Heterogén platformon futó vállalati megoldások biztonsági rései

Hasonló dokumentumok
Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

Mi köze a minőséghez?

Oracle adatbázis biztonság a gyakorlatban és 12c újdonságok

Szabványok, ajánlások

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

Hetet egy csapásra. Máriás Zoltán TMSI Kft. CISA, CSM, CNE, CASE antidotum 2015

NetIQ Novell SUSE újdonságok

Identity-Powered Security. Hargitai Zsolt üzletfejlesztési vezető szeptember 30.

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)

Web Security Seminar. Összefoglalás. Qualys InfoDay május 14.

Az IBM megközelítése a végpont védelemhez

Felhasználó-központú biztonság

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

Érettségi tétel az IT vizsgán: Felhő

GE ITSG Industrial Technology Services Group

Információbiztonság irányítása

Védelmi Vonalak - Compliance

Trendek az IT biztonság piacán

Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba

Bevezetés az Informatikai biztonsághoz

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

TANÚSÍTVÁNY. tanúsítja, hogy az. InfoScope Kft. által kifejlesztett. Attribútum tanúsítványok érvényességét ellenőrző SDK InfoSigno AC SDK v1.0.0.

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

BIZTONSÁGI AUDIT. 13. óra

Sun Identity Management megoldások Vértes Miklós

IT Asset Management. IBM Tivoli Asset Management for IT Kubicsek Tamás IBM Corporation

Next Generation Cyber Security Platform. Pintér András YOUNG ENTERPRISE DAY Október 2.

Növekvő befektetés megtérülés és teljesítmény az Emelt Szintű Támogatás (ACS) eredménye

A kockázatkezelő feladatai az AEGON gyakorlatában Zombor Zsolt május 30.

Identity Management. Szabvány még nincs Legjobb gyakorlat már van. Hétpecsét Információbiztonsági Egyesület, XL. szakmai fórum március 17.

Számítástechnikai audit emlékeztető összefoglalás. Dr. Kondorosi Károly Dr. Molnár Imre

Ipari hálózatok biztonságának speciális szempontjai és szabványai

IT-Shield Mss. Biztonság a javából. Kezelt biztonsági szolgáltatások üzletéhez igazítva!

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Slamovits Tibor Államigazgatásiüzletág-vezető EMC Magyarország

ISO 9001 kockázat értékelés és integrált irányítási rendszerek

Technológia az adatszivárgás ellen

Never-ending fight - A soha véget nem érő harc a Black Hat-hackerekkel

Jogában áll belépni?!

Belső ellenőrzés és compliance. szolgáltatások. Cover. KPMG.hu

Copyright 2012, Oracle and/or its affiliates. All rights reserved.

BI megoldás a biztosítói szektorban

Nem attól secure, hogy drága! A vállalati Wi-Fi biztonságos bevezetése

Mobil eszközökön tárolt adatok biztonsága

Think customer Hatékony ügyfélszolgálat és megvalósítási módszertan. WorkShop

Az adathalászat trendjei

Magyar Posta központi Oracle infrastruktúrája VMware alapokon

Seacon Access and Role Management

2015 Cisco Éves Biztonsági Jelentés

A hibrid DB cloud biztonsági eszköztára. Kóródi Ferenc Budapest,

COMPUTERLINKS Magyarország. Porkoláb Dániel Termék felelős

SZOLGÁLTATÁS MENEDZSMENT

Nyikes Tamás Ker-Soft Kft. Dell Software áttekintés

TOGAF elemei a gyakorlatban

Compliance szerepe és felelőssége a magyar bank/tőke és biztosítási piacon

I. Definíciók. 1. Üzletmenet folytonossági terv - katasztrófa terv. Üzletmenet folytonossági tervezés

Oracle Enterprise Manager: Az első teljesértékű felhő üzemeltetési megoldás

KÖVETKEZŐ GENERÁCIÓS NAGYVÁLLALATI TARTALOMKEZELŐ MEGOLDÁSOK Stratis Kft. / Autonomy üzleti reggeli / Mezei Ferenc üzletág-igazgató

