240 likes | 337 Views
Microsoft Üzleti Megoldások Konferencia 2005. Biztonsági audit a gyakorlatban “eposz a működő informatikai biztonság r ól ”. Keleti Arthur ICON Sz ámítástechnikai Rt. Mir ől lesz szó ?. Mit várnak el tőlünk és mi mit várunk el az informatikai biztonságtól?
E N D
Biztonsági audit a gyakorlatban“eposz a működő informatikai biztonságról” Keleti Arthur ICON Számítástechnikai Rt.
Miről lesz szó? • Mit várnak el tőlünk és mi mit várunk el az informatikai biztonságtól? • Hogyan fogjunk hozzá az eposz megírásához? • Első fejezet (invokáció): Mit mondjunk a főnökeinknek? • Második fejezet (propozíció): A szereplők és a problémák bemutatása • Harmadik fejezet (enumeráció): Miből építkezhetünk? (szabályzatok, előírások, eszközök, gyakorlatok) • Negyedik fejezet (in medias res): Mit kell tennünk az áhított biztonságért lépésről-lépésre?
A hősés a kellékek Megszületik: a felelős!
- Szándék van? • - Felelős van? • - Van miért felelősnek lenni? • - Kockázatokat felmérték? • Foglalkoznak a kockázatok kezelésével? • A törvényt betartják? • - Úgy élnek, ahogy a papírokban van? • - Van visszacsatolás, értékelés, javítás? Mit várnak el tőlünk és mi mit várunk el az informatikai biztonságtól?
Első fejezet (invokáció)Mit mondjunk a főnökeinknek? • A vezetés kérdez: • Miért kell nekünk biztonság? Eddig nem történt semmi baj. • De nyilván kicsi a kockázata, hogy ilyen bekövetkezik, nem? • Erre mégis, mi szükség van? Indítsunk külön projektet arra, hogy a kockázatokról beszélgessünk? Üljetek be egy szobába és találjátok ki. • Te meg tudod ezt csinálni? • És ha megbízol egy céget, mi lesz a folytatás? • És akkor ezzel vége is, igaz? • Ha jól értem, akkor az elemzés újabb feladatokat eredményez. • Mikor lesz ennek vége? • Mennyibe fog ez kerülni? • Mi van, ha ezt az egészet nem csináljuk? • És ha én felvállalom ezt a kockázatot? Szerintem nem lesz baj. • Hogyan járul hozzá a cég hatékonyságához ez az egész? Sok pénzt kiadok, de várhatok bármi hasznosat? • Hogy védem én ezt meg a tulajdonos előtt? Nem fog ilyesmire pénzt adni.
Első fejezet (invokáció)Mit mondjunk a főnökeinknek? • A felelős válaszol:Valószínűleg nem tudjuk, hogy történtek-e biztonsági incidensek, mert keveset naplózunk és nem minden eseményről van információnk. • Azért, mert eddig nem voltak biztonsági incidensek, a jövőben még lehetnek. • A kockázat megállapítását kockázatelemzés útján valósítjuk meg. Az üzleti kockázatok elemzésére is van lehetőség, szabvány, módszer és külső vállalkozó, mert nekem nincs rá időm. • A kockázatok elemzését követően a feltárt problémákra megoldásokat kell majd találni. A kockázatokkal arányos védelmet valósítjuk meg. • A kockázatok kezelése és az informatikai biztonság fenntartása folyamatos munkát igényel. Ez olyan, mint a minőségbiztosítás.Kockázatelemzéssel kezdjük, mert az tartalmaz egyfajta helyzetértékelést és terveket is kérhetünk a jövőre nézve. • Megállhatnak a létfontosságú szerverek és ezzel a napi munka vagy a termelés, feltörhetik a weboldalunkat, a dolgozók adatokat lophatnak el. • A magyar jogszabályok az információvédelem téren szigorúak. Az ellenőrök (pl. PSZÁF, ÁSZ) és a könyvvizsgálók is ellenőrzik, hogy betartjuk-e a törvényt.
Első fejezet (invokáció)Mit mondjunk a főnökeinknek? • A felelős válaszol:Az informatikai biztonság olyan, mint a minőségbiztosítás plusz egy balesetbiztosítás. Folyamatosan fenntartjuk a biztonságot, ezzel csökkentjük a kockázatokat, elkerüljük a bajt, biztonságosabb hátteret teremtünk a működéshez és ezzel javítjuk a hatékonyságot.De ha ennek ellenére beüt a baj, akkor van tervünk a probléma kezelésére, elhárítására és a károk enyhítésére. Ez a kiesett munkaórák csökkenését jelenti és ezáltal szintén növeli a hatékonyságot.A megfelelő biztonság olyan stabilitást eredményez, amely növeli a bizalmat a dolgozókban a vezetés iránt, az ügyfelekben pedig a cég iránt. Ezzel megtartjuk a jó munkaerőt és javítunk a versenyhelyzetünkön a piacon.
