Security & Identity Round Table Warszawa, 24 kwietnia 2014 Quest Software, now a part of Dell Bezpieczeństwo i Audyt Systemów Warszawa, 20 maja 2014 1
Opis i architektura rozwiązań z zakresu audytu, kontroli i zabezpieczenia systemów Grzegorz Szafrański, Solutions Architect
Agenda Wyzwania w zarządzaniu logami w środowisku heterogenicznym Prezentacja systemu InTrust Architektura systemu Przykłady raportów Przykłady powiadomień InTrust + ChangeAuditor kompleksowy audyt IT Dlaczego warto korzystać z rozwiązań InTrust? Pytania i odpowiedzi
Bezpieczeństwo i kontrola dostępu Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji Wnioskowanie i przydzielanie dostępu Certyfikacja dostępu Automatyzacja nadawania uprawnień Zarządzanie dostępem poprzez interfejs web Autoryzacja do poszczególnych obiektów systemu Inteligentne zarządzanie tożsamością i rolami Bogate możliwości raportowania Portal samoobsługowy Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów Granularne delegacje uprawnień Wymusza odseparowanie obowiązków Zabezpiecza przywileje de dostępu Zarządzanie sesjami Monitorowanie prowadzanych poleceń Administracja tożsamością Upraszcza zarzadzanie kontami Konsolidacja usług katalogowych Administrowanie kontami Zarządzanie hasłami Uproszczenie zarządzanie MS, Unix, Linux, Mac Zarządzanie grupami Pojedyncze logowanie (SSO) Zarządzanie AD, migracje i koegzystencja środowisk Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników Granularny audyt kont AD Raportowanie uprawnień Kolekcjonowanie zdarzeń i powiadamianie Zarządzanie logami Rozwiązywanie kryzysów
Możliwości w zarządzaniu Portfolio produktów do zarządzania infrastrukturą IT Zakres rozwiązań Portfolio produktów do zarządzania Quest ActiveRolesServer środowiskiem Windows Administrowanie Active Directory Exchange Windows Unix/ Linux/ MacOS ActiveRolesQuick Connect ActiveRolesSelf Service ActiveRoles Exchange Resource Forest Manager Quest Access Manager Quest Password Manager Quest Spotlight on Active Directory Quest GPOAdmin Quest Archive Manager Quest Spotlight on Messaging Quest Collaboration Services for Exchange Spotlight on Windows Quest Storage Manager for Windows Compliance Portal Quest vworkspace Spotlight on Unix/Linux Quest Single Sign-onfor Java Quest Authentication Services + Group Policy Site Administrator for Server Administrator for Storage Maximizer for Deployment Manager for WebPartsfor Raportowanie Quest Reporter Quest MessageStats Quest Reporter Odzyskiwanie danych oraz Backup Audyt logów i Bezpieczeństwo Zarządzanie desktopami Recovery Manager for Active Directory + Forrest Etition Change Auditor for Active Directory Recovery Manager for Exchange NetVault Backup Change Auditor for Exchange NetVault Backup Change Auditor for Windows File Servers Quest InTrust Quest vworkspace Desktop Authority Quest Mangment Extension for SCDPM NetVault Backup Quest Priviledge Manager for Unix Site Administrator for Recovery Manager for Change Auditor for Zarządzanie tożsamością Migracja Domain Migration Wizard Migration Manager for AD NDS Migrator QUEST ONE QUICK CONNECT SOLUTIONS QUEST ONE TOTAL PRIVILEGED ACCESS MANAGEMENT (TPAM) SOLUTIONS QUEST ONE IDENTITY SOLUTIONS Exchange Migration Wizard Migration Manager for Exchange GroupWise Migrator for Exchange Notes Migrator for Exchange Storage Consolidator for Windows NIS/ NIS+ Migrator Notes Migrator for File Share Migrator for Migration Manager for Public Folder Migrator for
