NetIQSentinelSOCIntr_2014

1、 2011 NetIQ Corporation. All rights reserved.NetIQ Sentinel SOC Intro 2011 NetIQ Corporation. All rights reserved.2交流內(nèi)容 安全現(xiàn)狀及SOC介紹 SOC應(yīng)用方向與場景分析 案例分享NetIQ SOC專業(yè)服務(wù)介紹 2011 NetIQ Corporation. All rights reserved.3信息安全面臨挑戰(zhàn)信息安全面臨挑戰(zhàn)NewThreatsExpanding Computing EnvironmentBusinessKeepsMovingStaffStretchedT

2、hinChange + Complexity = Loss of Control and Visibility 2011 NetIQ Corporation. All rights reserved.4網(wǎng)絡(luò)安全防護(hù)體系面臨的問題u重產(chǎn)品、輕服務(wù)u重技術(shù)、輕管理u重業(yè)務(wù)、輕安全 2011 NetIQ Corporation. All rights reserved.5結(jié)果是結(jié)果是u所實(shí)施的安全努力可能偏離業(yè)務(wù)目標(biāo)，業(yè)務(wù)所面臨的風(fēng)險依然很高u各業(yè)務(wù)資產(chǎn)目前具有的弱點(diǎn)、面臨的威脅與風(fēng)險無整體視角、管理層無法得知其全貌u設(shè)備分散，無法得知企業(yè)安全控制與管理措施的具體狀況u日志分散無集中管理，與法規(guī)偏離

3、u無法對安全事件作及時的反應(yīng)、缺少證據(jù) 2011 NetIQ Corporation. All rights reserved.6安全治理模型安全治理模型 2011 NetIQ Corporation. All rights reserved.7安全治理面臨的問題安全治理面臨的問題相關(guān)人員相關(guān)人員安全策略安全策略IT設(shè)施設(shè)施安全產(chǎn)品安全產(chǎn)品安全安全設(shè)計設(shè)計部署部署運(yùn)行運(yùn)行企業(yè)企業(yè) 2011 NetIQ Corporation. All rights reserved.8什么是SOCu 以資產(chǎn)為核心，以安全事件管理為關(guān)鍵流程,采用安全域劃分的思想，從資產(chǎn)、威脅、脆弱性三個維度，建立一套實(shí)時的資產(chǎn)

4、風(fēng)險模型，協(xié)助IT員進(jìn)行事件分析、風(fēng)險分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng) 2011 NetIQ Corporation. All rights reserved.9信息管理系統(tǒng)信息管理系統(tǒng)信息存儲系統(tǒng)信息存儲系統(tǒng)信息傳輸系統(tǒng)信息傳輸系統(tǒng)信息處理系統(tǒng)信息處理系統(tǒng)信息信息安全事件安全事件不發(fā)生安全事故不發(fā)生安全事故少發(fā)生安全事故少發(fā)生安全事故發(fā)生事故減少損失發(fā)生事故減少損失安全事故安全事故SOC的管理模型業(yè)務(wù)業(yè)務(wù)管理管理 2011 NetIQ Corporation. All rights reserved.10SOC構(gòu)成要件構(gòu)成要件PROCESS程序與流程程序與流程業(yè)務(wù)程序與流程應(yīng)變

5、機(jī)制作業(yè)程序服務(wù)等級（SLA）政策與標(biāo)準(zhǔn)ISO27001 (ISMS), BS10012 (PIMS)PCI-DSSITIL/ISO20000/BS25999 績效衡量指標(biāo)（KPI）PLATFORM維運(yùn)平臺維運(yùn)平臺IDM/SSO/SIEM/PUM與網(wǎng)絡(luò)監(jiān)控中心整合與工單系統(tǒng)整合調(diào)查與鑒識工具安全設(shè)備與工具滲透測試、弱點(diǎn)掃描誘捕系統(tǒng)PEOPLE組織人員組織人員業(yè)務(wù)流程團(tuán)隊(duì): CEO/CTO與其他維運(yùn)中心團(tuán)隊(duì): - 第一線, 基本監(jiān)控與事故響應(yīng)- 第二線, 事故調(diào)查- 第三線, 設(shè)計與改進(jìn)維運(yùn)中心合規(guī)團(tuán)隊(duì): 內(nèi)部/外部 稽核員 2011 NetIQ Corporation. All rights

