Your IT Partner in Business Understanding Biztonsági audit Oracle EBS környezetben Törő Krisztián Ixenit Kft (ex-innovent Tanácsadó Kft.) 2014. október 2.
Ixenit Kft u u Az Innovent Tanácsadó Kft és az I-Logic Kft egyesülésével jött létre szeptember 15-én
Áttekintés u u u u u A biztonsági audit céljai Milyen helyzetekben célszerű a biztonsági audit végrehajtása A biztonsági audit előnyei Egy Oracle EBS környezetben végrehajtott, az infrastruktúrát, alkalmazást és folyamatokat lefedő biztonsági audit menete Az eredmények értékelésének és bemutatásának egy célszerű megközelítése
Biztonsági audit célterületei u Információs rendszerek működés jogosultságok konfiguráció rendszeradminisztrációs, üzemeltetési folyamatok u Funkcionális területek, üzleti folyamatok és résztvevőik (Sarbanes-Oxley) szerepkörök szétválasztása (Seggregation of Duties) n számlakezelés, n jóváhagyás n törzsadatkezelés n...
Biztonsági audit céljai u Előre rögzített elvárásokból kiindulva n törvényi előírások n belső és külső szabályzatok n adatbiztonság (titkosság és integritás) szempontjai u Valós helyzet független megfigyelőként való rögzítése n betekintés n interjúk u Eltérések kimutatása, elemzése, értékelése
Biztonsági audit időzítése u Kezdeti, állapotfeltáró (pl. informatikai rendszer éles indulása előtt) u Rendszeres, pl. éves felülvizsgálat u Eseti, a vizsgált területen végzett változás miatt
Kinek ajánljuk a biztonsági ellenőrzést Olyan közepes és nagyvállalatoknak illetve intézményeknek, ahol: u az Oracle alapú rendszerek működőképessége illetve a benne tárolt adatok sértetlensége vagy bizalmassága kiemelten fontos a szervezet számára u szeretnének egy független szervezettől áttekintést kapni a cég információs és adatvagyonának biztonsági helyzetéről. u u a cég vagy intézmény adatvédelmi és adatbiztonsági szabályzatát szeretnék elkészíteni vagy aktualizálni (kezdeti) rendszeres felülvizsgálattal szeretnék biztosítani az informatikai biztonság folyamatosságát (felülvizsgálat)
Egy javasolt menetrend u Audit környezet kijelölése/kialakítása u Interjúk az IT és üzemeltetési vezetőkkel u Felmérés Elemzés Jelentéskészítés u Minőségbiztosítási ellenőrzés u Vezetői prezentáció Audit után: u A jelentésben foglalt változtatási javaslatok kockázat és lehetőség szerinti sorrendben történő végrehajtása
Leszállítandók u Részletes jelentés u Vezetői összefoglaló összesítő, csoportosító táblázatok statisztikák top - n kimutatások hőtérkép u Vezetői prezentáció
Információs rendszerek auditja A két fő célterület, u u az üzleti folyamatok és résztvevőik és az információs rendszerek közül a továbbiakban az utóbbira koncentrálunk.
Hogyan történik a felmérés u Hozzáférés az összes vizsgált rendszerkomponenshez u Ellenőrzőlista szerint egyesével: Aktuális állapot ellenőrzése: n konfigurációs állományok n operációs rendszer környezeti változók n adatbázisbeli paraméterek n jogosultsági beállítások Az elvárt/javasolt értékek dokumentálása A ténylegesen megfigyelt értékek rögzítése Szükség esetén javaslattétel a változtatásra Kategorizálás, pontozás
Ellenőrzőlista Praktikus megközelítés. Az ellenőrzőlista az alábbi forrásokból áll össze: u Az Oracle ajánlásai u Saját üzemeltetési tapasztalatok u Józan ész u Az ügyfél speciális elvárásai
Egy esettanulmány u Egy nemzetközi intézménynél egy Oracle E-Business Suite R12 ERP rendszer került bevezetésre. u Az ügyfél nem az ISO 27001:2013 részeként kérte az EBS auditot. u A biztonsági auditot a projekt utolsó fázisában, az éles indulást megelőzően hajtottuk végre az elő-éles rendszer klónján.
