NetIQ Sentinel i Rekomendacja D

Transkrypt

1 Broszura informacyjna ZARZĄDZANIE TOŻSAMOŚCIĄ I BEZPIECZEŃSTWEM NetIQ Sentinel i Rekomendacja D Monitorowanie informacji i zdarzeń w oparciu o rozwiązanie NetIQ Sentinel w celu spełnienia wytycznych Rekomendacji D Komisji Nadzoru Finansowego

2 str. 2

3 W prow adzenie Oprogramowanie NetIQ Sentinel wprowadza automatyzację i pełen nadzór do zarządzania bezpieczeństwem i monitorowania zgodności z regulacjami. Pozwala w pełni przygotować się na wewnętrzne i zewnętrzne zagrożenia, a także sprostać oczekiwaniom audytorów. Dzięki niemu firmy i instytucje mają dostęp do pełnych, dostępnych w czasie rzeczywistym informacji o zdarzeniach związanych z bezpieczeństwem. Mogą reagować na znane zagrożenia, identyfikując i eliminując nowe. Ponadto Sentinel umożliwia sporządzanie raportów obejmujących całość organizacji i dowodzących spełniania norm bezpieczeństwa oraz zgodności z regulacjami. Dzięki oprogramowaniu NetIQ Sentinel osoby odpowiedzialne za bezpieczeństwo informacji w organizacji mogą tworzyć rygorystyczne programy utrzymania bezpieczeństwa i zgodności z regulacjami obowiązujące w całym przedsiębiorstwie, usprawnić pracochłonne i podatne na błędy procesy ręcznej sprawozdawczości, a dzięki wbudowanej w Sentinel automatyzacji zmniejszyć koszty z tym związane. Niniejszy dokument omawia, w jaki sposób rozwiązanie NetIQ Sentinel pomaga spełnić wytyczne zawarte w Rekomendacji D Komisji Nadzoru Finansowego dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach (zalecenia wejdą w życie z dniem 31 grudnia 2014 r.) oraz zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki (obowiązują od 2002 r.) I. Rekomendacja D - Architektura infrastruktury teleinformatycznej 9.12 Bank powinien posiadać sformalizowane zasady dokonywania zmian w konfiguracji komponentów infrastruktury teleinformatycznej, uwzględniające istotność poszczególnych komponentów i zapewniające: realizację zmian w sposób zaplanowany i kontrolowany, z uwzględnieniem wpływu danej zmiany na inne komponenty, zabezpieczenie komponentów przed wprowadzaniem nieuprawnionych zmian, możliwość wycofania zmian, w tym dostępność kopii awaryjnych konfiguracji komponentów, możliwość identyfikacji osób wprowadzających oraz zatwierdzających poszczególne zmiany w konfiguracji. SENTINEL: Oprogramowanie Sentinel wspomaga administratorów systemów informatycznych, gdyż zapewnia monitorowanie naruszenia zasad bezpieczeństwa oraz śledzenie statusów rozwiązywanych problemów. Pozwala to na szybką identyfikację pojedynczych ataków (przy wykorzystaniu dowolnego źródła danych). Jednym z takich możliwych ataków jest próba zmian w konfiguracji ustawień sprzętu sieciowego. Administrator systemu o próbie zmiany konfiguracji urządzenia sieciowego może zostać powiadomiony np. em Konfiguracja systemu zapór sieciowych powinna zapewniać rejestrowanie niestandardowych aktywności w celu umożliwienia dokonywania ich analizy pod kątem wykrywania ataków zewnętrznych i wewnętrznych. System zapór sieciowych powinien także zapewniać kontrolę ruchu wychodzącego w celu blokowania prób nawiązania sesji z wewnątrz sieci przez szkodliwe oprogramowanie. SENTINEL: Operatorzy monitorując środowisko mogą korzystać z danych zbieranych w czasie rzeczywistym, przedstawionych w sposób graficzny. Mogą też przeglądać informacje historyczne dotyczące konkretnego urządzenia, użytkownika lub zdarzenia, obejmujące czas sprzed kilku sekund lub godzin. str. 3