Oracle adatkezelési megoldások helye az EA világában. Előadó: Tar Zoltán

IT KOCKÁZATOK, ELEMZÉSÜK, KEZELÉSÜK

Informatikai biztonság, IT infrastruktúra

Fejlesztés, működtetés, felügyelet Hatékony infrastruktúra IBM szoftverekkel

KIBERVESZÉLY ÉS A MAGYAR HONVÉDSÉG

Az adatvédelem informatikai támogatása. Biró Ferenc, Partner EY Felelős Üzleti Működés Szolgáltatások

IT BIZTONSÁG KÖZÉPTÁVÚ KIHÍVÁSAI A NAGYVÁLLALATI KÖRNYEZETBEN. (Váraljai Csaba, Szerencsejáték Zrt.) 2015

Adat és információvédelem Informatikai biztonság Dr. Beinschróth József

Az alábbiakban a HUNGUARD Kft. tanúsítási tevékenységével kapcsolatos jogszabályokat, mértékadó, szakmai előírásokat és elvárásokat találja.

A USER Kft - mint Open Text partner - bemutatása

Vezeték nélküli hálózatok biztonsága október 8. Cziráky Zoltán ügyvezető igazgató vállalati hálózatok

Vezetéknélküli technológia

1 IdMatrix Identity Governance Válaszok a GDPR kihívásaira

Izsó Krisztián Péti Zoltán. Cisco Identity Services Engine

Identity Management + Role Based Access Control

Új generációs GSM-R vasútüzemi kommunikáció

2013 L. - tapasztalatok Antidotum 2015

IT biztonság 2016/2017 tanév

A felhőszolgáltatások biztonságáról: követelményekről, megoldási eszközökről

Megbízhatóság az informatikai rendszerekben

Radware terhelés-megosztási megoldások a gyakorlatban

Titkok. Oracle adatbázisok proaktív es reaktív védelmi eszközei. Mosolygó Ferenc, vezetı technológiai tanácsadó. <Insert Picture Here>

Hegyi Béla, technikai tanácsadó. Cisco MARS Bemutatása

Infor PM10 Üzleti intelligencia megoldás

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

Andrews Kft. A technológia megoldás szállító. <zambo.marcell@andrews.hu>

SAS Enterprise BI Server

Muha Lajos. Az információbiztonsági törvény értelmezése

AZ INFORMÁCIÓS TÁRSADALOM INFORMÁCIÓ- BIZTONSÁGA

2023 ban visszakeresné 2002 es leveleit? l Barracuda Message Archiver. Tóth Imre Kereskedelmi Igazgató Avisys Kft Barracuda Certified Diamond Partner

IT trendek és lehetőségek. Puskás Norbert

Aktualitások a minőségirányításban

Titkosítás mesterfokon. Tíz évvel a titkosítás után. Előadó: Tóthi Dóra Kovárczi Béla András

IT biztonság 2015/2016 tanév. ELTE IT Biztonság Speci

A kiszervezés egy speciális esete: a felhőszolgáltatások biztonságáról követelményekről, megoldási eszközökről

Oracle identity & access management. peter.markovits@oracle.com Markovits Péter

Az egységes tartalomkezelés üzleti előnyei

Hatékony. kliensfelügyelet. Avégfelhasználói rendszerek tekintetében korántsem olyan egyértelmű a kép, mint az

A WiFi hálózatok technikai háttere

Gráfok mindenhol. x $ SZENDI-VARGA JÁNOS IOT SOCIAL NETWORKS FRAUD DETECTION MASTER DATA MANAGEMENT RECOMMENDATION ENGINES. Internet of Things

A biztonsági fenyegetettségek száma és területe gyorsan változik. De nem csak a támadók dolgoznak ezen, a végfelhasználók is sokat tesznek ezért.

