Upload
lamkien
View
215
Download
1
Embed Size (px)
Citation preview
© 2009 IBM Corporation
24 Juin 2009
L'enjeu des nouvelles règlementationssur l'audit et la traçabilité du comportement des utilisateursChristian Châteauvieux, consultant sécuritéIBM Tivoli
2
Page 2
24 Juin 2009
Agenda• Présentation de l’offre IBM
Tivoli sécurité
• Gestion des logs et Surveillance des utilisateurs avec Tivoli Compliance Insight Manager
• Implémentation
• Questions / Réponses
3
Page 3
24 Juin 2009
IBM: Comprehensive Security Risk & Compliance Management
– Le seul vendeur de sécurité du marchéayant une couverture de bout en boutdans le domaine de la sécurité
– 15,000 chercheurs, développeurs et experts sur des initiatives de sécurité
– Plus de 3,000 patentes dans le domaine de la sécurité et de la gestion des risques
– Plus de 200 références clients dans le domaine de la sécurité et plus de 50 cas d’études publiés
– Gérant plus de 2.5 milliard d’événements de sécurité quotidien pour ses clients
– 1.5 milliard de dollars investis dans la sécurité pour la seule année 2008
4
Page 4
24 Juin 2009
IBM Security Framework & Security Compliance
The IBM Security Framework
Common Policy, Event Handling and Reporting
The IBM Security Framework
Common Policy, Event Handling and Reporting
Security Governance, Risk Management and Compliance
Security Governance, Risk Management and Compliance
Network, Server, and End-point
Physical Infrastructure
People and Identity
Data and Information
Application and Process
• SECURITY COMPLIANCE• Demonstrable policy enforcement aligned to
regulations, standards, laws, agreements (PCI, FISMA, etc..)
• IDENTITY & ACCESS• Enable secure collaboration with internal and external users with controlled and secure access to information, applications and assets
• DATA SECURITY• Protect and secure your data and information assets
• APPLICATION SECURITY• Continuously manage, monitor and audit application security
• INFRASTRUCTURE SECURITY• Comprehensive threat and vulnerability
management across networks, servers and end-points
IBM Security SolutionsIBM Security Solutions
5
Page 5
24 Juin 2009
IBM et Tivoli sécurité : assurer la sécurité àtous les niveaux
Périmètre défensifFermer la porte aux intrus avec:• Firewalls• Anti-Virus• Détection d’intrusion, etc.Périmètre Défensif
Couche de contrôle
Couche d’assurance
Couche de contrôle• Qui peut entrer?• Que peuvent-ils voir et faire?• Accès liés aux rôles?• Protection de la vie privée?
Couche d’assurance• Conformité aux réglementations?• Rapports et auditabilité?• Suis-je en situation de risque?• Réponse aux événements de
sécurité?
6
Page 6
24 Juin 2009
EnforceEnforce• authorization• authorization
• federated SSO• federated SSO• authentication• authentication
(Multiple Domains)(Multiple Domains)
Identity & Access Management
EnforceEnforce• authorization• authorization
• SSO• SSO• authentication• authentication
(Single Domain)(Single Domain)
Administer• provision usersAdminister•• provision users
Synchronize• meta-directorySynchronize• meta-directory
Store• directory• LDAP
Store• directory• LDAP
IBM Tivoli Directory ServerIBM Tivoli Directory Server
IBM Tivoli Identity ManagerIBM Tivoli Identity Manager
IBM Tivoli Directory IntegratorIBM Tivoli Directory Integrator
IBM Tivoli Access ManagerIBM Tivoli Access Manager
IBM Tivoli Federated Identity Mgr.IBM Tivoli Federated Identity Mgr.
7
Page 7
24 Juin 2009
Audit Compliance and Reporting
Audit Compliance and Reporting
Security Event Security Event ManagementManagement
Preemptive Network Security & Compliance
IBM Tivoli Security Operations ManagerIBM Tivoli Security Operations Manager
Security Status Security Status AuditAudit
PreemptivePreemptiveNetworkNetworkSecuritySecurity
ISSISS
IBM Tivoli Security Compliance ManagerIBM Tivoli Security Compliance Manager
Tivoli Compliance InSight ManagerTivoli Compliance InSight Manager
!
