Security Management. Přednáška pro ISE 21. března Marek Rychlý (a Ivana Burgetová)

Transkript

1 Security Management Přednáška pro ISE 21. března 2014 Marek Rychlý (a Ivana Burgetová)

2 Security Management The service managing the protection of your IT infrastructure from external attacks, and preventative measure taken to meet the same. 2

3 Obsah Úvod Proč se zabývat bezpečností Jak se bránit Strategie řízení bezpečnosti Ţivotní cyklus bezpečnosti Defense in Depth Interní a zákaznické bezpečnostní standardy Interní procesy v rámci servisní organizace Sluţby z oblasti bezpečnosti Propojení sluţeb Information Security Management (ITIL) 3

4 Proč se zabývat bezpečností Ztráta dat Neautorizovaný přístup k datům Ztráta dobré pověsti a důvěry Neautorizovaná změna dat Ohrožení servisu či produkce Vyřazená služba Neautorizova ný přístup ke zdrojům Poškození kriminální činností 4

5 Proč se zabývat bezpečností Computer Crime and Security Survey 5

6 Jak se bránit Vzděláním zodpovědných a zúčastněných Nastavením rolí a přístupových práv Vhodným programovým vybavením Pravidelnou aktualizací softwaru Dodrţováním základních pravidel Pravidelnou kontrolou Aktivní kontrolou Fyzickým zabezpečením D/R procedura 6

7 Obsah Úvod Proč se zabývat bezpečností Jak se bránit Strategie řízení bezpečnosti Ţivotní cyklus bezpečnosti Defense in Depth Interní a zákaznické bezpečnostní standardy Interní procesy v rámci servisní organizace Sluţby z oblasti bezpečnosti Propojení sluţeb Information Security Management (ITIL) 7

8 Strategie řízení bezpečnosti Kolik prostředků vynaloţit na bezpečnost? Jak velká bezpečnostní opatření jsou nezbytná pro přiměřenou ochranu našeho IT prostředí? Jaká bezpečnostní opatření uţ jsou pro nás neefektivní? Náklady na bezpečnost = pravděpodobnost útoku * potenciální náklady (přímé, nepřímé) Nepřímé náklady - nelze jednoznačně určit, odhad 8

9 Strategie řízení bezpečnosti Kdo a proč podniká útoky? Amatéři pro potěšení Odborníci ze zvědavosti Nezávislí profesionálové peněţní zisk Organizované skupiny peněţní zisk 9

10 Ţivotní cyklus bezpečnosti Úplný uzavřený cyklus řízení programu zabezpečení informací v čase Trvalé zvyšování kvality bezpečnostního programu 10

11 Ţivotní cyklus bezpečnosti 11

12 Defence in depth Princip, který zajišťuje to, ţe bezpečnost nebude implementována pouze v jedné vrstvě podnikového prostředí (v souladu se stanovenou bezpečnostní politikou) Uncontrolled Controlled Restricted Secured Internet Intranet, Extranet DMZ & Web Services Transaction Servers 12

13 Defence in depth Configuration / Patching Antivirus Firewall Workstations Device Configuration / ACL Network Architecture Firewall Intrusion Detection Network Configuration / Patching Authentication and Access Antivirus Firewall Intrusion Detection Security Policy / Support Procedures Servers 13

14 Strategie řízení bezpečnosti O w n e r s v a lu e w is h t o m in im iz e im p o s e S a fe g u a r d s t o r e d u c e t h a t m a y b e r e d u c e d b y t h a t m a y p o s s e s s m a y b e a w a r e o f V u ln e r a b ilitie s le a d in g t o T h r e a t A g e n ts t h a t e x p lo it g iv e r is e t o T h r e a ts t h a t in c r e a s e R is k w is h t o a b u s e a n d /o r d a m a g e A s s e ts 14

15 Obsah Úvod Proč se zabývat bezpečností Jak se bránit Strategie řízení bezpečnosti Ţivotní cyklus bezpečnosti Defense in Depth Interní a zákaznické bezpečnostní standardy Interní procesy v rámci servisní organizace Sluţby z oblasti bezpečnosti Propojení sluţeb Information Security Management (ITIL) 15

16 Interní a zákaznické bezpečnostní standardy Identifikace Autentifikace (autentizace) Autorizace Ochrana a utajení informací Spolehlivost a dostupnost sluţeb Nastavení Auditu Kontrola Reportování a řízení bezpečnostní incidentů Správa fyzického přístupu 16

17 Autentifikace Uţivatel - systém Systém - systém Autorizace Vzdálený přístup pro zaměstnance Varování Uţivatelské zdroje Ochrana a utajení informací Zbytkové informace Šifrování Interní a zákaznické bezpečnostní standardy 17