Możliwości w zarządzaniu Portfolio produktów do zarządzania infrastrukturą IT Portfolio produktów do zarządzania Quest ActiveRolesServer środowiskiem Windows Administrowanie Active Directory Exchange Windows Unix/ Linux/ MacOS ActiveRolesQuick Connect ActiveRolesSelf Service ActiveRoles Exchange Resource Forest Manager Quest Access Manager Quest Password Manager Quest Spotlight on Active Directory Quest GPOAdmin Quest Archive Manager Quest Spotlight on Messaging Quest Collaboration Services for Exchange Zakres rozwiązań Spotlight on Windows Quest Storage Manager for Windows Compliance Portal Quest vworkspace Spotlight on Unix/Linux Quest Single Sign-onfor Java Quest Authentication Services + Group Policy Site Administrator for Server Administrator for Storage Maximizer for Deployment Manager for WebPartsfor Raportowanie Quest Reporter Quest MessageStats Quest Reporter Odzyskiwanie danych oraz Backup Audyt logów i Bezpieczeństwo Zarządzanie desktopami Zarządzanie tożsamością Migracja Recovery Manager for Active Directory + Forrest Etition Change Auditor for Active Directory Domain Migration Wizard Migration Manager for AD NDS Migrator Recovery Manager for Exchange NetVault Backup Change Auditor for Exchange NetVault Backup Change Auditor for Windows File Servers Quest InTrust Quest vworkspace Desktop Authority Quest Mangment Extension for SCDPM NetVault Backup Quest Priviledge Manager for Unix QUEST ONE QUICK CONNECT SOLUTIONS QUEST ONE TOTAL PRIVILEGED ACCESS MANAGEMENT (TPAM) SOLUTIONS QUEST ONE IDENTITY SOLUTIONS Exchange Migration Wizard Migration Manager for Exchange GroupWise Migrator for Exchange Notes Migrator for Exchange Storage Consolidator for Windows NIS/ NIS+ Migrator Site Administrator for Recovery Manager for Change Auditor for Notes Migrator for File Share Migrator for Migration Manager for Public Folder Migrator for
Problemy związane z bezpieczeństwem środowiska
Problemy techniczne Sieć nie jest jednorodna, jest heterogeniczna. Nie mamy pewności ile danych znajduje się w sieci, gdzie lub jak można je przechowywać. Przechowywanie danych jest kosztowne. Nieuczciwi administratorzy lub użytkownicy mogą uzyskać dostęp do logów i je fałszować, co obniża ich integralność konieczną przy badaniach kryminalistycznych. Utracenie plików dziennika logów z powodu awarii może zniszczyć dowody nieodpowiedniego zachowania. Ręczne metody wykrywania podejrzanych działań są kłopotliwe i podatne na niepowodzenie. Elastyczność w raportowaniu jest ważna w celu spełnienia zróżnicowanych potrzeb użytkowników. W jaki sposób dostarczyć ją ludziom, którzy jej potrzebują? Niezdolność do podjęcia odpowiednich działań w przypadku wystąpienia naruszeń bezpieczeństwa.
Co byłoby, gdybyśmy mogli. Zbierać dane z dziennika zdarzeń z różnych platform i poprawić bezpieczeństwo krytycznych informacji? Zaoszczędzić cenne miejsce w magazynie danych poprzez przechowywanie dzienników zdarzeń w skompresowanym formacie? Raportować i gromadzić aktywności użytkowników na potrzeby spełniania zgodności, jak również natychmiast przeprowadzać analizę sądową, pomocną w podejmowaniu lepszych decyzji w sprawie bezpieczeństwa informacji? Wiedzieć, kiedy występuje naruszenie zasad dostępu do danych i posiadać zdolność do egzekwowania polityki bezpieczeństwa w celu zachowania jej zgodności? Wykorzystać istniejące rozwiązania do monitoringu, w celu przyspieszenia zwrotu z inwestycji w to rozwiązanie?
Opis rozwiązania Quest InTrust Rozwiązanie pozwala na kolekcjonowanie, przechowywanie oraz raportowanie na temat krytycznych zdarzeń pojawiających się w logach systemowych i danych zebranych z infrastruktury IT. Spełnia wymogi zewnętrznych regulacji prawnych oraz wewnętrznych polityk poprzez: Automatyzację procesu kolekcjonowania danych ze środowisk heterogenicznych. Gromadzenie i korelowanie informacji na temat logowań użytkowników i administratorów od chwili zalogowania do wylogowania. Zmniejszenie wymagań potrzebnych na przechowywanie archiwum. Dostarczanie inteligentnego raportowania, zgodnego z Compliance. Udostępnienie jednego wspólnego portalu bezpieczeństwa. Zapewnienie integralności oraz zabezpieczenia przed utratą logów.