4 Do połączenia z dowolnym urządzeniem wykorzystywane są różne protokoły, m.in. SNMP, ODBC lub inne standardy. Administrator z pomocą konektorów zostaje powiadomiony o próbie ataków zewnętrznych i wewnętrznych Bank powinien monitorować sieci teleinformatyczne, komponenty infrastruktury teleinformatycznej, usługi sieciowe i systemy informatyczne pod kątem ich bezpieczeństwa i poprawności funkcjonowania adekwatnie do związanego z nimi poziomu ryzyka. Stopień automatyzacji ww. monitorowania powinien być adekwatny do złożoności środowiska teleinformatycznego banku. SENTINEL: System Sentinel może pobierać dane o zdarzeniach z następujących obszarów: urządzenia bezpieczeństwa na granicy sieci, takie jak systemy VPN, zapory, routery i przełączniki, źródła odniesienia, takie jak systemy zarządzania tożsamością, zarządzania zasobami oraz zarządzania poprawkami, urządzenia do przetwarzania informacji (serwery, stacje robocze, laptopy) aplikacje użytkownika, systemy do zarządzania bazami danych, systemy pracy grupowej, kontrolery domen. Przykład: informacja o braku komunikacji z systemem operacyjnym. Przykład: Zestawienie prezentujące zgłoszoną przez oprogramowanie antywirusowe aktywność szkodliwego oprogramowania znajdującego się na komputerach w sieci. str. 4

5 II. Rekomendacja D - Aktualizacja oprogramowania komponentów infrastruktury teleinformatycznej 9.22 Bank powinien posiadać sformalizowane zasady dotyczące dokonywania aktualizacji oprogramowania zarówno komputerów, jak i urządzeń mobilnych oraz pozostałych elementów środowiska teleinformatycznego (w tym aktualizacji systemów operacyjnych, systemów zarządzania bazami danych, oprogramowania użytkowego, oprogramowania urządzeń sieciowych itp.), uwzględniające istotność tego oprogramowania oraz poziom krytyczności poszczególnych aktualizacji. SENTINEL: System Sentinel stwarza możliwość powiadomienia operatora o dokonaniu aktualizacji oprogramowania za pomocą zdefiniowanego wcześniej zdarzenia. Sentinel powiadamia operatora po stworzeniu reguły o nieaktualnym oprogramowaniu na stacjach klienckich czy serwerach. III. Rekomendacja D - Zarządzanie pojemnością i wydajnością komponentów infrastruktury teleinformatycznej 9.28 Bank powinien posiadać udokumentowane zasady zarządzania wydajnością i pojemnością komponentów infrastruktury teleinformatycznej, uwzględniające istotność poszczególnych komponentów dla działalności banku oraz zależności pomiędzy tymi komponentami, obejmujące w szczególności: określenie parametrów wydajności (np. czas odpowiedzi systemu, czas przetwarzania) i pojemności (np. obciążenie sieci teleinformatycznej, stopień wykorzystania urządzeń pamięci masowych, stopień wykorzystania procesorów, liczba otwartych sesji połączeniowych), wraz ze wskazaniem wartości ostrzegawczych i granicznych w tym zakresie, monitorowanie powyższych parametrów, analizę trendów oraz prognozowanie zapotrzebowania na wydajność i pojemność, z uwzględnieniem celów strategicznych banku, w szczególności w zakresie planowanej liczby obsługiwanych klientów oraz zmian w profilu działalności i związanego z tym przewidywanego wolumenu przetwarzanych danych, podejmowanie działań w przypadku przekroczenia wartości ostrzegawczych i granicznych powyższych parametrów oraz w przypadku, gdy analizy w zakresie zapotrzebowania na wydajność i pojemność wykażą, że obecne zasoby nie są wystarczające do jego zaspokojenia, raportowanie w zakresie wydajności i pojemności komponentów infrastruktury teleinformatycznej, w szczególności do właścicieli systemów informatycznych. str. 5

