Security & Identity Round Table Warszawa, 24 kwietnia 2014 Quest Software, now a part of Dell Bezpieczeństwo i Audyt Systemów Warszawa, 22 maja 2014 1
Jak zapewnić zgodność z regulacjami i przyjętymi politykami bezpieczeństwa. Grzegorz Szafrański, Solutions Architect Mariusz Przybyła, Konsultant IdM
Agenda 1. Informacja o firmie Quest Software 2. Audyty bezpieczeństwa najważniejszych systemów informatycznych. 3. Monitorowanie i kontrola dostępu do najważniejszych aplikacji. 4. Audyty i kontrola zmian w systemach, aplikacjach i plikach. 5. Rozwiązania dla bezpieczeństwa informacji w systemach e- administracji. 6. Podsumowanie
O nas Od ponad 10-ciu lat firma Quest Dystrybucja oferuje rozwiązania wspierające zarządzanie IT firmy Dell Software/Quest. Do naszych zadań należy zarówno sprzedaż licencji i odnowy asysty technicznej, jak i zapewnienie wsparcia w zakresie implementacji i wykorzystania oferowanego oprogramowania. Quest Dystrybucja jako jedyna firma w Polsce posiada status Support Providing Partner firmy Dell Software. Zapraszamy na nasz polskojęzyczny portal serwisowy, na którym możecie Państwo zgłosić wszelkie problemy i pytania dotyczące oprogramowani zakupionego w kanale sprzedaży Quest Dystrybucja
Portal serwisowy
Nowa strona www
Obszary produktowe w ofercie Quest Dystrybucja Zarządzanie Środowiskami Microsoft Bezpieczeństwo i Kontrola Dostępu Monitoring Systemów i Aplikacji Zarządzanie Bazami Danych Zarządzanie Stacjami Roboczymi Zarządzanie Wirtualizacją Ochrona Danych
Bezpieczeństwo i kontrola dostępu Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji Wnioskowanie i przydzielanie dostępu Certyfikacja dostępu Automatyzacja nadawania uprawnień Zarządzanie dostępem poprzez interfejs web Autoryzacja do poszczególnych obiektów systemu Inteligentne zarządzanie tożsamością i rolami Bogate możliwości raportowania Portal samoobsługowy Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów Granularne delegacje uprawnień Wymusza odseparowanie obowiązków Zabezpiecza przywileje de dostępu Zarządzanie sesjami Monitorowanie prowadzanych poleceń Administracja tożsamością Upraszcza zarzadzanie kontami Konsolidacja usług katalogowych Administrowanie kontami Zarządzanie hasłami Uproszczenie zarządzanie MS, Unix, Linux, Mac Zarządzanie grupami Pojedyncze logowanie (SSO) Zarządzanie AD, migracje i koegzystencja środowisk Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników Granularny audyt kont AD Raportowanie uprawnień Kolekcjonowanie zdarzeń i powiadamianie Zarządzanie logami Rozwiązywanie kryzysów
Dell Software Simplicity at work
Audyty bezpieczeństwa najważniejszych systemów informatycznych
Audyty, polityki, normy, standardy bezpieczeństwa. SOX (Sarbanes-Oxley Act) PCI DSS (Payment Card Industry Data Security Standard) FISMA (Federal Information Security Management) Basel II (Basel Committee on Banking Supervision) DPA (Data Protection Act) HIPPA (Healkth Insurance Portability and Accountability Act) ISO 27001, ISO 27002, ISO 38500 COBIT, ITIL, COSO
Polityki, standardy bezpieczeństwa
...kto, gdzie i kiedy wprowadza zmiany w naszych krytycznych zasobach? Control Server CA Użytkownicy Administrator CIO Oficer bezpieczeństwa Audytorzy CIO
Audyty bezpieczeństwa najważniejszych systemów informatycznych. Gartner najczęściej występujące luki w zarządzaniu bezpieczeństwem w systemach oraz rekomendacje Kontrola kont współdzielonych i administracyjnych Wniosek Zbyt wiele kont root utrudnia kontrolę dostępu i wpływa na nieefektywne ich monitorowanie Dopasowanie każdej tożsamości i kont uprzywilejowanych określonej osoby Konieczność zmniejszenia liczby kont uprzywilejowanych Zaimplementowanie zawansowanego audytu, który wymaga śledzenia każdej aktywności administratora do najważniejszych systemów Zarządzanie tożsamością i dostępem Wniosek audytorzy nie są w stanie określić uprawnień użytkowników Automatyzacja procesu provisioningu/deprovisioning u oraz procesu audytu tożsamości Zastosowanie zaawansowanych mechanizmów pomiaru, implementacja mechanizmu zarządzania rolami, zatwierdzania dostępów, wprowadzenie podziału obowiązków Monitorowanie aktywności użytkowników i analiza logów Wniosek brak dowodów w procesie analizy aktywności użytkowników Umożliwienie śledzenia aktywności użytkowników do jakich zasobów mają dostęp oraz kiedy został on przeprowadzony Wdrożenie podstawowej automatyzacji do tworzenia raportów w jednym miejscu
Audyty bezpieczeństwa najważniejszych systemów informatycznych. Opis problemu Zgodność jest trudna do spełnienia i kosztowna. Firmy szukają rozwiązań pozwalających zmniejszyć ryzyko i koszty.