InTrust - Zaawansowane rejestrowanie logowań i sesji użytkowników InTrust loguje specjalne zdarzenia w nowym, własnym logu. Dzięki temu można uzyskać szczegółowe informacje na temat: Kiedy i jak długo komputer był rzeczywiście używany między logowaniem i wylogowaniem przez użytkownika. Co spowodowało okresy nieaktywności użytkownika między jego logowaniem i wylogowaniem na serwerze/stacji roboczej (przełączanie użytkowników, uruchomienie wygaszacza ekranu, blokada komputera przez użytkownika podczas sesji logowania). Równoczesne aktywności użytkownika na komputerze - logowanie się na tego samego użytkownika z różnych miejsc.
InTrust - zaawansowane rejestrowanie zdarzeń: Sesji użytkowników wraz z podaniem informacji co było powodem jej zakończenia (np. restart komputera, wyłączenie, wylogowanie, przelogowanie, blokada stacji) Logowań interaktywnych (lokalnych). Logowań przez zdalny pulpit (administratorów i użytkowników). Logowań do domeny (na kontrolerach domeny).
InTrust przykład logowań użytkownika 007
Raportowanie zgodne z Compliance Informacja o Active Directory/Exchange/Sharepoint/ Windows Serwery i stacje robocze Aplikacje Sharepoint Exchange Microsoft Identity Lifecycle Manager Active Directory Lightweight Directory Service Pliki i foldery Bazy danych SQL Server Oracle CIO Audytorzy Oficerowie bezp. Administratorzy COSO, HIPAA, PCI, SOX Natychmiastowe powiadomienia Regulacje zewnętrzne CoBit*, ISO17799*, FFIEC* ITIL*, BASEL II*, J-SOX*, OMB A-123
Quest Knowledge Portal raporty bezp.
Schemat budowy Quest InTrust - diagram
Jak działa InTrust.. Real Time Alerts Sites RHL DCs Import Gathering Install Agents Config DB Automated Workflow
Quest InTrust - Architektura
Systemy wspierane przez InTrust Microsoft Windows 2000 2003 / 2003 R2 2008 / 2008 R2 XP Professional Vista Windows 7 Dzienniki Aplikacji i Usług Exchange 2000 2003 2007 2010 DNS/DHCP MIIS/ILM IIS ISA/TMG Linux CentOS Red Hat Enterprise AS/ES/WS SUSE SLES 9/10/11 Inne poprzez Syslog Unix Solaris 8/9/10 Sparc & Intel IBM AIX 5L, 6 HP-UX Inne porzez Syslog Patformy wirtualne VMWare vcenter/esx(i) Hyper-V Bazy danych Oracle MS SQL Server ODBC Urządzenia sieciowe Cisco PIX CheckPoint Syslog Pliki tekstowe Apache, Squid Narzędzia Quest
Dostępne moduły Quest InTrust
Dodatkowe moduły InTrust - ChangeAuditor Change Auditor for Active Directory Change Auditor for Exchange Change Auditor for Windows File Servers Change Auditor for LDAP Change Auditor for SQL Change Auditor for NetAPP Change Auditor for EMC Change Auditor for Defender Change Auditor for VMWare Change Auditor for InTrust Plug-in Workstations/End Devices
Nigdy nie tracimy danych Co się stanie gdy
Nie ma połączenia z agentem Agent InTrust Server DBServer X Secure Cache Event A Event Log Event A Event E InTrust Server 2 DBServer 2 Event B Event C Event D Event E Event F Event G 30 day Max Event B Event C Event D Event F Event G 10MB Max
Wyłączymy serwer InTrust Agent InTrust Server DBServer X Secure Cache Event A Event Log Event A Event E InTrust Server 2 DBServer 2 Event B Event C Event D Event E Event F Event F 30 day Max Event B Event C Event D Event F Event F 10MB Max
Wyłączymy bazę danych Agent InTrust Server DBServer X Secure Cache Event A Event Log Event A Event E InTrust Server 2 DBServer 2 Event B Event C Event D Event E Event F Event F 30 day Max Event B Event C Event D Event F Event F 10MB Max
Wyłączymy agenta InTrust a XAgent InTrust Server DBServer SHUTDOWN Automatic Shutdown Secure Cache Event A Event B Event C Event Log Event A Event B Event C 10MB Max InTrust Server 2 DBServer 2 30 day Max
