DUF Tudomány Hete 2010
SARM Veszteségek minimalizálása visszaélés-felderítéssel Csizmadia Attila CISA
DUF Tudomány Hete 2010 Az információ gazdasági szerepe
2.
Veszélyben: a cégek üzleti, stratégiai adatai; a dolgozók személyes adatai; kutatási fejlesztési eredmények; gazdálkodási, pénzügyi adatok Negatív hatás: nyereségességre; hírnévre; megbízhatóságra Okok: előny- és haszonszerzés; üzletmenet rontás; bosszú
DUF Tudomány Hete 2010 Biztonságtudatosság
Tudjuk, hogy fontos → költünk rá:
Védünk:
3.
Portaszolgálat Élőerős telephely őrzés Kamerás megfigyelő rendszerek Távriasztás…
Épületet Berendezést Gépkocsit…
…de informatikai adatvagyonunk őrzését nem tekintjük biztonsági feladatnak!
DUF Tudomány Hete 2010 Lehetséges veszteségforrások Kü l s ő és vi ssz b e l ső aé kísér lési letek
SEALOG l yi ka h e Mun lőírások ák, e norm gsértése me
VÁLLALATI ADATVAGYON i ka ati sági m r o on Inf bizt ágok m ss e ü z á n yo i h
4.
Cs
SARM
alá
so
k
DUF Tudomány Hete 2010 Elterjedt megoldások Előtérben a külső fenyegetések elleni védekezés
Határvédelmi eszközök Vírusvédelem Adatvédelmi szabályzatok Jogosultságkezelési szabályzatok
5.
DUF Tudomány Hete 2010 Munkavállalói visszaélések A támadások forrásai* Belső visszaélések
31% 69%
Felhatalmazott dolgozók Illetéktelen dolgozók Korábbi dolgozók Hackerek, bűnözők Konkurencia
A felmérés 1600 tapasztalt szakértő véleményén alapul
*Összetett válaszokat is elfogadtak, 6.
forrás: PWC 2009
58% 24% 13% 13% 3%
DUF Tudomány Hete 2010 Belső visszaélések felderítése az esetek kétharmadában nem a vállalkozások kontrollkörnyezete fedezte fel!
Felderítés forrásai* Nem a tudatos védekezés miatt!
34%
66%
Munkavállalóktól, harmadik személyektől származó információk Puszta véletlen Kontroll környezet
46% 20% 34%
A felmérés 1000 visszaélési esemény elemzésén alapul. forrás: ACFE: Report to the Nation 7.
DUF Tudomány Hete 2010 A veszteség- minimalizálás megcélzott területei • • • • • •
BPR ? Technológiai folyamatok javítása ? Facility Management ? Hatékonyabb karbantartás menedzsment ? Árfolyam (ár) kockázatok minimalizálása tőzsdei munkával ? …
…helyett, de inkább mellett:
Digitális nyomokra alapozott veszteség csökkentés 8.
DUF Tudomány Hete 2010 A digitális nyomok gyűjtésének irányelve A vállalati működés során a kritikus folyamatok mentén keletkező digitális nyomokat újra feldolgozva megvizsgáljuk, milyen események, tranzakciók történtek, és kiszűrjük belőlük a gyanúsakat
9.
DUF Tudomány Hete 2010 Digitális nyomok
10.
Eszköznapló Rendszernapló Alkalmazásnapló Biztonsági napló és minden ami üzletileg fontos adat: operatív rendszerek adatai beléptető adatok jogosultsági adatok helyszín/pozíció adatok…
DUF Tudomány Hete 2010 A digitális nyomok gyűjtésének jelentősége Nyomon lehet követni: Ki, mikor, mit csinál Milyen adatokhoz fér hozzá Milyen jogosultsággal Ellenőrizni lehet: A kapott információk megfelelnek-e az előírásoknak -> Riasztás! 11.
DUF Tudomány Hete 2010 Teljeskörű megoldás A „Ki, mikor, mit csinál” kérdésre egy jól felépített SIEM (Security Information and Event Management) rendszer adhatja meg a válaszokat A „Volt-e, van-e hozzá joga” kérdésre pedig az IAM (Identity and Access Management) rendszerek tudnak felelni
12.
A teljeskörű megoldás: a két rendszer integrált alkalmazása
DUF Tudomány Hete 2010 SeaLog digitális nyomelemző rendszer sajátosságai Kockázatkezelés szempontjából fontos rendszerek vizsgálata Időben elhúzódó folyamatok összetett vizsgálata Különböző digitális nyomok összekapcsolása A rejtett összefüggések elemzése Adattárházi technológiák alkalmazása 13.