6、reserved.11Sentinel邏輯架構(gòu)邏輯架構(gòu) 2011 NetIQ Corporation. All rights reserved.12流程流程 2011 NetIQ Corporation. All rights reserved.13流程示例流程示例安全事件管理（Sentinel）安全測量(報表)安全設(shè)備日志一線人員分析日報、月報一線人員開單自動開單綜合開單系統(tǒng)一線人員接單，事件分類攻擊類業(yè)務(wù)運(yùn)行安全系統(tǒng)運(yùn)維安全二線、三線人員調(diào)查，協(xié)同相關(guān)人員處理網(wǎng)絡(luò)組應(yīng)用組安全組二線調(diào)整策略考核指標(biāo)工單系統(tǒng)策略制定策略觸發(fā)關(guān)單登記處理記錄調(diào)整安全策略降低誤報和漏報安全事件調(diào)整策略報表分析結(jié)果

7、反饋處理結(jié)果反饋 2011 NetIQ Corporation. All rights reserved.14交流內(nèi)容 安全現(xiàn)狀及SOC介紹 SOC應(yīng)用方向與場景分析 案例分享 國際SOC廠商介紹 NetIQ SOC專業(yè)服務(wù)介紹 2011 NetIQ Corporation. All rights reserved.15企業(yè)面臨的風(fēng)險企業(yè)面臨的風(fēng)險每個企業(yè)都會遇到u財務(wù)投資u重組活動u并購活動u.大的、成名的企業(yè)會遇到u黑客攻擊u病毒入侵u內(nèi)部破壞u商業(yè)風(fēng)險商業(yè)風(fēng)險 安全風(fēng)險安全風(fēng)險 法律風(fēng)險法律風(fēng)險每個企業(yè)都會遇到u國際u國家u行業(yè)u組織 2011 NetIQ Corporation. Al

8、l rights reserved.16安全風(fēng)險安全風(fēng)險外部外部內(nèi)部內(nèi)部設(shè)施故障設(shè)施故障人員操作人員操作DOSDOS攻擊攻擊蠕蟲蠕蟲泄密泄密安全風(fēng)險安全風(fēng)險 2009 2009年年6 6省斷網(wǎng)省斷網(wǎng) 垃圾郵件風(fēng)暴垃圾郵件風(fēng)暴 Conficker Conficker，連成僵死網(wǎng)絡(luò)，連成僵死網(wǎng)絡(luò) Slammer Slammer，大量，大量udpudp包包 銀行信用卡銀行信用卡 政府、軍事機(jī)密文件政府、軍事機(jī)密文件 蓄意破壞蓄意破壞 誤操作誤操作 2011 NetIQ Corporation. All rights reserved.17法律風(fēng)險法律風(fēng)險國家層面u行業(yè)規(guī)范u企業(yè)安全策略u系統(tǒng)安全策略

9、WindowsUnix/Linux防火墻u操作規(guī)程安裝OS安裝DBuCOSO內(nèi)部控制框架uSarbanes-Oxley302條款404條款u信息安全風(fēng)險評估GB/T 209842007u信息安全事件分類分級GB/Z 209862007u信息安全等級保護(hù)建立安全管理中心 2011 NetIQ Corporation. All rights reserved.18SOC用戶管理場景用戶管理場景系統(tǒng)管理員 作用：決定SOC管理范圍，保障SOC穩(wěn)定運(yùn)行 權(quán)限：管理用戶、管理資產(chǎn)、管理采集任務(wù)、系統(tǒng)管理安全維護(hù)員 作用：除個別人員承擔(dān)告警監(jiān)控之外，大部分只需受理安全工單 權(quán)限：個人首頁、處理工單、監(jiān)控告