Dlaczego bezpieczniej i lepiej jest używać agentów Quest InTrust do monitorowania bezpieczeństwa? Nigdy nie tracimy danych (agent-side caching). Szyfrowane połączenie agent-serwer (3DES, 128bit) Konfigurowanie obciążenia procesora maszyny podczas zbierania logów Łatwa instalacja poprzez sieć Kompresja informacji przesyłanych przez sieć (40-90:1) Alarmowanie online o krytycznych incydentach bezpieczeństwa Podejmowanie akcji po wykryciu incydentu Możliwość dystrybucji plików
Jak Quest InTrust może wykrywać problemy z autentykacją i autoryzacją? Poprzez kolekcjonowanie i powiadamianie o Próbach zmiany haseł Poprawnych logowaniach poprzedzonych kilkoma niepoprawnymi logowaniami Nieudanymi logowaniami wykonanymi po normalnych godzinach pracy I wiele innych
Przykłady powiadomień Typ raportu Użytkownicy Produkt Authentication Failures Próbujesz być kimś kim nie jesteś InTrust Authorization Failures Próbujesz zrobić coś, do czego nie jesteś uprawniony InTrust Abnormal Usage Use of Prohibited Software Admin Rights/ Privileged Rights Forensic & Compliance Analysis Próbujesz zrobić coś w inny sposób niż to robisz normalnie; może to nie być problem, ale także może to być podejrzane zachowanie Używasz oprogramowania, które nie jest dozwolone w twoim środowisku Jako administrator możesz mieć dostęp do wszystkiego i twoje zachowanie powinno być monitorowane Upewniasz się, że wiesz, którzy z uprawnionych użytkowników pracowali po godzinach InTrust InTrust InTrust InTrust
Przykłady reguł
Unikalność rozwiązania InTust Duża kompresja logów od 40 do 90% w repozytorium. Zabezpieczenie przed stratą informacji. Redundancja. Analiza anomalii. Podejmowanie akcji po wykryciu incydentu. Generowanie logów z sesji użytkownika i administratora (od zalogowania do wylogowania). Raportowanie równoczesnych logowań z wielu miejsc. Korelacja logów następujących po sobie.
InTrust + ChangeAuditor Ulepszone rejestrowanie logowań użytkowników oraz wydajne przechowywanie tych informacji
ChangeAuditor szczegółowy audyt Szczegółowa, własna inspekcja zdarzeń i ich rejestrowanie dla: Active Directory & AD LDS (ADAM) Exchange Serwery plików Windows VMware vcenter / hostów ESX Macierze NetApp oraz EMC Microsoft SQL Server Zapytań LDAP kierowanych do Active Directory (przez aplikacje i skrypty) Rejestrów, Lokalnych użytkowników i grup oraz Usług Szczegółowe rejestrowanie Kto, Co, Kiedy, Gdzie, Dlaczego oraz Źródło pochodzenia plus oryginalną i aktualną wartość wszystkich zmian prezentowanych w prostych zdarzeniach Rejestruje zdarzenia w dzienniku zdarzeń Windows, które zbiera, monitoruje i długoterminowo przechowuje InTrust Chroni przed niechcianymi zmianami na obiektach AD, skrzynkach pocztowych oraz plikach i folderach Windows
Uproszczona architektura InTrust + ChangeAuditor
ChangeAuditor oraz InTrust przepływ danych Ulepszone rejestrowanie logowań użytkowników i sesji za pomocą InTrust 10.5 Exchange ChangeAuditor Real Time Windows File Server Active Directory/ LDAP ChangeAuditor Client SQL Server Workstation InTrust & Repository API W6: Who, What, When, Where, Why & Workstation (Origin)
Architektura ChangeAuditor a i InTrust a do długoterminowego składowanie danych NetApp EMC Exchange Windows File Server SQL Server Active Directory/ LDAP ChangeAuditor Real Time 40X współczynnik kompresji logów ChangeAuditor (Client) Reports (Knowledge Portal) InTrust - zaplanowane zbieranie (Long Term Storage) InTrust (Short Term Storage)
Zdarzenia logowania z InTrust trafiają do konsoli ChangeAuditor a Śledzenie różnych typów logowań użytkowników zebranych z logów przez InTrust
Zdarzenia sesji logowań użytkowników dostępne w konsoli ChangeAuditor Jak długo zalogowany był użytkownik? Jakie zmiany wykonał on podczas sesji?
