4. Herausforderung privilegierter IT-Zugriffe
Viele User benötigen für ein effizientes Arbeiten hohe bzw. höchste
Zugriffsberechtigungen.
Transparenz und Nachvollziehbarkeit sind oft nicht gegeben
Was passiert, wenn …
→ Daten nach aussen gelangen
→ Daten manipuliert werden
→ Daten gelöscht werden
→ Daten missbraucht werden
… und dies nicht bemerkt bzw. nachvollzogen werden kann?
www.balabit.com
5. Fakten zur Sicherheitslage
2011 Data Breach Report From Verizon Business, U.S. Secret Service
Restrict and monitor privileged users
Secure remote access services
…
Quelle: http://www.verizonbusiness.com/resources/reports/rp_databreachinvestigationsreport2011_en_xg.pdf
www.balabit.com
6. Regulative Forderungen (Beispiele)
PCI-DSS 10. Track and monitor all access to network resources and cardholder data
...
10.2 Implement automated audit trails for all events
...
10.2.2 All actions taken by any individual with root or administrative privileges
...
ISO
27002:2005
10.10.1 Establish and maintain audit logs
...
10.10.4 Log system administrator and operator activities
...
HIPAA
Technical
Safeguards §164.312(b): Standard: Audit controls. Implement hardware, software,
and/or procedural mechanisms that record and examine activity in
information systems that contain or use electronic protected health
information.
www.balabit.com
8. Gartner:
Finding
”Enterprises are generally not adequately concerned about system administrator risks,
including accident, data theft and sabotage. Risk mitigation must begin before a system
administrator is hired and continuously throughout his or her employment.”
Recommendation
“Ensure accountability through logging, monitoring and reporting mechanisms that
track administrative activities in support of investigations. This also provides incentive
against misbehavior.”
“Make sure that all administrative activities are audited on a regular basis and
that the audits are not delayed or blocked by the administrators.”
Gartner Research
www.balabit.com
9. Exkurs Logging: Reicht traditionelles Logging zur Nachvollziehbarkeit
von administrativen Tätigkeiten aus?
69% der Betroffenen hatten Beweise für die Datenverletzungen in den Logfiles
Quelle: http://www.verizonbusiness.com/resources/reports/rp_databreachinvestigationsreport2011_en_xg.pdf
ABER ...
Existieren Systeme zur effizienten Loganalyse?
Wie beweiskräftig sind die Logfiles?
Und besonders: Lässt sich der Vorfall mit Hilfe des Logfiles wirklich genau nachvollziehen?
Aug 24 23:29:58 grauel-laptop sshd[4484]: Accepted password for grauel from 192.168.56.130 port 55819 ssh2
Aug 24 23:29:58 grauel-laptop sshd[4484]: pam_unix(sshd:session): session opened for user grauel by (uid=0)
Aug 24 23:35:04 grauel-laptop sudo: grauel : TTY=pts/1 ; PWD=/home/grauel ; USER=root ; COMMAND=/bin/bash
Aug 24 23:35:34 grauel-laptop sshd[4578]: Received disconnect from 192.168.56.130: 11: disconnected by user
Aug 24 23:35:34 grauel-laptop sshd[4484]: pam_unix(sshd:session): session closed for user grauel
“… with standard log collectors only limited data can
be collected and IT auditors would miss-critical actions ...“
IDC WP: 'Compliance is More Than Just Cost: Creating Value Beyond Compliance'
www.balabit.com
10. §§ Compliance §§
Interne Mitarbeiter
Mobile Mitarbeiter
Externe Entwickler
Managed Service
Provider
Cloud Provider
Angreifer
www.balabit.com
11. §§ Compliance §§
Interne Mitarbeiter
Mobile Mitarbeiter
Externe Entwickler
Managed Service
Provider
Cloud Provider
Angreifer
x
www.balabit.com
12. §§ Compliance §§
Interne Mitarbeiter
Mobile Mitarbeiter
Externe Entwickler
Managed Service
Provider
Cloud Provider
Angreifer
x
www.balabit.com
13. BalaBit Shell Control Box
Transparente Kontrolle, Aufzeichnung und Auditierung von
Standardprotokollen für privilegierte IT-Zugriffe
SSH, RDP, Citrix ICA, VNC ...
www.balabit.com
17. Reporting
System
Connections
Content
www.balabit.com
18. Compliance … mehr als nur Kosten
Compliance-Maßnahmen wie die Einführung der Shell Control Box dienen
nicht nur zur Erfüllung diverser Regulativa, sondern
verhindern betrügerischer Aktivitäten bzw. helfen, diese aufzudecken
schützen Mitarbeiter vor falschen Anschuldigungen
erhöhen die Transparenz von Organisationen und Abläufen
bilden Vertrauen innerhalb der Organisation und nach außen
→ Compliance als Business Enabler!
www.balabit.com
19. Links
IDC Whitepaper: Creating value beyond compliance
http://www.balabit.com/support/documentation/scbwhitepaperIDCcreatingvalue
beyondcompliancesummaryen_0.pdf
SCB Produkt Broschüre
http://www.balabit.com/support/documentation/scbv3.0descriptionen_0.pdf
PCI compliance and forensics in auditing remote server access
http://www.balabit.com/support/documentation/scbv3.0whitepaperpcicompliance
forensicsen.pdf
SCB in Financial Sector
http://www.balabit.com/support/documentation/financial_en_web01.pdf
SCB in Managed Service Provider Sector
http://www.balabit.com/support/documentation/msp_web03.pdf
SCB in Manufacturer Sector
http://www.balabit.com/support/documentation/manufacturer_en.pdf
SCB in Telecom Sector
http://www.balabit.com/support/documentation/telco_en_web03.pdf
SCB Referenzcases
Fiducia: http://www.balabit.com/support/documentation/scbfiduciareferenceen.pdf
Interoute: http://www.balabit.com/support/documentation/interouteflyeren.pdf
www.balabit.com