6 SENTINEL: Pozyskując informację o stanach ostrzegawczych i granicznych z środowiska pamięci masowych będziemy informowani z użyciem zdefiniowanych zdarzeń o osiągnięciu stanów krytycznych względem pojemności. Elastyczna technologia kolektorów systemu Sentinel pozwala pobierać zdarzenia i informacje o obciążeniu stopnia wykorzystania procesorów. Administrator w bardzo przejrzysty sposób może określić progi, po przekroczeniu których będzie informowany o wystąpieniu takiego zdarzenia. IV. Rekomendacja D - Mechanizmy kontroli dostępu logicznego Systemy informatyczne przetwarzające dane o wysokiej istotności dla banku powinny posiadać mechanizmy pozwalające na automatyczną rejestrację zachodzących w nich zdarzeń w taki sposób, aby zapisy tych rejestrów mogły w przypadku wystąpienia takiej konieczności stanowić wiarygodne dowody niewłaściwego lub niezgodnego z zakresem zadań użytkowników korzystania z tych systemów. Mechanizmy rejestracji zdarzeń powinny również uniemożliwiać nieuprawnione usuwanie lub modyfikowanie zapisów. SENTINEL: Kolektory związane z autoryzacją w dowolnym systemie operacyjnym pozwalają monitorować w czasie rzeczywistym nieuprawnione uwierzytelnienie w systemie (np. po trzykrotnym wpisaniu błędnego hasła). Oprogramowanie Sentinel wysyła do administratora o niepoprawnej autoryzacji użytkownika. Wszystkie zaistniałe incydenty związane z uwierzytelnianiem są przechowywane w bazie oprogramowania Sentinel. Przykład. Alert informujący o nieuprawnionym uwierzytelnieniu w systemie użytkownika z opcją wygenerowania poczty o takim powtórnym incydencie: Raport prezentujący statusy zmiany haseł przez użytkowników: str. 6

7 V. Rekomendacja D - Mechanizmy kontroli dostępu fizycznego Istotnym elementem bezpieczeństwa środowiska teleinformatycznego jest kontrola fizycznego dostępu do pomieszczeń, w których ulokowane są serwery i inne kluczowe elementy infrastruktury teleinformatycznej oraz urządzenia wspierające jej działanie (w tym zasilacze awaryjne, generatory prądotwórcze, klimatyzatory i rozdzielnie elektryczne). Mechanizmy kontroli dostępu fizycznego powinny zapewniać dostęp jedynie uprawnionych osób (tj. takich, w przypadku których konieczność posiadania dostępu wynika z zakresu obowiązków) oraz wszczęcie alarmu w przypadku prób dostępu podejmowanych przez osoby nieuprawnione. Mechanizmy te powinny również obejmować rejestrację ruchu osobowego. Stosowane rozwiązania powinny być adekwatne do poziomu ryzyka związanego z komponentami ulokowanymi w danym pomieszczeniu, specyficznych uwarunkowań (w tym lokalowych) banku oraz skali i charakteru prowadzonej działalności. SENTINEL: Występujące w obiektach wydzielone strefy bezpieczeństwa, w których przetwarzane są dokumenty np. oznaczone klauzulą poufne, są zwykle chronione pomocą różnych mechanizmów kontrolnych, takich jak czytnik kart. Sentinel umożliwia generowanie powiadomienia z wykorzystaniem dynamicznych list o próbie nieuprawnionego dostępu do pomieszczeń, w których ulokowane są serwery i inne kluczowe elementy infrastruktury teleinformatycznej. str. 7

8 VI. Rekomendacja D - Zarządzanie incydentami naruszenia bezpieczeństwa środowiska teleinformatycznego 20.2 Zasady postępowania z incydentami naruszenia bezpieczeństwa środowiska teleinformatycznego powinny w szczególności określać: metody i zakres zbierania informacji o incydentach, zakresy odpowiedzialności w obszarze zarządzania incydentami, sposób przeprowadzania analiz wpływu incydentów na środowisko teleinformatyczne, w tym jego bezpieczeństwo, zasady kategoryzacji i priorytetyzacji incydentów, uwzględniające klasyfikację informacji i systemów informatycznych związanych z danym incydentem, zasady wykrywania zależności pomiędzy incydentami (przykładem tego rodzaju zależności jest atak typu Denial-of-Service uniemożliwiający szybką identyfikację innego incydentu lub usunięcie jego przyczyn), zasady komunikacji, obejmujące zarówno pracowników banku, jak i zewnętrznych dostawców usług oraz w przypadku istotnego narażenia na skutki danego incydentu również innych stron trzecich (klientów, kontrahentów itp.), zapewniające odpowiednio szybkie powiadamianie zainteresowanych stron i podejmowanie działań, adekwatnie do poziomu istotności incydentu, zasady gromadzenia i zabezpieczania dowodów związanych z incydentami, które będą mogły zostać wykorzystane w ewentualnych postępowaniach sądowych (w szczególności minimalizujące ryzyko utraty takich dowodów lub ich odrzucenia ze względu na niewłaściwe zabezpieczenie danych), zasady dotyczące podejmowania działań naprawczych i zapobiegawczych, obejmujące w szczególności przypisanie osób odpowiedzialnych za realizację tych działań oraz monitorowanie stanu ich realizacji. SENTINEL: W przypadku incydentu naruszenia bezpieczeństwa środowiska teleinformatycznego NetIQ Sentinel pozwala : uporządkować incydenty uwzględniając klasyfikację informacji w odniesieniu do systemów informatycznych, wykrywać zależności pomiędzy incydentami, gromadzić dowody o incydentach, które mogą być wykorzystane w postępowaniach sądowych, pozwala przypisać konkretną osobę do incydentu wraz z informacją o postępie realizacji tego zadania. str. 8

