Zewnętrzne audyty bezpieczeństwa Czy powinniśmy się ich bać? Gerard Frankowski, Jakub Tomaszewski Zespół Bezpieczeństwa PCSS IDC IT Security Roadshow 20.03.08, Warszawa 1
Agenda Poznajmy się Wprowadzenie bezpieczeństwo IT Audyt bezpieczeństwa IT Obawy związane z zewnętrznym audytem bezpieczeństwa Wybrane aspekty audytów teleinformatycznych Podsumowanie, pytania, dyskusja 2
Poznajmy się 3
PCSS Poznańskie Centrum Superkomputerowo- Sieciowe Centrum obliczeniowe i składowania danych Operator sieci PIONIER oraz POZMAN Uczestnik projektów R&D Główne obszary zainteresowań Gridy, sieci nowej generacji, portale Bezpieczeństwo sieci i systemów http://www.pcss.pl 4
Zespół Bezpieczeństwa PCSS Dedykowany zespół istnieje od 1996 r. Zabezpieczanie infrastruktury PCSS Zadania bezpieczeństwa w projektach R&D Szkolenia, transfer wiedzy Badania własne Audyty i doradztwo w zakresie bezpieczeństwa IT Najciekawsze badania z ostatnich lat Bezpieczeństwo Instant Messengers ( 04-05) Badania sieci Wi-Fi na terenie Poznania ( 05) Raport o bezpieczeństwie bankowości elektronicznej ( 06) Bezpieczeństwo serwerów WWW Apache i MS IIS ( 07) Raport o bezpieczeństwie zakupów internetowych ( 08) http://security.psnc.pl 5
Centrum Innowacji Microsoft Centrum bezpieczeństwa i usług outsourcingowych Partnerzy projektu: Microsoft PCSS Politechnika Poznańska Zadania: Bezpieczeństwo technologii Usługi hostingowe Telemedycyna Multimedia II Konferencja MIC 13.05.08 http://mic.psnc.pl 6
Wprowadzenie 7
Audyt a bezpieczeństwo IT Dlaczego bezpieczeństwo IT jest problemem? Skomplikowane oprogramowanie Nieodpowiednia konfiguracja Niedostateczna wiedza i świadomość Czy potrzebujemy 100% ochrony? Ekonomia bezpieczeństwa: koszt ataku a moŝliwe zyski Podnosząc poprzeczkę napastnikowi utrudniamy lub uniemoŝliwiamy atak Nasza techniczna definicja audytu Utrudnienie ataku lub sprawdzenie, czy to dobrze zrobiono 8
Audyt teleinformatyczny 9
Audyt bezpieczeństwa fazy i cykle Bezpieczeństwo nie jest stanem, ale procesem Infrastruktura IT to Ŝywy organizm Kolejni uŝytkownicy, dodatkowa funkcjonalność,... Nowy sprzęt i oprogramowanie Innowacyjne technologie wprowadzają nowe rodzaje zagroŝeń Weryfikacja stanu bezpieczeństwa Cykl audytów pozwala na: Ciągłą weryfikację poziomu bezpieczeństwa Sprawdzenie poprawności reakcji na wyniki poprzedniej kontroli Propozycja działań korygujących Analiza ryzyka Implementacja, wdroŝenie 10
Obszary merytoryczne audytu Koszty Analiza ciągłości działania Bezpieczeństwo fizyczne Bezpieczeństwo sieci Opłacalność Bezpieczeństwo prawne Audyt teleinformatyczny Bezpieczeństwo dostępu zdalnego Bezpieczeństwo osobowe Bezpieczeństwo stacji roboczych Bezpieczeństwo serwerów 11
Czym jest, a czym nie jest audyt teleinformatyczny Audyt to: Weryfikacja zgodności stanu istniejącego ze stanem poŝądanym Działania zmierzające do wspomagania audytobiorcy Audyt to NIE: Kontrola, która ma znaleźć i ukarać winnych Działania zmierzające do spowodowania strat Dlaczego warto przeprowadzić audyt: NiezaleŜna ocena stanu bezpieczeństwa Rekomendacje dotyczące przyszłych wdroŝeń systemów IT Weryfikacja pracy własnych pracowników Symulacja ataku i sprawdzenie reakcji personelu 12
Metodyka audytu przykłady Metodyka recepta na audyt ISECOM = the Institute for Security and Open Methodologies Instytut opracował metodykę OSSTM (Open Source Security Testing Methodology) OSSTMM = OSSTM Manual, wersja 2.2 OSSTMM uwzględnia: Bezpieczeństwo informacji Bezpieczeństwo procesu Bezpieczeństwo technologii webowych Bezpieczeństwo narzędzi komunikacyjnych Bezpieczeństwo technologii bezprzewodowych Bezpieczeństwo fizyczne 13
Metodyka audytu przykłady (2) OWASP = Open Web Application Security Project Otwarta społeczność, której celem jest walka z błędami oprogramowania poszukiwanie oraz edukacja OWASP składa się z szeregu podprojektów związanych z bezpieczeństwem poszczególnych obszarów i technologii A Guide to Building Secure Web Applications and Web Services draft 3, luty 2006 Identyfikuje ok. 20 róŝnych aspektów bezpieczeństwa aplikacji webowych, jak np. e-commerce, phishing, kwestie autoryzacji, AJAX, błędy programistyczne,... 14
Obawy związane z zewnętrznym audytem bezpieczeństwa 15
