Downloaden Sie, um offline zu lesen
![Exkurs Logging: Reicht traditionelles Logging zur Nachvollziehbarkeit
von administrativen Tätigkeiten aus?
69% der Betroffenen hatten Beweise für die Datenverletzungen in den Logfiles
Quelle: http://www.verizonbusiness.com/resources/reports/rp_databreachinvestigationsreport2011_en_xg.pdf
ABER ...
Existieren Systeme zur effizienten Loganalyse?
Wie beweiskräftig sind die Logfiles?
Und besonders: Lässt sich der Vorfall mit Hilfe des Logfiles wirklich genau nachvollziehen?
Aug 24 23:29:58 grauel-laptop sshd[4484]: Accepted password for grauel from 192.168.56.130 port 55819 ssh2
Aug 24 23:29:58 grauel-laptop sshd[4484]: pam_unix(sshd:session): session opened for user grauel by (uid=0)
Aug 24 23:35:04 grauel-laptop sudo: grauel : TTY=pts/1 ; PWD=/home/grauel ; USER=root ; COMMAND=/bin/bash
Aug 24 23:35:34 grauel-laptop sshd[4578]: Received disconnect from 192.168.56.130: 11: disconnected by user
Aug 24 23:35:34 grauel-laptop sshd[4484]: pam_unix(sshd:session): session closed for user grauel
“… with standard log collectors only limited data can
be collected and IT auditors would miss-critical actions ...“
IDC WP: 'Compliance is More Than Just Cost: Creating Value Beyond Compliance'
www.balabit.com](https://image.slidesharecdn.com/20110825scbdeidc-110829043830-phpapp01/75/Compliance-needs-transparency-9-2048.jpg)
Hochgeladen vonBalaBit
Compliance needs transparency
Die Sicherheit von privilegierten IT-Zugriffen stellt eine große Herausforderung dar, da Transparenz und Nachvollziehbarkeit oft fehlen. Compliance-Maßnahmen, einschließlich der Einführung von Technologien wie der Balabit Shell Control Box, sind entscheidend, um betrügerische Aktivitäten zu verhindern, die Transparenz zu erhöhen und das Vertrauen innerhalb und außerhalb von Organisationen zu fördern. Gleichzeitig müssen universelle Standards und Anforderungen beachtet werden, um regulatorische Verpflichtungen zu erfüllen.
Compliance needs transparency
- 1. Compliance braucht Transparenz Revisionssichere Auditierung privilegierter IT-Zugriffe IDC Security Conference 2011, 25. Aug. 2011, Hotel Park Hyatt, Zürich Martin Grauel martin.grauel@balabit.com www.balabit.com +49 170 8067 345
- 2. Bekannte Herausforderungen ... Zeit Online derStandard.at B.Z. … bekämpfen wir mit bekannten Mitteln www.balabit.com
- 3. Insider – unterschätztesRisiko? InformationWeek fbi.gov USA TODAY www.balabit.com
- 4. Herausforderung privilegierter IT-Zugriffe Viele User benötigen für ein effizientes Arbeiten hohe bzw. höchste Zugriffsberechtigungen. Transparenz und Nachvollziehbarkeit sind oft nicht gegeben Was passiert, wenn … → Daten nach aussen gelangen → Daten manipuliert werden → Daten gelöscht werden → Daten missbraucht werden … und dies nicht bemerkt bzw. nachvollzogen werden kann? www.balabit.com
- 5. Fakten zur Sicherheitslage 2011 Data Breach Report From Verizon Business, U.S. Secret Service Restrict and monitor privileged users Secure remote access services … Quelle: http://www.verizonbusiness.com/resources/reports/rp_databreachinvestigationsreport2011_en_xg.pdf www.balabit.com
- 6. Regulative Forderungen (Beispiele) PCI-DSS 10. Track and monitor all access to network resources and cardholder data ... 10.2 Implement automated audit trails for all events ... 10.2.2 All actions taken by any individual with root or administrative privileges ... ISO 27002:2005 10.10.1 Establish and maintain audit logs ... 10.10.4 Log system administrator and operator activities ... HIPAA Technical Safeguards §164.312(b): Standard: Audit controls. Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use electronic protected health information. www.balabit.com
- 7. PCI-DSS: Erfüllung derAnforderung Quelle: Verizon PCI Compliance Report 2010 www.balabit.com
