Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe

Trotz SIEM, PIM & Co. - Wissen Sie wirklich, was in Ihrem Netz los ist?
Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe
It-sa Nürnberg, 16.-18.10.2012, Stand 12-401 (Exclusive Networks)

Martin Grauel www.balabit.com
martin.grauel@balabit.com

BalaBit IT Security - Unternehmensprofil


BalaBit ist führend im Bereich Kontrolle, Monitoring und
Auditierung von privilegierten IT-Zugriffen

→ Shell Control Box

BalaBit bietet Lösungen zum Aufbau einer kompletten Log-
Infrastruktur

→ syslog-ng Store Box, syslog-ng PE


BalaBit IT Security 2012

~120 Mitarbeiter weltweit

HQ in Budapest

BalaBit IT Security GmbH in München seit 2007

Globales Partnernetzwerk (80+ in 30 Ländern)

www.balabit.com

Herausforderung privilegierter IT-Zugriffe

InformationWeek

fbi.gov

USA TODAY

Unternehmen investieren hohe Summen in Zugangskontrollen wie Firewalls,
Authentisierungsysteme etc.

Transparenz und Nachvollziehbarkeit der Tätigkeiten sind oft nicht gegeben!

www.balabit.com

Regulative Forderungen bzgl. Auditing
privilegierter IT-Zugriffe

M 4.81 Audit und Protokollierung der Aktivitäten im Netz
M 5.15 Absicherung externer Remote-Zugänge
BSI
Grundschutz ...
- Protokollierung aller Tätigkeiten
...

10.10.1 Establish and maintain audit logs
ISO 10.10.4 Log system administrator and operator activities
27002:2005

10. Track and monitor all access to network resources and cardholder data
PCI-DSS 10.2 Implement automated audit trails for all events
10.2.2 All actions taken by any individual with root or administrative privileges

Ähnliche Anforderungen können aus weiteren Regularien wie Basel II, SOX, HiPAA etc.
abgeleitet werden.

www.balabit.com

Exkurs: Logging Blindspots

“Wir haben bereits ein SIEM-System!”

www.balabit.com

Exkurs: Logging Blindspots

“Wir haben bereits ein SIEM-System!”

ABER ...


Nur 1% der Datenverletzungen wurden durch Log-Analyse entdeckt!

Lässt sich der Vorfall alleine mit Hilfe des Logfiles genau nachvollziehen?

“… with standard log collectors only limited data can
be collected and IT auditors would miss-critical actions ...“
IDC WP: 'Compliance is More Than Just Cost: Creating Value Beyond Compliance'

www.balabit.com

Exkurs: Logging Blindspots (Linux/Unix) Klassisches Linux-Systemlog

www.balabit.com

Exkurs: Logging Blindspots (Linux/Unix) Klassisches Linux-Systemlog

SCB Audit Trail

www.balabit.com

Exkurs: Logging Blindspots (Windows - Eventlog)

www.balabit.com

Exkurs: Logging Blindspots (Windows – SCB-Audit Trail)

www.balabit.com

BalaBit Shell Control Box

Shell Control Box (SCB) ist eine Appliance, die privilegierte IT-
Zugriffe kontrolliert und sämtliche Aktivitäten der Benutzer
revisionssicher aufzeichnet.

www.balabit.com

BalaBit Shell Control Box – transparente Integration

http(s)

VNC
ICA

www.balabit.com


www.balabit.com

BalaBit Shell Control Box – Authentication


Starke Authentisierung

Personalisierter Account → Shared Account

Credential Management

Benefit: Zusätzlicher Authentisierungslayer

www.balabit.com

BalaBit Shell Control Box – Access Control


4-Augen-Prinzip

Kontrolle der erlaubten Protokollchannels

Benefit: Access Policy Enforcement

www.balabit.com

BalaBit Shell Control Box – Real-Time Alerts


Echtzeit-Kontrolle der Aktivitäten

Terminieren von Verbindungen und Alarmierung

Benefit: Verhindern von kritischen Aktivitäten

www.balabit.com

BalaBit Shell Control Box – Audit & Forensics


Revisionssichere Aufzeichnung der kompletten Aktivität
(Verschlüsselung, Signatur, Zeitstempel)

Vollständige Indexierung der Audit Trails

Effiziente Metadaten-Suche

Benefit: Unabhängiges Tool für effizientes Auditing

www.balabit.com

BalaBit Shell Control Box – Reports


Zugriffsreports

Reports über Aktivitäten

Systemreports

Benefit: Granulare Reports zur Compliance-Erfüllung

www.balabit.com

– als Teil der Compliance- und Security-Umgebung

●
Analyse verschlüsselten ●
Alerts
Datenverkehrs ●
Zentrales Monitoring

IDS System-Mgmt
IDS System-Mgmt

API
●
Remote-Suche und -Management
PIM
●
Integration mit 3rd Party Anwendungen SIEM/Log-Mgmt
PIM SIEM/Log-Mgmt
●
User Account → Shared Account
●
Augmented Logs
●
Credential-Management
●
Effizienteres Troubleshooting
●
Bessers Reporting

www.balabit.com

Shell Control Box Business-Treiber

Compliance Vertrauen Effizienter
Betrieb
Internationale IT-Outsourcing- Troubleshooting
Standards (SLA) Kontrolle Forensik
Dokumentation
Monitoring
Gesetze
interner IT
Cloud-Service-
Monitoring
Policys VDI-Monitoring

www.balabit.com

Links

IDC Whitepaper: Creating value beyond compliance
http://www.balabit.com/support/documentation/scb-whitepaper-IDC-creating-value-
beyond-compliance-summary-en_0.pdf

SCB Produkt Broschüre
http://www.balabit.com/support/documentation/SCB_3F3_desc.pdf

PCI compliance and forensics in auditing remote server access
http://www.balabit.com/support/documentation/scb-v3.0-whitepaper-pci-compliance-forensics-en_0.pdf


Benefits of Activity Monitoring over System Logging
http://www.balabit.com/support/documentation/scb_vs_logging_summary_en.pdf

SCB in Financial Sector
http://www.balabit.com/support/documentation/financial_en_web01.pdf

SCB in Managed Service Provider Sector
http://www.balabit.com/support/documentation/msp_web03.pdf

SCB in Manufacturer Sector
http://www.balabit.com/support/documentation/manufacturer_en.pdf

SCB in Telecom Sector
http://www.balabit.com/support/documentation/telco_en_web03.pdf

SCB Referenzcases

Fiducia: http://www.balabit.com/support/documentation/scb-fiducia-reference-en.pdf

Interoute: http://www.balabit.com/support/documentation/interoute-flyer-en.pdf

www.balabit.com

Vielen Dank für Ihre Aufmerksamkeit!
It-sa Nürnberg, 16.-18.10.2012, Stand 12-401 (Exclusive Networks)

Martin Grauel www.balabit.com
martin.grauel@balabit.com

Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe

Weitere ähnliche Inhalte

Mehr von BalaBit

Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe

Hinweis der Redaktion