Audyty bezpieczeństwa najważniejszych systemów informatycznych. W jaki sposób Quest pomaga osiągnąć zgodność z polityką bezpieczeństwa? Przejrzystość Szczegółowa analiza Prewencyjne kontrole
Przejrzystość na konfigurację środowiska serwerowego jak i użytkowników Przejrzystość na procesy przydzielania dostępów użytkownikom (provisioning) Przejrzystość dostępów użytkowników (uprawnienia) Szczegółowa analiza pozwalająca określić kto, kiedy, gdzie i w jaki sposób naruszył dostęp na podstawie posiadanych uprawnień Powiadomienia o każdej podejrzanej aktywności Prewencyjne kontrole pozwalające wskazywać odstępstwa od pojawiających się zdarzeń Natychmiastowe adresowanie problemów Dokumentowanie odstępstw od wyjątków, które są autoryzowane
Quest Reporter Narzędzie do raportowania i analizy Dostarcza mechanizm do zaawansowanego zbierania informacji z sieci.
Quest ChangeAuditor Monitoruje kto co zrobił. Audytuje aktywności użytkowników w środowisku oraz dostarcza natychmiastowe powiadomienia o ważnych zmianach.
Quest InTrust Zmniejsza złożoność i koszty zarządzania dziennikiem zdarzeń Śledzi dostęp użytkowników od chwili zalogowania do wylogowania i wszystko pomiędzy tymi zdarzeniami
Quest Knowledge Portal Dostarcza jeden panel dla wszystkich rozwiązań bezp.
Cechy ChangeAuditor a i InTrust - porównanie ChangeAuditor Zmniejsza złożoność i koszty zarządzania dziennikiem zdarzeń. Szczegółowy audyt dla Active Directory, Exchange, serwerów plików Windows,, VMware i innych. Ochrona przed niechcianymi lub nieplanowanymi zmianami w Active Directory, Exchange oraz systemie plików Windows Natychmiastowy wgląd do wszystkich zmian zachodzących w środowisku IT. Interaktywna analiza zmian wraz z ich wbudowanym grupowaniem, sortowaniem, filtrowaniem i możliwościami tworzenia wykresów. Oferuje panele dostępne przez WWW prezentujące statystyki zmian dla kadry zarządzającej i audytorów. Inteligentne powiadamianie dla poszczególnych zdarzeń na podstawie wzorców. InTrust Gromadzenie, przechowywanie, raportowanie i powiadamianie z natywnych logów Windows wraz z rejestrowaniem logowań i wylogowań użytkowników na serwerach Windows i stacjach roboczych. Długoterminowe archiwizowanie logów dla zdarzeń Windows oraz ChangeAuditor a (wartościowe dane z kilku lat) Szczegółowa analiza aktywności użytkowników w całej sieci przedsiębiorstwa. Szerokie wsparcie dla systemów heterogenicznych, aplikacji i urządzeń. Zaplanowane w czasie wykonywanie raportów ze strony WWW wraz z elastycznymi możliwościami ich dostarczania. Natychmiastowa korelacja zdarzeń i wykonywanie automatycznych akcji.
