Heterogén platformon futó vállalati megoldások biztonsági rései

Átírás

1 Heterogén platformon futó vállalati megoldások biztonsági rései Dr. Molnár Imre, CISA magyarországi igazgató Computer Associates

2 Téma Problémák és okai Kockázatkezelés és módszertanok A megoldás elemei A jövő kérdései 2

3 Az IT vezetők mondják Több millió üzenet naponta. Mire figyeljünk? Ez a sok törvényi előírás? Hogy lehet betartani? Sokkal hatékonyabbak lehetnénk, ha látnánk az üzleti folyamatokat és feladatkör szerinti jogosultságokat használhatnánk. Csak a 10 legfontosabb problámára vagyok kiváncsi. Miért ilyen nehéz ezt elérni? Minden nap újabb biztonsági frissítések jelennek meg. Hogy lehet ezzel lépést tartani? Az esemény felismerése csak fél siker. Ha nem vagyok képes a megfelelő ellenlépésekre, akkor mindez nem ér semmit. Az egyre furfangosabb támadások átjutnak a meglévő védelmi vonalon. 3

4 A biztonsági felelősök mondják A rendszerek sebezhetőek A frissítések kezelése költséges Újabb és újabb kártevők támadnak Özönlenek a SPAM-ek Drága a felhasználó menedzsment Ellepnek az adatok, még sincs elég információ Egyre szigorúbb előírások betartását kell igazolni. 4

5 A piaci verseny diktál Azonnali válasz a piaci igényekre Folyamatos működés, katasztrófa túlélés Világméretű, nyitott rendszerek Elszámoltatható működés, törvényi előírások Az IT, mint szolgáltatás Jól, gyorsan és olcsón (és ebből itt mindhárom teljesítendő...) 5

6 A technológiai változások Wireless és mobil alkalmazások IT: biztosítható továbbra is az adatvédelem? Sokan dolgoznak offline notebook-kal, de a céges hálózatra is rácsatlakoznak olykor. IT: Hogyan menedzselhetők és hogyan ellenőrizhetők? IT: Nyitott és mégis jól védett vállalati hálózat? 6

7 A technológiai változások A titkosító kulcsokat nehéz menedzselni A kalóz hozzáférési pontok és a nem engedélyezett eszközök biztonsági kockázatot jelentenek Az adatforgalomhoz való hozzáférés fizikailag nehezen korlátozható Intranet SSID WEP / WPA VPN SSID WEP / WPA VPN 7

8 Az új problémák Biztonság A még nyitottabb, összetett rendszerek nehezen menedzselhetők A hozzáférés nehezen védhető Növekvő költségek Állandó változáskezelés Munkaigényes feladatok Míg a technológia viszonylag jól kézben tartható, a biztonság egy óriási akadály. Megfelelően jó védelmi rendszer nélkül az új kapcsolatok révén minden egyes laptop kiskaput nyit a vállalati hálózat felé. Business Week Online, February 18, 2004, 8

9 Az információ kezelhetetlen 9

10 Egyre növekvő gondok Customers Partners Contractors Hackers Malware Spam 10

11 Kockázatkezelés A kockázat: Annak a lehetősége, hogy egy adott fenyegetés kihasználva a vagyontárgy sebezhetőségét, kárt okoz a vagyontárgyban. A kockázatkezelés során a cél a kockázat: elkerülése áthelyezése korlátozása elfogadása mellőzése A döntés a kockázat típusától és az elfogadható kockázati szinttől függ. 11

12 A kockázatkezelés elemei Az összetevők Vagyontárgy (assests) Sebezhetőség (vulnerabilities) Fenyegetettség (threats) Hatás (impacts) Kockázat (risks) Fennmaradó kockázat (residual risk) 12

13 A kockázatkezelési kultúra A konkrét kockázattal (pl. gyorshajtás, vagy csúszós út) kapcsolatos stratégiánk a szociális háttértől függ, míg az elvont kockázat kezelése (befektetések, IT), vagy összetett kockázat értékelése részletes elemzést igényel. A kockázatok kezelése általában a korábbi eseményekből tanultakon alapul. Hajlamosan vagyunk a kockázatot tudomásul sem venni, ha nincs rá megoldásunk. Minél gyorsabban fedezünk fel új technológiákat, annál nagyobb a rés a kockázat lehetősége és a kockázat kezelés gyakorlata között. 13

14 Kockázatok az IT környezetben Az IT környezet bonyolultságával nő az időben nem kezelt további kockázatok mértéke. A helyhez és időhöz nem kötött hozzáférési gyakorlat előnyös a gyenge pontokat kereső és kihasználó támadóknak. A támadók indítékai nagyon különbözők lehetnek, és annak megfelelően változik a használt módszer, vagy eszköztár. Az egyre szigorúbb törvényi előírások miatt a cég vezetőinek személyes jogi felelőssége is nő. 14

15 A támadók Külső: Hackers / Crackers Information Collectors Criminal Individuals or Organisations (Foreign) Intelligence Community Business Partners / Customers Competitors / New Market Entries Fanatics / Terrorists Information Warfare Belső: Disgruntled Employees Suppliers / (external) Maintenance Staff System Specialists Criminals Careless Employees 15

16 Megoldás előtt eldöntendő Tudatosság Mi a probléma? Mekkora? Milyen veszélyt rejt és mivel kompenzálható? Eljárások, módszerek Mit kell tenni, mikor és mivel / hogyan? Emberi erőforrás Ki csinálja és ki a felelős? Termékek Milyen eszközökkel? 16

17 A valóság Pont megoldások kapcsolat nélkül Túl sok esemény összefüggések nélkül Átláthatatlanság Nincs elég idő a cselekvésre Magas költségek Túl sok résztvevő szereplő Túl sok veszély a vállalatra és a vezetőkre nézve 17

18 Az ideális kép Valódi biztonság-menedzsment létrehozása, a pontmegoldások toldozgatása helyett, a már eddig is komplex környezetben Valamennyi biztonsági elem összekapcsolása az összefüggések automatikus értékelésével Központi command & control parancsnoki központ létrehozása Az automatizálható feladatok gépesítése az emberi hibák kiküszöbölése és a költségek csökkentése érdekében 18

19 A gyakorlat A korlátozott erőforrások miatt célszerű először az üzletmenet szempontjából legfontosabb kockázatokat vizsgálni és kiküszöbölni. Ne találjuk fel újra a kereket : Best Practice eljárások De vajon: Csökkenthető-e a kockázat az elvárások szerint? Megvalósítható-e az eljárás? Megéri-e bevezetni? 19

20 Az asset szerepe A védendő vagyontárgyak kiválasztása Ezen vagyontárgyak értéke Hogyan alkalmazandó a best practice? Asset profile Tulajdonos és Kezelő Értékelemzés: Critical Success Factor analysis Vizsgálandó a vagyontárgy életútja: tárolás, szállítás-mozgatás, feldolgozás 20

21 Best Practices CoBiT IT Governance and IS Management NIST 800 series IS management, principles based BS IS management, controls based ISO ISO TR Guidelines for Management of IT security BSI 7152 E1 IT Baseline Protection Manual EU Data Protection Directive ITB ajánlások ITIL IT infrastructure library ISO Security Capability Maturity model ISO CC Product Security Model... 21

22 Példa Vagyontárgy (Asset): HR adatbázis Követelmény: csak a személyzeti dolgozók hozhatnak létre, módosíthatnak, vagy törölhetnek személyzeti aktákat. Védelmi cél: Biztosítandó a kizárólagos HR-szintű hozzáférés Best Practice: Az információ, mint vagyontárgy kezelőit a vagyontárgy tulajdonosa kell, hogy kijelölje Megvalósítás: A rendszergazdák csak a HR vezető írásos engedélyével adhatnak hozzáférést a HR adatbázishoz 22

23 Védendő information assurance Bizalmasság - Confidentiality Csak felhatalmazott HR személyzet és felhatalmazott vezetők férhetnek hozzá a személyzeti aktákhoz. Sértetlenség - Integrity Csak felhatalmazott HR személyzet hozhat lére, módosíthat vagy törölhet személyzeti bejegyzéseket. Rendelkezésre állás - Availability A HR aktáknak rendelkezésre kell állni, igény szerint, munkanapok, 8-17 óráig 23

24 A védelmi eszközök Védelmi ellenintézkedések controls Megelőző Elijesztő, Felderítő Preventive and Deterrent Detective Javító Helyreállító Corrective and Recovery Gyakorlati formái Administrative Technical Physical 24

25 Tipikus biztonsági felépítés IT Risk and Information Security Management Asset Management Policy Setting User Provisioning Security Monitoring and Auditing Incident Response Business Continuity Plan Server & Desktop Mgt Discovery & Monitoring Change Management IT Security Management Technologies Firewalls and VPNs Antivirus & Vulnerability Mgt Intrusion Detection and Prevention User Access Mgt Data & Service Protection Service High Availability Backup and Recovery 25

26 Security Architecture Modules Identity & Access Mgt Identity Provisioning Access Policy Management Security Command Center Monitoring & Reporting Threat Mgt Incident Response Common Services Identity & Credential Mgt Authorization Audit Cryptographic Services & Key Mgt Threat & Vulnerability Scanning Event Aggregation, & Correlation Identity Directory Resources Security Events Security Instrumentation and Plug-ins Platforms & Applications Standards-based Interfaces for Identity and Access (OCSP, LDAP) SDK Security Infrastructure XML-based Interfaces for auditing and monitoring 26

27 Azonosítás és hozzáférés menedzsment 27

28 Azonosítás és hozzáférés menedzsment Kihívások Customers Partners Investors A felhasználómenedzsment és a hozzáféréskezelés költséges Dinamikusan változó piaci rendszerben nehezen kezelhető, hogy ki mihez férjen hozzá A Help-deszk költségek nőnek Heterogén környezetben a hozzáférés kezelés még összetettebb Biztosítani kell a törvényi megfelelőséget Basel II, EU Directive, HIPAA, Sarbanes-Oxley,... 28

29 Azonosítás és hozzáférés menedzsment Központosított (platform független) azonosítás és hozzáférésjog kezelés és felügyelet Az alantas feladatok automatizálása Önkiszolgáló szolgáltatások bevezetése, ahol lehetséges (pl. password management) Alkalmazás- és hálózati szintű ellenőrzések 29

30 A fenyegetettség kezelése Kihívások Túlságosan sok sérülékenység A spyware vállalati szintű problémákat okozhat A napi frissítés költséges A spam és a dolgozók nem megfelelő internet használata a hatékonyságot rontja és további biztonsági réseket nyit Hackers Malware Spam 30

31 A fenyegetettség kezelése Fejlett antivirus megoldások (multiple scan engines, real-time updates etc) Tartalomkezelés (Secure content management: mobile code, malware, spam, Web ) Behatolás felderítés fejlett összefüggés vizsgálattal Irányelvek kezelése és megfelelőség audit Sérülékenység vizsgálat (Vulnerability assessment and management) Incidensek megelőzése a bekövetkezés előtt 31

32 A biztonsági adatok... Kihívások Túl sok adat Nem lehet prioritást meghatározni Drága az incidensek kezelése Lehetetlen az audit eljárásoknak megfelelni 32

33 Security Information Management Megoldás Adatok halmaza helyett valódi információ Biztonsági adatfeldolgozás, ami megfelel a törvényi előírásoknak 33

34 Integrált megjelenítés és kiértékelés 34

35 Forensics: Firewall Log 35

36 Forensics: Correlation 36

37 Forensics: Information Flows 37

38 A wireless hálózat kezelése Access Zone 38

39 A teljes felügyelet 39

40 True Security Management Value (Cost too!) Centralized Access to Data content & applications DATA Refine, analyze & sort data delivering security information SECURITY MONITORING INFORMATION SECURITY MANAGEMENT Apply business relevance to information to determine business priorities! KNOWLEDGE Act on real business knowledge in a single place according to business need ACTION Level 1 Level 2 Security Data Infrastructure Level 3 Level 4 True Security Management Information Delivery Maturity Level 40

41 Az üzleti előnyök Hatékonyság növelés Költségcsökkenés Törvényi megfelelőség Üzletmenet folytonosság Kockázat csökkentés 41

42 Jövőbiztos megoldás 42

43 Köszönöm a figyelmet Dr. Molnár Imre, CISA