Átírás:

Heterogén platformon futó vállalati megoldások biztonsági rései Dr. Molnár Imre, CISA magyarországi igazgató Computer Associates

Téma Problémák és okai Kockázatkezelés és módszertanok A megoldás elemei A jövő kérdései 2

Az IT vezetők mondják Több millió üzenet naponta. Mire figyeljünk? Ez a sok törvényi előírás? Hogy lehet betartani? Sokkal hatékonyabbak lehetnénk, ha látnánk az üzleti folyamatokat és feladatkör szerinti jogosultságokat használhatnánk. Csak a 10 legfontosabb problámára vagyok kiváncsi. Miért ilyen nehéz ezt elérni? Minden nap újabb biztonsági frissítések jelennek meg. Hogy lehet ezzel lépést tartani? Az esemény felismerése csak fél siker. Ha nem vagyok képes a megfelelő ellenlépésekre, akkor mindez nem ér semmit. Az egyre furfangosabb támadások átjutnak a meglévő védelmi vonalon. 3

A biztonsági felelősök mondják A rendszerek sebezhetőek A frissítések kezelése költséges Újabb és újabb kártevők támadnak Özönlenek a SPAM-ek Drága a felhasználó menedzsment Ellepnek az adatok, még sincs elég információ Egyre szigorúbb előírások betartását kell igazolni. 4

A piaci verseny diktál Azonnali válasz a piaci igényekre Folyamatos működés, katasztrófa túlélés Világméretű, nyitott rendszerek Elszámoltatható működés, törvényi előírások Az IT, mint szolgáltatás Jól, gyorsan és olcsón (és ebből itt mindhárom teljesítendő...) 5

A technológiai változások Wireless és mobil alkalmazások IT: biztosítható továbbra is az adatvédelem? Sokan dolgoznak offline notebook-kal, de a céges hálózatra is rácsatlakoznak olykor. IT: Hogyan menedzselhetők és hogyan ellenőrizhetők? IT: Nyitott és mégis jól védett vállalati hálózat? 6

A technológiai változások A titkosító kulcsokat nehéz menedzselni A kalóz hozzáférési pontok és a nem engedélyezett eszközök biztonsági kockázatot jelentenek Az adatforgalomhoz való hozzáférés fizikailag nehezen korlátozható Intranet SSID WEP / WPA VPN SSID WEP / WPA VPN 7

Az új problémák Biztonság A még nyitottabb, összetett rendszerek nehezen menedzselhetők A hozzáférés nehezen védhető Növekvő költségek Állandó változáskezelés Munkaigényes feladatok Míg a technológia viszonylag jól kézben tartható, a biztonság egy óriási akadály. Megfelelően jó védelmi rendszer nélkül az új kapcsolatok révén minden egyes laptop kiskaput nyit a vállalati hálózat felé. Business Week Online, February 18, 2004, 8

Az információ kezelhetetlen 9

Egyre növekvő gondok Customers Partners Contractors Hackers Malware Spam 10

Kockázatkezelés A kockázat: Annak a lehetősége, hogy egy adott fenyegetés kihasználva a vagyontárgy sebezhetőségét, kárt okoz a vagyontárgyban. A kockázatkezelés során a cél a kockázat: elkerülése áthelyezése korlátozása elfogadása mellőzése A döntés a kockázat típusától és az elfogadható kockázati szinttől függ. 11

A kockázatkezelés elemei Az összetevők Vagyontárgy (assests) Sebezhetőség (vulnerabilities) Fenyegetettség (threats) Hatás (impacts) Kockázat (risks) Fennmaradó kockázat (residual risk) 12

A kockázatkezelési kultúra A konkrét kockázattal (pl. gyorshajtás, vagy csúszós út) kapcsolatos stratégiánk a szociális háttértől függ, míg az elvont kockázat kezelése (befektetések, IT), vagy összetett kockázat értékelése részletes elemzést igényel. A kockázatok kezelése általában a korábbi eseményekből tanultakon alapul. Hajlamosan vagyunk a kockázatot tudomásul sem venni, ha nincs rá megoldásunk. Minél gyorsabban fedezünk fel új technológiákat, annál nagyobb a rés a kockázat lehetősége és a kockázat kezelés gyakorlata között. 13