Korzyści ze stosowania rozwiązania InTrust Zaawansowany audyt aktywności i zmian w środowiskach Active Directory/Windows Exchange Unix/Linux Urządzenia sieciowe Bazy danych Audyt logowań i sesji użytkowników Raportowanie Predefiniowane oraz elastyczne raporty Raporty pomagające raportować dla regulacji SOX, HIPAA, PCI oraz COSO Zwiększenie bezpieczeństwa Powiadomienia i korelacje w Real time minimalizujące ryzyko niebezpieczeństwa Wywoływane automatycznie akcje Zabezpieczanie krytycznych obiektów przed niechcianą aktywnością użytkowników Przechowywanie więcej danych Repozytorium InTrust - kompresja
Możliwości w zarządzaniu Portfolio produktów do zarządzania infrastrukturą IT Zakres rozwiązań Portfolio produktów do zarządzania Quest ActiveRolesServer środowiskiem Windows Administrowanie Active Directory Exchange Windows Unix/ Linux/ MacOS ActiveRolesQuick Connect ActiveRolesSelf Service ActiveRoles Exchange Resource Forest Manager Quest Access Manager Quest Password Manager Quest Spotlight on Active Directory Quest GPOAdmin Quest Archive Manager Quest Spotlight on Messaging Quest Collaboration Services for Exchange Spotlight on Windows Quest Storage Manager for Windows Compliance Portal Quest vworkspace Spotlight on Unix/Linux Quest Single Sign-onfor Java Quest Authentication Services + Group Policy Site Administrator for Server Administrator for Storage Maximizer for Deployment Manager for WebPartsfor Raportowanie Quest Reporter Quest MessageStats Quest Reporter Odzyskiwanie danych oraz Backup Audyt logów i Bezpieczeństwo Zarządzanie desktopami Recovery Manager for Active Directory + Forrest Etition Change Auditor for Active Directory Recovery Manager for Exchange NetVault Backup Change Auditor for Exchange NetVault Backup Change Auditor for Windows File Servers Quest InTrust Quest vworkspace Desktop Authority Quest Mangment Extension for SCDPM NetVault Backup Quest Priviledge Manager for Unix Site Administrator for Recovery Manager for Change Auditor for Zarządzanie tożsamością Migracja Domain Migration Wizard Migration Manager for AD NDS Migrator QUEST ONE QUICK CONNECT SOLUTIONS QUEST ONE TOTAL PRIVILEGED ACCESS MANAGEMENT (TPAM) SOLUTIONS QUEST ONE IDENTITY SOLUTIONS Exchange Migration Wizard Migration Manager for Exchange GroupWise Migrator for Exchange Notes Migrator for Exchange Storage Consolidator for Windows NIS/ NIS+ Migrator Notes Migrator for File Share Migrator for Migration Manager for Public Folder Migrator for
Bezpieczeństwo i kontrola dostępu Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji Wnioskowanie i przydzielanie dostępu Certyfikacja dostępu Automatyzacja nadawania uprawnień Zarządzanie dostępem poprzez interfejs web Autoryzacja do poszczególnych obiektów systemu Inteligentne zarządzanie tożsamością i rolami Bogate możliwości raportowania Portal samoobsługowy Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów Granularne delegacje uprawnień Wymusza odseparowanie obowiązków Zabezpiecza przywileje de dostępu Zarządzanie sesjami Monitorowanie prowadzanych poleceń Administracja tożsamością Upraszcza zarzadzanie kontami Konsolidacja usług katalogowych Administrowanie kontami Zarządzanie hasłami Uproszczenie zarządzanie MS, Unix, Linux, Mac Zarządzanie grupami Pojedyncze logowanie (SSO) Zarządzanie AD, migracje i koegzystencja środowisk Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników Granularny audyt kont AD Raportowanie uprawnień Kolekcjonowanie zdarzeń i powiadamianie Zarządzanie logami Rozwiązywanie kryzysów
Pytania?
Dziękuję za uwagę Grzegorz Szafrański tel: +48 601 427 533 e-mail: g.szafranski@quest-pol.com.pl Quest-Dystrybucja Sp. z o.o. Oddział: ul. Nabielaka 6, 00-743 Warszawa Centrala: ul. Podwale 62, 50-010 Wrocław www.quest-pol.com.pl