Microsoft Üzleti Megoldások Konferencia 2005
Biztonsági audit a gyakorlatban “eposz a működő informatikai biztonságról” Keleti Arthur ICON Számítástechnikai Rt.
Miről lesz szó? Mit várnak el tőlünk és mi mit várunk el az informatikai biztonságtól? Hogyan fogjunk hozzá az eposz megírásához? Első fejezet (invokáció): Mit mondjunk a főnökeinknek? Második fejezet (propozíció): A szereplők és a problémák bemutatása Harmadik fejezet (enumeráció): Miből építkezhetünk? (szabályzatok, előírások, eszközök, gyakorlatok) Negyedik fejezet (in medias res): Mit kell tennünk az áhított biztonságért lépésről-lépésre?
A hős és a kellékek Megszületik: a felelős!
Mit várnak el tőlünk és mi mit várunk el az informatikai biztonságtól? - Szándék van? - Felelős van? - Van miért felelősnek lenni? - Kockázatokat felmérték? - Foglalkoznak a kockázatok kezelésével? - A törvényt betartják? - Úgy élnek, ahogy a papírokban van? - Van visszacsatolás, értékelés, javítás?
Első fejezet (invokáció) Mit mondjunk a főnökeinknek? A vezetés kérdez: Miért kell nekünk biztonság? Eddig nem történt semmi baj. De nyilván kicsi a kockázata, hogy ilyen bekövetkezik, nem? Erre mégis, mi szükség van? Indítsunk külön projektet arra, hogy a kockázatokról beszélgessünk? Üljetek be egy szobába és találjátok ki. Te meg tudod ezt csinálni? És ha megbízol egy céget, mi lesz a folytatás? És akkor ezzel vége is, igaz? Ha jól értem, akkor az elemzés újabb feladatokat eredményez. Mikor lesz ennek vége? Mennyibe fog ez kerülni? Mi van, ha ezt az egészet nem csináljuk? És ha én felvállalom ezt a kockázatot? Szerintem nem lesz baj. Hogyan járul hozzá a cég hatékonyságához ez az egész? Sok pénzt kiadok, de várhatok bármi hasznosat? Hogy védem én ezt meg a tulajdonos előtt? Nem fog ilyesmire pénzt adni.
Első fejezet (invokáció) Mit mondjunk a főnökeinknek? A felelős válaszol: Valószínűleg nem tudjuk, hogy történtek-e biztonsági incidensek, mert keveset naplózunk és nem minden eseményről van információnk. Azért, mert eddig nem voltak biztonsági incidensek, a jövőben még lehetnek. A kockázat megállapítását kockázatelemzés útján valósítjuk meg. Az üzleti kockázatok elemzésére is van lehetőség, szabvány, módszer és külső vállalkozó, mert nekem nincs rá időm. A kockázatok elemzését követően a feltárt problémákra megoldásokat kell majd találni. A kockázatokkal arányos védelmet valósítjuk meg. A kockázatok kezelése és az informatikai biztonság fenntartása folyamatos munkát igényel. Ez olyan, mint a minőségbiztosítás. Kockázatelemzéssel kezdjük, mert az tartalmaz egyfajta helyzetértékelést és terveket is kérhetünk a jövőre nézve. Megállhatnak a létfontosságú szerverek és ezzel a napi munka vagy a termelés, feltörhetik a weboldalunkat, a dolgozók adatokat lophatnak el. A magyar jogszabályok az információvédelem téren szigorúak. Az ellenőrök (pl. PSZÁF, ÁSZ) és a könyvvizsgálók is ellenőrzik, hogy betartjuk-e a törvényt.
Első fejezet (invokáció) Mit mondjunk a főnökeinknek? A felelős válaszol: Az informatikai biztonság olyan, mint a minőségbiztosítás plusz egy balesetbiztosítás. Folyamatosan fenntartjuk a biztonságot, ezzel csökkentjük a kockázatokat, elkerüljük a bajt, biztonságosabb hátteret teremtünk a működéshez és ezzel javítjuk a hatékonyságot. De ha ennek ellenére beüt a baj, akkor van tervünk a probléma kezelésére, elhárítására és a károk enyhítésére. Ez a kiesett munkaórák csökkenését jelenti és ezáltal szintén növeli a hatékonyságot. A megfelelő biztonság olyan stabilitást eredményez, amely növeli a bizalmat a dolgozókban a vezetés iránt, az ügyfelekben pedig a cég iránt. Ezzel megtartjuk a jó munkaerőt és javítunk a versenyhelyzetünkön a piacon.