Kockázatok az IT környezetben Az IT környezet bonyolultságával nő az időben nem kezelt további kockázatok mértéke. A helyhez és időhöz nem kötött hozzáférési gyakorlat előnyös a gyenge pontokat kereső és kihasználó támadóknak. A támadók indítékai nagyon különbözők lehetnek, és annak megfelelően változik a használt módszer, vagy eszköztár. Az egyre szigorúbb törvényi előírások miatt a cég vezetőinek személyes jogi felelőssége is nő. 14

A támadók Külső: Hackers / Crackers Information Collectors Criminal Individuals or Organisations (Foreign) Intelligence Community Business Partners / Customers Competitors / New Market Entries Fanatics / Terrorists Information Warfare Belső: Disgruntled Employees Suppliers / (external) Maintenance Staff System Specialists Criminals Careless Employees 15

Megoldás előtt eldöntendő Tudatosság Mi a probléma? Mekkora? Milyen veszélyt rejt és mivel kompenzálható? Eljárások, módszerek Mit kell tenni, mikor és mivel / hogyan? Emberi erőforrás Ki csinálja és ki a felelős? Termékek Milyen eszközökkel? 16

A valóság Pont megoldások kapcsolat nélkül Túl sok esemény összefüggések nélkül Átláthatatlanság Nincs elég idő a cselekvésre Magas költségek Túl sok résztvevő szereplő Túl sok veszély a vállalatra és a vezetőkre nézve 17

Az ideális kép Valódi biztonság-menedzsment létrehozása, a pontmegoldások toldozgatása helyett, a már eddig is komplex környezetben Valamennyi biztonsági elem összekapcsolása az összefüggések automatikus értékelésével Központi command & control parancsnoki központ létrehozása Az automatizálható feladatok gépesítése az emberi hibák kiküszöbölése és a költségek csökkentése érdekében 18

A gyakorlat A korlátozott erőforrások miatt célszerű először az üzletmenet szempontjából legfontosabb kockázatokat vizsgálni és kiküszöbölni. Ne találjuk fel újra a kereket : Best Practice eljárások De vajon: Csökkenthető-e a kockázat az elvárások szerint? Megvalósítható-e az eljárás? Megéri-e bevezetni? 19

Az asset szerepe A védendő vagyontárgyak kiválasztása Ezen vagyontárgyak értéke Hogyan alkalmazandó a best practice? Asset profile Tulajdonos és Kezelő Értékelemzés: Critical Success Factor analysis Vizsgálandó a vagyontárgy életútja: tárolás, szállítás-mozgatás, feldolgozás 20

Best Practices CoBiT IT Governance and IS Management NIST 800 series IS management, principles based BS 7799 - IS management, controls based ISO 17799 ISO TR 13355 Guidelines for Management of IT security BSI 7152 E1 IT Baseline Protection Manual EU Data Protection Directive ITB ajánlások ITIL IT infrastructure library ISO 21827 Security Capability Maturity model ISO 15408 CC Product Security Model... 21

Példa Vagyontárgy (Asset): HR adatbázis Követelmény: csak a személyzeti dolgozók hozhatnak létre, módosíthatnak, vagy törölhetnek személyzeti aktákat. Védelmi cél: Biztosítandó a kizárólagos HR-szintű hozzáférés Best Practice: Az információ, mint vagyontárgy kezelőit a vagyontárgy tulajdonosa kell, hogy kijelölje Megvalósítás: A rendszergazdák csak a HR vezető írásos engedélyével adhatnak hozzáférést a HR adatbázishoz 22

Védendő information assurance Bizalmasság - Confidentiality Csak felhatalmazott HR személyzet és felhatalmazott vezetők férhetnek hozzá a személyzeti aktákhoz. Sértetlenség - Integrity Csak felhatalmazott HR személyzet hozhat lére, módosíthat vagy törölhet személyzeti bejegyzéseket. Rendelkezésre állás - Availability A HR aktáknak rendelkezésre kell állni, igény szerint, munkanapok, 8-17 óráig 23