Audyty bezpieczeństwa najważniejszych systemów informatycznych. Korzyści w spełnieniu Compliance Operacyjność Większa wiedza na temat systemów Zmniejszony przestój Szybkie odtwarzanie systemów Większa dostępność czasu na inne aktywności Bezpieczeństwo Lepsza podstawa bezpieczeństwa Zastosowanie najlepszych praktyk bezpieczeństwa Compliance Zmniejszone ryzyko Zmniejszone koszty
Audyty bezpieczeństwa najważniejszych systemów informatycznych. W jaki sposób Quest pomaga osiągnąć zgodność z polityką bezpieczeństwa? Przejrzystość Szczegółowa analiza Prewencyjne kontrole
Przejrzystość na konfigurację środowiska serwerowego jak i użytkowników Przejrzystość na procesy przydzielania dostępów użytkownikom (provisioning) Przejrzystość dostępów użytkowników (uprawnienia) Szczegółowa analiza pozwalająca określić kto, kiedy, gdzie i w jaki sposób naruszył dostęp na podstawie posiadanych uprawnień Powiadomienia o każdej podejrzanej aktywności Prewencyjne kontrole pozwalające wskazywać odstępstwa od pojawiających się zdarzeń Natychmiastowe adresowanie problemów Dokumentowanie odstępstw od wyjątków, które są autoryzowane
Audyty bezpieczeństwa najważniejszych systemów informatycznych. Informacje w Active Directory Serwery i stacje robocze Aplikacje Exchange Active Directory /LDAP Bazy danych SQL Server Oracle Files & Folders CIO Audytorzy Oficerowie bezp. Administratorzy COSO, HIPAA, PCI, SOX, COBIT, ISO Powiadomienia Real-Time
Audyty bezpieczeństwa najważniejszych systemów informatycznych. Quest Knowledge Portal raporty ze środowiska
Audyty bezpieczeństwa najważniejszych systemów informatycznych. Schemat działania Quest InTrust
Monitorowanie i kontrola dostępu do najważniejszych aplikacji
Monitorowanie i kontrola dostępu do najważniejszych aplikacji Czym jest ChangeAuditor? ChangeAuditor jest rozwiązaniem oferującym kompleksowe zarządzanie zmianami, raportowanie, zabezpieczanie aktywności użytkowników oraz powiadamianie o zdarzeniach na systemach Windows - Active Directory, ADLDS, Windows File Servers, Exchange, ADLDS, LDAP, Exchange, NetApp, EMC oraz SQL Server Who made the change? What object was changed (before and after)? Where the change was made from? When the change was made? Why the change was made? (Comment) Wysyłanie alarmów Workstation where the request originated?
Monitorowanie i kontrola dostępu do najważniejszych aplikacji Quest ChangeAuditor główne cechy Szczegółowe monitorowanie zmian bez konieczności włączania natywnego audytu Microsoft dla: Active Directory & ADLDS Exchange Windows File Servers NetApp EMC SQL Server Zapytań LDAP kierowanych do Active Directory Rejest systemowy, Lokalni użytkownicy & Grupy, Usługi systemowe Dostarcza szczegółowe informacje: kto, co, kiedy, gdzie, dlaczego i skąd, oraz dodatkowo wartość zmiany przed i po zmianie prezentowane w prostej formie Opcjonalna możliwość logowania zmian w Windows owym logu Chroni przed niechcianymi zmianami w obiektach AD, skrzynkach pocztowych, plikach i folderach Windows
Monitorowanie i kontrola dostępu do najważniejszych aplikacji Change Auditor for.
