Heterogén platformon futó vállalati megoldások biztonsági rései

Heterogén platformon futó vállalati megoldások biztonsági rései Dr. Molnár Imre, CISA magyarországi igazgató Computer Associates

Téma ƒ ƒ ƒ ƒ

Problémák és okai Kockázatkezelés és módszertanok A megoldás elemei A jövő kérdései

2

Az IT vezetők mondják ƒ ƒ ƒ

ƒ ƒ ƒ

ƒ

Több millió üzenet naponta. Mire figyeljünk? Ez a sok törvényi előírás? Hogy lehet betartani? Sokkal hatékonyabbak lehetnénk, ha látnánk az üzleti folyamatokat és feladatkör szerinti jogosultságokat használhatnánk. Csak a 10 legfontosabb problámára vagyok kiváncsi. Miért ilyen nehéz ezt elérni? Minden nap újabb biztonsági frissítések jelennek meg. Hogy lehet ezzel lépést tartani? Az esemény felismerése csak fél siker. Ha nem vagyok képes a megfelelő ellenlépésekre, akkor mindez nem ér semmit. Az egyre furfangosabb támadások átjutnak a meglévő védelmi vonalon.

3

A biztonsági felelősök mondják ƒ A rendszerek sebezhetőek – A frissítések kezelése költséges – Újabb és újabb kártevők támadnak – Özönlenek a SPAM-ek ƒ Drága a felhasználó menedzsment ƒ Ellepnek az adatok, még sincs elég információ ƒ Egyre szigorúbb előírások betartását kell igazolni.

4

A piaci verseny diktál ƒ ƒ ƒ ƒ ƒ ƒ

Azonnali válasz a piaci igényekre Folyamatos működés, katasztrófa túlélés Világméretű, nyitott rendszerek Elszámoltatható működés, törvényi előírások Az IT, mint szolgáltatás Jól, gyorsan és olcsón ƒ (és ebből itt mindhárom teljesítendő...)

5

A technológiai változások ƒ Wireless és mobil alkalmazások – IT: “biztosítható továbbra is az adatvédelem?” ƒ Sokan dolgoznak offline notebook-kal, de a céges hálózatra is rácsatlakoznak olykor. – IT: “Hogyan menedzselhetők és hogyan ellenőrizhetők?” ƒ IT: “Nyitott és mégis jól védett vállalati hálózat?”

6

A technológiai változások ƒ ƒ

ƒ

A titkosító kulcsokat nehéz menedzselni A kalóz hozzáférési pontok és a nem engedélyezett eszközök biztonsági kockázatot jelentenek Az adatforgalomhoz való hozzáférés fizikailag nehezen korlátozható

Intranet SSID WEP / WPA VPN

SSID WEP / WPA VPN

7

Az új problémák ƒ Biztonság – A még nyitottabb, összetett rendszerek nehezen menedzselhetők – A hozzáférés nehezen védhető ƒ Î – Növekvő költségek – Állandó változáskezelés – Munkaigényes feladatok

Míg a technológia viszonylag jól kézben tartható, a biztonság egy óriási akadály. Megfelelően jó védelmi rendszer nélkül az új kapcsolatok révén minden egyes laptop kiskaput nyit a vállalati hálózat felé. Business Week Online, February 18, 2004,

8

Az információ kezelhetetlen

9

Egyre növekvő gondok

Customers

Partners

Contractors

Hackers

Malware

Spam

10

Kockázatkezelés ƒ A kockázat: „Annak a lehetősége, hogy egy adott fenyegetés kihasználva a vagyontárgy sebezhetőségét, kárt okoz a vagyontárgyban.” ƒ A kockázatkezelés során a cél a kockázat: – elkerülése – áthelyezése – korlátozása – elfogadása – mellőzése ƒ A döntés a kockázat típusától és az elfogadható kockázati szinttől függ.

11

A kockázatkezelés elemei ƒ Az összetevők – Vagyontárgy (assests) – Sebezhetőség (vulnerabilities) – Fenyegetettség (threats) – Hatás (impacts) – Kockázat (risks) – Fennmaradó kockázat (residual risk)

12

A kockázatkezelési kultúra ƒ A konkrét kockázattal (pl. gyorshajtás, vagy csúszós út) kapcsolatos stratégiánk a szociális háttértől függ, míg az elvont kockázat kezelése (befektetések, IT), vagy összetett kockázat értékelése részletes elemzést igényel. ƒ A kockázatok kezelése általában a korábbi eseményekből tanultakon alapul. ƒ Hajlamosan vagyunk a kockázatot tudomásul sem venni, ha nincs rá megoldásunk. ƒ Minél gyorsabban fedezünk fel új technológiákat, annál nagyobb a rés a kockázat lehetősége és a kockázat kezelés gyakorlata között.

