Audyty bezpieczeństwa dla samorządów i firm Gerard Frankowski, Zespół Bezpieczeństwa PCSS 1
Plan prezentacji Wprowadzenie Dlaczego korzystanie z infrastruktur teleinformatycznych jest niebezpieczne? Czy moŝna coś na to poradzić? Audyt teleinformatyczny Audyty fakty i mity Nieco teorii Korzyści Program audytów MIC Dlaczego? Dla kogo? Jak? Podsumowanie, pytania,... 2
Wprowadzenie 3
Kwestie bezpieczeństwa grają coraz większą rolę Techniki informatyczne są coraz bardziej wszechobecne Waga przesyłanych danych staje się większa Skutki naruszeń bezpieczeństwa mogą być coraz powaŝniejsze Rośnie takŝe ich koszt 4
Niestety nie da się zapewnić całkowitego bezpieczeństwa Skomplikowane oprogramowanie Wielkość kodu Liczba interfejsów Nieodpowiednia konfiguracja Wartości domyślne Trudna konfiguracja Grafika: http://sale.nf.pl Wiedza i świadomość UŜytkownicy Administratorzy (!) Programiści (!) 5
W tej sytuacji trzeba uciec się do zasad ekonomii bezpieczeństwa Wzrost znaczenia ekonomicznych aspektów bezpieczeństwa Napastnik: dopuszczalny koszt ataku Obrońca: wartość posiadanych danych / wielkość strat ZagroŜenie występuje, gdy: Koszt ataku <= wartość danych Podnosząc poprzeczkę napastnikowi zwiększamy koszt ataku Potrzebny szybszy komputer, więcej czasu MoŜe spróbować gdzieś indziej? 6
Jak Centrum Innowacji Microsoft wspiera uŝytkowników w tym zakresie? Oprogramowanie Istniejące: badania technologii Projektowane: budowa zestawu kryteriów Konfiguracja Istniejąca: audyt teleinformatyczny Projektowana: zestaw zaleceń dobrych praktyk Wiedza i świadomość Program szkoleń bezpieczeństwa 7
Audyt teleinformatyczny 8
Czym jest, a czym nie jest audyt teleinformatyczny Audyt to: weryfikacja zgodności stanu istniejącego ze stanem poŝądanym Działania zmierzające do wspomagania audytobiorcy Audyt to NIE: Kontrola, która ma znaleźć i ukarać winnych Działania zmierzające do spowodowania strat Dlaczego warto przeprowadzać audyt: NiezaleŜna ocena stanu bezpieczeństwa Rekomendacje dotyczące planowanych wdroŝeń systemów IT Weryfikacja pracy własnych pracowników Symulacja ataku i sprawdzenie reakcji personelu 9
Na kompletny audyt składa się wiele obszarów Koszty Analiza ciągłości działania Bezpieczeństwo prawne Bezpieczeństwo fizyczne Audyt teleinformatyczny Bezpieczeństwo sieci Bezpieczeństwo dostępu zdalnego Opłacalność Bezpieczeństwo osobowe Bezpieczeństwo stacji roboczych Bezpieczeństwo serwerów 10
W procesie audytu moŝna wyodrębnić następujące cyklicznie etapy Bezpieczeństwo nie jest stanem, ale procesem Infrastruktura IT to Ŝywy organizm Kolejni uŝytkownicy, dodatkowa funkcjonalność,... Nowy sprzęt i oprogramowanie Innowacyjne technologie wprowadzają nowe rodzaje zagroŝeń Weryfikacja stanu bezpieczeństwa Cykl audytów pozwala na: Ciągłą weryfikację poziomu bezpieczeństwa Analiza ryzyka Implementacja, wdroŝenie Propozycja działań korygujących Sprawdzenie poprawności reakcji na wyniki poprzedniej kontroli 11
Procedura przeprowadzenia audytu wiąŝe się często z szeregiem wątpliwości Czy moŝna udostępnić wiedzę o systemach i danych osobom z zewnątrz? Dane tzw. sensytywne Audytorzy poznają słabości badanych systemów teleinformatycznych Czy audyt nie naruszy normalnego funkcjonowania firmy? Podpisanie i przestrzeganie odpowiednich umów Umowa o zachowaniu poufności Uzgodnienia co do badań systemów istotnych dla ciągłości świadczenia usług Kwestia profesjonalizmu audytorów 12