120% 100% 80% 60% 40% 20% 0% Második fejezet (propozíció)A szereplők és a problémák bemutatása Vírus Illetéktelen belső hozzáférés Laptop/mobil lopás 78% Illetéktelen információ szerzés Rendszer feltörés Denial of Service 59% 49% 39% 37% 17% 1999 2000 2001 2002 2003 2004
Második fejezet (propozíció)A szereplők és a problémák bemutatása Szabotázs Rendszerbetörés Web site átírása Web site feltörése Telekomm. csalás Illegális hozzáférés Laptop/mobil lopás Pénzügyi csalás Rádiós hálózat törése Illegális belső hozzáf. Információlopás Denial of Service Vírus
Biztonsági rendszerek Auditok, Dokumentációk Felügyelet Döntések Oktatás Hibaelhárítás Harmadik fejezet (enumeráció)Miből építkezhetünk? (szabályzatok, előírások, eszközök, gyakorlatok) Informatikai biztonság
Biztonsági rendszerek Auditok, Dokumentációk Felügyelet Döntések Oktatás Hibaelhárítás Harmadik fejezet (enumeráció)Miből építkezhetünk? (szabályzatok, előírások, eszközök, gyakorlatok) McAfee ISS MSZ ISO/IEC 17799 BASEL2 Checkpoint SOX BS 7799-1 Microsoft BS 7799-2 Balabit Symantec MSZE 17799-2 Entrust COBIT Cisco Trend Micro MSZ ISO/IEC 15408:2002 Common Criteria SurfControl MSZ ISO/IEC TR 13335:2004 RSA Informatikai biztonság Szerződések Kiszervezés ICON Counterpane Technológiai döntések Symantec Bérlet Invesztálás ISS Munkaerő OneSecure Támogatás, HD Biztonsági menedzser Ügyelet GISO Hibakezelés CISM GISEC CISA CISSP Incidenskezelés Gyártói tanfolyamok Garanciák Gyártói vizsgák
Technológiák Tűzfal VPN Vírusvédelem Levélszemét szűrés Tartalom szűrés Behatolás védelem Mentés Archiválás Központi menedzsment Jogosultságok kezelése PKI (elektronikus aláírás) Smart Card Negyedik fejezet (in medias res):Mit kell tennünk az áhított biztonságért lépésről-lépésre? • Feladatok • Biztonsági rendszer tervezés • Valós állapot felmérése • Belső és külső védelem kialakítása • Távoli hozzáférés és távmunka biztonsága • Hitelesség és adatvédelem megteremtése • A megteremtett biztonság működtetése • Felügyelet kialakítás és fenntartása • Felkészülés auditra és ellenőrzésekre • Dokumentációk elkészítése, karbantartása, felülvizsgálata Tervezés és rendszerintegráció
Negyedik fejezet (in medias res)Biztonsági rendszerek Microsoft biztonsági technológiák Technológiák Tűzfal VPN Vírusvédelem Levélszemét szűrés Tartalom szűrés Behatolás védelem Mentés Archiválás Központi menedzsment Jogosultságok kezelése PKI (elektronikus aláírás) Smart Card Eddig használt technológiai elemek Tipikusan: Tartomány vezérlők Állomány kiszolgálók Levelezési rendszer Web kiszolgálók Adatbázis kezelők Alap tűzfal/vírus elemek Mentés és alap mgmt. Microsoft alaprendszerek Új technológiai elemek a rendszerben Tipikusan: Tűzfal második vonal Behatolás védelem Központi menedzsment Jogosultságkezelés, PKI
Negyedik fejezet (in medias res)Biztonsági rendszerek Microsoft biztonsági technológiák • Tartomány vezérlő • Hozzáférési ellenőrző listák (ACL) • Active Directory – címtár: (jogosultság- , objektum és csoportkezelés) • Kerberos (PKIés erős azonosítás) • Audit, event logok – naplózás és eseményrögzítés • Kliens oldal: kapcsolódó Windows XP biztonsági funkciók Tipikusan: Tartomány vezérlők Állomány kiszolgálók Levelezési rendszer Web kiszolgálók Adatbázis kezelők Alap tűzfal/vírus elemek Mentés és alap mgmt. Microsoft alaprendszerek Tipikusan: Tűzfal második vonal Behatolás védelem Központi menedzsment Jogosultságkezelés, PKI
Negyedik fejezet (in medias res)Biztonsági rendszerek Microsoft biztonsági technológiák • Állomány kiszolgálók • Hozzáférési ellenőrző listák (ACL) • Kerberos (PKIés erős azonosítás) • Audit, event logok – naplózás és eseményrögzítés • EFS (állomány titkosítás) Tipikusan: Tartomány vezérlők Állomány kiszolgálók Levelezési rendszer Web kiszolgálók Adatbázis kezelők Alap tűzfal/vírus elemek Mentés és alap mgmt. Microsoft alaprendszerek Tipikusan: Tűzfal második vonal Behatolás védelem Központi menedzsment Jogosultságkezelés, PKI
