Download pdf - Provvedimento Garante Privacy

IBM Tivoli Security Solutions

© IBM Corporation 2009

Security Information ManagementSecurity Information Management

LL’’audit degliaudit degli amministratori di sistemaamministratori di sistema

Giuseppe Clerici

Software Group - Tivoli Technical Sales


2

Tivoli Compliance Insight Manager - l’Audit degli adm in non può essere più un optional

Privileged Users87%

OtherOther13%13%

Chi è l’autore degli incidenti interni?

Source: USSS/CET Insider Threat Survey

Report/alert on Exceptions to policy!

Verifichiamo se l’effettivo comportamento degli utenti è quello sperato


3

Richieste da parte dell’IT e Business management:

� Siamo in grado di controllare se esistono manipolazioni di info sensibili?

� Possiamo verificare le attività degli outsourcers?

� Possiamo ottenere segnalazioni a fronte di attività non autorizzate?

� Riusciamo a dimostrare la validità della segregation of duties?

� Possiamo investigare su quanto accaduto in modo tempestivo?

Richieste da parte degli auditor:

� Vengono tracciati e visionati i log di applicazioni, database, S.O. e device?

� Le attività dei system administrator, DBA e system operator sono tracciate nei log e sono verificate in maniera regolare?

� Sono tracciati gli accessi a dati sensibili – incluso root/administration e i DBA – nei vari log?

� Esistono dei tool automatici per i processi di audit?

� Gli incidenti di sicurezza e le attività sospette sono analizzate al fine di intraprendere delle azioni correttive?

Cosa aiutiamo a fare per la tematica PUMA

Privileged User Monitoring and Audit


4

Log management: Cosa rilevare

Tutti gli accessi ai dati sensibili immagazzinati nei database e quindioperazioni di: select, insert, update, delete

Accesso ai dati sensibili

Comportamento di tutti i DBA includendo gli accessi ai dati, DBCC (Database Console Command), call a stored procedure

Diritti di accesso

Creazione di nuove utenze, modifica dei privilegi utente, attività dicambio password

Gestione utenze

Modifiche di configurazione, modifiche sui processi di auditing, modifiche sulla struttura dei database, attività di manutenzione

Change management

Start di server, stop, back-up, restoreEventi di gestione

Eventi di logon / logoff Eventi di autenticazione

DescrizioneCategoria


5

La normativa: Il garante obbliga le aziende a gestire i log degli amministratori di sistema

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

PROVVEDIMENTO 27 novembre 2008

MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI TRATTAMENTI EFFETTUATI CON STRUMENTI ELETTRONICI RELATIVAMENTE ALLE ATTRIBUZIONI DELLE FUNZIONI DI

AMMINISTRATORE DI SISTEMA.

(Pubblicato sulla G.U. n. 300 del 24-12-2008 )

HINTS

� È la prima volta che sono esplicitati obblighi per la gestione dei log in sicurezza per tutte le aziende

� Impatti pervasivi per la sicurezza dei Sistemi Informativi dovuti alla definizione di “Amministratore di sistema” molto ampia

� Richiede misure organizzative, tecnologiche e procedurali

� Tempi di adozione molto stretti – 120 gg dal 24 dicembre 2008Proroga a Dicembre

2009


6

La soluzione proposta da IBM

Asse� Servizi consulenziali per:

� valutare lo “stato dell’arte” del cliente rispetto alla normativa e sviluppare il piano di rientro

� Definire la gestione di “ruoli e profili”

� Piattaforma software per:

� la verifica periodica dell’attività degli amministratori “Tivoli Compliance Insight Manager” (TCIM)

� garantire l’archiviazione sicura dell’attività degli amministratori “System Storage Archive Manager” (SSAM)

� la gestione “automatizzata” di ruoli e profili “Tivoli Identity Management” (TIM)

� hardening dell’accesso ai log “Tivoli Access Manager for OS” (TAMOS) - “ISS Proventia”

Controllo e restrizioni per l’accesso ai log

Sorgente

Conservazione e Protezione dei dati

Centralizzazione dei logAudit & Compliance

L

Gestione automatizzata dei Ruoli e dei Profili

TCIM

TAMOS - ISS Proventia

Verifica attivitàamministratori

Sistema di archiviazione sicura

TIM

SSAM


7

IBM Tivoli Compliance Insight Manager Portal


8

Le tre C del TCIM: Capture, Comprehend, Communicate

TCIM TCIM


9

Funzionalità:

� Centralizzazione sicura ed affidabile di log danumerose piattaforme

� Raccolta automatica dei syslogs

� Supporto su attività di raccolta di eventi da log nativi

� Memorizzazione efficiente ed in modalitàcompressa dei dati

� Possibilità di query e definizione di report custom oltre a quelli offerti nativamente

Benefici:

� Riduzione dei costi grazie all’automatizzazione e centralizzazione delle attività di raccolta dei dati

� Garanzia di una costante condizione di “audit ready”

Le tre C del TCIM: Capture – Enterprise Log Managemen t


10

Controllo automatico che evidenzia la continuità e la co mpletezza del processo di log management

Le tre C del TCIM: Capture – Log Continuity Report


11

87% degli incidenti interni sono causati da utenti privile giati.87% degli incidenti interni sono causati da utenti privile giati.