DUF Tudomány Hete 2010 SeaLog rendszer részei Intelligens nyomgyűjtési és szűrési mechanizmus Jól strukturált, egységes adatpiac Gyanús események definiálása Automatikus figyelés és riasztást Részletes adatelemzés biztosítása MI módszerekkel SLA szerű mérések a megfelelő működésre 14.
DUF Tudomány Hete 2010
Sealog architektúra Telephely1
Jelentések
Központi telephely Management
Adattárház
Offline naplóállományok
Biztonsági elemző Lekérdező vékony kliens Telephely2
Lekérdező Webszerver
Adminisztrátor SeaLog adatbázisszerver Naplókoncentrátor3
Telephely3
Adminisztrátori vastag kliens
Logbetöltő, Konfiguráló Webszerver
TelephelyN
Telephely5 Telephely4
15.
DUF Tudomány Hete 2010 A digitális nyomelemző rendszer gyakorlati jelentősége Automatikusan felderíti az egyébként rejtve maradó, külső és belső visszaéléseket, rendellenes működéseket, ezzel jelentősen csökkentve a cég anyagi és erkölcsi kockázatait Közérthető formában jeleníti meg a további intézkedéshez szükséges információkat Nagyban segíti a felhasználók jogszabályi megfelelőségének biztosítását 16.
DUF Tudomány Hete 2010
Jogosultságkezelés Jogosultságkezelési kockázatok Indokolatlan jogok kiosztása Jogok visszavonásának elmaradása Erős jogkörrel rendelkező felhasználók önhatalmú működése
17.
DUF Tudomány Hete 2010 Példa jogosultsági struktúrára
18. 18.
DUF Tudomány Hete 2010 Nehezen megválaszolható kérdések
19. 19.
Kinek milyen jogosultsága van adott rendszerekhez? Egy adott erőforrást ki mikor használt utoljára? Milyen fájlokkal dolgozik egy adott felhasználó egy adott idő intervallumban? Milyen felhasználók rendelkeznek teljes adminisztrációs jogkörrel? Milyen inaktív account-ok találhatók a rendszerekben? Mit, és milyen szinten „láthatnak” a rendszergazdák?
DUF Tudomány Hete 2010 Egy innovatív megoldás - SARM Security Officer Jogosultsági adatok
Security Store
Security Monitor
Távoli Felügyelet
Jo to da i a ió ág lts urác su go onfig K
SDK, SOAP, CSV, XML
Központi Adatgyűjtő Szerver
k
Egyéb jogosultsági adatforrások
rity rs cu Se overe c Dis
Szerverek, Alkalmazások, Adatbázisok jogosultságai
20. 20.
Riportok Kimutatások
Management
DUF Tudomány Hete 2010 A SARM működése SecurityDiscoverer (Adatgyűjtő modul) Jogosultsági adatok megszerzése és begyűjtése
SecurityStore (Adattároló modul) Adatok fogadása, rendszerezése, csoportosítása és eltárolása. Üzleti logikai réteg Adatok küldése a SecurityMonitornak.
SecurityMonitor (Adatmegjelenítő modul) Lekérdezések, riportok futtatása, figyelmeztetések menedzselése Rendszergazdai felület, belső jogosultságkezelés SecurityDiscoverer programok távmenedzselése A különböző rendszerek adatainak megjelenítése egy felületen
SARM Authority Request (Jogosultságigénylő modul) 21. 21.
A felhasználók jogosultsági igényeit elektronikusan egységes formában továbbítja a megfelelő szervezetek felé
DUF Tudomány Hete 2010 A SARM gyakorlati jelentősége A SARM Központi Jogosultságkezelő Menedzsment Rendszer jól menedzselhetővé – ellenőrizhetővé és átláthatóvá – teszi a jogosultságkezelési munkát, ezáltal radikálisan csökkenti a jogosultság kezelési kockázatokat „megmutatja”, kinek mihez van jogosultsága segíti a vezetői szándék következetes megvalósulását workflow támogatást ad a több személyt, szervezetet érintő jogosultsági kérdések dokumentált meghatározásához 22. 22.
DUF Tudomány Hete 2010 SeaLog és SARM (SIEM és IAM) összekapcsolása Modulrendszerű felépítés előnye Minden szükséges információ egy felületen elérhető Teljeskörűen felfedi a lehetséges veszteségforrásokat Fokozott biztonsági szintet valósít meg Erős audittámogatást biztosít
23. 23.
DUF Tudomány Hete 2010
Köszönöm
a figyelmet!
[email protected] 24.