18 Spolehlivost a dostupnost sluţeb Správa systémových zdrojů Škodlivý kód Monitorování slabin Varovný systém bezpečnostních záplat Modifikace SW Dostupnost sluţeb Nastavení auditu Interní a zákaznické bezpečnostní standardy Zaznamenávání úspěšných a neúspěšných pokusů o přihlášení Správa fyzického přístupu Fyzická ochrana systémů a sítí Fyzická ochrana a inventarizace médií 18

19 Reportování a řízení bezpečnostních incidentů Je třeba kontaktovat zodpovědné osoby a informovat je Kontaktní osoby za vedení a za technickou oblast. Popis problému, rozsah systémů či dat jeţ byly zasaţeny incidentem, jiţ provedené aktivity. Je třeba okamţitě vytvořit záznam obsahující veškeré informace týkající se incidentu. Ke kaţdé informaci je nutné uvést datum a čas. Technická podpora musí začít aktivity ke zmírnění následků Zodpovědné osoby poskytnou informace a instrukce jak postupovat. Je špatné: Provádět vyšetřování na vlastní pěst. Rizikem můţe být předčasné prozrazení vyšetřování nebo ovlivnění záznamů. Kontaktovat osoby či společnosti podezřelé ze zavinění incidentu, bez přímého pokynu zodpovědné osoby. Pokusit se vrátit útok útočníkovi (jeho systému). Pokusit se vyčistit (odstranit data), bez přímého pokynu zodpovědné osoby. Rizikem by mohla být ztráta dat nutných pro odhalení příčiny. 19

20 Interní a zákaznické bezpečnostní standardy Fyzická bezpečnostní kontrola Prostory Zařízení Tisky Zodpovědnost pouze za vlastní prostory, nikoliv za prostory zákazníka Kryptování Symetrické šifrování, pouţívá stejný klíč pro zakryptování i pro dekryptování. Asymetrické šifrování, pomocí veřejného a soukromého klíče. Pro oba způsoby je třeba zajistit řízení ţivotního cyklu klíče, jako vytvoření, distribuce, ověření, update, uloţení, pouţívání a také expirace. 20

21 Obsah Úvod Proč se zabývat bezpečností Jak se bránit Strategie řízení bezpečnosti Ţivotní cyklus bezpečnosti Defense in Depth Interní a zákaznické bezpečnostní standardy Interní procesy v rámci servisní organizace Sluţby z oblasti bezpečnosti Propojení sluţeb Information Security Management (ITIL) 21

22 Proces je Interní procesy v rámci dlouhodobý událostmi řízený servisní organizace strukturovaná posloupnost aktivit vyţadujíc určité Osoby Informace Technologie za účelem dosáhnout cíle. 22

23 Obsah Úvod Proč se zabývat bezpečností Jak se bránit Strategie řízení bezpečnosti Ţivotní cyklus bezpečnosti Defense in Depth Interní a zákaznické bezpečnostní standardy Interní procesy v rámci servisní organizace Sluţby z oblasti bezpečnosti Propojení sluţeb Information Security Management (ITIL) 23

24 Sluţby z oblasti bezpečnosti Access Assess Plan Design Implement Manage Assess Kroll Enterprise Assessment Health Check Assessments Site Process System Network Internet Application Wireless Ethical Hacking Assessments Planning Workshops Security Privacy Public Key Infrastructure Wireless Info Asset Profile Privacy Strategy and Implementation Architecture & Design Policy Definition Standards Definition Process Development Enterprise Architecture Internet Architecture Secure Solution Design Secure Wireless Solution Design Implementation Product Selection Security Awareness Program OEM Product Implementation Management Security Services Intrusion Detection Vulnerability Scanning Firewall Management Incident Management Vulnerability Assessment Security Management Standards / Controls Physical & Logical Security Compliance Checking Security Advisories Threat Alert Service Virus Services Network Security Security Education 24

25 Intrusion Detection Services Monitorování útoků proti vaší organizaci (IDS) Prevence útoků proti vaší organizaci (IPS) Doručuje bezpečnostní zprávy pro podporu rozhodnutí ohledně bezpečnostních opatření Host IDS/IPS Finance Customer Network ` End Users Host IDS/ IPS Web Server Mail Server E-Business Server Internet Network IDS/IPS IBM Security Operations Center 24x7 Support Monitoring 24 x 7 x 365 Wireless intrusion detection HR Wireless AP Wireless IDS Network IDS/IPS 25

26 Integrated Security Monitoring Sluţba zodpovědná za integraci a korelaci informací získaných od všech bezpečnostních zařízení Je nezbytné sbírat a analyzovat bezpečnostní události od všech zdrojů Zdroje událostí: SW, HW a další zařízení 26

