SARM. Veszteségek minimalizálása visszaélés-felderítéssel. Csizmadia Attila CISA

Átírás

1 SARM Veszteségek minimalizálása visszaélés-felderítéssel Csizmadia Attila CISA

2 Az információ gazdasági szerepe Veszélyben: a cégek üzleti, stratégiai adatai; a dolgozók személyes adatai; kutatási fejlesztési eredmények; gazdálkodási, pénzügyi adatok Negatív hatás: nyereségességre; hírnévre; megbízhatóságra Okok: előny- és haszonszerzés; üzletmenet rontás; bosszú 2.

3 Biztonságtudatosság Tudjuk, hogy fontos költünk rá: Portaszolgálat Élőerős telephely őrzés Kamerás megfigyelő rendszerek Távriasztás Védünk: Épületet Berendezést Gépkocsit 3. de informatikai adatvagyonunk őrzését nem tekintjük biztonsági feladatnak!

4 Lehetséges veszteségforrások Külső és belső visszaélési kísérletek SEALOG Munkahelyi normák, előírások megsértése VÁLLALATI ADATVAGYON Informatikai üzembiztonsági hiányosságok SARM Csalások 4.

5 Elterjedt megoldások Előtérben a külső fenyegetések elleni védekezés Határvédelmi eszközök Vírusvédelem Adatvédelmi szabályzatok Jogosultságkezelési szabályzatok 5.

6 Munkavállalói visszaélések A támadások forrásai* 31% 69% Belső visszaélések Felhatalmazott dolgozók 58% Illetéktelen dolgozók 24% Korábbi dolgozók 13% Hackerek, bűnözők 13% Konkurencia 3% A felmérés 1600 tapasztalt szakértő véleményén alapul *Összetett válaszokat is elfogadtak, forrás: PWC

7 Belső visszaélések felderítése az esetek kétharmadában nem a vállalkozások kontrollkörnyezete fedezte fel! Felderítés forrásai* 34% 66% Nem a tudatos védekezés miatt! Munkavállalóktól, harmadik személyektől származó információk 46% Puszta véletlen 20% Kontroll környezet 34% A felmérés 1000 visszaélési esemény elemzésén alapul. forrás: ACFE: Report to the Nation 7.

8 A veszteség- minimalizálás megcélzott területei 8. BPR? Technológiai folyamatok javítása? Facility Management? Hatékonyabb karbantartás menedzsment? Árfolyam (ár) kockázatok minimalizálása tőzsdei munkával? helyett, de inkább mellett: Digitális nyomokra alapozott veszteség csökkentés

9 A digitális nyomok gyűjtésének irányelve A vállalati működés során a kritikus folyamatok mentén keletkező digitális nyomokat újra feldolgozva megvizsgáljuk, milyen események, tranzakciók történtek, és kiszűrjük belőlük a gyanúsakat 9.

10 Digitális nyomok 10. Eszköznapló Rendszernapló Alkalmazásnapló Biztonsági napló és minden ami üzletileg fontos adat: operatív rendszerek adatai beléptető adatok jogosultsági adatok helyszín/pozíció adatok

11 A digitális nyomok gyűjtésének jelentősége Nyomon lehet követni: Ki, mikor, mit csinál Milyen adatokhoz fér hozzá Milyen jogosultsággal 11. Ellenőrizni lehet: A kapott információk megfelelnek-e az előírásoknak -> Riasztás!

12 Teljeskörű megoldás A Ki, mikor, mit csinál kérdésre egy jól felépített SIEM (Security Information and Event Management) rendszer adhatja meg a válaszokat A Volt-e, van-e hozzá joga kérdésre pedig az IAM (Identity and Access Management) rendszerek tudnak felelni 12. A teljeskörű megoldás: a két rendszer integrált alkalmazása

13 SeaLog digitális nyomelemző rendszer sajátosságai Kockázatkezelés szempontjából fontos rendszerek vizsgálata Időben elhúzódó folyamatok összetett vizsgálata Különböző digitális nyomok összekapcsolása A rejtett összefüggések elemzése Adattárházi technológiák alkalmazása 13.