Monitorowanie i kontrola dostępu do najważniejszych aplikacji Przykłady reguł bezpieczeństwa (1/2) Kilkukrotne nieudane logowania
Monitorowanie i kontrola dostępu do najważniejszych aplikacji Przykłady reguł bezpieczeństwa (2/2) Dodanie osób do ważnych grup administacyjnych
Audyty i kontrola zmian w systemach, aplikacjach i plikach.
Audyty i kontrola zmian w systemach, aplikacjach i plikach. Przykłady kontroli dostępu do plików w narzędziu D1IM DGE (dawniej Quest Access Manager)
Zarządzanie dostępem do danych Zagrożenie również pracownik Strata dla Banku: $7B
Zarządzanie dostępem do danych Zagrożenie SoD brak kontroli Nie udało się wykryć i przeciwdziałać naruszeniom reguł SoD, co spowodowało zwiększenie ryzyka strat Rogue Trader Makler miał dostęp do systemu transakcyjnego w celu wykonywania obowiązków służbowych. Po zmianie stanowiska makler wciąż posiadał stare uprawnienia, co pozwoliło mu na jednoczesne składanie i akceptowanie zleceń. Trading System Trading Approvals
Zarządzanie dostępem do danych Wiedza kto posiada dostęp do poufnych informacji Poufne informacje istnieją w wielu miejscach i formach aplikacje, dokumenty, arkusze. Nie zawsze jest jasno określona prawidłowa kontrola, kto powinien mieć dostęp do tych informacji.
Zarządzanie dostępem do danych Jak to działa? Identyfikacja gdzie są przechowywane poufne dane. Rejestrowanie kto ma do nich dostęp. Włączenie kontroli dostępu do danych - ochrona
Sześć kroków: Data Access Governance Discovery Classify Assign Audit Automate Secure
Rozwiązanie firmy Dell: Data Access Governance
Rejestracja użytkowników i danych (dokumenty) Inwentaryzacja danych Dokumentowanie kto ma dostęp do danych Identify unstructured and orphaned data
Klasyfikacja dokumentów i inwentaryzacja uprawnień Sugestia kto powinien być właścicielem biznesowym Polisy dostępu Dostęp za pomocą Ról
Klasyfikacja dokumentów i inwentaryzacja uprawnień Sugestia kto powinien być właścicielem biznesowym Polisy dostępu Dostęp za pomocą Ról
Klasyfikacja dokumentów i inwentaryzacja uprawnień Sugestia kto powinien być właścicielem biznesowym Polisy dostępu Dostęp za pomocą Ról
Weryfikacja i sprawdzanie uprawnień
Przypisanie dokumentów do właścicieli biznesowych Przypisywanie właścicieli na podstawie posiadanej roli biznesowej Weryfikacja reguł SoD przed i po Workflow dostęp do danych
Przypisanie dokumentów do właścicieli biznesowych Przypisywanie właścicieli na podstawie posiadanej roli biznesowej Weryfikacja reguł SoD przed i po Workflow dostęp do danych
Audyt Atestacja okresowa weryfikacja dostępu do danych Raporty dla Audytorów Widok 360 o dostęp do danych
Audyt Atestacja okresowa weryfikacja dostępu do danych Raporty dla Audytorów Widok - 360 -dostęp do danych
Automatyzacja i zarządzanie zmianami Nadawanie dostępu do zasobów tylko zgodnie z posiadaną rolą Możliwość skonfigurowanie automatycznych akcji (auto akceptacja, odmowa)
Automatyzacja i zarządzanie zmianami Nadawanie dostępu do zasobów tylko zgodnie z posiadaną rolą Możliwość skonfigurowanie automatycznych akcji (auto akceptacja, odmowa)
Kto odnosi korzyści?
Użytkownik końcowy - biznes Intuicyjny koszyk zakupów (Shoping Cart) If you can buy something on Amazon.com, you can use this program. actual quote from an end-user Dostępne elementy tylko zgodne z posiadanymi rolami Elektroniczny workflow użytkownik uzyskuje dostęp do zasobów znacznie szybciej niż tradycyjnie
Menadżerowie i właściciele biznesowi zasobów Biznes decyduje bezpośrednio o tym, kto ma uzyskać dostęp (nie IT) Regularne okresowe certyfikacje dostępu do zasobów.
Pracownicy IT Biznes decyduje bezpośrednio o tym, kto ma uzyskać dostęp (nie IT) Regularne okresowe certyfikacje dostępu do zasobów.