A vizsgált területek, hatókör u EBS specifikus desktop komponensek (JRE, böngésző) u Szerver oldali operációs rendszer u Oracle EBS alkalmazás réteg u Oracle EBS adatbázis réteg u Oracle TNS Listener u Oracle E-Business Suite (funkcionális biztonsági beállítások) u Javítókészletek (patch-ek) telepítve vannak -e: kritikus javítókészletek javasolt javítókészletek
A részletes jelentés 15 IT szakemberek számára készül. A biztonsági audit eredményeképpen előálló részletes jelentés több fejezetet tartalmaz, a vizsgált architektúrális elemeknek megfelelően. Minden fejezetben felsorolásra kerülnek u a vizsgált egyes vizsgált elemek u rövid magyarázat a beállítás jelentőségéről az elvárt illetve javasolt beállítások, paraméter értékek az aktuális beállítások, a javasolthoz képest való esetleges eltérés kiemelésével ahol releváns, ott javaslat a változtatásra A fejezethez kapcsolódóan általánosabb, az üzemeltetési folyamatokra vonatkozó tanácsok 03/10/2014
Javaslatok 16 A vizsgálat eredményeképpen előálló javaslatok két kategóriába esnek: u Konfiguráció: A javaslat egy bizonyos konfigurációs beállításra vonatkozik. Az aktuális beállítás ellenőrzésre került, összehasonlítottuk a javasolt értékkel. u Üzemeltetési folyamat: A javaslat nem kapcsolódik közvetlenül egy bizonyos jelenlegi beállításhoz sem, ezek inkább a jövőre vonatkozó tanácsok. 03/10/2014
A nyers eredmények osztályozása, súlyozása
Pontozás ( Scores ) 18 u Annak érdekében, hogy magas szintű áttekintést lehessen kapni az eredményekről, valamint az eredmények számszerűsíthetőek legyenek, ezáltal statisztikákat, további elemzéseket lehessen készíteni, bevezettünk egy pontszámot. A pontszámok a megfigyelt eltérésből kerültek származtatásra, illetve ahol lehetséges kiszámításra. u Az üzemeltetési folyamatokra vonatkozó javaslatokhoz nem rendeltünk pontszámot. 03/10/2014
Pontozás ( Scores ) 19 Egy konfigurációra vonatkozó ellenőrzés lehetséges eredményei: Pontszá m 0 1-8 9 Leírás Nem releváns, vagy nem lehetett ellenőrízni Az ellenőrzés nem volt sikeres. A szüksges illetve javasolt paraméter nincs beállítva. Az eredmény részleges. Összetett, több elemet tartalmazó ellenőrzés esetén bizonyos elemek megfelelnek az elvárásoknak, bizonyosak nem. Amennyiben egy beállítás több értéket is felvehet, nem a legjobb, de még elfogadható érték került beállításra. A magasabb értékek jobbak. A számok általában nem egzakt módon kerülnek kiszámításra, hanem megközelítőleg jelzik az aktuális beállítás megfelelő voltát. Az ellenőrzés sikeres volt. Az adott paraméter a szükséges illetve javasolt értékre van állítva. Rövid jelentés N/A Not OK Partial OK 03/10/2014
A súlyosság ( Severity ) 20 Egy ellenőrzés eredménye vagy egy javaslat különböző súlyossági kategóriákba eshet: Súlyosság Leírás Magas Az ellenőrzött terület kiemelt fontossággal bír biztonsági szempontból. A javasolt és a valódi értékek közötti eltérés esetén az eltérés az éles indulás előtt illetve a lehető leghamarabb megszüntetendő. Közepes Az ellenőrzött terület fontos biztonsági szempontból. A javasolt és a valódi értékek közötti eltérés esetén, ha a biztonságért felelős vezetés és az üzemeltető csapat tudatában van az eltérésnek, dönthetnek úgy, hogy vállalják az éles indulás felelősségét. Az eltérés később is megszüntethető. Legtöbb esetben van lehetőség alternatív megoldás kidolgozására. Alacsony Az ellenőrzött területnek alacsony hatása van a biztonságra. Jó, ha nincs eltérés, de ilyen esetben a megszüntetés elhalasztható éles indulás utáni időszakra is. 03/10/2014
Minta részletes jelentés Néhány anonimizált részlet egy ügyfélnél elvégzett biztonsági audit során készült részletes jelentéséből. Kifejezetten IT szakemberek számára készül. Az eredeti 67 oldal.
