Upload
balabit
View
644
Download
0
Embed Size (px)
Citation preview
www.balabit.com
Compliance braucht Transparenz
Revisionssichere Auditierung privilegierter IT-ZugriffeIDC Security Conference 2011, 25. Aug. 2011, Hotel Park Hyatt, Zürich
Martin [email protected]+49 170 8067 345
www.balabit.com
Zeit Online
derStandard.at
B.Z.
Bekannte Herausforderungen ...
… bekämpfen wir mit bekannten Mitteln
www.balabit.com
Herausforderung privilegierter IT-Zugriffe
→ Daten nach aussen gelangen
→ Daten manipuliert werden
→ Daten gelöscht werden
→ Daten missbraucht werden
Was passiert, wenn …
… und dies nicht bemerkt bzw. nachvollzogen werden kann?
Viele User benötigen für ein effizientes Arbeiten hohe bzw. höchste Zugriffsberechtigungen.
Transparenz und Nachvollziehbarkeit sind oft nicht gegeben
www.balabit.com
2011 Data Breach Report From Verizon Business, U.S. Secret Service
Fakten zur Sicherheitslage
Restrict and monitor privileged users
Secure remote access services …Quelle: http://www.verizonbusiness.com/resources/reports/rp_databreachinvestigationsreport2011_en_xg.pdf
www.balabit.com
PCI-DSS 10. Track and monitor all access to network resources and cardholder data...10.2 Implement automated audit trails for all events... 10.2.2 All actions taken by any individual with root or administrative privileges...
ISO27002:2005 10.10.1 Establish and maintain audit logs
...10.10.4 Log system administrator and operator activities...
HIPAATechnical Safeguards §164.312(b): Standard: Audit controls. Implement hardware, software,
and/or procedural mechanisms that record and examine activity in information systems that contain or use electronic protected health information.
Regulative Forderungen (Beispiele)
www.balabit.com
”Enterprises are generally not adequately concerned about system administrator risks, including accident, data theft and sabotage. Risk mitigation must begin before a system administrator is hired and continuously throughout his or her employment.”
Gartner:
“Ensure accountability through logging, monitoring and reporting mechanisms that track administrative activities in support of investigations. This also provides incentive against misbehavior.”
“Make sure that all administrative activities are audited on a regular basis and that the audits are not delayed or blocked by the administrators.”
Gartner Research
Finding
Recommendation
www.balabit.com
Existieren Systeme zur effizienten Loganalyse?
Wie beweiskräftig sind die Logfiles?
Und besonders: Lässt sich der Vorfall mit Hilfe des Logfiles wirklich genau nachvollziehen?
Exkurs Logging: Reicht traditionelles Logging zur Nachvollziehbarkeit von administrativen Tätigkeiten aus?
ABER ...
69% der Betroffenen hatten Beweise für die Datenverletzungen in den LogfilesQuelle: http://www.verizonbusiness.com/resources/reports/rp_databreachinvestigationsreport2011_en_xg.pdf
“… with standard log collectors only limited data can be collected and IT auditors would miss-critical actions ...“IDC WP: 'Compliance is More Than Just Cost: Creating Value Beyond Compliance'
Aug 24 23:29:58 grauel-laptop sshd[4484]: Accepted password for grauel from 192.168.56.130 port 55819 ssh2Aug 24 23:29:58 grauel-laptop sshd[4484]: pam_unix(sshd:session): session opened for user grauel by (uid=0)Aug 24 23:35:04 grauel-laptop sudo: grauel : TTY=pts/1 ; PWD=/home/grauel ; USER=root ; COMMAND=/bin/bashAug 24 23:35:34 grauel-laptop sshd[4578]: Received disconnect from 192.168.56.130: 11: disconnected by userAug 24 23:35:34 grauel-laptop sshd[4484]: pam_unix(sshd:session): session closed for user grauel
www.balabit.com
§§ Compliance §§
Interne Mitarbeiter
Mobile Mitarbeiter
Externe Entwickler
Managed Service Provider
Cloud Provider
Angreifer
www.balabit.com
x
§§ Compliance §§
Interne Mitarbeiter
Mobile Mitarbeiter
Externe Entwickler
Managed Service Provider
Cloud Provider
Angreifer
www.balabit.com
x
§§ Compliance §§
Interne Mitarbeiter
Mobile Mitarbeiter
Externe Entwickler
Managed Service Provider
Cloud Provider
Angreifer
www.balabit.com
BalaBit Shell Control Box
Transparente Kontrolle, Aufzeichnung und Auditierung von Standardprotokollen für privilegierte IT-Zugriffe
SSH, RDP, Citrix ICA, VNC ...
www.balabit.com
Kontrolle
Was? Wohin? Wer? Wann?
Granulare Zugriffskontrolle
Client
Server
4-Augen-Prinzip
www.balabit.com
Audit
SCB Storage oder Archiving-Server
signature timestamp encryption
Client
Server
Meta-DB
Authentizität Vertraulichkeit Integrität
Verfügbarkeit
www.balabit.com
Compliance … mehr als nur Kosten
Compliance-Maßnahmen wie die Einführung der Shell Control Box dienen nicht nur zur Erfüllung diverser Regulativa, sondern
verhindern betrügerischer Aktivitäten bzw. helfen, diese aufzudecken
schützen Mitarbeiter vor falschen Anschuldigungen
erhöhen die Transparenz von Organisationen und Abläufen
bilden Vertrauen innerhalb der Organisation und nach außen
→ Compliance als Business Enabler!
www.balabit.com
Links IDC Whitepaper: Creating value beyond compliance
http://www.balabit.com/support/documentation/scbwhitepaperIDCcreatingvaluebeyondcompliancesummaryen_0.pdf
SCB Produkt Broschürehttp://www.balabit.com/support/documentation/scbv3.0descriptionen_0.pdf
PCI compliance and forensics in auditing remote server accesshttp://www.balabit.com/support/documentation/scbv3.0whitepaperpcicomplianceforensicsen.pdf
SCB in Financial Sectorhttp://www.balabit.com/support/documentation/financial_en_web01.pdf
SCB in Managed Service Provider Sectorhttp://www.balabit.com/support/documentation/msp_web03.pdf
SCB in Manufacturer Sectorhttp://www.balabit.com/support/documentation/manufacturer_en.pdf
SCB in Telecom Sectorhttp://www.balabit.com/support/documentation/telco_en_web03.pdf
SCB Referenzcases
Fiducia: http://www.balabit.com/support/documentation/scbfiduciareferenceen.pdf Interoute: http://www.balabit.com/support/documentation/interouteflyeren.pdf