ISS = Internet Security Systems
8
Page 8
24 Juin 2009
Audit Compliance and Reporting
Audit Compliance and Reporting
Tivoli Compliance InSight Mgr.Tivoli Compliance InSight Mgr.Security Event Security Event ManagementManagement
Preemptive Network Security & Compliance
IBM Tivoli Security Operations Mgr.IBM Tivoli Security Operations Mgr.Security Status Security Status
AuditAudit
PreemptivePreemptiveNetworkNetworkSecuritySecurity
ISSISS
IBM Tivoli Security Compliance Mgr.IBM Tivoli Security Compliance Mgr.
!
Problématiques adressées
• Attaques perpetrées de l’intérieur – comprendre et gérer ceque les utilisateurs internes font
• Satisfaction de l’auditeur et corrélation vers des régulationsspécifiques (SOX, HIPAA, GLBA, . . .)
9
Page 9
24 Juin 2009
Agenda• Présentation de l’offre IBM
Tivoli sécurité
• Gestion des logs et Surveillance des utilisateurs avec Tivoli Compliance Insight Manager
• Implémentation
• Questions / Réponses
10
Page 10
24 Juin 2009
Agenda “Surveillance des utilisateurs”
Les challenges actuelsSolution: Tivoli Compliance Insight Manager -- les “3 C”
1.Capturer – Gestion des logs de l’entreprise2.Comprendre – Interprétation sophistiquée des logs3.Communiquer – Reporting et audit de conformité
Architecture de la solution Conclusion
11
Page 11
24 Juin 2009
43% of CFOs think that improving governance, controls and risk management is their top challenge.
CFO Survey: Current state & future direction, IBM Business Consulting Services
• Besoins de conformité croissants– Initiatives de conformité toujours plus nombreuses– Besoin de mesurer la conformité à ses règles et pratiques
internes– Surveillance et contrôles fiables sont nécessaires pour gérer
les risques et éviter des pénalités ou la perte de crédibilité
• Complexité croissante– Les technologies et les infrastructures disparates fragmentent
et alourdissent les efforts de supervision, de coorélation, d’analyse et d’audit de conformité
– Lier la conformité de l’infrastructure à celle du business est souhaitable, mais difficile
• Coût croissant– Main d’œuvre chère incite à l’automatisation– Peu de prédictibilité et de visibilité sur des infrastructures
complexes conduit à une inflation rapide des coûts– Ne pas atteindre la conformité ou ne pas prévenir des
menaces peu imposer des coûts énormes
Les Challenges de Sécurité et de Conformité
12
Page 12
24 Juin 2009
“Pour les sociétés, le meilleur moyen de prévenir les incidents internes est de
superviser les activités anormales lorsd’accès au réseau et aux banques de
données et de déterminer un niveaud’utilisation acceptable pour différents types
d’utilisateurs”
“Pour les sociétés, le meilleur moyen de prévenir les incidents internes est de
superviser les activités anormales lorsd’accès au réseau et aux banques de
données et de déterminer un niveaud’utilisation acceptable pour différents types
d’utilisateurs”Source: InformationWeek, Feb. 15, 2007
Ferez-vous la prochaine “Une” des journaux?Ce qui s’est passé:
Employé partant chez un compétiteur
Accède aux bases de données
Transfère des documents sur son nouvel ordinateur portable
Commentaires du Carnegie Mellon CERT:“75% des … vols d’informations confidentielles étudiés… ont étéperpétrés par des employés actifs”
“45% d’entre eux avaient déjà acceptéun nouvel emploi ailleurs”
Commentaires de la CIA:“…les concepteurs et les scientifiques ont tendance à considérer le capital intellectuel de leur entreprise comme le leur… et souhaite le garder en partant”
Ce qui s’est passé:Employé partant chez un compétiteur
Accède aux bases de données
Transfère des documents sur son nouvel ordinateur portable
Commentaires du Carnegie Mellon CERT:“75% des … vols d’informations confidentielles étudiés… ont étéperpétrés par des employés actifs”
“45% d’entre eux avaient déjà acceptéun nouvel emploi ailleurs”
Commentaires de la CIA:“…les concepteurs et les scientifiques ont tendance à considérer le capital intellectuel de leur entreprise comme le leur… et souhaite le garder en partant”
13
Page 13
24 Juin 2009
Surveiller les utilisateurs privilégiés n’est plus une option
• 87% des incidents internes sont causés par des utilisateurs privilégiés
• La plupart sont des incidents non intentionnels causés par la violation:
– Des processus de gestion des changement– Des politiques d’utilisation acceptables
• D’autres sont malveillants, les motifs étant:– Revanche (84%)– “Événements négatifs” (92%)
• Quelle que soit leur raison, ces incidents coûtent trop cher et ne peuvent être ignorés:
– Les attaques internes représentent 6% du chiffre d’affaire annuel
– Aux USA, ceci représente un coût de 400 milliards de dollars
Sources: Forrester research, IdM Trends 2006; USSS/CERT Insider ThreatSurvey 2005; CSI/FBI Survey, 2005; National Fraud Survey; CERT, variousdocuments.
