20
www.balabit.com Compliance braucht Transparenz Revisionssichere Auditierung privilegierter IT-Zugriffe IDC Security Conference 2011, 25. Aug. 2011, Hotel Park Hyatt, Zürich Martin Grauel [email protected] +49 170 8067 345

Compliance needs transparency

  • Upload
    balabit

  • View
    645

  • Download
    0

Embed Size (px)

Citation preview

www.balabit.com

Compliance braucht Transparenz

Revisionssichere Auditierung privilegierter IT-ZugriffeIDC Security Conference 2011, 25. Aug. 2011, Hotel Park Hyatt, Zürich

Martin [email protected]+49 170 8067 345

www.balabit.com

Zeit Online

derStandard.at

B.Z.

Bekannte Herausforderungen ...

… bekämpfen wir mit bekannten Mitteln

www.balabit.com

InformationWeek

fbi.gov

USA TODAY

Insider – unterschätztes Risiko?

www.balabit.com

Herausforderung privilegierter IT-Zugriffe

→ Daten nach aussen gelangen

→ Daten manipuliert werden

→ Daten gelöscht werden

→ Daten missbraucht werden

Was passiert, wenn …

… und dies nicht bemerkt bzw. nachvollzogen werden kann?

Viele User benötigen für ein effizientes Arbeiten hohe bzw. höchste Zugriffsberechtigungen.

Transparenz und Nachvollziehbarkeit sind oft nicht gegeben

www.balabit.com

2011 Data Breach Report From Verizon Business, U.S. Secret Service

Fakten zur Sicherheitslage

Restrict and monitor privileged users

Secure remote access services …Quelle: http://www.verizonbusiness.com/resources/reports/rp_data­breach­investigations­report­2011_en_xg.pdf

www.balabit.com

PCI-DSS 10. Track and monitor all access to network resources and cardholder data...10.2 Implement automated audit trails for all events... 10.2.2 All actions taken by any individual with root or administrative privileges...

ISO27002:2005 10.10.1 Establish and maintain audit logs

...10.10.4 Log system administrator and operator activities...

HIPAATechnical Safeguards §164.312(b): Standard: Audit controls. Implement hardware, software,

and/or procedural mechanisms that record and examine activity in information systems that contain or use electronic protected health information.

Regulative Forderungen (Beispiele)

www.balabit.com

Quelle: Verizon PCI Compliance Report 2010

PCI-DSS: Erfüllung der Anforderung

www.balabit.com

”Enterprises are generally not adequately concerned about system administrator risks, including accident, data theft and sabotage. Risk mitigation must begin before a system administrator is hired and continuously throughout his or her employment.”

Gartner:

“Ensure accountability through logging, monitoring and reporting mechanisms that track administrative activities in support of investigations. This also provides incentive against misbehavior.”

“Make sure that all administrative activities are audited on a regular basis and that the audits are not delayed or blocked by the administrators.”

Gartner Research

Finding

Recommendation

www.balabit.com

Existieren Systeme zur effizienten Loganalyse?

Wie beweiskräftig sind die Logfiles?

Und besonders: Lässt sich der Vorfall mit Hilfe des Logfiles wirklich genau nachvollziehen?

Exkurs Logging: Reicht traditionelles Logging zur Nachvollziehbarkeit von administrativen Tätigkeiten aus?

ABER ...

69% der Betroffenen hatten Beweise für die Datenverletzungen in den LogfilesQuelle: http://www.verizonbusiness.com/resources/reports/rp_data­breach­investigations­report­2011_en_xg.pdf

“… with standard log collectors only limited data can be collected and IT auditors would miss-critical actions ...“IDC WP: 'Compliance is More Than Just Cost: Creating Value Beyond Compliance'

Aug 24 23:29:58 grauel-laptop sshd[4484]: Accepted password for grauel from 192.168.56.130 port 55819 ssh2Aug 24 23:29:58 grauel-laptop sshd[4484]: pam_unix(sshd:session): session opened for user grauel by (uid=0)Aug 24 23:35:04 grauel-laptop sudo: grauel : TTY=pts/1 ; PWD=/home/grauel ; USER=root ; COMMAND=/bin/bashAug 24 23:35:34 grauel-laptop sshd[4578]: Received disconnect from 192.168.56.130: 11: disconnected by userAug 24 23:35:34 grauel-laptop sshd[4484]: pam_unix(sshd:session): session closed for user grauel

www.balabit.com

§§ Compliance §§

Interne Mitarbeiter

Mobile Mitarbeiter

Externe Entwickler

Managed Service Provider

Cloud Provider

Angreifer

www.balabit.com

x

§§ Compliance §§

Interne Mitarbeiter

Mobile Mitarbeiter

Externe Entwickler

Managed Service Provider

Cloud Provider

Angreifer

www.balabit.com

x

§§ Compliance §§

Interne Mitarbeiter

Mobile Mitarbeiter

Externe Entwickler

Managed Service Provider

Cloud Provider

Angreifer

www.balabit.com

BalaBit Shell Control Box

Transparente Kontrolle, Aufzeichnung und Auditierung von Standardprotokollen für privilegierte IT-Zugriffe

SSH, RDP, Citrix ICA, VNC ...

www.balabit.com

BalaBit Shell Control Box

Kontrolle Audit Reporting

www.balabit.com

Kontrolle

Was? Wohin? Wer? Wann?

Granulare Zugriffskontrolle

Client

Server

4-Augen-Prinzip

www.balabit.com

Audit

SCB Storage oder Archiving-Server

signature timestamp encryption

Client

Server

Meta-DB

Authentizität Vertraulichkeit Integrität

Verfügbarkeit

www.balabit.com

Reporting

Connections

System

Content

www.balabit.com

Compliance … mehr als nur Kosten

Compliance-Maßnahmen wie die Einführung der Shell Control Box dienen nicht nur zur Erfüllung diverser Regulativa, sondern

verhindern betrügerischer Aktivitäten bzw. helfen, diese aufzudecken

schützen Mitarbeiter vor falschen Anschuldigungen

erhöhen die Transparenz von Organisationen und Abläufen

bilden Vertrauen innerhalb der Organisation und nach außen

→ Compliance als Business Enabler!

www.balabit.com

Links IDC Whitepaper: Creating value beyond compliance

http://www.balabit.com/support/documentation/scb­whitepaper­IDC­creating­value­beyond­compliance­summary­en_0.pdf

SCB Produkt Broschürehttp://www.balabit.com/support/documentation/scb­v3.0­description­en_0.pdf

PCI compliance and forensics in auditing remote server accesshttp://www.balabit.com/support/documentation/scb­v3.0­whitepaper­pci­compliance­forensics­en.pdf

SCB in Financial Sectorhttp://www.balabit.com/support/documentation/financial_en_web01.pdf

SCB in Managed Service Provider Sectorhttp://www.balabit.com/support/documentation/msp_web03.pdf

SCB in Manufacturer Sectorhttp://www.balabit.com/support/documentation/manufacturer_en.pdf

SCB in Telecom Sectorhttp://www.balabit.com/support/documentation/telco_en_web03.pdf

SCB Referenzcases

Fiducia: http://www.balabit.com/support/documentation/scb­fiducia­reference­en.pdf Interoute: http://www.balabit.com/support/documentation/interoute­flyer­en.pdf

www.balabit.com

Q & A

Vielen Dank für Ihre Aufmerksamkeit ...