Rozwiązania dla bezpieczeństwa informacji
Rozwiązania dla bezpieczeństwa informacji w systemach e-administracji ISO 27001 BS ISO/IEC 27001:2005 (ISO 27001) norma, standard określający wymagania na zaprojektowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (ang.: information security management system (ISMS). Audytorzy posługują się tym standardem w celu weryfikacji zgodności SZBI z normą (i certyfikacją). Korzyści - posiadanie certyfikatu ISO27001, pokazuje, że firma wdrożyła mechanizmy skutecznego zarządzania bezpieczeństwem informacji.
Rozwiązania dla bezpieczeństwa informacji w systemach e-administracji PCI DSS (wersje 2 i ostatnia 3) PCI DSS Payment Card Industry (PCI) Data Security Standard (DSS) oraz PA DSS - Payment Application Data Security Standard (PA- DSS) Od stycznia 2013 roku wszyscy Akceptanci (np. operatorzy płatności elektronicznych z użyciem Visa) powinni być zgodni z PC DSS wersja 2
Privilege Access Management (PAM) Pakiet produktów do kontroli bezpieczeństwa i zgodności z przepisami Modułowa konstrukcja pozwala na elastyczność rozbudowy: Wersja startowa posiada moduły podstawowe Dostępne dodatkowe moduły, dostosowane do potrzeb klienta Dostarczane jako specjalnie zaprojektowane bezpieczne urządzenie
Rozwiązania dla bezpieczeństwa informacji w systemach e-administracji Kontrola uprzywilejowanych kont Quest Privilege Manager
Rozwiązania dla bezpieczeństwa informacji w systemach e-administracji Jak rozwiązania Quest pomagają w spełnieniu wymagań stawianych przez ISO 27001 i PCI DSS PCI DSS (1, 2, 8, 12) ISO 27001 (4, 5, A6, A10, A11, A15) Wszystkie punkty dotyczące zarządzania kontami uprzywilejowanymi oraz dotyczące logowania pobrania/zdeponowania haseł, dostępu Administratorów do haseł.
Rozwiązania dla bezpieczeństwa informacji w systemach e-administracji Jak rozwiązania Quest pomagają w spełnieniu wymagań stawianych przez ISO 27001 i PCI DSS Poziom ogólny: Rozliczalność dostępu do kont uprzywilejowanych Kontrola dostępu Podwójna kontrola dostępu (request/approve) Automatyczne zarządzania hasłem Silne hasła, przechowywane w bezpiecznym miejscu Załącznik A do ISO 27001 Monitorowania dostępu dostawców Logowanie wszystkich akcji związanych z wykorzystaniem kont root i Administrator Monitorowanie, kontrolowanie i ograniczenie dostępu
Rozwiązania dla bezpieczeństwa informacji w systemach e-administracji Zabezpieczanie procesu logowania i dostępu do zasobów Quest Defender
Rozwiązania dla bezpieczeństwa informacji w systemach e-administracji Zarządzanie tożsamością i dostępem Quest One Identity Manager
Rozwiązania dla bezpieczeństwa informacji w systemach e-administracji Rekomendacja D Zalecenia KNF dla banków wynikające z rozwoju IT, zmian związanych z ryzykami. Do końca grudnia 2014 roku powinny być wdrożone.
(I.) Strategia i organizacja obszaru IT i bezpieczeństwa oraz (II.) rozwój środowiska IT Nr Treść Rozwiązania wspierające rekomendacje 1. Odpowiedzialność - za obszar IT i bezpieczeństwo. N/D 2. System informacji zarządczej w zakresie obszaru IT i bezpieczeństwa 3. Strategia zakresie obszaru IT oraz bezpieczeństwa N/D Quest One IDM, Compliance Suite, Toad BI Suite, Kitenga Foglight, NetVault XA 4. Współpraca biznesu, IT i bezpieczeństwa - efektywne i bezpieczne wykorzystanie potencjału IT Foglight (Dashboard) Quest One Identity Manager 5. Rozwiązania organizacyjne. Quest One IDM zarządzanie tożsamością, nadawania uprawnień 6. Zasady prowadzenia projektów IT N/D 7. Rozwój systemów informatycznych - wymogi bezpieczeństwa środowiska IT. Toad Development Suite, Foglight PAM