Source: “Taking Action to Protect Sensitive Data,” IT Policy Compliance Group, March 2007
14
Page 14
24 Juin 2009
Questions de la Direction Informatique et du Métier: Pouvez vous surveiller si quelqu’un a touché ou modifié des données sensibles de manière inappropriée?Pouvez-vous vérifier si nos outsourcers gèrent vos systèmes et données de manière responsable?Disposez-vous de rapports sur les changements non autorisés sur notre environnement d’opérations?Etes-vous alerté quand des comptes administrateurs interdits sont créés? Avez-vous les moyens d’investiguer des incidents sans délais?
Questions de vos auditeurs:Les journaux des vos application, databases, OS et dispositifs réseaux sont-ils archivés et analysés? Les activités de vos administrateurs et opérateurs système sont-ils enregistrés et analysés régulièrement? Archivez-vous tous les accès aux données sensibles – incluant les accès root/administrateur et DBA?Avez-vous des outils automatisés pour analyser les enregistrements d’audit?Les incidents de sécurité et les activités suspectes sont-ils analysés, investigués? Et les actions de remédiations sont-elles prises?
Le questionnaire “Security Audit and Compliance”
15
Page 15
24 Juin 2009
Les Régulateurs & Auditeurs créent l’urgence
[ISO17799:2005]10.10.1 Audit logging
Audit logs recording user activities, exceptions, and
information security events should be
produced and kept for an agreed period to assist in future investigations and
access control monitoring.
IBM SIEM
16
Page 16
24 Juin 2009
TCIM: Supervision sur toutes les plate-formes
Comprehensive, distributed log management, access monitoring and compliance reporting
Integrated mainframe audit, monitoring,
compliance and administration
zSecure Suite
17
Page 17
24 Juin 2009
Quel est le comportement de mes utilisateurs sur mes données sensibles?
InSight consolide toute l’information contenue dans les journaux des serveurs, databases et applications de l’entreprise, et rapporte toute exception aux politiques de sécurité et de comportements acceptables.
18
Page 18
24 Juin 2009
Plus précisément, les challenges adressés par TCIM
1. Tableaux de bords de conformité et rapports
2. Privileged User Monitoring and Audit (PUMA)
3. Monitoring des bases de données et Audit
4. Gestion des Logs et des pistes d’audit
Besoins croissantsBesoins
croissants
Complexitécroissante
Complexitécroissante
Coût croissantCoût croissant
User Identity and Behavioral Audit
19
Page 19
24 Juin 2009
Agenda “Surveillance des utilisateurs”
Les challenges actuelsSolution: Tivoli Compliance Insight Manager -- les “3 C”
1.Capturer – Gestion des logs de l’entreprise2.Comprendre – Interprétation sophistiquée des logs3.Communiquer – Reporting et audit de conformité
Architecture de la solution Conclusion
20
Page 20
24 Juin 2009
Capture“Je dois stocker les logs pour des investigations post-incident”
“Je n’ai aucune idée de la manière dont il faut
collecter les logs”
Comprehend
“Mes équipes n’ont ni l’envie, ni le temps, ni l’expertise de scanner les logs”
“Je m’interroge sur les actions des utilisateurs
privilégiés”Communiquer
“Je dois fournir des rapports à mes auditeurs”
“Je dois prouver que je dispose de contrôles efficace
de la sécurité du SI”
Gestion, analyse et communication sur les évènements de sécurité
21
Page 21
24 Juin 2009
Gestion des Logs de toutes les plate-formes
Fonctionnalités:• Collecte sécurisée et fiable depuis
n’importe quelle plate-forme• Support complet de collecte de logs natifs
(Syslogs, audit trails, SNMP, LDAP, Active Directory, etc.)