27 Vulnerability Scanning Kompletní skenování serverů a síťových zařízení s cílem najít zranitelná místa Kontroluje všechny sluţby, které v systému běţí Testování operačního systému, webových a ových aplikací a dalších aplikací Provádí se pravidelně, periodicky Výstupem je obvykle 3-úrovňová zpráva: Vulnerability tests detailní zpráva o OS Application review detailní zpráva o konkrétní aplikaci Perimeter Assessment podrobná zpráva o síťové architektuře 27

28 Incident Management Řízení bezpečnostních incidentů Co se vlastně stalo? Jak došlo k incidentu? Jak rozsáhlé škody incident způsobil? Strategie pro zotavení a prevenci Zpracování incidentu: Registrace klasifikace a počáteční podpora vyšetřování a diagnostikování rozhodnutí a zotavení uzavření incidentu Spolupráce s dalšími sluţbami: configuration and change management, patch management, 28

29 Threat Advisory Service Sluţba, která monitoruje globální a regionální bezpečnostní hrozby, a vydává informační zprávy (daily threat report, monthly Security Threats and Attack Trends report) Shromaţďuje informace z mnoha různých zdrojů 29

30 Anti-Virus Services Řízení infrastruktury, která chrání před většinou malware (monitoring a likvidace) Ochrana před infekcí na všech úrovních (obvody, servery, pracovní stanice) Zahrnuje firewall a anti-spyware Management Servers AntiSpyware Antivirus Desktop Firewall PDA Internet SMTP Relay Web Server Server File Server Laptop Firewall Security Appliance FTP Server Firewall Security Appliance Print Server Computer Perimeter Antivirus Infrastructure Antivirus Workstation Antivirus 30

31 Další sluţby Vulnerability Assessment Network mapping vytvoří elektronický inventář systému a síťových sluţeb Security Vulnerability Assessment identifikuje bezpečnostní mezery Risk management, Decision support, Security Policies Validation Security Policy Verification Kontrola dodrţování bezpečnostní politiky Detekce porušení bezpečnostní politiky Agent běţící na serveru 31

32 Obsah Úvod Proč se zabývat bezpečností Jak se bránit Strategie řízení bezpečnosti Ţivotní cyklus bezpečnosti Defense in Depth Interní a zákaznické bezpečnostní standardy Interní procesy v rámci servisní organizace Sluţby z oblasti bezpečnosti Propojení sluţeb Information Security Management (ITIL) 32

33 Propojení sluţeb Sluţby pro údrţbu a řízení IT infrastruktury: Software distribution Event management Operations management Network Management Inventory Provisioning (Utility Computing, Resource management) 33

34 Propojení sluţeb Sluţby, se kterými přichází zákazník přímo do styku: Reporting Management SLA Management Knowledge Management Asset Management Problem Management Notification and Escaltion Management Change Management 34

35 Security Management "Security is a journey not a destination" Bezpečnost rovnováha mezi akceptovatelnou úrovní ochrany, udrţením jednoduchosti pouţití a cenou bezpečnostních opatření 35

36 Obsah Úvod Proč se zabývat bezpečností Jak se bránit Strategie řízení bezpečnosti Ţivotní cyklus bezpečnosti Defense in Depth Interní a zákaznické bezpečnostní standardy Interní procesy v rámci servisní organizace Sluţby z oblasti bezpečnosti Propojení sluţeb Information Security Management (ITIL) 36

37 Information Security Management The purpose of information security management is to align IT and business security and ensure that information security is managed effectively in all services and service management operations. Proces zajišťující důvěrnost, integritu a dostupnost aktiv, informací, dat a sluţeb v IT organizaci. Tvoří část přístupu organizace ke Správě bezpečnosti. ISO/IEC Informační technologie Soubor postupů pro management bezpečnosti informací 37

38 Information Security Management Primárním cílem je garantovat bezpečnost informací Informace musí být dostupné a pouţitelné (availability) Informace musí být dostupné pouze oprávněným osobám (confidentiality) Informace musí být kompletní, přesné a chráněné proti neautorizovaným změnám (integrity) Výměna dat a transakce mezi organizací a jejími partnery musí být spolehlivá (authenticity) 38

39 Information Security Management Zahrnuje: provoz, údrţbu a distribuci bezpečnostní politiky porozumění bezpečnostním poţadavkům společnosti implementaci kontrol, které podporují bezpečnostní politiku, a jejich dokumentování řízení smluv (a jejich doplňků) o přístupu do systému a k jednotlivým sluţbám proaktivní zdokonalování kontrolních systémů 39

40 Security Management Process Uzavřený cyklus aktivit: Plan Tvorba bezpečnostních politik Implement Systémy bezpečnostních prověrek Stanovení procedur pro řešení incidentů Evaluate Audit, řízení incidentů Maintain Aktualizace plánů podle zhodnocení bezpečnostní situace Control 40

41