Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Transkript

1 Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

2 Agenda Úvod do problematiky Seznam problémů Definice požadavků, očekávání Popis řešení Přínosy

3 Úvod do problematiky IT se stává stále komplexnější Pro běh aplikací je potřeba stále větší počet systémů WWW servery Aplikační servery Databázové servery Systémy firewall Síťová infrastruktura Poštovní systém Poštovní server externí, interní, antivir, antispam,.

4 Úvod do problematiky Všechny tyto systémy (aplikace) generují vlastní logy Navíc generuje logy samotný operační systém, na kterém tyto servery běží Heterogenní prostředí pestrá škála operačních systémů Windows Linux Unix Specializovaná zařízení Síťové prvky

5 Seznam problémů Obtížné dohledávání příčin incidentu Do logu se správce dívá, když něco přestane fungovat Nehas, co tě nepálí Problém může být způsoben řadou příčin Bývá nutné prohledat řadu logů Co vlastně v logu hledáme? Různé podezřelé věci. Je na genialitě a zkušenosti správce, jak rychle příčinu nalezne Těžko ho můžeme vinit z toho, že to trvá někdy dlouho a není to napoprvé

6 Seznam problémů Negarantovaná délka doby uchovávání logů V případě potřeby něco dohledat se ukáže, že logy už neexistují Neexistuje jednotná politika předepisující, jak dlouho je uchovávat Chybí pravidelná a systémová archivace logů Konfigurace uchovávání logů nese rukopis správců jednotlivých systémů Problém s dohledáním elektronicky podepsaného u v situaci, kdy jeho odeslání/příjem má právní sílu Například podepsané odvolání, kdy hrozí překročení zákonné lhůty

7 Identifikace bezpečnostních incidentů Nevíme o bezpečnostních incidentech Kolik incidentů se stalo? Kolik a jakých neúspěšných pokusů nastalo? Jak odlišíme od sebe chyby konfigurace od bezpečnostních útoků? Víme, co je to normální chování uživatelů? Snažíme se do této oblasti investovat Máme bezpečnostní systémy firewall Máme systém detekce útoků (Intrusion Detection System) Dokonce i systém předcházení útokům (Intrusion Prevention System)

8 Identifikace bezpečnostních incidentů Co nám tyto investice přinášejí? Kdo pravidelně čte miliónu záznamů, které tyto systémy produkují? Jakým způsobem oddělíme zrno od plev? Každou chvíli nastávají tisíce pokusů (scanů) z Internetu Máme se jimi zabývat? Sledujeme bezpečnostní incidenty, které se dotýkají našich vnitřních aplikací? Je to velký problém Co to je bezpečnostní incident většinou není vůbec jasné Nevíme o incidentech, kolik a jakých bylo Nejsme schopni včas reagovat, natož jim úspěšně předcházet

9 Identifikace bezpečnostních incidentů Není to náhodou čekání na průšvih?

10 Problém odpovědnosti Role odborů IT Odpovídají za provoz aplikací a IT technologií Součástí je odpovědnost za bezpečnost Jakou mají možnost něco reálně ovlivnit? Pořizují bezpečnostní technologie IT administrátoři se snaží udržovat systémy bezpečné tak, jak to jen lze Často toho příliš nelze

11 Definice požadavků, funkčnost Hledáme centrální systém, který v oblasti funkčnosti Umožní centrálně sbírat logy z mnoha desítek systémů Bude rozumět všem možných systémům a aplikacím Umožní nad těmito logy efektivně pracovat dohledávat události Usnadní analýzu příčin stavu, kdy něco nefunguje Pomůže definovat a naplnit pravidla práce s logy, jejich archivaci Bude snadno obsluhovatelný Umožní oddělit práva administrátorů jednotlivých systémů

12 Definice požadavků, bezpečnost Hledáme centrální systém, který v oblasti bezpečnosti Bude rozumět tomu, jak vypadá běžný (bezpečný provoz), například 50 chybných přihlášení uživatelů denně je běžné 500 je neobvyklé pokus o zneužití oprávnění Sám se naučí stanovovat bezpečné hranice a bude hlásit pouze odchylky od nich Umožní sledovat podezřelé chování napříč jednotlivými systémy Většina úspěšných útoků je způsobena kombinací dvou a více faktorů, promítají se na více systémech Poskytne souhrnné reporty, které bude možné snadno vyhodnocovat Usnadní a urychlí audit řízení bezpečnostních incidentů

13 Definice požadavků, souhrn Hledáme řešení, které Nám opravdu pomůže zvýšit úroveň řízení bezpečnosti Bude snadno nasaditelné Umožní bezpečně provozovat portály a další aplikace Bude provozovatelné s rozumnou mírou obsluhy Je používáno v oblasti státní správy

14 Popis řešení RSA envision - specializované zařízení pro Centrální sběr logů ze všech možných systémů Normalizaci Kompresi Korelaci Inteligentní zpracování Snadné a přehledné vyhodnocování Archivaci logů

15 Popis řešení Odkud lze logy sbírat Portály, WWW servery Poštovní systémy (poštovní servery, antiviry, antispamy) Nejrůznější aplikace Databázové servery Různé operační systémy Bezpečnostní systémy, firewall, IDS, IPS, aplikační firewall nástroje testování zranitelnosti Síťová infrastruktura

16 Popis řešení Čím je řešení tvořeno Specializované zařízení RSA envision Instalace a konfigurace systému Zasazení do prostředí zákazníka Napojení na hlavní aplikace a klíčové systémy infrastruktury Vyladění systému logování, reportování a korelace Nastavení archivace Provozní podpora

17 Popis řešení RSA envision

18 Popis řešení

19 Co nám řešení přinese? Kvalitní a bezpečný provoz aplikací Kontrolu nad provozem aplikací a infrastruktury Snadné vyhodnocování příčin problémů Předcházení výpadkům Správu bezpečnostních incidentů Víme o pokusech Identifikujeme incidenty Známe bezpečnostní slabiny Významnou pomoc při pokrytí odpovědnosti IT odborů při provozu a bezpečnosti

20 Závěr Děkuji za pozornost Dotazy? Ing. Martin Pavlica ředitel pro strategii a rozvoj Corpus Solutions a.s.