10、警、安全知識安全管理員 作用：負(fù)責(zé)本部門的安全管理工作 權(quán)限：除系統(tǒng)管理員之外的所有功能分管安全領(lǐng)導(dǎo) 作用：指導(dǎo)和監(jiān)督本部門或整個企業(yè)的安全管理工作 管理風(fēng)險、安全概覽 2011 NetIQ Corporation. All rights reserved.19身份管理身份管理-合規(guī)化管理合規(guī)化管理Mobile DevicesPersonal ComputersIdentity FoundationVirtualised WorkloadsTraditional Workloads on Dedicated ServersCloudClosed Networks 2011 NetIQ Corp

11、oration. All rights reserved.20合規(guī)劃管理合規(guī)劃管理-功能組成功能組成目錄及身份管理系統(tǒng)操作系統(tǒng)郵件系統(tǒng)人事系統(tǒng)財務(wù)系統(tǒng)其它應(yīng)用招投標(biāo)Novell Secureloginc/s 應(yīng)用單點(diǎn)登錄員工領(lǐng)導(dǎo)臨時員工合作單位 Portal Novell AM單點(diǎn)登錄iManager, iMonitor, SentinelNovell提供的主要產(chǎn)品eDirectory, Nsure Identity ManagerAccessManager 2011 NetIQ Corporation. All rights reserved.21 NetIQ IAM for cloud-賬

12、號及單點(diǎn)登陸n簡單的云單點(diǎn)登陸服務(wù)n完整的用戶配置n支持office365單點(diǎn)登陸n支持移動設(shè)備n虛擬應(yīng)用n訪問合規(guī)報告n支持多種驗(yàn)證方式 2011 NetIQ Corporation. All rights reserved.22合規(guī)劃管理合規(guī)劃管理-呈現(xiàn)界面呈現(xiàn)界面Who?What else have they been doing?What access do they have? 2011 NetIQ Corporation. All rights reserved.23安全管控安全管控安全信息和事件管理（SIEM）日志聚合/管理風(fēng)險管理安防監(jiān)控安全合規(guī)性威脅意識實(shí)時活動的可視性事件關(guān)

13、聯(lián)安全情報可操作的情報23 2011 NetIQ Corporation. All rights reserved.24安全管理安全管理-智能監(jiān)控智能監(jiān)控 2011 NetIQ Corporation. All rights reserved.25漏洞安全管理場景漏洞安全管理場景SOCA掃描器B盟掃描器C掃描器業(yè)務(wù)網(wǎng)A業(yè)務(wù)網(wǎng)C漏洞ID漏洞名稱漏洞等級比較結(jié)果42799Web服務(wù)器已不可用低新增11111rpcinfo -p低新增42263未加密 Telnet 服務(wù)器低修復(fù)34324FTP明文認(rèn)證低修復(fù)34022通過SNMP枚舉路由低新增26971X字體服務(wù)檢測低修復(fù)10263SMTP 服務(wù)器類

14、型和版本低修復(fù)42799Web服務(wù)器已不可用低新增10223RPC 端口映射低新增業(yè)務(wù)網(wǎng)B 2011 NetIQ Corporation. All rights reserved.26漏洞漏洞-展現(xiàn)展現(xiàn) 2011 NetIQ Corporation. All rights reserved.27交流內(nèi)容 安全現(xiàn)狀及SOC介紹 SOC應(yīng)用方向與場景分析 案例分享 國際SOC廠商介紹 NetIQ SOC專業(yè)服務(wù)介紹 2011 NetIQ Corporation. All rights reserved.28江蘇電信江蘇電信SOC管理平臺管理平臺p 驅(qū)動力驅(qū)動力n 客戶需求審計需求:與江蘇電信的4A