- 8. Gartner: Finding ”Enterprises are generallynot adequately concerned about system administrator risks, including accident, data theft and sabotage. Risk mitigation must begin before a system administrator is hired and continuously throughout his or her employment.” Recommendation “Ensure accountability through logging, monitoring and reporting mechanisms that track administrative activities in support of investigations. This also provides incentive against misbehavior.” “Make sure that all administrative activities are audited on a regular basis and that the audits are not delayed or blocked by the administrators.” Gartner Research www.balabit.com
- 9. Exkurs Logging: Reichttraditionelles Logging zur Nachvollziehbarkeit von administrativen Tätigkeiten aus? 69% der Betroffenen hatten Beweise für die Datenverletzungen in den Logfiles Quelle: http://www.verizonbusiness.com/resources/reports/rp_databreachinvestigationsreport2011_en_xg.pdf ABER ... Existieren Systeme zur effizienten Loganalyse? Wie beweiskräftig sind die Logfiles? Und besonders: Lässt sich der Vorfall mit Hilfe des Logfiles wirklich genau nachvollziehen? Aug 24 23:29:58 grauel-laptop sshd[4484]: Accepted password for grauel from 192.168.56.130 port 55819 ssh2 Aug 24 23:29:58 grauel-laptop sshd[4484]: pam_unix(sshd:session): session opened for user grauel by (uid=0) Aug 24 23:35:04 grauel-laptop sudo: grauel : TTY=pts/1 ; PWD=/home/grauel ; USER=root ; COMMAND=/bin/bash Aug 24 23:35:34 grauel-laptop sshd[4578]: Received disconnect from 192.168.56.130: 11: disconnected by user Aug 24 23:35:34 grauel-laptop sshd[4484]: pam_unix(sshd:session): session closed for user grauel “… with standard log collectors only limited data can be collected and IT auditors would miss-critical actions ...“ IDC WP: 'Compliance is More Than Just Cost: Creating Value Beyond Compliance' www.balabit.com
- 10. §§ Compliance §§ InterneMitarbeiter Mobile Mitarbeiter Externe Entwickler Managed Service Provider Cloud Provider Angreifer www.balabit.com
- 11. §§ Compliance §§ InterneMitarbeiter Mobile Mitarbeiter Externe Entwickler Managed Service Provider Cloud Provider Angreifer x www.balabit.com
- 12. §§ Compliance §§ InterneMitarbeiter Mobile Mitarbeiter Externe Entwickler Managed Service Provider Cloud Provider Angreifer x www.balabit.com
- 13. BalaBit Shell ControlBox Transparente Kontrolle, Aufzeichnung und Auditierung von Standardprotokollen für privilegierte IT-Zugriffe SSH, RDP, Citrix ICA, VNC ... www.balabit.com
- 14. BalaBit Shell ControlBox Kontrolle Audit Reporting www.balabit.com
- 15. Kontrolle GranulareZugriffskontrolle Server 4-Augen-Prinzip Client Was? Wohin? Wer? Wann? www.balabit.com
- 16. Audit signature timestamp encryption Authentizität Vertraulichkeit SCB Storage oder Integrität Archiving-Server Server Verfügbarkeit Client Meta-DB www.balabit.com
- 17. Reporting System Connections Content www.balabit.com
- 18. Compliance … mehrals nur Kosten Compliance-Maßnahmen wie die Einführung der Shell Control Box dienen nicht nur zur Erfüllung diverser Regulativa, sondern verhindern betrügerischer Aktivitäten bzw. helfen, diese aufzudecken schützen Mitarbeiter vor falschen Anschuldigungen erhöhen die Transparenz von Organisationen und Abläufen bilden Vertrauen innerhalb der Organisation und nach außen → Compliance als Business Enabler! www.balabit.com
- 19. Links IDC Whitepaper: Creating value beyond compliance http://www.balabit.com/support/documentation/scbwhitepaperIDCcreatingvalue beyondcompliancesummaryen_0.pdf SCB Produkt Broschüre http://www.balabit.com/support/documentation/scbv3.0descriptionen_0.pdf PCI compliance and forensics in auditing remote server access http://www.balabit.com/support/documentation/scbv3.0whitepaperpcicompliance forensicsen.pdf SCB in Financial Sector http://www.balabit.com/support/documentation/financial_en_web01.pdf SCB in Managed Service Provider Sector http://www.balabit.com/support/documentation/msp_web03.pdf SCB in Manufacturer Sector http://www.balabit.com/support/documentation/manufacturer_en.pdf SCB in Telecom Sector http://www.balabit.com/support/documentation/telco_en_web03.pdf SCB Referenzcases Fiducia: http://www.balabit.com/support/documentation/scbfiduciareferenceen.pdf Interoute: http://www.balabit.com/support/documentation/interouteflyeren.pdf www.balabit.com
- 20. Q&A Vielen Dank fürIhre Aufmerksamkeit ... www.balabit.com