• Archivage dans un dépôt efficace et compressé
• Accéder aux informations à la demande• Recherche à travers tous les logs• Rapports prouvant la continuité de la
collecte
Implementation: plug and play.Implementation: plug and play.
Avantages: • Réduction de coûts par l’automatisation et
la centralisation de la collecte et de l’archivage
• Réduire la longueur des audits internes ou externes.C
aptu
rer
Cap
ture
rC
aptu
rer
22
Page 22
24 Juin 2009
Log Continuity Report Rapport de Continuité des LogsPreuve immédiate pour auditeurs et institutions de Conformité que votre gestion des logs est complète et continue.
23
Page 23
24 Juin 2009
TCIM Event SourcesOperating Systems VersionCA ACF2 through zAudit ACF2 8.0CA eTrust Access Control for AIX 5.0CA eTrust Access Control for HP-UX 5.0CA eTrust Access Control for Solaris 5.0CA eTrust Access Control for Windows 4.10CA Top Secret for VSE/ESA 3.0Hewlett-Packard HP NonStop (Tandem) SafeGuard D42Hewlett-Packard HP-UX audit trail 10.2, 11iHewlett-Packard HP-UX syslog 10.2, 11iHewlett-Packard OpenVMS 7.3.2Hewlett-Packard Tru64 4.0, 5.1, 5.1BIBM AIX audit trail 4.x, 5.1, 5.2, 5.3IBM AIX syslog 4.x, 5.1, 5.2, 5.3IBM OS/400 journals 4.5, 5r1-r2-r3IBM z/OS RACF - excl. DB2 through zAudit RACF Lite R1.4 to 1.9IBM z/OS RACF through (already) installed zAudit RACF R1.4 to 1.9 R1.4 to 1.7IBM z/OS ACF2 -excl. DB2 through zAudit ACF2 Lite R1.4 to 1.9 R10 to 1.7IBM z/OS RACF through (already) installed zAudit ACF2 R1.4 to 1.9 R10 to 1.7IBM z/OS TopSecret - excl. DB2 through zAudit Lite R1.4 to 1.9Microsoft Windows security event log NT4, 2000, 2003, XPNovell Netware 4, 5, 6, 6.5 (via Nsure Audit)Novell Nsure Audit 1.0.1, 1.0.2, 1.0.3Novell Suse Linux 8.2, 9.xRed Hat Linux syslog 6.2,7.2,8.0,9.0, ES 4, Fedora CoreStratus VOS 13.x, 14.x, 15.xSUN Solaris audit trail (32 bit & 64 bit) 7, 8, 9, 10SUN Solaris syslog 7, 8, 9, 10User Information SourcesHewlett-Packard HP HP-UX 10.2,11iIBM AIX 4.x, 5.1, 5.2, 5.3IBM OS/400 4.5, 5.1, 5.2, 5.3IBM z/OS R10 to 1.7Microsoft NT Domain Windows NT4, 2000, 2003Microsoft Active Directory Windows 2000, 2003SUN Solaris 7, 8, 9, 10IBM Tivoli Directory Server 6.0, 6.1
Authentication SourcesBMC Identity Manager on AIX / Oracle via ODBC 3.2.0.3CA eTrust (Netegrity) SiteMinder (from Windows) 5.5IBM Tivoli Access Manager for e-business 5.1, 6.0RSA Authentication Server (Ace) 6.0
Mail servers and GroupWareIBM Lotus Domino (Notes) 5.0, 6.0, 6.5Microsoft Exchange Server 2000, 2003
Proxy ServersBlue Coat Systems ProxySG series SGOS 3.2.5
Web ServersMicrosoft Internet Information Server (IIS) on Windows 4.0, 5.0, 6.0SUN iPlanet Web Server on Solaris 4.0, 6.0
VPNCisco VPN Concentrator 3000 (via Syslog) 4.1
Vulnerability ScannersIBM ISS System Scanner (from Windows) 4.2