Check passwords of Oracle database accounts Oracle Default Password Scanner, the utility that queries the Oracle database for accounts that are unlocked (open) and have default passwords. The patch 4943798, provided by Oracle contains this utility. For more information on this tool see: Oracle Default Password Scanner User s Guide. Oracle Default Password Scanner checks the database accounts listed in the spreadsheet attached. Executed commands and their results [oracle@audtvm004 ktoro]$ sqlplus " / as sysdba" SQL*Plus: Release 11.2.0.3.0 Production on Thu Dec 12 16:10:19 2013 Copyright (c) 1982, 2011, Oracle. All rights reserved. Connected to: Oracle Database 11g Enterprise Edition Release 11.2.0.3.0-64bit Production With the Partitioning, OLAP, Data Mining and Real Application Testing options SQL> @patches/4926128/dfltpass.sql no rows selected SQL> Observations According to the tests none of the checked database schemas have default password. Suggestions None.
File permissions Suggestion 4. Set file permissions for the database data files*.dbf to 0640. Observations File permissions of the following files are greater than suggested: -rw-r--r-- 1 oracle dba 1048584192 Dec 13 09:34 system04.dbf -rw-r--r-- 1 oracle dba 1048584192 Dec 13 12:05 system03.dbf -rw-r--r-- 1 oracle dba 1048584192 Dec 13 12:10 system02.dbf -rw-r--r-- 1 oracle dba 1048584192 Dec 13 13:10 system05.dbf -rw-r--r-- 1 oracle dba 1048584192 Dec 13 16:20 system01.dbf -rw-r--r-- 1 oracle dba 104865792 Dec 13 09:34 portal01.dbf -rw-r--r-- 1 oracle dba 10493952 Dec 13 09:34 owad01.dbf -rw-r--r-- 1 oracle dba 18882560 Dec 13 09:34 ctxd01.dbf -rw-r--r-- 1 oracle dba 786440192 Dec 13 09:34 system06.dbf -rw-r--r-- 1 oracle dba 786440192 Dec 13 11:05 system07.dbf
Oracle TNS Listener Security Network Add ip restrictions or enable valid node checking Suggestions Valid Node Checking allows or denies access from specified IP addresses to Oracle services. We recommend using a whitelist of IP Addresses that are allowed to make a TCP connection to the database listener. To enable Valid Node Checking, set the following parameters in $TNS_ADMIN/sqlnet.ora: tcp.validnode_checking = YES tcp.invited_nodes = ( X.X.X.X, hostname,... ) AutoConfig supports automated configuration of this setting. If the profile option SQLNet Access (FND_SQLNET_ACCESS) is set to ALLOW_RESTRICTED at the Site level when AutoConfig is run on the database server, AutoConfig will add IP restrictions to sqlnet.ora. The list of host will be all those from the FND_NODES table that are registered as an EBS node. Observations $TNS_ADMIN/sqlnet.ora does not contain any recommended settings.