15、系統(tǒng)聯(lián)調(diào),并對4A系統(tǒng)的數(shù)據(jù)進(jìn)行分析,獲得異常登陸、異常使用、異常訪問等情況安全管理需求:對網(wǎng)絡(luò)設(shè)備、主機(jī)、安全設(shè)備進(jìn)行監(jiān)控并對所有相關(guān)日志進(jìn)行分析，尋找判斷安全隱患，處理安全事務(wù)p 產(chǎn)品產(chǎn)品Sentinel 7（2500eps） 2011 NetIQ Corporation. All rights reserved.29江蘇電信江蘇電信SOC管理平臺部署圖管理平臺部署圖 2011 NetIQ Corporation. All rights reserved.30重慶銀行重慶銀行p 驅(qū)動力驅(qū)動力n 客戶需求安全管理需求:1、監(jiān)控核心資源訪問情況 2、監(jiān)控關(guān)鍵帳號使用情況3、對核心系統(tǒng)訪問24小

16、時監(jiān)控4、對基于B/S的系統(tǒng)實(shí)時監(jiān)控p 產(chǎn)品產(chǎn)品Sentinel 7（5000eps） 2011 NetIQ Corporation. All rights reserved.31重慶銀行重慶銀行 2011 NetIQ Corporation. All rights reserved.32中國客戶 2011 NetIQ Corporation. All rights reserved.33交流內(nèi)容 安全現(xiàn)狀及SOC介紹 SOC應(yīng)用方向與場景分析 案例分享NetIQ SOC專業(yè)服務(wù)介紹 2011 NetIQ Corporation. All rights reserved.34交流內(nèi)容 安全現(xiàn)狀

17、及SOC介紹 SOC應(yīng)用方向與場景分析 案例分享NetIQ SOC專業(yè)服務(wù)介紹 2011 NetIQ Corporation. All rights reserved.35NetIQNetIQ智能資安專業(yè)服務(wù)智能資安專業(yè)服務(wù)項(xiàng)目規(guī)劃我們的顧問與您的組織共同組成一個團(tuán)隊(duì)，共同發(fā)展長期的安全計劃。我們的顧問能夠協(xié)助您的組織，有效的營運(yùn)智能資安維運(yùn)中心，并且不斷地增進(jìn)矯正與預(yù)防措施。風(fēng)險評估與合規(guī)評量在您的組織環(huán)境中，您可能已經(jīng)正在執(zhí)行風(fēng)險評估，并且檢視執(zhí)行合規(guī)程序或正處于規(guī)劃中，我們針對合規(guī)有豐富的協(xié)作經(jīng)驗(yàn)，包含了ISO27001(ISMS)、BS10012 (PIMS)、PCI-DSS、ITIL

18、/ISO20000與BS25999，我們的顧問將可以與您協(xié)同，達(dá)成合規(guī)自動化的目標(biāo)。事故應(yīng)變程序與實(shí)時反應(yīng)我們的顧問深入您的組織文化，細(xì)節(jié)明了您的組織中的業(yè)務(wù)流程，并且協(xié)助您的組織進(jìn)行事故的定義、自動化分析與應(yīng)變規(guī)劃，同時建立實(shí)時反應(yīng)的機(jī)制。機(jī)密性 2011 NetIQ Corporation. All rights reserved.36NetIQNetIQ智能資安專業(yè)服務(wù)智能資安專業(yè)服務(wù)技術(shù)性支持NetIQ智能資安營運(yùn)中心可協(xié)助您實(shí)時分析組織內(nèi)的活動，這里面會應(yīng)用到的平臺工具與組件包含許多，無論是從紀(jì)錄收集、自動化分析、告警、報表、流程與其他可能的系統(tǒng)整合或技術(shù)細(xì)節(jié)，我們都可以提供優(yōu)異的支持。安全分析我們的顧問會透過安全分析方法論，協(xié)助您的組織進(jìn)行安全管理?？赡軙玫降姆椒ㄕ摪鹿史抡妗⒕W(wǎng)絡(luò)模型、誘捕、資產(chǎn)關(guān)聯(lián)或是其他可能協(xié)助的分析工具。同時，我們在安全分析后，會協(xié)助排定優(yōu)先處理之事故、提升事故等級等方法，來與您共同處理問題。除此之外，我們還會針對您的組織提出建議，并協(xié)助不斷改良NetIQ智能資安維運(yùn)中心的整體機(jī)制。機(jī)密性 2011 NetIQ Corporation. All rights reserved.37NetI