Application Packages VersionIBM Tivoli Identity Manager 4.6IBM Tivoli Access Manager for OS 6.0IBM Tivoli Federated Identity Manager 6.0, 6.1, 6.1.1Misys OPICS 5, 6, 6.1SAP R/3 4.6, 4.7SAP NetWeaver Application Server 6.10, 6.20, 6.40, 7.0BMC Identity Manager 2.3.0.3
DatabasesIBM DB2 on z/OS through zAudit Lite 7.x, 8.xIBM UDB on Windows 8.2, 9.5IBM UDB on Solaris 8.2, 9.5IBM UDB on AIX 8.2, 9.5IBM Informix Dynamic Server on Windows, AIX, Solaris, HP/UX 9 to 11.iMicrosoft SQL Server application logs 6.5, 7.0, 2000Microsoft SQL Server trace files 2000, 2005Oracle database server on Windows 8i, 9i, 10gOracle database server on Solaris 8i, 9i, 10gOracle database server on AIX 8i, 9i, 10gOracle database server on HP-UX 8i, 9i, 10gOracle database server FGA on Windows 9i, 10gOracle database server FGA on Solaris 9i, 10gOracle database server FGA on AIX 9i, 10gOracle database server FGA on HP-UX 9i, 10gSybase ASE on Windows 12.5, 15Sybase ASE on Solaris 12.5, 15Sybase ASE on AIX 12.5, 15Sybase ASE on HP-UX 12.5, 15
FirewallsCheck Point FireWall-1 (via SNMP) 4.1, NG, NGXCisco PIX (from AIX) 6.0 – 6.3.3Cisco PIX (from Windows) 6.0 – 6.3.3Cisco PIX (via SNMP) 6.0 – 6.3.3Cisco PIX (via Syslog) 6.0 – 6.3.3Symantec (Raptor) Enterprise Firewall (via SNMP) 6.0, 6.5, 7.0Symantec (Raptor) Enterprise Firewall (via Syslog) 6.0, 6.5, 7.0
IDS, IPSIBM ISS RealSecure (alerts) via SNMP 6.0IBM ISS RealSecure (operational messages, Windows) 6.0IBM ISS Proventia Site Protector 2.0SP6, 2.0 SP6.1McAfee IntruShield IPS Manager (via Syslog) 1.9Snort (Open Source) IDS (via Syslog) 2.1.3, 2.2.0, 2.3.3
RoutersCisco Router (from AIX) IOS 12.xCisco Router (from Windows) IOS 12.xCisco Router (via SNMP) IOS 12.xCisco Router (via Syslog) IOS 12.xSwitchesHewlett-Packard ProCurve switch (via SNMP) Managed units, 2500 series & upVirus ScannersMcAfee ePolicy Orchestrator (ePO) 3.5.2TrendMicro ScanMail for Domino on Windows 5.3TrendMicro Scanmail for MS Exchange 5.3TrendMicro ServerProtect 5 for NT 5.3Symantec AntiVirus Corporate Edition for Windows 9.0
24
Page 24
24 Juin 2009
Comparer le comportement “Désiré” Versus “Réel”
Com
pren
dre
Com
pren
dre
Que font les utilisateurs sur mes systèmes?
25
Page 25
24 Juin 2009
Comment comprendre tous ces différentsformats et informations?
Com
pren
dre
Com
pren
dre
26
Page 26
24 Juin 2009
Plutôt que de recourir à de nombreux experts…
Windows z/OS AIX Oracle SAP ISS FireWall-1 Exchange IIS Solaris
Export Windows
Expert z/OS
Expert AIX
Expert Oracle
Expert SAP
Expert ISS
Expert FireWall-1
Expert Exchange
Expert IIS
Expert Solaris
Com
pren
dre
Com
pren
dre
27
Page 27
24 Juin 2009
Tous les journaux sont traduits en un mêmelanguage
Traduction des logs en “français”
Compliance Insight Manager
Windows z/OS AIX Oracle SAP ISS FireWall-1 Exchange IIS Solaris
Com
pren
dre
Com
pren
dre
Qui? Quelle action? Quand? Sur quoi? Où? D’où? Vers où?