Patch updates I.1 Oracle EBS patch analysis I.1.1 Paches for modules ap, ar, gl, iex and technology related modules: Patch Product Prerequisites Status Manual Steps? 9396831.B ap 0 Not Applied 10052153.B ap 0 Not Applied 10431161.B ap 0 Not Applied 11720134.B ap 0 Not Applied No No No No Reason Recommended High Priority Patch High Priority Patch High Priority Patch High Priority Patch Patch Description AP_IBY_PMT_MISMATCH CAUSED BY REMOVAL OF SELECTED INVOICES LINE ITEM ALLOCATION WINDOW SHOW NO ROWS RETURNED WHEN ALLOCATION WINDOW IS USED This fix resolves ERROR FRM-40654 While trying to change invoice amount on invoice workbench This fix resolves error ORA-01422 in Format Payment Instruction if responsibility has access to more than one OU
Súlyozott és pontozott megfigyelési eredmények
Minta vezetői prezentáció Anonimizált részletek egy ügyfélnél elvégzett biztonsági audit eredményeiről szóló prezentációból
30 Your IT Partner in Business Understanding Security Audit at Client Co. 03/10/2014 Bemutató leszállítandó dokumentumok, nem valódi adatokat tartalmaznak
31 Summarized scoring of system configuration items Chapter Severity Score Category Count of Checkings Average of Score (0-9) Desktop Security High Partial 1 2 High OK 1 9 Operating Environment Security Partial 5 4.4 Medium OK 2 9 Partial 1 6 Oracle Application Tier Security High Partial 1 1 Medium OK 2 9 High OK 2 9 Low Not OK 1 0 Oracle Database Security OK 1 9 Medium Not OK 2 0 OK 3 9 Partial 1 1 High Not OK 1 0 OK 2 9 Partial 3 8 Low Not OK 4 0 Oracle E-Business Suite Security Partial 1 1 Medium Not OK 2 0 OK 1 9 Partial 1 8 1 Low Not OK 2 0 Oracle TNS Listener Security OK 1 9 Medium Not OK 1 0 OK 2 9 Patch updates High Partial 1 3 Medium Partial 1 4 Grand Total 47 4.89 03/10/2014
32 Summary of advices for Operations Processes Chapter Severity Count of Advices Operating Environment Security High 2 Medium 4 Oracle Database Security High 2 Low 6 Medium 1 Oracle E-Business Suite Security High 5 Low 6 Medium 3 Patch updates High 2 Medium 1 Grand Total 32 03/10/2014
Configuration errors found 33 Several configuration files of AUDT instance contains references to directories and files named LIVE". (i.e. httpd.conf, ssl.conf under $IAS_ORACLE_HOME/Apache/Apache/conf) However these files and directories don't exist (and they are not supposed to exist). The references in the configuration files to these files and directories should be "SIT" in every case. It seems that the AUDT instance has been cloned from an instance named LIVE". However the cloining process (perl <COMMON_TOP>/clone/bin/adcfgclone.pl appstier) has not been finished completely and successfully. These misconfigurations may lead to unexpected behaviours and errors. It is highly recommended to investigate and solve this issue as soon as possible. 03/10/2014
General observations on system configuration u AUDT instance seems to be a default install Oracle EBS u Default passwords have been changed u Passwords are not weak according to the tests u There are a few configuration errors possible due to the incomplete cloning from LIVE u Due to the custom objects created in EBS, database could be a subject of additional licenses. 03/10/2014
Minta hőtérkép 3x3-as mátrixban elhelyezve a megfigyelések: u vízszintesen a súlyosság szerint 3 kategória u függőlegesen pontszám (score) szerint 3 kategória Az alsó sorban jelennek meg a javasoltnak megfelelő beállítások.
Next steps 37 u Javasoljuk, hogy a lehető leghamarabb módosítsák azokat a konfigurációkat, paramétereket, amelyek súlyossága magas, és ezzel együtt nagyon alacsony pontszámot kaptak (hőtérkép jobb felső része) u Javasoljuk, hogy ütemezzék be a közeljövőben a közepes súlyosságú, alacsony pontszámot elért problémák megoldását. u Javasoljuk, hogy fogadják meg az egyes fejezetekben található üzemeltetési folyamatokra vonatkozó tanácsainkat. 03/10/2014
Next steps 38 u High severity issues earned the lowest scores: Chapter Check Description Oracle E- Business Suite Security Patch updates Oracle Application Tier Security Desktop Security Operating Environment Security Use Ssl (Https) Between Browser And web Server Recommended & Cri-cal Oracle EBS Technology Stack Patches Configuration Healthcheck Update Browser Cleanup File Ownership And Access Configure your EBS environment to use HTTPS Verify the list of recommended patches Verify the list of patches in Cri-cal Patch Update Knowledge Document Check whether EBS configuration files and context xml are in sync. Update EBS applications tier to support latest version of Java browser plugin Check that the operating system owner of executables matches the operating system user under which the files have been installed. Score (0-9) 0 3 1 2 3 03/10/2014
Találkozzunk egy év múlva A kezdeti, állapotfelmérő audit után periodikusan, például évente javasolt egy felülvizsgálat elvégzése.
Köszönöm a figyelmet! Törő Krisztián, technikai igazgató email: krisztian.toro@ixenit.com web: www.ixenit.com Your IT Partner in Business Understanding 03/10/2014