A védelmi eszközök Védelmi ellenintézkedések controls Megelőző Elijesztő, Felderítő Preventive and Deterrent Detective Javító Helyreállító Corrective and Recovery Gyakorlati formái Administrative Technical Physical 24

Tipikus biztonsági felépítés IT Risk and Information Security Management Asset Management Policy Setting User Provisioning Security Monitoring and Auditing Incident Response Business Continuity Plan Server & Desktop Mgt Discovery & Monitoring Change Management IT Security Management Technologies Firewalls and VPNs Antivirus & Vulnerability Mgt Intrusion Detection and Prevention User Access Mgt Data & Service Protection Service High Availability Backup and Recovery 25

Security Architecture Modules Identity & Access Mgt Identity Provisioning Access Policy Management Security Command Center Monitoring & Reporting Threat Mgt Incident Response Common Services Identity & Credential Mgt Authorization Audit Cryptographic Services & Key Mgt Threat & Vulnerability Scanning Event Aggregation, & Correlation Identity Directory Resources Security Events Security Instrumentation and Plug-ins Platforms & Applications Standards-based Interfaces for Identity and Access (OCSP, LDAP) SDK Security Infrastructure XML-based Interfaces for auditing and monitoring 26

Azonosítás és hozzáférés menedzsment 27

Azonosítás és hozzáférés menedzsment Kihívások Customers Partners Investors A felhasználómenedzsment és a hozzáféréskezelés költséges Dinamikusan változó piaci rendszerben nehezen kezelhető, hogy ki mihez férjen hozzá A Help-deszk költségek nőnek Heterogén környezetben a hozzáférés kezelés még összetettebb Biztosítani kell a törvényi megfelelőséget Basel II, EU Directive, HIPAA, Sarbanes-Oxley,... 28

Azonosítás és hozzáférés menedzsment Központosított (platform független) azonosítás és hozzáférésjog kezelés és felügyelet Az alantas feladatok automatizálása Önkiszolgáló szolgáltatások bevezetése, ahol lehetséges (pl. password management) Alkalmazás- és hálózati szintű ellenőrzések 29

A fenyegetettség kezelése Kihívások Túlságosan sok sérülékenység A spyware vállalati szintű problémákat okozhat A napi frissítés költséges A spam és a dolgozók nem megfelelő internet használata a hatékonyságot rontja és további biztonsági réseket nyit Hackers Malware Spam 30

A fenyegetettség kezelése Fejlett antivirus megoldások (multiple scan engines, real-time updates etc) Tartalomkezelés (Secure content management: mobile code, malware, spam, Web ) Behatolás felderítés fejlett összefüggés vizsgálattal Irányelvek kezelése és megfelelőség audit Sérülékenység vizsgálat (Vulnerability assessment and management) Incidensek megelőzése a bekövetkezés előtt 31

A biztonsági adatok... Kihívások Túl sok adat Nem lehet prioritást meghatározni Drága az incidensek kezelése Lehetetlen az audit eljárásoknak megfelelni 32

Security Information Management Megoldás Adatok halmaza helyett valódi információ Biztonsági adatfeldolgozás, ami megfelel a törvényi előírásoknak 33

Integrált megjelenítés és kiértékelés 34

Forensics: Firewall Log 35

Forensics: E-Mail Correlation 36

Forensics: Information Flows 37

A wireless hálózat kezelése Access Zone 38

A teljes felügyelet 39

True Security Management Value (Cost too!) Centralized Access to Data content & applications DATA Refine, analyze & sort data delivering security information SECURITY MONITORING INFORMATION SECURITY MANAGEMENT Apply business relevance to information to determine business priorities! KNOWLEDGE Act on real business knowledge in a single place according to business need ACTION Level 1 Level 2 Security Data Infrastructure Level 3 Level 4 True Security Management Information Delivery Maturity Level 40

Az üzleti előnyök Hatékonyság növelés Költségcsökkenés Törvényi megfelelőség Üzletmenet folytonosság Kockázat csökkentés 41

Jövőbiztos megoldás 42

Köszönöm a figyelmet Dr. Molnár Imre, CISA

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés