Securitate, audit si conformitate pentru o organizatie mai sigura

Anularea amenintarii interne cu mecanisme de event-log management Mihai Ghita Senior Technical Manager Q-East Software
Copyright 2010 Quest Software

Ameninrile de securitate asa cum au fost

Acum 10 15 ani atacurile erau lansate de hacker-i nemulumii, cu intenia de a cauza cderi de serviciu i n scopul de a cpta notorietate Hacker-ul era un personaj aproape pozitiv, invaluit intr-o aura de mister

Hacker-ul o imagine idilica

Citeste Science-Fiction E un programator de geniu Numara incepand cu 0 (zero) Intelege ca atitudinea nu substituie competenta E parte dintr-o lume atipica, vorbeste o limba proprie Se joaca atunci cand cauta rezolvarea unei probleme dificile

Ameninrile de securitate evolueaz Atacatorii se profesionalizeaz

Acum 10 15 ani atacurile erau lansate de hackeri nemulumii, cu
intenia de a cauza cderi de serviciu i n scopul de a cpta notorietate

In prezent, atacurile sunt lansate de profesioniti cu metode sofisticate; sunt concentrate asupra datelor valoroase i obiectivul este de a obine ctiguri financiare
Datele devin un activ din ce n ce mai valoros n orice organizaie; aceast valoare crete prin integrare i agregare; n acelai ritm crete i riscul de furt de date Amenintarea din interior este mult mai eficienta

Cine este amenintarea din interior?

Atunci: Acum:

Cine este amenintarea din interior?

Cine constituie aceasta ameninare din interior? Definiia data de un CISO al uneia din cele mai mari bnci din lume mparte atacatorii n trei categorii:

1. Autorizat i inteligent *acetia folosesc resursele IT n mod corect n scopuri incorecte 2. Autorizat i stupid *acetia fac greeli ce par a fi ru-intenionate sau fraude 3. Neautorizat i ruvoitor *acetia i ascund identitatea i aciunile

Cine este amenintarea din interior?

De ce e important s nelegem cine sunt utilizatorii resurselor IT? 80 % din atacuri provin din interior relativ dificil de detectat; 65 % din ameninri / atacuri trec nedetectate; 25 % din organizaii detecteaz nclcri de protocoale de securitate a datelor. tii cine sunt aceti utilizatori? Putei monitoriza accesul la date i comportamentul acestor utilizatori? Puteti monitoriza tentativele de acces? * Cunoatei profilul de vulnerabilitate al bazelor de date din organizaie? * Exista un Audit Trail protejat la modificri voite? Putei asigura non-repudierea tranzaciilor? Nu putei !

Cate companii au reguli de securitate?

IT Policy Compliance Group - 90% din organizatii nu au suficiente reguli de securitate implementate 100 de organizatii cu peste 1 miliard de dolari cifra de afaceri au avut cel putin sase incidente de discontinuitate cauzate de defectiuni cu pierderi de date, impreuna cu cel putin cinci incidente de furt de informatii pe parcursul unui an

Unde esueaza companiile - Top 5 slabiciuni

Auditorii observa aceleasi probleme ...

Esecul de a separa indatoririle in interiorul organizatiei si incapacitatea de a proviziona si deproviziona intr-un timp rezonabil.
Aceasta este cea mai mare problema. Multe organizatii nu au proceduri in cazul in care angajatii schimba compartimentele. Multe organizatii au proceduri manuale pentru a rezolva aceasta problema.

Lipsa unei vizibilitati in cazul modificarilor de sisteme si aplicatii.

In majoritatea organizatiilor un singur administrator este responsabil pentru toate modificarile. Pentru a trece de audit este nevoie ca o persoana sa faca aceste modificari, iar altcineva sa faca verificarea respectarii procedurilor. De asemenea este nevoie de dovada ca aceasta procedura este respectata.

Lipsa consultarii eficiente a logurilor de audit si securitate.