28
Page 28
24 Juin 2009
Utiliser un langage compréhensible pour le métier, le management et les auditeurs: la méthodologie W7
1. Who did
2. What type of action3. on What file/data4. When did he do it and
5. Where6. from Where7. Where to Nous faisons le travail de traduction,
à votre place!Nous faisons le travail de traduction,
à votre place!
Com
pren
dre
Com
pren
dre
29
Page 29
24 Juin 2009
Comply with rigorous regulatory requirements Tableau de Bord de Conformité
Des milliards de journaux résumés dans un graphique de vision générale, en language W7
30
Page 30
24 Juin 2009
W& Eventlist
Liste des événementsNote: Mike Bonfire, un DBA,lit le fichier Payroll
31
Page 31
24 Juin 2009
EventDetailLe détail de l’événementPlonger dans un événement spécifique pour en extraire tous les détails, jusqu’àretourner aux données brutes
32
Page 32
24 Juin 2009
Des rapports, tout prêts, pour communiquerC
omm
uniq
uer
Com
mun
ique
r
time
activ
ity
33
Page 33
24 Juin 2009
Compliance Modules
34
Page 34
24 Juin 2009
Des modules pour Réglementations spécifiques, avec des rapports taillés sur mesure pour accélérer vos efforts de conformité – réduisant votre investissement en temps, ressources et coûts
35
Page 35
24 Juin 2009
Operational Change ControlUn résumé de tous les changements opérationnels effectués par les différents groupes d’utilisateurs.
36
Page 36
24 Juin 2009
EventlistListe des évènementsZoomer dans chaque action que l’administrateur a effectuésur un système financier et voir la création du compteutilisateur Chin055
37
Page 37
24 Juin 2009
Agenda “Surveillance des utilisateurs”
Les challenges actuelsSolution: Tivoli Compliance Insight Manager -- les “3 C”
1.Capturer – Gestion des logs de l’entreprise2.Comprendre – Interprétation sophistiquée des logs3.Communiquer – Reporting et audit de conformité
Architecture de la solution Conclusion
38
Page 38
24 Juin 2009
Architecture de TCIM – Serveur uniqueInSight Application Output
Dashboards & drill down
Reports
Retrieve Log-files
alerts
Third party integration
Log Depot
Reporting DBs
Event Sources
Applications
Databases
Operating Systems
IDS & IPS
Firewalls
Mainframe
Collection method
Collectors
Agent less
39
Page 39
24 Juin 2009
Enterprise Server
Standard Servers
Architecture de TCIM – Serveur distribuéInSight Cluster Output
Dashboards & drill down
Reports
Retrieve Log-files
Third party integration
alerts
Event Sources
Applications
Databases
Operating Systems
IDS & IPS
Firewalls
Mainframe
Collection method
Collectors
Agent less
40
Page 40
24 Juin 2009
Agenda “Surveillance des utilisateurs”
Les challenges actuelsSolution: Tivoli Compliance Insight Manager -- les “3 C”
1. Capturer – Gestion des logs de l’entreprise2. Comprendre – Interprétation sophistiquée des logs3. Communiquer – Reporting et audit de conformité
Architecture de la solution Conclusion
41
Page 41
24 Juin 2009
Bénéfices de TCIM
• Aptitude unique à surveiller le comportement des utilisateurs
• Tableau de bord de la conformitéde l’entreprise
• Modules de conformité et rapports pour des législations spécifiques
• Capacité à collecter les logs et les pistes d’audits de grand nombre de systèmes
• Normalisation W7 qui traduisent vos logs en langage naturel
• Capacité à comparer aisément le comportement réel aux politiques de sécurité et aux besoins de conformité règlementaire
Besoins croissantsBesoins
croissants
Complexitécroissante
Complexitécroissante
Coût croissantCoût croissant
42
Page 42
24 Juin 2009
L’avis deGartner
IBM in Magic Quadrant for Security Information and Event Management
43
Page 43
24 Juin 2009
L’avis de Yphise
44
Page 44
24 Juin 2009
Codan Forsikring, Leading Danish insurance company
Value DriversSpecific audit expertise of all the systems is needed. Protecting confidential customer and business data against
misuse of authorized access and preventing unauthorized access Monitoring and reporting all platforms creates a high daily manual
workload
“After years of satisfactory use, we’ve also recommended InSight to the UK insurer Royal & Sun Alliance, Codan Lithuania, the Swedish Trygg Hansa and the Swedish SEB Bank. " -Flemming Schmidt- Jørgensen, IT Security Manager.