(III.) Utrzymanie i eksploatacja środowiska teleinformatycznego Nr Treść Rozwiązania wspie-rające rekomendacje 8. Zarządzanie danymi, architekturą oraz jakością danych Suites for Business Intelligence and Database Management 9. Zarządzanie infrastrukturą IT, architektura, komponenty Foglight, Desktop Authority, GPO wydajność i pojemność oraz dokumentacje Admin, KACE 10. Współpraca z zewnętrznymi dostawcami usług IT PAM, Quest One Identity Manager 11. Poziom kontroli dostępu logicznego i fizycznego do danych i informacji Compliance Suite Quest One Identity Manager 12. Ochrona przed szkodliwym oprogramowaniem Desktop Authority, vworkspace, KACE 13. Wsparcie użytkowników (eksploatacja) Desktop Authority, Help Desk Authority 14. Poziom kwalifikacji Szkolenia!!!! 15. Zarządzania ciągłością działania NetVault, vranger, SharePlex, Foglight 16. Kanały elektroniczne - weryfikacja tożsamości bezpieczeństwo 17. Zarządzanie oprogramowaniem użytkownika końcowego (yzyko związane z eksploatacją) Quest One Identity Manager, Defender Desktop Authority, GPO Admin
(IV) Zarządzanie bezpieczeństwem IT Nr Treść Rozwiązania wspie-rające rekomendacje 18. System zarządzania bezpieczeństwem IT, Compliance Suite Quest One Identity Manager 19. Klasyfikacja systemów i przetwarzane w nich informacje uwzględniająca wymagany poziom bezpieczeństwa. 20. Zasady zarządzania incydentami bezpieczeństwa IT 21. Zgodność IT z wymaganiam, regulacjami i umowami i przyjętymi w banku standardami. Quest One Identity Manager, Compliance Suite Compliance Suite, Compliance Suite, Quest One Identity Manager 22. Systematyczny i niezależny audyt. Compliance Suite, Quest One Identity Manager,
6 Quest One Identity Manager - ukierunkowany na zarządzanie i kontrolę dostępem Oferuje kompleksowe zarządzanie tożsamością, zbudowane od podstaw jako pojedyncze rozwiązanie wykorzystujące podejście modelowe. Kadry Controling Biznes Bezpieczeństwo Regulacje wewnętrzne i zewnętrzne Monitorowanie, raportowanie, audyt Systemy, aplikacje, bazy danych, stacje robocze
Pozwala użytkownikom i współpracownikom pracować w sposób inteligentny Przenosi zarządzanie użytkownikami i kontrolę dostępu z dala od IT kierując obowiązki w stronę biznesu Użytkownicy końcowi mogą sprawdzać zgodność własnych wniosków Menedżerowie mogą zobaczyć status zadań IAM i procesów w jednym miejscu Administratorzy mogą kontrolować stan systemu, zgodnie z kontrolą zmian ITIL Projektanci mogą zobaczyć efekty swoich zmian przed wprowadzeniem ich w produkcję
Jakie są korzyści ze stosowania Quest One Identity Manager a? Szybka implementacja 2 10 razy szybsza niż inni dostawcy oprogramowania IAM Brak konieczności tworzenia kodu lub skomplikowanej kastomizacji Więcej funkcji w jednym produkcie niż w jakakolwiek innym Dostępny z pudełka framework do zarządzania Predefiniowane procesy biznesowe Gotowy do wdrożenia Sklepu Webowego Wbudowane konektory wystarczy je skonfigurować Raportowanie Audytowanie
Bezpieczeństwo i kontrola dostępu Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji Wnioskowanie i przydzielanie dostępu Certyfikacja dostępu Automatyzacja nadawania uprawnień Zarządzanie dostępem poprzez interfejs web Autoryzacja do poszczególnych obiektów systemu Inteligentne zarządzanie tożsamością i rolami Bogate możliwości raportowania Portal samoobsługowy Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów Granularne delegacje uprawnień Wymusza odseparowanie obowiązków Zabezpiecza przywileje de dostępu Zarządzanie sesjami Monitorowanie prowadzanych poleceń Administracja tożsamością Upraszcza zarzadzanie kontami Konsolidacja usług katalogowych Administrowanie kontami Zarządzanie hasłami Uproszczenie zarządzanie MS, Unix, Linux, Mac Zarządzanie grupami Pojedyncze logowanie (SSO) Zarządzanie AD, migracje i koegzystencja środowisk Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników Granularny audyt kont AD Raportowanie uprawnień Kolekcjonowanie zdarzeń i powiadamianie Zarządzanie logami Rozwiązywanie kryzysów
Dziękuję za uwagę Grzegorz Szafrański tel: +48 601 427 533 e-mail: g.szafranski@quest-pol.com.pl Mariusz Przybyła tel: +48 666 89 13 17 e-mail: m.przybyla@quest-pol.com.pl Quest-Dystrybucja Sp. z o.o. Oddział: ul. Nabielaka 6, 00-743 Warszawa Centrala: ul. Podwale 62, 50-010 Wrocław www.quest-pol.com.pl