Multe organizatii desemneaza pe cineva sa consulte logurile pentru a asigura buna functionare a aplicatiilor. Sarbanes-Oxley, de exemplu cere dovada acestui lucru. Cu alte cuvinte trebuie sa existe un audit log pentru audit log.

Esecul de a detecta tranzactiile anormale in timp util.

Aceasta este o problema IT clasica si poate fi corectata prin modificarea aplicatiilor in sensul de a alerta atunci cand exista tranzactii care nu sunt conforme cu un set de reguli prestabilite.

Lipsa de cunostere a configuratiilor sistemelor critice.

Aparent multe departamente IT nu sunt chiar asa de bune cum credeam Solutia este simpla: un training mai bun!

Provocri:
Colectarea evenimentelor i log-urilor de pe toate platformele (n special cele critice) Stocarea acestor loguri n format criptat i comprimat (ideal) pe o perioad de 3-5 ani Combinarea de raportare ad-hoc, investigaii i analize cu rapoarte pre-executate pentru conformitate

Crearea de alerte bazate pe politici extrem de flexibile i gestionarea acestora

Dac dorii:

Dac dorii:
Alinierea la:

Audit de securitate Prezentarea evenimentelor n consola unic Corelarea evenimentelor din sisteme diferite Sistem automat de alertare Gestiune alerte

COBIT ITIL ISO

Conformitatea cu:

Sarbanes-Oxely HIPPA Basel II

Avei nevoie de o solutie de Event-Log Management

Aceast soluie permite unei organizaii s colecteze, stocheze i raporteze pentru a satisface cerinele regulamentelor externe i ale politicilor interne prin:

Automatizarea colectrii de log-uri Normalizarea tuturor log-urilor

Reducerea necesarului de storage prin diverse mecanisme de arhivare a datelor

Raportare i alertare inteligente

Avei nevoie de o solutie de Event-Log Management

Aceast soluie permite unei organizaii s colecteze, stocheze i raporteze pentru a satisface cerinele regulamentelor externe i ale politicilor interne prin:

Colectare Normalizare Raportare

IT Management

Sistemul ideal de event-log management

Sistemul ideal de event-log management

Modul dedicat pentru autentificare: Audit complet, detaliat al tuturor
modificarilor in LDAP si Group Policy, modificari de configuratie. Cine, cand si unde a efectuat modificarea, precum si valorile anterioare si ulterioare modificarii

Modul dedicat pentru file servere: Audit asupra activitatii pe foldere,

fisiere si resurse partajate, livrand urmarire detaliata, colectare si stocare eficienta a accesarilor si modificarilor de permisiuni. Ideal acest lucru trebuie realizat fara a activa auditul nativ, salvandu-se resurse critice de sistem

Modul dedicat sistemului de posta electronica: Conformitate cu

standardele de securitate, prin urmarirea intregii activitati: accesul non-owner, modificarile de configuratie si permisiuni pentru serverele de mail si mailbox-uri. Rapoarte detaliate asupra activitatii utilizatorilor pe sistemul de mesagerie, inclusiv instant messaging si echipamente de telefonie mobila

Portal unic de raportare: Vizualizare consolidata a starii de conformitate IT

prin evaluarea integrala a mediului, stabilirea unui proces de alertare si audit al tuturor evenimentelor relative la securitatea informatiei

Sistemul ideal de event-log management

AUDIT LA AUDIT
Soluia trebuie sa ofere nregistrarea evenimentelor de audit Orice raport citit, orice alert rezolvat trebuie sa fie nregistrate Ofer justificare pentru activitatea IT Security Ofer justificare i probeaz aplicarea procedurilor de securitate

Evenimente corelate

The secret of all victory lies in the organization of the nonobvious.

Marcus Aurelius Roman Emperor

17

Anomaly Analizer
Anomalie = Ceea ce se abate de la normal, de la regula obinuit; ceea ce constituie un defect. Din fr. anomalie. 2 abordari in analiza anomaliilor:
Rule-based Concept-based

Unele solutii ofera rule-based, doar cateva ofera concept-based si extrem de putine le ofera pe ambele!
18

Intrebari