Value RealizationSaving a significant amount of time, Daily workload is now reduced
to approximately fifteen minutes for a team of four people instead of eight hours
Ability to detect and deter unauthorized use within the corporate perimeter.
Pragmatically organize Sarbanes-Oxley compliance
SolutionLook at events with the policy in mind, just like an auditor doesAll platform events are collected and reported Formalize IT security policy Filter policy exceptions down to less than 0.1 %. Automate reporting ensures visibility
45
Page 45
24 Juin 2009
Philadelphia Stock ExchangeProtection, Compliance and More with IBM Security
Value DriversProtect a national stock exchange from unwanted electronic intruders and internal threats
Monitor and demonstrate compliance with security regulations
SolutionDeployed automated user monitoring and compliance reporting solution
Solution is key to data governance and compliance monitoring, auditing and reporting capabilities across mainframe and distributed environments
Value RealizationEasy auditing and investigations of internal or external malicious or accidental violations
Enhanced security and visibility
Proactive capability for meeting future regulations
“Our administrators have the keys to the kingdom, which is
scary. They need to be monitored. PHLX has policies
in place, but if we can’t enforce policies, we might as well throw them away. InSight
helps us enforce policies.”
Bernie DonnellyVP of Quality Assurance, Philadelphia
Stock Exchange
46
Page 46
24 Juin 2009
Dutch MN ServicesProvider of pension payments in the Netherlands
Value Drivers
Meet stringent auditors’ requirements to satisfy Statements on Auditing Standards (SAS)-70.
Solution
Company-wide monitoring of critical IT control processes. The company found in the IBM Consul InSight Security Manager solution an optimal tool to manage the most important IT controls and meet the most stringent auditors’ requirements.
Value Realisation
Acquired SAS-70 certification; improved quality of IT infrastructure; completed implementation of system in 3 months .
“The nice thing about the IBM TCIM solution is that it is a tool with many adjustment possibilities and many options. It takes on average half an hour to get an overview and I can easily determine if and which security breaches have taken place,”
- Piet Osefius,Security Coordinator
47
Page 47
24 Juin 2009
DocumentationzSecure data sheets, solution sheets, and white papers• http://www-306.ibm.com/software/tivoli/products/zsecure/
TCIM data sheets, solution sheets, and white papers• http://www-01.ibm.com/software/tivoli/products/compliance-insight-mgr/
zSecure Manuals• http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=/com.ibm.
zsecure.doc/welcome.htm
TCIM Manuals• http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=/com.ibm.
itcim.doc/welcome.htm
Redbooks• http://www.redbooks.ibm.com/
– z/OS Mainframe Security and Audit Management using IBM Tivoli zSecure (SG24-7633)– Compliance Management Design Guide with IBM Tivoli Compliance Manager– Deployment Guide Series: IBM Tivoli Compliance Manager
48
Page 48
24 Juin 2009
Redbooks disponibles
© 2009 IBM Corporation
24 Juin 2009
Questions?