Zewnętrzny a wewnętrzny audyt bezpieczeństwa Audyt wewnętrzny Znajomość infrastruktury Mniejsze koszty Pełne rozeznanie w niuansach związanych ze specyfiką działalności firmy (instytucji) AUDYT WEWNĘTRZNY!= AUDYT ZEWNĘTRZNY Oba podejścia są dobre ale do róŝnych zastosowań Audyt zewnętrzny ŚwieŜe spojrzenie Większa praktyka audytorów Wyczulenie na nowinki w dziedzinie bezpieczeństwa IT 16
Niechęć kierownictwa Po co nam to? Kto mógłby nas zaatakować? Do tej pory nikt nas nie zaatakował... Nie mamy Ŝadnych waŝnych danych... Wydostawanie się informacji poza firmę Dlaczego ktoś z zewnątrz ma analizować naszą sieć i systemy? Kwestie organizacyjne Oferta, umowy, spotkania,... Koszt 17
Odpowiedzi dla Kierownictwa Kwestia realności ataku Za kaŝdym razem, gdy [jakiś programista] mówi Nikt nie zada sobie trudu, Ŝeby to zrobić, zawsze znajdzie się jakiś dzieciak w Finlandii, który zada sobie trud A. Mayfield MoŜe ktoś się włamał, ale o tym nie wiemy? MoŜe nie chodzi o dane, ale np. o moc procesora? Firma z zewnątrz, spotkania, umowy,... Obiektywny ogląd sytuacji Umowy są m.in. po to, aby nie było wycieku informacji Koszt tak, ale audyt moŝe teŝ: Zwiększyć wydajność pracy Zabezpieczyć firmę przed oskarŝeniami Pomóc w wymianie sprzętu i oprogramowania 18
Obawy działu IT Co się stanie, jeśli wytkną nam błędy? Konsekwencje ze strony pracodawcy Kwestie honorowe Ktoś mnie sprawdza... Osoba zatrudniona przez szefa to nasz wróg Oni się mądrzą! Jeśli mam wdroŝyć te zalecenia, to wszystko stanie na głowie! 19
Jak rozwiązać obawy działu IT? Kwestie honorowe Weryfikacja to takŝe pomoc Audytorzy są specjalistami, ukierunkowanie to ich obowiązek Nie wszystkie zalecenia wprowadza się w Ŝycie Audyt moŝe teŝ: Wiele nauczyć Zaowocować wymianą sprzętu, oprogramowania Pomóc w organizacji szkoleń dla pracowników 20
Po audycie: Kierownictwo a dział IT Warunek konieczny rozsądek Kierownictwa Konieczne są spotkania audytorzy - Kierownictwo Dział IT (nie dział bezpieczeństwa) ma inną strukturę wiedzy niŝ ekipa audytorska Omyłki są rzeczą ludzką Audytorzy nie szukają winnych, tylko błędów Nowi pracownicy to nie gwarancja wyŝszego poziomu bezpieczeństwa, za to na pewno wymagają wdroŝenia Błąd zawiniony a niezawiniony 21
Inne aspekty audytów 22
Konieczność kompleksowego podejścia do bezpieczeństwa IT Jeden źle zabezpieczony element moŝe zepsuć cały efekt... Przykład audyt bezpieczeństwa w spółce z o.o. Struktura krytyczności luk Obszary, na których brak było szkoleń dla pracowników Obszary, na których szkolono pracowników 23
Walka wewnątrz firmy Zgubne skutki rozmycia odpowiedzialności A: to nie my, to B! B: za to odpowiada C! C: nie wiem, kto za to odpowiada, ale na pewno nie my... Kwestia procedur / polityki bezpieczeństwa Ekipa audytorska a Dział Bezpieczeństwa małe i średnie firmy brak dedykowanego działu bezpieczeństwa IT audytorzy zastępują tymczasowo dział bezpieczeństwa duŝe firmy i korporacje weryfikacja kompetencji moŝliwość rywalizacji 24
Koszt niezaleŝności spojrzenia Audyt zewnętrzny to istotnie nie tylko zalety Brak znajomości specyfiki pracy Z innego punktu widzenia to zaleta Niekiedy przepisy (zewnętrzne lub wewnętrzne) narzucają na audytorów określone ograniczenia Certyfikaty dla osób i/lub instytucji Dopuszczenie do informacji niejawnych Trudność ze znalezieniem audytorów / wyŝszy koszt Kompleksowy audyt wymaga pomocy pracowników 25
Podsumowanie Postęp nowych technologii niesie nieuniknione zagroŝenia Całkowite bezpieczeństwo to mit, ale wystarczy jego określony poziom Audyt teleinformatyczny wykrywa słabe punkty infrastruktury, a takŝe skutkuje zestawem zaleceń na przyszłość Audyt w ogóle to kwestia złoŝona Zewnętrzny audyt ma wiele zalet, ale teŝ i wady Większość obaw moŝna rozwiać przy pomocy uzgodnień między stronami oraz edukacji Decyzja naleŝy do Kierownictwa firmy / instytucji 26
Więcej informacji Gerard Frankowski, PCSS: gerard.frankowski@man.poznan.pl Jakub Tomaszewski, PCSS: jakub.tomaszewski@man.poznan.pl Centrum Innowacji Microsoft: http://mic.psnc.pl mic@man.poznan.pl PCSS: http://www.pcss.pl Zespół Bezpieczeństwa PCSS: http://security.psnc.pl security@man.poznan.pl 27
Pytania i dyskusja Dziękujemy za uwagę :-) 28