Negyedik fejezet (in medias res)Biztonsági rendszerek Microsoft biztonsági technológiák • Levelezési rendszer (Exchange) • PKI és elektronikus aláírás kezelése • Biztonságos távoli levél elérés (OWA) • Audit, event logok – naplózás és eseményrögzítés • Belső jogosultságkezelés • Vírusvédelem: Anti-vírus, anti-spam Tipikusan: Tartomány vezérlők Állomány kiszolgálók Levelezési rendszer Web kiszolgálók Adatbázis kezelők Alap tűzfal/vírus elemek Mentés és alap mgmt. Microsoft alaprendszerek Tipikusan: Tűzfal második vonal Behatolás védelem Központi menedzsment Jogosultságkezelés, PKI
Negyedik fejezet (in medias res)Biztonsági rendszerek Microsoft biztonsági technológiák • Web kiszolgálók • Titkosított adatcsatornák kezelése (SSL) • PKI, tanúsítványok kezelése • Hozzáférési ellenőrző listák (ACL) • Audit, event logok – naplózás és eseményrögzítés Tipikusan: Tartomány vezérlők Állomány kiszolgálók Levelezési rendszer Web kiszolgálók Adatbázis kezelők Alap tűzfal/vírus elemek Mentés és alap mgmt. Microsoft alaprendszerek Tipikusan: Tűzfal második vonal Behatolás védelem Központi menedzsment Jogosultságkezelés, PKI
Negyedik fejezet (in medias res)Biztonsági rendszerek Microsoft biztonsági technológiák • Tűzfal (ISA 2004) • Klasszikus tűzfal funkciók • Házirend alapú konfigurációkezelés • Hozzáférési ellenőrző listák (ACL) és tűzfal szabályrendszer • Központi felügyelet (ADAM) és NLB, CARP • Skálázhatóság (NLB, SMP) • Filtering add-on: IDS, antivirus • Naplózás Tipikusan: Tartomány vezérlők Állomány kiszolgálók Levelezési rendszer Web kiszolgálók Adatbázis kezelők Alap tűzfal/vírus elemek Mentés és alap mgmt. Microsoft alaprendszerek Tipikusan: Tűzfal második vonal Behatolás védelem Központi menedzsment Jogosultságkezelés, PKI
Negyedik fejezet (in medias res)Biztonsági rendszerek Microsoft biztonsági technológiák • Mentés és menedzsment (MOM, SMS, Data Protection Manager > System Center) • Windows 2003 Server System menedzselése • Felügyelet (MOM) • Mentés és visszaállítás (Data Protection Manager) • Változás követés (SMS) • Biztonsági frissítések terítése • Naplózás, eseményrögzítés Tipikusan: Tartomány vezérlők Állomány kiszolgálók Levelezési rendszer Web kiszolgálók Adatbázis kezelők Alap tűzfal/vírus elemek Mentés és alap mgmt. Microsoft alaprendszerek Tipikusan: Tűzfal második vonal Behatolás védelem Központi menedzsment Jogosultságkezelés, PKI
Negyedik fejezet (in medias res)Biztonsági rendszerek Microsoft biztonsági technológiák • PKI (elektronikus aláírás) • Certificate és Registration Authority támogatás • Tanúsítványkezelés • Kliens oldali PKI támogatás • Office dokumentum aláírás • Smart card kezelés (pl. ICON HYDRA) • Naplózás, eseményrögzítés Tipikusan: Tartomány vezérlők Állomány kiszolgálók Levelezési rendszer Web kiszolgálók Adatbázis kezelők Alap tűzfal/vírus elemek Mentés és alap mgmt. Microsoft alaprendszerek Tipikusan: Tűzfal második vonal Behatolás védelem Központi menedzsment Jogosultságkezelés, PKI
Negyedik fejezet (in medias res)Biztonsági rendszerek Microsoft biztonsági technológiák • Jogosultság kezelés • Központi jogosultság kezelés funkciói • Authentikáció és authorizáció • Identity Integration Server • Active Directory – címtár: (jogosultság- , objektum és csoport kezelés) • Naplózás és eseményrögzítés Tipikusan: Tartomány vezérlők Állomány kiszolgálók Levelezési rendszer Web kiszolgálók Adatbázis kezelők Alap tűzfal/vírus elemek Mentés és alap mgmt. Microsoft alaprendszerek Tipikusan: Tűzfal második vonal Behatolás védelem Központi menedzsment Jogosultságkezelés, PKI
Konklúzióa tanulságok levonása • A kockázatokkal arányos védelem megteremtéséhez technológiai oldalon nagyon sok feltétel adott, • Időt és energiát takarítunk meg, ha használjuk azt, amink már van és • Olyan elemekkel bővítjük a rendszereinket, amelyek jól illeszkednek a meglévő építőkockákhoz, • Microsoft oldalon a technológia már ma rendelkezésre áll arra, hogy megerősítsük az informatikai biztonságunkat, • Érdemes átgondolni, hogy hol használhatjuk.
Köszönöm megtisztelő figyelmét! Elérhetőség: Név: Keleti Arthur Cím: H-1134 Tüzér u. 39-41. Telefon: +36 1 4521250 / 4407 Email: keleti.arthur@icon.hu