Przeprowadzenie audytu wymaga systematyczności, ale i elastyczności Audyt teleinformatyczny to skomplikowane przedsięwzięcie Konieczność uwzględnienia wszelkich aspektów Ogólne wzorce, checklisty Systematyczne podejście umoŝliwia teŝ lepszą organizację pracy Z drugiej strony, kaŝdy przypadek wymaga indywidualnego podejścia Nie ma dwóch takich samych infrastruktur teleinformatycznych Wzorce pozwalają nakreślić ogólne ramy, które ekipa audytorska wypełnia uŝywając swej wiedzy, doświadczenia i intuicji 13
Jedną z dróg jest skorzystanie z zasad zawartych w OSSTM ISECOM = the Institute for Security and Open Methodologies Instytut opracował metodykę OSSTM (Open Source Security Testing Methodology OSSTMM = OSSTM Manual, wersja 2.2 OSSTMM uwzględnia: Bezpieczeństwo informacji Bezpieczeństwo procesu Bezpieczeństwo technologii webowych Bezpieczeństwo narzędzi komunikacyjnych Bezpieczeństwo technologii bezprzewodowych Bezpieczeństwo fizyczne OSSTMM zawiera szereg przydatnych wzorców 14
Warto zapoznać się takŝe z wytycznymi projektu OWASP OWASP = Open Web Application Security Project Otwarta społeczność, której celem jest poszukiwanie, walka i edukacja w zakresie błędów oprogramowania 15
Program audytów MIC 16
Program audytów Centrum Innowacji Microsoft Cele programu audytów: Zwiększenie poziomu bezpieczeństwa rozwiązań Microsoft oraz obsługiwanych przez nie zastosowań Budowanie i utrwalanie relacji zaufania do produktów firmy Microsoft Program skierowany jest do: Jednostek administracji samorządowej Małych i średnich przedsiębiorstw (firmy hostingowe, tworzące oprogramowanie itp.)... Audyty prowadzone są przez wykwalifikowanych specjalistów z Zespołu Bezpieczeństwa PCSS 17
KaŜdy audyt MIC posiada pewne cechy wspólne Bezpłatny dla audytobiorcy Infrastruktury oparte na rozwiązaniach Microsoftu Opracowano metodykę zawierającą elementy: OSSTMM (OSSTM Manual) Wytyczne projektu OWASP Wytyczne zawarte w BS 7799:2001/ISO 27001 Kolejność działań Kontakt i wstępne porozumienie Umowa o poufności Szczegółowy zakres, podpisanie umowy głównej Ustalenie harmonogramu Przystępujemy do pracy! 18
MIC realizuje program audytów w kilku jednostkach o róŝnym charakterze Jednostki administracji samorządowej (kilka) Urzędy Miast, Starostwo Poznańskie Planowany co najmniej 1 cykliczny audyt Firmy komercyjne (kilka) Zakładane wyniki Pełne raporty dla kontrolowanych jednostek Anonimowe raporty ogólne dla firmy Microsoft Ogólna analiza popełnionych błędów powstaną dobre praktyki Materiał wejściowy do szkoleń bezpieczeństwa Harmonogram Koniec czerwca 2007 2 zrealizowane audyty Grudzień 2007 szkolenie bezpieczeństwa dla programistów Do końca 2007 kolejne 3-4 audyty, przekrojowe raporty 19
Podsumowanie Postęp nowych technologii niesie nieuniknione zagroŝenia Choć całkowite bezpieczeństwo jest w praktyce mitem, wystarczy zapewnić określony jego poziom Pomaga w tym przeprowadzenie audytu teleinformatycznego, który wykrywa słabe punkty infrastruktury, a takŝe skutkuje zestawem zaleceń Audyt nie jest polowaniem na czarownice. Istnieje szereg metodyk i zestawów wytycznych pozwalająchych na przeprowadzenie kompletnego audytu Centrum Innowacji Microsoft realizuje program bezpłatnych audytów teleinformatycznych dla administracji samorządowej i firm hostingowych 20
Więcej informacji Gerard Frankowski, PCSS: gerard@man.poznan.pl Centrum Innowacji Microsoft: http://mic.psnc.pl mic-tech@lists.man.poznan.pl PCSS: http://www.man.poznan.pl Zespół Bezpieczeństwa PCSS: http://security.psnc.pl Metodyki audytorskie i wytyczne: http://www.owasp.org (OWASP) http://www.isecom.org (OSSTM) 21
Pytania, dyskusja Dziękuję za uwagę :-) 22