9 Przykład. Raport podsumowujący ataki typu DdoS: str. 9

10 20.3 W celu m.in. umożliwienia podejmowania działań zapobiegawczych w odniesieniu do identyfikowanych problemów, bank powinien prowadzić rejestr incydentów naruszenia bezpieczeństwa środowiska teleinformatycznego, w którym przechowywane powinny być w szczególności informacje dotyczące: daty wystąpienia i identyfikacji incydentu, przyczyn zajścia incydentu, przebiegu incydentu, skutków incydentu, podjętych działań naprawczych. SENTINEL: System Sentinel wykorzystuje techniki korelacji wykonywane w pamięci, aby zmniejszyć obciążenie bazy danych i przyspieszyć proces dostarczenia ważnych danych o zdarzeniach do centralnej konsoli. Dane archiwalne przechowywane są w bazach danych Oracle lub SQL. Sentinel pozwala w szybki sposób dostać się do danych archiwalnych dotyczących zidentyfikowanych naruszeń bezpieczeństwa środowiska informatycznego Zaleca się, aby w stosunku do incydentów mających istotny wpływ na bezpieczeństwo przetwarzanych danych, w tym w szczególności na bezpieczeństwo środków klientów (również w przypadkach incydentów, o których bank jest informowany przez zewnętrznego dostawcę usług), bank posiadał szybką ścieżkę raportowania ich wystąpienia (wraz z określeniem prawdopodobnych przyczyn oraz skutków) wysokiemu szczeblowi kierownictwa banku. Szybki przepływ informacji w zakresie zaistniałego istotnego naruszenia bezpieczeństwa powinien pozwalać na odpowiednie zaangażowanie kierownictwa banku w proces podejmowania działań naprawczych. Kierownictwo banku powinno być również systematycznie informowane o stanie realizacji tych działań. SENTINEL: Oprogramowanie Sentinel zawiera aplikację Sentinel Reports służącą do wizualizacji środowiska zabezpieczeń w przedsiębiorstwie, dokumentowania zgodności z regulacjami, a także efektywnego zarządzania ryzykiem operacyjnym. Sentinel posiada dużą liczbę wbudowanych raportów, które można wygenerować dla wysokiego szczebla kierownictwa banku, zawierające informacje o wystąpieniu incydentów mających istotny wpływ na bezpieczeństwo przetwarzanych danych. System dostarcza raporty dostosowane do przepisów lub ról pełnionych przez użytkowników w organizacji, co pozwala stale oceniać i potwierdzać zgodność z regulacjami. Raporty przygotowane przez producenta to m.in.: raporty zawierające wytyczne normy ISO 27000, raporty dotyczące bezpieczeństwa sieci, zbiór raportów dotyczący produktu Sentinel. Sentinel zapewnia pełną sprawozdawczość w zakresie bezpieczeństwa i zgodności z regulacjami, która wykracza znacznie poza dostarczanie prostych plików dziennika. Konsole i raporty dla kierownictwa prezentują pojedynczy widok każdego zdarzenia, Analiza z uszczegóławianiem oraz modelowanie pozwalają zaprojektować dowolne scenariusze różnych zdarzeń oraz pozwalają na aktywne zarządzanie, które jest niezbędnym czynnikiem do wszechstronnego zarządzania bezpieczeństwem i zgodnością oraz regulacjami w przedsiębiorstwie. str. 10