Le tre C del TCIM: Comprehend – Verifica delle attività degli utenti


12

TCIM storicizza le informazioni di security e complian ce ottimizzando i tempi ed i costi attraverso l’automatizzazione dei processi di monitoraggio aziendale

TCIM storicizza le informazioni di security e complian ce ottimizzando i tempi ed i costi attraverso l’automatizzazione dei processi di monitoraggio aziendale

Traduzione dei logs in “Formato Unico”

Tivoli Compliance Insight Manager

Windows z/OS AIX Oracle SAP ISS FireWall-1 Exchange IIS Sola ris

1. Who

2. What

3. On What

4. When

5. Where

6. Where From

7. To Where

Le tre C del TCIM: Comprehend – Normalizzazione dei log


13

Dopo la normalizzazione W7 tutti i dati di log sono riass unti in un unico grafico

Le tre C del TCIM: Comprehend – Compliance Dashboard


14

Le tre C del TCIM: Communicate – ReportingFunzionalità :

� Centinaia di reports

� Moduli di Compliance

� Alert di Special attention

� Reports Custom

Benefici :

� Riduce l’impegno e del tempo richiestoper l’audit e per la definizione deiReports

� Riduzione dei rischi di minacce a datisensibili:

� Protezione dei dati

� Controllo sui change

� User management


15

Compliance Modules

Moduli di Compliance


16

Compliance Modules

Moduli di Compliance

�Tivoli Compliance Management Module for Sarbanes-Oxley

�Tivoli Compliance Management Module for ISO 27001

�Tivoli Compliance Management Module for HIPAA

�Tivoli Compliance Management Module for GLBA

�Tivoli Compliance Management Module for Basel II

�Tivoli Compliance Management Module for PCI DSS


1717

SOX 1.4.1.1

Le Utility di sistema devono essere usate

esclusivamente da staff specializzato in

determinate finestre temporali. Gli eventi che

non rispondono a tale regola vengono

evidenziate come exceptions.


18

Selezione delle informazioni


19

TCIM - Architettura

Collection Method IBM TCIM Application Output

Syslog/SNMP

Dashboards & drill down

Reports

Retrieve Log-files

alerts

Third party integrationLog Depot

DB2 embedded

Event Sources

Applications

Databases

Operating Systems

IDS & IPS

Firewalls

Agent

Agent less

Web-baselog

log

log

log

log

Fase di collectcompletata

Fase di loadcompletata

Enterprise Server

Standard Servers


20

TCIM - event sources supportati

Devices:

� Cisco Router

� Hewlett-Packard ProCurve Switch

� Blue Coat Systems ProxySG Series

� Check Point Firewall-1

� Cisco PIX

� Cisco VPN Concentrator (3000 series)

� Symantec (Raptor) Enterprise Firewall

� ISS RealSecure

� ISS System Scanner

� ISS SiteProtector

� McAfee IntruShield IPS Manager

� McAfee ePolicy Orchestrator

� Snort IDS

� Symantec Antivirus

� TrendMicro ScanMail for Domino

� TrendMicro ScanMail for MS Exchange

� TrendMicro ServerProtect for Windows

Servers:

� IBM AIX Audit logs

� IBM AIX syslog

� IBM OS/400 & i5/OS journals

� Hewlett-Packard HP-UX Audit logs

� Hewlett-Packard HP-UX syslog

� Hewlett-Packard NonStop (Tandem)

� Hewlett-Packard OpenVMS

� Hewlett-Packard Tru64

� Microsoft Windows

� Novell Netware

� Novell NSure Audit

� Novell Audit

� Novell Suse Linux

� RedHat Linux

� Stratus VOS

� SUN Solaris BSM Audit logs

� SUN Solaris syslog

Applications:

� Tivoli Identity Manager

� Tivoli Access Manager for OS and for e-Business

� Tivoli Federated Identity Manager on:

� AIX, Solaris, Windows, Red Hat ES, SUSE, HPUX

� Tivoli Directory Server on:

� AIX, Solaris, Windows, HPUX, Red Hat, SUSE

� SAP R/3 on Windows, Solaris, AIX, HP-UX

� mySAP

� Misys OPICS

� BMC Identity Manager

� CA eTrust (Netegrity) SiteMinder

� RSA Authentication Server

� Microsoft Exchange

� IBM Lotus Domino Server on Windows

� Microsoft Internet Information server

� SUN iPlanet Web Server on Solaris

Supported databases:

� IBM DB2 on z/OS

� IBM DB2 on Windows, Solaris, AIX, HPUX, Linux

� IBM DB2 / UDB on Windows, Solaris, AIX

� Microsoft SQL Server application logs

� Microsoft SQL Server trace files

� Oracle DBMS on Windows, AIX, Solaris, HP-UX

� Oracle DBMS FGA on Windows, AIX, Solaris, HP-UX

� Sybase ASE on Windows, AIX, Solaris, HP-UX

� IBM Informix Dynamic Server on Windows, AIX, Solaris and HPUX

Mainframe:

� IBM z/OS + RACF

� IBM z/OS + CA ACF2

� IBM z/OS + CA Top Secret

� CA Top Secret for VSE/ESA

+ TCIM CAN COLLECT FROM VIRTUALLY ANY EVENT SOURCE

+ Listed above are the event sources for which we have developed W7 mapping

+ Addditional mappers can be developed as needed based on customer requirements


21

Magic Quadrant for Security Information and Event Management (SIEM).


22

La soluzione proposta da IBM

Asse� Servizi consulenziali per:

� valutare lo “stato dell’arte” del cliente rispetto alla normativa e sviluppare il piano di rientro

� Definire la gestione di “ruoli e profili”

� Piattaforma software per:

� la verifica periodica dell’attività degli amministratori “Tivoli Compliance Insight Manager” (TCIM)

� garantire l’archiviazione sicura dell’attività degli amministratori “System Storage Archive Manager” (SSAM)

� la gestione “automatizzata” di ruoli e profili “Tivoli Identity Management” (TIM)

� hardening dell’accesso ai log “Tivoli Access Manager for OS” (TAMOS) - “ISS Proventia”

Controllo e restrizioni per l’accesso ai log

Sorgente

Conservazione e Protezione dei dati

Centralizzazione dei logAudit & Compliance

L

Gestione automatizzata dei Ruoli e dei Profili

TCIM

TAMOS - ISS Proventia

Verifica attivitàamministratori

Sistema di archiviazione sicura

TIM

SSAM


23

ATTUATORI

ATTUATORI ATTUATORI

SORGENTI SORGENTI

Ambiente A Ambiente CAmbiente B

Log Retention

LAN/SAN

SSAM

Client

TCIM/SSAM: archiviazione sicura dei log

Monitoring and retention of systems logs: :-Tivoli Compliance Insight Manager

- System Storage Archive Manager

System Storage Archive Manager

TCIM Standard Server


TCIM Enterprise /

Standard Server

TCIM Enterprise /

Standard Server

SSAM

Client

SSAM

Client


24

System Storage Archive Manager

Log Retention

LAN/SAN

TCIM/SSAM: archiviazione sicura dei log

ATTUATORI ATTUATORI

Ambiente A Ambiente CAmbiente B

ATTUATORI

SORGENTI SORGENTI

Monitoring and retention of systems logs: :-Tivoli Compliance Insight Manager

- System Storage Archive Manager



TCIM Enterprise /

Standard Server

TCIM Enterprise /

Standard ServerSSAM Client

SSAM Client


25

TCIM risponde agli obblighi previsti dal provvedimento di caratteregenerale del 27/11/08

– Cattura �� Gestisce i Log:

– a livello Enterprise

– li centralizza per periodi anche superiori ai 6 mesi

– li conserva in formato originale

– Comprende �� normalizza ed intepreta

i LOG utilizzando un motore brevettato

– Comunica �� Produce Report

– ad uso e consumo degli auditor

– per provare la compliance a specifichenormative


26

Stima servizi� Analisi - 10gg

� - studio dell'ambiente

� - project plan

� - Documento di architettura logica e fisica

� NOTA: da inserire in tutti i bid che vengono costruiti

� Installazione Server - 2gg a server

� NOTA: per il dimensionamento del numero di server ogni server puo' governare 1000 event sources OPPURE 40GB di dati. Al superamento di uno di questi limiti scatta un altro server.

� Se il dimensionamento comporta piu' di un server, bisogna poi aggiungerne comunque uno di controllo: non esiste la configurazione da 2 server ma da 1,3,4,5 etc...

� Gestione Adapter su dispositivi standard (supportat i) - 4gg per il primo di ogni tipologia e 0.25gg giorni per i successivi della stessa tipolog ia

� Gestione Adapter su dispositivi non standard (non s upportati) - 12gg per il primo di ogni tipologia e 0.25gg giorni per i successivi della st essa tipologia


27

Thank You

MerciGrazie

Gracias

Obrigado

Danke

Japanese

English

French

Russian

German

Italian

Spanish

Brazilian Portuguese

Arabic

Traditional Chinese

Simplified Chinese

Hindi

Tamil

Thai

Korean