13

Kockázatok az IT környezetben ƒ Az IT környezet bonyolultságával nő az időben nem kezelt további kockázatok mértéke. ƒ A helyhez és időhöz nem kötött hozzáférési gyakorlat előnyös a gyenge pontokat kereső és kihasználó támadóknak. ƒ A támadók indítékai nagyon különbözők lehetnek, és annak megfelelően változik a használt módszer, vagy eszköztár. ƒ Az egyre szigorúbb törvényi előírások miatt a cég vezetőinek személyes jogi felelőssége is nő.

14

A támadók ƒ Külső: – Hackers / Crackers – Information Collectors – Criminal Individuals or Organisations – (Foreign) Intelligence Community – Business Partners / Customers – Competitors / New Market Entries – Fanatics / Terrorists – Information Warfare ƒ Belső: – Disgruntled Employees – Suppliers / (external) Maintenance Staff – System Specialists – Criminals – Careless Employees

15

Megoldás előtt eldöntendő ƒ Tudatosság – Mi a probléma? Mekkora? Milyen veszélyt rejt és mivel kompenzálható? ƒ Eljárások, módszerek – Mit kell tenni, mikor és mivel / hogyan? ƒ Emberi erőforrás – Ki csinálja és ki a felelős? ƒ Termékek – Milyen eszközökkel?

16

A valóság ƒ ƒ ƒ ƒ ƒ ƒ ƒ

‘Pont megoldások” – kapcsolat nélkül Túl sok esemény – összefüggések nélkül Átláthatatlanság Nincs elég idő a cselekvésre Magas költségek Túl sok résztvevő szereplő Túl sok veszély a vállalatra és a vezetőkre nézve

17

Az ideális kép ƒ Valódi biztonság-menedzsment létrehozása, a pontmegoldások toldozgatása helyett, a már eddig is komplex környezetben ƒ Valamennyi biztonsági elem összekapcsolása az összefüggések automatikus értékelésével ƒ Központi “command & control” parancsnoki központ létrehozása ƒ Az automatizálható feladatok gépesítése – az emberi hibák kiküszöbölése és a költségek csökkentése érdekében

18

A gyakorlat ƒ A korlátozott erőforrások miatt célszerű először az üzletmenet szempontjából legfontosabb kockázatokat vizsgálni és kiküszöbölni. ƒ Ne találjuk fel újra a kereket : „Best Practice” eljárások ƒ De vajon:

– Csökkenthető-e a kockázat az elvárások szerint? – Megvalósítható-e az eljárás? – Megéri-e bevezetni?

19

Az „asset” szerepe

ƒ A védendő vagyontárgyak kiválasztása ƒ Ezen vagyontárgyak értéke ƒ Hogyan alkalmazandó a „best practice”? ƒ „Asset profile” ƒ Tulajdonos és Kezelő ƒ Értékelemzés: Critical Success Factor analysis ƒ Vizsgálandó a vagyontárgy életútja: – tárolás, szállítás-mozgatás, feldolgozás

20

Best Practices ƒ

CoBiT – IT Governance and IS Management

ƒ

NIST 800 series – IS management, principles based

ƒ

BS 7799 - IS management, controls based

ƒ

ISO 17799

ƒ

ISO TR 13355 – Guidelines for Management of IT security

ƒ

BSI 7152 E1 – IT Baseline Protection Manual

ƒ

EU Data Protection Directive

ƒ

ITB ajánlások

ƒ

ITIL – IT infrastructure library

ƒ

ISO 21827 – Security Capability Maturity model

ƒ

ISO 15408 – CC – Product Security Model

.......

21

Példa ƒ Vagyontárgy (Asset): HR adatbázis ƒ Követelmény: csak a személyzeti dolgozók hozhatnak létre, módosíthatnak, vagy törölhetnek személyzeti aktákat. ƒ Védelmi cél: Biztosítandó a kizárólagos HR-szintű hozzáférés ƒ Best Practice: Az információ, mint vagyontárgy kezelőit a vagyontárgy tulajdonosa kell, hogy kijelölje ƒ Megvalósítás: A rendszergazdák csak a HR vezető írásos engedélyével adhatnak hozzáférést a HR adatbázishoz

22

Védendő – „information assurance” ƒ Bizalmasság - Confidentiality – Csak felhatalmazott HR személyzet és felhatalmazott vezetők férhetnek hozzá a személyzeti aktákhoz.

ƒ Sértetlenség - Integrity – Csak felhatalmazott HR személyzet hozhat lére, módosíthat vagy törölhet személyzeti bejegyzéseket.