Vírus Illetéktelen belső hozzáférés Laptop/mobil lopás Illetéktelen információ szerzés Rendszer feltörés Denial of Service % 100% 80% 60% 40% 20% 0% 78% 59% 49% 39% 37% 17% Második fejezet (propozíció) A szereplők és a problémák bemutatása
Szabotázs Rendszerbetörés Web site átírása Web site feltörése Telekomm. csalás Illegális hozzáférés Laptop/mobil lopás Pénzügyi csalás Rádiós hálózat törése Illegális belső hozzáf. Információlopás Denial of Service Vírus Második fejezet (propozíció) A szereplők és a problémák bemutatása
Harmadik fejezet (enumeráció) Miből építkezhetünk? (szabályzatok, előírások, eszközök, gyakorlatok) Biztonsági rendszerek Auditok, Dokumentációk Felügyelet Oktatás Hibaelhárítás Döntések Informatikai biztonság
Harmadik fejezet (enumeráció) Miből építkezhetünk? (szabályzatok, előírások, eszközök, gyakorlatok) BASEL2 SOX Biztonsági rendszerek Trend Micro Entrust Auditok, Dokumentációk Felügyelet Oktatás Hibaelhárítás Döntések Informatikai biztonság Checkpoint Cisco McAfee SurfControl ISS Balabit RSA MSZ ISO/IEC BS BS MSZE COBIT Common Criteria MSZ ISO/IEC TR 13335:2004 MSZ ISO/IEC 15408:2002 Counterpane OneSecure Symantec ICON ISS Invesztálás Kiszervezés Hibakezelés Ügyelet Biztonsági menedzser Gyártói vizsgák Gyártói tanfolyamok CISM GISO GISEC CISA CISSP Incidenskezelés Támogatás, HD Garanciák Szerződések Bérlet Munkaerő Technológiai döntések Symantec Microsoft
Negyedik fejezet (in medias res): Mit kell tennünk az áhított biztonságért lépésről-lépésre? Feladatok 1.Biztonsági rendszer tervezés 2.Valós állapot felmérése 3.Belső és külső védelem kialakítása 4.Távoli hozzáférés és távmunka biztonsága 5.Hitelesség és adatvédelem megteremtése 6.A megteremtett biztonság működtetése 7.Felügyelet kialakítás és fenntartása 8.Felkészülés auditra és ellenőrzésekre 9.Dokumentációk elkészítése, karbantartása, felülvizsgálata Tervezés és rendszerintegráció Technológiák Tűzfal VPN Vírusvédelem Levélszemét szűrés Tartalom szűrés Behatolás védelem Mentés Archiválás Központi menedzsment Jogosultságok kezelése PKI (elektronikus aláírás) Smart Card
Microsoft biztonsági technológiák Technológiák Tűzfal VPN Vírusvédelem Levélszemét szűrés Tartalom szűrés Behatolás védelem Mentés Archiválás Központi menedzsment Jogosultságok kezelése PKI (elektronikus aláírás) Smart Card Eddig használt technológiai elemek Új technológiai elemek a rendszerben Tipikusan: Tartomány vezérlők Állomány kiszolgálók Levelezési rendszer Web kiszolgálók Adatbázis kezelők Alap tűzfal/vírus elemek Mentés és alap mgmt. Tipikusan: Tűzfal második vonal Behatolás védelem Központi menedzsment Jogosultságkezelés, PKI Microsoft alaprendszerek Negyedik fejezet (in medias res) Biztonsági rendszerek
Microsoft biztonsági technológiák Tipikusan: Tartomány vezérlők Állomány kiszolgálók Levelezési rendszer Web kiszolgálók Adatbázis kezelők Alap tűzfal/vírus elemek Mentés és alap mgmt. Tipikusan: Tűzfal második vonal Behatolás védelem Központi menedzsment Jogosultságkezelés, PKI Microsoft alaprendszerek Tartomány vezérlő Hozzáférési ellenőrző listák (ACL) Active Directory – címtár: (jogosultság-, objektum és csoportkezelés) Kerberos (PKI és erős azonosítás) Audit, event logok – naplózás és eseményrögzítés Kliens oldal: kapcsolódó Windows XP biztonsági funkciók Negyedik fejezet (in medias res) Biztonsági rendszerek
Microsoft biztonsági technológiák Tipikusan: Tartomány vezérlők Állomány kiszolgálók Levelezési rendszer Web kiszolgálók Adatbázis kezelők Alap tűzfal/vírus elemek Mentés és alap mgmt. Tipikusan: Tűzfal második vonal Behatolás védelem Központi menedzsment Jogosultságkezelés, PKI Microsoft alaprendszerek Állomány kiszolgálók Hozzáférési ellenőrző listák (ACL) Kerberos (PKI és erős azonosítás) Audit, event logok – naplózás és eseményrögzítés EFS (állomány titkosítás) Negyedik fejezet (in medias res) Biztonsági rendszerek