50
Page 50
24 Juin 2009
Thank You
Grazie
Gracias
Obrigado
Danke
Merci
Japanese
English
Russian
German
Italian
Spanish
Brazilian Portuguese
French
Arabic
Simplified Chinese
Traditional Chinese
Hindi
Tamil
Thai
Korean
51
Page 51
24 Juin 2009
TCIM 8.5 event sources with W7 mapping(continued)
SAP R/3 on Windows, Solaris, AIX, HP-UX
• Human Resources (HR)• System (SM)• Development• (ABAP/4)• Development (DV)• Sales and• Distribution (SD)• Basis Components• (BS)• Cross-Application• Functions (CA)• SAP Office (SO)• Financial Accounting• (FI)• Treasury (TR)• Controlling (CO)
Project System (PS)Enterprise Control (EC)Materials Management (MM)Plant Maintenance (PM)Inventory Management (MM-IM)Quality Management (QM)Production Planning (PP)Logistics (LO)
SAP NetWeaver WebApplication Server 6.10, 6.20,
6.40, 7.0 on ABAP stack;
52
Page 52
24 Juin 2009
InSight adapter for z/OS – Technologie
• Captures les enregistrements SMF – Depuis les fichiers SMF actifs ou archivés– RACF, ACF2, Top Secret, UNIX, z/OS– Extensible à des formats particuliers d’enregistrements– Prise en compte des alertes de Tivoli zSecure Alert
• Traduit les évènements au format W7– Prend en compte les aspects spécifiques de RACF (Operations, Warning)
• Capture des événements de différentes sources de z/OS– Base de donnée RACF :
• Userids, name, connect groups, user attributes– Implémentation de z/OS :
• APF, Linklist, Parmlibs, etc
• Reporting des évènements selon la politique de sécurité
53
Page 53
24 Juin 2009
• Rapport d’audit des activités via des informations collectées des multiple plate-formes
– z/OS, RACF, CA-ACF2, CA-Top Secret, DB2, TCPIP, USS (Unix System Services)
• Tivoli Compliance Insight Manager facilite l’audit sur Mainframe
– Les jargons de Mainframe sont traduits en langage compréhensible– Auditors n’ont plus besoin d’être expert de z/OS pour surveiller les activités
• Enregistrements SMF collectés
– 0, 2, 3, 4, 5, 6, 8, 10, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 28, 30, 31, 32, 33, 34, 35, 36, 27, 39, 40, 41, 42, 43, 45, 47, 48, 49, 50, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 68, 69, 70, 71, 72, 73, 74, 75, 76, 77, 78, 79
– 80, 81 (RACF)– 82 (ICSF – Integrated Cryptographic Services Facility)– 83 (Security Events)– 84, 85, 88, 91, 92, 94, 96, 99, 100, 101, 103, 108, 109, 115, 116, 118, 119, 120
Apports de TCIM au système Mainframe
54
Page 54
24 Juin 2009
zAudit (and TSIEM/TCIM) supports thefollowing SMF types:• 0 -IPL• 7 -Data Lost• 9 -VARY Device ONLINE• 11 -VARY Device OFFLINE• 14 -INPUT or RDBACK data Set
Activity• 15-OUTPUT, UPDATE, INOUT,or
OUTIN Data Set Activity• 17 -Scratch Data Set Status• 18 -Rename Data Set Status• 22 -Configuration• 26 -JES2 or JES3 Job Purge• 30 -Common Address Space
Work• 36 ICF Catalog Transmission
41 -DIV ACCESS/UNACCESS43 -JES2 or JES3 Start45 -JES2 Withdrawal or JES3 Stop47 -JES2 or JES3 SIGNON/StartLine/LOGON48 -JES2 or JES3 SIGNOFF/Stop Line/LOGOFF49 -JES2 or JES3 Integrity52 -JES2 LOGON/Start Line53 -JES2 LOGOFF/Stop Line54 -JES2 Integrity55 -JES2 Network SIGNON56 -JES2 Network Integrity57 -JES2 or JES3 Network Transmission58 -JES2 Network SIGNOFF59 -MVS/BDT File-to-File
61 -ICF Define Activity62 -VSAM Component or Cluster Opened64 -VSAM Component or Cluster Status65 -ICF Delete Activity66 -ICF Alter Activity80 -RACF Processing/TSS Audit81 -RACF Initialization90 -System Status92 -OpenMVS File System activity102 -DB2 performance and audit118 -TCP/IP Telnet and FTP119 -Connectivity StatisticsACF2 -ACF2 all events
55
Page 55
24 Juin 2009
Agent de TCIM (InSight for z/OS) –Architecture
56
Page 56
24 Juin 2009
InSight for z/OS
57
Page 57
24 Juin 2009
58
Page 58
24 Juin 2009
InSight for z/OS
59
Page 59
24 Juin 2009