11 Przykład. Raport prezentuje informację, jaki użytkownik zmieniał swoje hasło. Taki raport zawiera informacje o użytkowniku i dacie wystąpienia zdarzenia wraz z podsumowaniem, czy taka próba była pozytywna Bank powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego, stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska oraz skalę i specyfikę prowadzonej działalności) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wykorzystania rozwiązań klasy SIEM (ang. Security Information and Event Management), ułatwiających zarządzanie incydentami naruszenia bezpieczeństwa m.in. poprzez centralizację zbierania, analizowania i przechowywania dzienników zdarzeń generowanych przez systemy informatyczne i inne komponenty środowiska teleinformatycznego. SENTINEL: Korzystając ze swoich wbudowanych mechanizmów oprogramowanie Sentinel pozwala w sposób scentralizowany na: zintegrowane, skalowalne i zautomatyzowane monitorowanie bezpieczeństwa i zgodności z regulacjami, w czasie rzeczywistym, obejmujące wszystkie systemy i sieci, Zautomatyzowane reagowanie na zdarzenia związane z zarządzaniem użytkownikami i bezpieczeństwem. Na przykład próba dostępu do danych finansowych podjęta przez niepowołaną osobę może spowodować zapisanie szczegółowych informacji o zdarzeniu oraz przesłanie poczty elektronicznej do osoby odpowiedzialnej w firmie za bezpieczeństwo, analizowanie zdarzeń związanych zarówno z użytkownikami, jak i urządzeniami, przy użyciu pojedynczego narzędzia, stworzenie środowiska, które umożliwia ustalenie strategii informatycznej i podejmowanie działań w oparciu o strategię biznesową. Można samodzielnie ustalać kryteria alarmów, miar, a także poziom szczegółowości danych w raportach, zautomatyzowane zbieranie, analizowanie, korelowanie, rozwiązywanie i raportowanie zdarzeń związanych z bezpieczeństwem oraz zgodnością z regulacjami, obejmujące całość przedsiębiorstwa o o o wstępnie skonfigurowane i łatwe do dostosowania kolektory zbierają dane z dowolnych systemów, procesów lub urządzeń w sieci przedsiębiorstwa, reguły korelacji pozwalają przeanalizować dane w czasie rzeczywistym, zidentyfikować przypadki naruszenia bezpieczeństwa lub zgodności oraz zweryfikować zdarzenia w różnych narzędziach i systemach, działania podjęte w celu rozwiązania problemu mogą być wykonywane w oparciu o szablony procesów, wykrywanie nowych zagrożeń, gdy tylko pojawią się gdziekolwiek na terenie przedsiębiorstwa. str. 11

12 Z pomocą zbioru paczek (ISO 27000, Identity Tracking, NetIQ Secure Login SAP itp.) można polepszyć funkcjonalność platformy Sentinel poprzez ujednolicenie względem wytycznych zawartych w normach bezpieczeństwa. Dodatkowym wbudowanym elementem pakietu NetIQ Sentinel jest Solution Designer, który pozwala na utworzenie dowolnego zestawu elementów potrzebnych do analizy bezpieczeństwa infrastruktury. Przygotowana paczka przykładowo ze zdefiniowanymi korelacjami, dodatkowymi raportami, wybranymi zdarzeniami może być przygotowana przez niezależną firmę i wdrożona na platformie Sentinel. P o d s u m o w a n i e Dzięki oprogramowaniu NetIQ Sentinel kosztowne, czasochłonne i podatne na błędy ręczne procesy zapewniania bezpieczeństwa i zgodności z regulacjami można zastąpić zautomatyzowanym, rygorystycznym i przewidywalnym programem monitorowania środowiska IT. Wprowadzając automatyzację i pełen nadzór do zarządzania bezpieczeństwem i monitorowania zgodności z regulacjami oraz wytycznymi, takimi jak Rekomendacja D, oprogramowanie Sentinel pozwala w pełni przygotować się na wewnętrzne i zewnętrzne zagrożenia, a także sprostać oczekiwaniom audytorów. Więcej informacji o oprogramowaniu NetIQ Sentinel zamieszczono na stronie Novell Sp. z o.o. ul. Postępu 21, Warszawa tel bezpłatna infolinia infolinia@netiq.com 2014 NetIQ, Inc. Wszelkie prawa zastrzeżone. NetIQ, logo NetIQ, logo N, NetIQ Sentinel, są zastrzeżonymi znakami towarowymi firm NetIQ i Novell, Inc. w USA i innych krajach. * Pozostałe znaki towarowe są własnością odpowiednich podmiotów. str. 12