Microsoft biztonsági technológiák Tipikusan: Tartomány vezérlők Állomány kiszolgálók Levelezési rendszer Web kiszolgálók Adatbázis kezelők Alap tűzfal/vírus elemek Mentés és alap mgmt. Tipikusan: Tűzfal második vonal Behatolás védelem Központi menedzsment Jogosultságkezelés, PKI Microsoft alaprendszerek Levelezési rendszer (Exchange) PKI és elektronikus aláírás kezelése Biztonságos távoli levél elérés (OWA) Audit, event logok – naplózás és eseményrögzítés Belső jogosultságkezelés Vírusvédelem: Anti-vírus, anti-spam Negyedik fejezet (in medias res) Biztonsági rendszerek
Microsoft biztonsági technológiák Tipikusan: Tartomány vezérlők Állomány kiszolgálók Levelezési rendszer Web kiszolgálók Adatbázis kezelők Alap tűzfal/vírus elemek Mentés és alap mgmt. Tipikusan: Tűzfal második vonal Behatolás védelem Központi menedzsment Jogosultságkezelés, PKI Microsoft alaprendszerek Web kiszolgálók Titkosított adatcsatornák kezelése (SSL) PKI, tanúsítványok kezelése Hozzáférési ellenőrző listák (ACL) Audit, event logok – naplózás és eseményrögzítés Negyedik fejezet (in medias res) Biztonsági rendszerek
Microsoft biztonsági technológiák Tipikusan: Tartomány vezérlők Állomány kiszolgálók Levelezési rendszer Web kiszolgálók Adatbázis kezelők Alap tűzfal/vírus elemek Mentés és alap mgmt. Tipikusan: Tűzfal második vonal Behatolás védelem Központi menedzsment Jogosultságkezelés, PKI Microsoft alaprendszerek Tűzfal (ISA 2004) Klasszikus tűzfal funkciók Házirend alapú konfigurációkezelés Hozzáférési ellenőrző listák (ACL) és tűzfal szabályrendszer Központi felügyelet (ADAM) és NLB, CARP Skálázhatóság (NLB, SMP) Filtering add-on: IDS, antivirus Naplózás Negyedik fejezet (in medias res) Biztonsági rendszerek
Microsoft biztonsági technológiák Tipikusan: Tartomány vezérlők Állomány kiszolgálók Levelezési rendszer Web kiszolgálók Adatbázis kezelők Alap tűzfal/vírus elemek Mentés és alap mgmt. Tipikusan: Tűzfal második vonal Behatolás védelem Központi menedzsment Jogosultságkezelés, PKI Microsoft alaprendszerek Mentés és menedzsment (MOM, SMS, Data Protection Manager > System Center) Windows 2003 Server System menedzselése Felügyelet (MOM) Mentés és visszaállítás (Data Protection Manager) Változás követés (SMS) Biztonsági frissítések terítése Naplózás, eseményrögzítés Negyedik fejezet (in medias res) Biztonsági rendszerek
Microsoft biztonsági technológiák Tipikusan: Tartomány vezérlők Állomány kiszolgálók Levelezési rendszer Web kiszolgálók Adatbázis kezelők Alap tűzfal/vírus elemek Mentés és alap mgmt. Tipikusan: Tűzfal második vonal Behatolás védelem Központi menedzsment Jogosultságkezelés, PKI Microsoft alaprendszerek PKI (elektronikus aláírás) Certificate és Registration Authority támogatás Tanúsítványkezelés Kliens oldali PKI támogatás Office dokumentum aláírás Smart card kezelés (pl. ICON HYDRA) Naplózás, eseményrögzítés Negyedik fejezet (in medias res) Biztonsági rendszerek
Microsoft biztonsági technológiák Tipikusan: Tartomány vezérlők Állomány kiszolgálók Levelezési rendszer Web kiszolgálók Adatbázis kezelők Alap tűzfal/vírus elemek Mentés és alap mgmt. Tipikusan: Tűzfal második vonal Behatolás védelem Központi menedzsment Jogosultságkezelés, PKI Microsoft alaprendszerek Jogosultság kezelés Központi jogosultság kezelés funkciói Authentikáció és authorizáció Identity Integration Server Active Directory – címtár: (jogosultság-, objektum és csoport kezelés) Naplózás és eseményrögzítés Negyedik fejezet (in medias res) Biztonsági rendszerek
A kockázatokkal arányos védelem megteremtéséhez technológiai oldalon nagyon sok feltétel adott, Időt és energiát takarítunk meg, ha használjuk azt, amink már van és Olyan elemekkel bővítjük a rendszereinket, amelyek jól illeszkednek a meglévő építőkockákhoz, Microsoft oldalon a technológia már ma rendelkezésre áll arra, hogy megerősítsük az informatikai biztonságunkat, Érdemes átgondolni, hogy hol használhatjuk. Konklúzió a tanulságok levonása
Köszönöm megtisztelő figyelmét! Elérhetőség: Név: Keleti Arthur Cím: H-1134 Tüzér u Telefon: /