14 SeaLog rendszer részei Intelligens nyomgyűjtési és szűrési mechanizmus Jól strukturált, egységes adatpiac Gyanús események definiálása Automatikus figyelés és riasztást Részletes adatelemzés biztosítása MI módszerekkel SLA szerű mérések a megfelelő működésre 14.

15 Sealog architektúra Telephely1 Jelentések Management Központi telephely Biztonsági elemző Adattárház Offline naplóállományok Telephely2 Lekérdező vékony kliens Lekérdező Webszerver Adminisztrátor Telephely3 Naplókoncentrátor3 Logbetöltő, Konfiguráló Webszerver SeaLog adatbázisszerver Adminisztrátori vastag kliens TelephelyN Telephely4 Telephely5 15.

16 16. A digitális nyomelemző rendszer gyakorlati jelentősége Automatikusan felderíti az egyébként rejtve maradó, külső és belső visszaéléseket, rendellenes működéseket, ezzel jelentősen csökkentve a cég anyagi és erkölcsi kockázatait Közérthető formában jeleníti meg a további intézkedéshez szükséges információkat Nagyban segíti a felhasználók jogszabályi megfelelőségének biztosítását

17 Jogosultságkezelés Jogosultságkezelési kockázatok Indokolatlan jogok kiosztása Jogok visszavonásának elmaradása Erős jogkörrel rendelkező felhasználók önhatalmú működése 17.

18 Példa jogosultsági struktúrára

19 Nehezen megválaszolható kérdések Kinek milyen jogosultsága van adott rendszerekhez? Egy adott erőforrást ki mikor használt utoljára? Milyen fájlokkal dolgozik egy adott felhasználó egy adott idő intervallumban? Milyen felhasználók rendelkeznek teljes adminisztrációs jogkörrel? Milyen inaktív account-ok találhatók a rendszerekben? Mit, és milyen szinten láthatnak a rendszergazdák?

20 Egy innovatív megoldás - SARM Security Officer Központi Adatgyűjtő Szerver Security Store Jogosultsági adatok Security Monitor Riportok Kimutatások SDK, SOAP, CSV, XML Távoli Felügyelet Management Jogosultsági adatok Konfiguráció Egyéb jogosultsági adatforrások Security Discoverers Szerverek, Alkalmazások, Adatbázisok jogosultságai

21 A SARM működése SecurityDiscoverer (Adatgyűjtő modul) Jogosultsági adatok megszerzése és begyűjtése SecurityStore (Adattároló modul) Adatok fogadása, rendszerezése, csoportosítása és eltárolása. Üzleti logikai réteg Adatok küldése a SecurityMonitornak. SecurityMonitor (Adatmegjelenítő modul) Lekérdezések, riportok futtatása, figyelmeztetések menedzselése Rendszergazdai felület, belső jogosultságkezelés SecurityDiscoverer programok távmenedzselése A különböző rendszerek adatainak megjelenítése egy felületen SARM Authority Request (Jogosultságigénylő modul) A felhasználók jogosultsági igényeit elektronikusan egységes formában továbbítja a megfelelő szervezetek felé

22 A SARM gyakorlati jelentősége A SARM Központi Jogosultságkezelő Menedzsment Rendszer jól menedzselhetővé ellenőrizhetővé és átláthatóvá teszi a jogosultságkezelési munkát, ezáltal radikálisan csökkenti a jogosultság kezelési kockázatokat megmutatja, kinek mihez van jogosultsága segíti a vezetői szándék következetes megvalósulását workflow támogatást ad a több személyt, szervezetet érintő jogosultsági kérdések dokumentált meghatározásához

23 SeaLog és SARM (SIEM és IAM) összekapcsolása Modulrendszerű felépítés előnye Minden szükséges információ egy felületen elérhető Teljeskörűen felfedi a lehetséges veszteségforrásokat Fokozott biztonsági szintet valósít meg Erős audittámogatást biztosít

24 Köszönöm a figyelmet! seacon@seacon.hu 24.