).
(4) Prováděcí právní předpis stanoví
a) typy a kategorie kybernetických bezpečnostních incidentů a
b) náležitosti a způsob hlášení kybernetického bezpečnostního incidentu.
SIEM / SD
Integrované nástroje SourceFire Defense Center
•  Korelace událostí
•  Management incidentů
•  Hlášení incidentů (reporting)
Integrované nástroje SourceFire Defense Center
Korelace událostí
100,000 events
5,000 events
500 events
20 events
+10 events
3 events
Integrované nástroje SourceFire Defense Center
Management incidentů
Integrované nástroje SourceFire Defense Center
Hlášení incidentů (reporting)
Integrované nástroje SourceFire Defense Center
Hlášení incidentů (reporting)
Integrace Sourcefire do SIEM nástrojů
Stačí jen Detekce
Sourcefire Defense Center
samotný ? … Procesy/Hlášení
Korelace
AV, AntiSPAM
Server Log
FW, Network
IPS,
AntiMalware
Service Desk
CA
SIEM
IBM QRadar
ODBC
Syslog
OPSEC LEA
SNMP Trap
WMI
SDEE/RDEP
Agent (log reader)
Vendor specific
Skript
Integrace Sourcefire do SIEM nástrojů
•  Zasílání výstrah:
•  E-mail
•  SNMP trap (v1-2-3)
•  Syslog
•  eStreamer API
•  JDBC SSL - RO přístup k Sourcefire 3D systémové databázi
Integrace Sourcefire do SIEM nástrojů
Detekce
Korelace
Procesy/Hlášení
SIEM
IBM QRadar
Service Desk
CA
AV, AntiSPAM
Server Log
FW, Network
IPS,
AntiMalware
Skript
Automatické zakládání
incidentů v SD
Opravdová bezpečnost (24x7)
Řízení incidentů (ZKB)
Analýza reportů
SIEM „PLUS“
Korelace
SIEM
Detekční nástroje
LOGY
Preventivní nástroje
FW
Cenná aktiva
DATA
FLOW
NGFW
MALWARE
IPS
SERVERY
AV
DLP
URL
APLIKACE
SPAM
SÍTĚ
DDOS
Co prezentujeme, provozujeme …
Děkuji za pozornost
[email protected]