Securitate, audit si conformitate pentru o organizatie mai sigura “Anularea amenintarii interne cu mecanisme de event-log management” Mihai Ghita Senior Technical Manager – Q-East Software

Ameninţările de securitate … asa cum au fost 02/09/2019 Ameninţările de securitate … asa cum au fost Acum 10 – 15 ani atacurile erau lansate de “hacker-i” nemulţumiţi, cu intenţia de a cauza căderi de serviciu şi în scopul de a căpăta notorietate Hacker-ul era un personaj “aproape pozitiv”, invaluit intr-o aura de mister

Hacker-ul … o imagine idilica Citeste Science-Fiction E un programator de geniu Numara incepand cu 0 (zero) Intelege ca atitudinea nu substituie competenta E parte dintr-o lume atipica, vorbeste o limba proprie Se joaca atunci cand cauta rezolvarea unei probleme dificile

02/09/2019 Ameninţările de securitate evoluează – Atacatorii se “profesionalizează” Acum 10 – 15 ani atacurile erau lansate de “hackeri” nemulţumiţi, cu intenţia de a cauza căderi de serviciu şi în scopul de a căpăta notorietate In prezent, atacurile sunt lansate de “profesionişti” cu metode sofisticate; sunt concentrate asupra datelor valoroase şi obiectivul este de a obţine câştiguri financiare Datele devin un activ din ce în ce mai valoros în orice organizaţie; această valoare creşte prin integrare şi agregare; în acelaşi ritm creşte şi riscul de furt de date Amenintarea din interior este mult mai eficienta

Cine este amenintarea din interior? 02/09/2019 Cine este amenintarea din interior? Atunci: Acum:

Cine este amenintarea din interior? 02/09/2019 Cine este amenintarea din interior? Cine constituie aceasta ameninţare din “interior”? Definiţia data de un CISO al uneia din cele mai mari bănci din lume împarte atacatorii în trei categorii: Autorizat şi “inteligent” *aceştia folosesc resursele IT în mod “corect” în scopuri “incorecte” Autorizat şi “stupid” *aceştia fac greşeli ce par a fi rău-intenţionate sau fraude Neautorizat şi răuvoitor *aceştia îşi ascund identitatea şi acţiunile

Cine este amenintarea din interior? 02/09/2019 Cine este amenintarea din interior? De ce e important să înţelegem cine sunt utilizatorii resurselor IT? 80 % din atacuri provin din interior – relativ dificil de detectat; 65 % din ameninţări / atacuri trec nedetectate; 25 % din organizaţii detectează încălcări de protocoale de securitate a datelor. Ştiţi cine sunt aceşti utilizatori? Puteţi monitoriza accesul la date şi comportamentul acestor utilizatori? Puteti monitoriza tentativele de acces? * Cunoaşteţi profilul de vulnerabilitate al bazelor de date din organizaţie? * Exista un Audit Trail protejat la modificări voite? Puteţi asigura non-repudierea tranzacţiilor? … Nu puteţi !

Cate companii au reguli de securitate? 02/09/2019 Cate companii au reguli de securitate? IT Policy Compliance Group - 90% din organizatii nu au suficiente reguli de securitate implementate 100 de organizatii cu peste 1 miliard de dolari cifra de afaceri au avut cel putin sase incidente de discontinuitate cauzate de defectiuni cu pierderi de date, impreuna cu cel putin cinci incidente de furt de informatii pe parcursul unui an

Unde esueaza companiile - Top 5 slabiciuni Auditorii observa aceleasi probleme ... Esecul de a separa indatoririle in interiorul organizatiei si incapacitatea de a proviziona si deproviziona intr-un timp rezonabil. Aceasta este cea mai mare problema. Multe organizatii nu au proceduri in cazul in care angajatii schimba compartimentele. Multe organizatii au proceduri manuale pentru a rezolva aceasta problema. Lipsa unei vizibilitati in cazul modificarilor de sisteme si aplicatii. In majoritatea organizatiilor un singur administrator este responsabil pentru toate modificarile. Pentru a trece de audit este nevoie ca o persoana sa faca aceste modificari, iar altcineva sa faca verificarea respectarii procedurilor. De asemenea este nevoie de dovada ca aceasta procedura este respectata. Lipsa consultarii eficiente a logurilor de audit si securitate. Multe organizatii desemneaza pe cineva sa consulte logurile pentru a asigura buna functionare a aplicatiilor. Sarbanes-Oxley, de exemplu cere dovada acestui lucru. Cu alte cuvinte trebuie sa existe un audit log pentru audit log. Esecul de a detecta tranzactiile anormale in timp util. Aceasta este o problema IT clasica si poate fi corectata prin modificarea aplicatiilor in sensul de a alerta atunci cand exista tranzactii care nu sunt conforme cu un set de reguli prestabilite. Lipsa de cunostere a configuratiilor sistemelor critice. Aparent multe departamente IT nu sunt chiar asa de bune cum credeam … Solutia este simpla: un training mai bun!