ƒ Rendelkezésre állás - Availability – A HR aktáknak rendelkezésre kell állni, igény szerint, munkanapok, 8-17 óráig

23

A védelmi eszközök ƒ Védelmi ellenintézkedések – „controls” – Megelőző – Elijesztő, – Preventive and Deterrent

– Felderítő – Detective

– Javító – Helyreállító – Corrective and Recovery

ƒ Gyakorlati formái – Administrative – Technical – Physical

24

Tipikus biztonsági felépítés

IT Risk and Information Security Management Asset Management

Policy Setting

Server & Desktop Mgt Discovery & Monitoring

Change Management

User Provisioning

Security Monitoring and Auditing

Incident Response

IT Security Management Technologies Firewalls and VPNs

Antivirus & Vulnerability Mgt

Intrusion Detection and Prevention

User Access Mgt

Business Continuity Plan

Data & Service Protection Service High Availability

Backup and Recovery

25

Security Architecture Modules

Identity & Access Mgt Identity Provisioning

Security Command Center

Threat Mgt

Monitoring & Reporting

Access Policy Management

Incident Response

Common Services Identity & Credential Mgt

Cryptographic Services & Key Mgt

Audit

Authorization

Identity Directory

Threat & Vulnerability Scanning

Event Aggregation, & Correlation

Security Events

Resources Security Instrumentation and Plug-ins

Security Infrastructure

Platforms & Applications Standards-based Interfaces for Identity and Access (OCSP, LDAP)

SDK

XML-based Interfaces for auditing and monitoring

26

Azonosítás és hozzáférés menedzsment

27

Azonosítás és hozzáférés menedzsment ƒ Kihívások Customers

Partners

Investors

– A felhasználómenedzsment és a hozzáféréskezelés költséges – Dinamikusan változó piaci rendszerben nehezen kezelhető, hogy ki mihez férjen hozzá – A Help-deszk költségek nőnek – Heterogén környezetben a hozzáférés kezelés még összetettebb – Biztosítani kell a törvényi megfelelőséget – Basel II, EU Directive, HIPAA, Sarbanes-Oxley, ... 28

Azonosítás és hozzáférés menedzsment ƒ Központosított (platform független) azonosítás és hozzáférésjog kezelés és felügyelet ƒ Az „alantas” feladatok automatizálása ƒ „Önkiszolgáló” szolgáltatások bevezetése, ahol lehetséges (pl. password management) ƒ Alkalmazás- és hálózati szintű ellenőrzések

29

A fenyegetettség kezelése ƒ Kihívások

– Túlságosan sok sérülékenység – A spyware vállalati szintű problémákat okozhat – A napi frissítés költséges – A spam és a dolgozók „nem megfelelő” internet használata a hatékonyságot rontja és további biztonsági réseket nyit

Hackers

Malware

Spam 30

A fenyegetettség kezelése ƒ Fejlett antivirus megoldások (multiple scan engines, real-time updates etc) ƒ Tartalomkezelés (Secure content management: mobile code, malware, spam, Web…) ƒ Behatolás felderítés fejlett összefüggés vizsgálattal ƒ Irányelvek kezelése és megfelelőség audit ƒ Sérülékenység vizsgálat (Vulnerability assessment and management) ƒ Incidensek megelőzése a bekövetkezés előtt

31

A biztonsági adatok... ƒ Kihívások

– Túl sok adat – Nem lehet prioritást meghatározni – Drága az incidensek kezelése – Lehetetlen az audit eljárásoknak megfelelni

32

Security Information Management ƒ Megoldás

– Adatok halmaza helyett valódi információ – Biztonsági adatfeldolgozás, ami megfelel a törvényi előírásoknak

33

Integrált megjelenítés és kiértékelés

34

Forensics: Firewall Log

35

Forensics: E-Mail Correlation

36

Forensics: Information Flows

37

A wireless hálózat kezelése

Access Zone 38

A teljes felügyelet

39

True Security Management

Value (Cost too!)

G N I R O T NI

S

U C E

O M Y Refine, T I R

Centralized Access to Data content & applications DATA

analyze & sort data delivering security information

INFORMATION

Level 2 Level 1 Security Data Infrastructure

CU E S

A N A M Y T I R

Apply business relevance to information to determine business priorities!

G

NT E EM

Act on real business knowledge in a single place according to business need

KNOWLEDGE

ACTION

Level 3 Level 4 True Security Management

Information Delivery Maturity Level 40

Az üzleti előnyök ƒ ƒ ƒ ƒ ƒ

Hatékonyság növelés Költségcsökkenés Törvényi megfelelőség Üzletmenet folytonosság Kockázat csökkentés

41

Jövőbiztos megoldás

42

Köszönöm a figyelmet Dr. Molnár Imre, CISA