Provocări: Colectarea evenimentelor şi log-urilor de pe toate platformele (în special cele critice) Stocarea acestor loguri în format criptat şi comprimat (ideal) pe o perioadă de 3-5 ani Combinarea de raportare ad-hoc, investigaţii şi analize cu rapoarte pre-executate pentru conformitate Crearea de alerte bazate pe politici extrem de flexibile şi gestionarea acestora

COBIT ITIL ISO Sarbanes-Oxely HIPPA Basel II Dacă doriţi: Dacă doriţi: Audit de securitate Prezentarea evenimentelor în consola unică Corelarea evenimentelor din sisteme diferite Sistem automat de alertare Gestiune alerte Alinierea la: COBIT ITIL ISO Conformitatea cu: Sarbanes-Oxely HIPPA Basel II

Aveţi nevoie de o solutie de Event-Log Management Această soluţie permite unei organizaţii să colecteze, stocheze şi raporteze pentru a satisface cerinţele regulamentelor externe şi ale politicilor interne prin: Automatizarea colectării de log-uri Normalizarea tuturor log-urilor Reducerea necesarului de storage prin diverse mecanisme de arhivare a datelor Raportare şi alertare inteligente

Aveţi nevoie de o solutie de Event-Log Management Această soluţie permite unei organizaţii să colecteze, stocheze şi raporteze pentru a satisface cerinţele regulamentelor externe şi ale politicilor interne prin: Colectare Normalizare Raportare IT Management

Sistemul ideal de event-log management

Sistemul ideal de event-log management Modul dedicat pentru autentificare: Audit complet, detaliat al tuturor modificarilor in LDAP si Group Policy, modificari de configuratie. Cine, cand si unde a efectuat modificarea, precum si valorile anterioare si ulterioare modificarii Modul dedicat pentru file servere: Audit asupra activitatii pe foldere, fisiere si resurse partajate, livrand urmarire detaliata, colectare si stocare eficienta a accesarilor si modificarilor de permisiuni. Ideal acest lucru trebuie realizat fara a activa auditul nativ, salvandu-se resurse critice de sistem Modul dedicat sistemului de posta electronica: Conformitate cu standardele de securitate, prin urmarirea intregii activitati: accesul non-owner, modificarile de configuratie si permisiuni pentru serverele de mail si mailbox-uri. Rapoarte detaliate asupra activitatii utilizatorilor pe sistemul de mesagerie, inclusiv instant messaging si echipamente de telefonie mobila Our Windows management solutions simplify, automate, secure and extend our customers’ Microsoft infrastructure and Windows desktops. Our solutions can also integrate non-Windows systems into a managed environment. We cover all major platforms, including Active Directory, Exchange, Office Communications Server, SharePoint, SQL Server, System Center, PowerShell and Windows Servers and Desktops. With our Windows solutions, you can: Manage, audit, and report on changes to your environment Simplify identity and access management Promote efficient collaboration and communication Detect, diagnose and resolve performance bottlenecks Ensure high availability by providing backup and recovery In addition, you can: Migrate with zero impact on users Secure and protect your accounts and data Automate and extend management to non-Windows systems Portal unic de raportare: Vizualizare consolidata a starii de conformitate IT prin evaluarea integrala a mediului, stabilirea unui proces de alertare si audit al tuturor evenimentelor relative la securitatea informatiei

Sistemul ideal de event-log management “AUDIT LA AUDIT” Soluţia trebuie sa ofere înregistrarea evenimentelor de audit Orice raport citit, orice alertă rezolvată trebuie sa fie înregistrate Oferă justificare pentru activitatea IT Security Oferă justificare şi probează aplicarea procedurilor de securitate

Evenimente corelate “The secret of all victory lies in the organization of the non-obvious.” Marcus Aurelius – Roman Emperor

Anomaly Analizer Anomalie = Ceea ce se abate de la normal, de la regula obişnuită; ceea ce constituie un defect. – Din fr. anomalie. 2 abordari in analiza anomaliilor: Rule-based Concept-based Unele solutii ofera rule-based, doar cateva ofera concept-based … si extrem de putine le ofera pe ambele!

Intrebari