OCHRANA PRIVILEGOVANÝCH ÚČTŮ V PRAXI

Podobné dokumenty
Řízení privilegovaný účtů

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

Zákon o kybernetické bezpečnosti: kdo je připraven?

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Není cloud jako cloud, rozhodujte se podle bezpečnosti

& GDPR & ŘÍZENÍ PŘÍSTUPU

Jak efektivně ochránit Informix?

NÁCHOD JIHOČESKÝ KRAJ ING. PETR VOBEJDA

Správa privilegovaných účtů ve fyzickém a virtuálním prostředí

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Řešení ochrany databázových dat

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

Řízení správy rolí v rozsáhlých organizacích. Michal Opatřil Corinex Group

Správa stanic a uživatelského desktopu

Analýza zranitelností databází. Michal Lukanič, Database Specialist

Řešení Quest pro správu Windows Martin Malý, ředitel divize Solutio

PREZENTACE ŘEŠENÍ CSX

Bezpečnostní monitoring v praxi. Watson solution market

Cloud Security. Dušan Mondek. Security Specialist IBM Security Office IBM Corporation

Synchronizujte své identity a využijte je pro všechny podnikové online služby Microsoftu i vaše aplikace

PROVOZOVÁNÍ PRIVATE CLOUD VE VEŘEJNÉ SPRÁVĚ

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Korporátní identita - nejcennější aktivum

Petr Vlk KPCS CZ. WUG Days října 2016

Nasazení CA Role & Compliance Manager

Systémová administrace portálu Liferay

Úvod - Podniková informační bezpečnost PS1-2

Data Protection Delivery Center, s. r. o. IDENTITY MANAGEMENT, SPRÁVA OPRÁVNĚNÍ. a SINGLE SIGN-ON. DPDC Identity. pro Vaši bezpečnost

Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů

Ne-bezpeční zemědělci

Případové studie a kulatý stůl. Dalibor Kačmář, Microsoft

DIGITÁLNÍ TRANSFORMACE SE STÁVÁ OTÁZKOU PRO CEO

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Penetrační testy. Pohled na vaši síť očima hackera. Ing. Jan Pawlik IT Security Specialist

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s.

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Copyright 2012 EMC Corporation. All rights reserved. Nové strategie pro zálohu a archiv kritických aplikací

Řešení pro audit činnosti administrátorů UNIX/Linux serverů

SPRÁVA ŽIVOTNÍHO CYKLU UŽIVATELE. Roman Pudil, SOITRON

Dalibor Kačmář

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Petr Vlk KPCS CZ. WUG Days října 2016

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Technická specifikace

Identity Management centralizovaná správa uživatelů

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb

Reporting a Monitoring

Windows Server 2003 Active Directory

Zuzana Sobotková, DAQUAS Petr Vlk, KPCS CZ

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Jakým otázkám dnes čelí CIO? Otakar Školoud Chief Information Officer, ALTRON GROUP

Enterprise Mobility Management AirWatch - představení řešení. Ondřej Kubeček březen 2017

Intune a možnosti správy koncových zařízení online

Systém detekce a pokročilé analýzy KBU napříč státní správou

Michal Andrejčák, Klub uživatelů ŘS MicroSCADA, Hotel Omnia Janské Lázně, SDM600 Stručný popis a reference.

ICZ - Sekce Bezpečnost

<Insert Picture Here> Oracle Identity Management a jeho použití v praxi. Aleš Novák, Oracle

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Workshop SAP GRC AC Představení SAP GRC Access Control Josef Piňos, CONSIT s.r.o.

Název prezentace 1. Poskytovatel garantovaných služeb NDC včetně kybernetické bezpečnosti ve státní správě

Nástroje pro korelace a vyhodnocování bezpečnostních událostí

2012 (červen) Microsoft Sharepoint Portal Server. Microsoft Live Communications Server 2003 Řešení pro online komunikaci. Microsoft Exchange

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

CASE MOBILE MOBIL JAKO AUTENTIZAČNÍ TOKEN

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Představení Kerio Control

Využití identity managementu v prostředí veřejné správy

Z internetu do nemocnice bezpečně a snadno

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Úvod. Klíčové vlastnosti. Jednoduchá obsluha

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

Zákon o kybernetické bezpečnosti

Jak se ztrácí citlivá data a jak tato data ochránit?:

České Budějovice. 2. dubna 2014

O2 a jeho komplexní řešení pro nařízení GDPR

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Microsoft Day Dačice - Rok informatiky

Vyberte takový SIEM, který Vám skutečně pomůže. Robert Šefr

Komplexní ICT outsourcing

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

KONVENČNÍ BEZPEČNOSTNÍ TESTY SCADA ČEZ ICT SERVICES

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

Specifikace předmětu zakázky

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

IBM Tivoli Storage Manager 6.2 a IBM Tivoli Storage Manager FastBack 6.1.1

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Cyber Security GINIS. Ing. Igor Štverka GORDIC spol. s r. o.

Radim Dolák Gymnázium a Obchodní akademie Orlová

Security Expert Center (SEC)

Enterprise Mobility Management & GDPR AirWatch - představení řešení

Databáza znalostí pro Orange

Bezpečnostní aspekty informačních a komunikačních systémů KS2

GORDIC + CA = vaše cesta ke zvýšení kvality a efektivity služeb

Transkript:

OCHRANA PRIVILEGOVANÝCH ÚČTŮ V PRAXI

MODERNÍ A POPULÁRNÍ HROZBY APT (lateral movement) a vnitřní nepřítel (insider) a...

APT LATERAL MOVEMENT O co se jedná a čím je to zvláštní? CÍLENÝ ÚTOK A JEHO ŠÍŘENÍ V PROSTŘEDÍ OBĚTI Lateral Movement Rozšíření zájmů útočníka o další aktiva v síti oběti Útočník si vybírá: Slabé cíle k upevnění své pozice v síti Cíle, které mu zprostředkují přístup do dalších částí sítě (napříč segmentací) Cíle, které umožní získat vyšší oprávnění Hodnotné cíle k získání citlivých informací

VNITŘNÍ NEPŘÍTEL Kdo to je a jak s ním bojovat? ÚTOČNÍK INSIDER Oblivious Viník si neuvědomil své jednání a způsobil škodu. Negligent Nedbalostí, porušením předpisů došlo ke způsobení škody. Malicious Škodlivé chování, často od zhrzeného zaměstnance. Motivací je uškodit, nebo se obohatit o informace. Často zneužívá svá oprávnění ke klíčovým aktivům. Professional Jde si za svým cílem a pro tyto účely se nechá také zaměstnat. Zcizené informace obratem zpeněží. Často krade privilegované účty a zneužívá přístupy.

DODAVATEL, EXTERNÍ PRACOVNÍK,... Někdo komu důvěřujeme DODAVATELÉ A 3. STRANY Útočník často volí vektor útoku přes dodavatele. Bývají méně zabezpečeni než primární cíl Fluktuace pracovníků dodavatele přináší riziko úniku důležitých přístupových údajů Nedokumentované, nebo neschválené změny nesoucí riziko snížení dostupnosti služeb, či jejich zabezpečení Často chybí personifikace privilegovaných účtů = 5 pracovníků využívá stejný účet admin, nebo root

PIM / PAM Co je to za zkratky?

PIM / PAM Význam těchto zkratek PRIVILEGED IDENTITY ANDACCESS MANAGEMENT Spravuje identity pro privilegované účty v organizaci Přiděluje jednorázová hesla k jejich užívání Umožňuje podmínit vydání hesel potřebným workflow Zprostředkuje bezpečný privilegovaný přístup (jump) Zaznamená prováděné operace uskutečněné v přivilegovaném přístupu Umožní jemné nastavení oprávnění administrátorům = každý admin nemusí mít vždy právo dělat úplně vše Již žádná hesla 5let stejná, na papírku, nebo v kódu aplikace!!!

PIM / PAM Technologie PIM / PAM

IMPLEMENTACE PAM U ZÁKAZNÍKA

POTŘEBY A MOTIVACE ZÁKAZNÍKA Desítky dodavatelů s přístupem k systémům zákazníka Oddělení o malém počtu lidí zodpovědné za bezpečnost Velké množství koncových zařízení Složitá kontrola toho, co dodavatelé na koncových systémech dělají Požadavek na vysokou dostupnost připojení Splnění zákonných norem, nebo předpisů

VYBRANÉ ŘEŠENÍ CYBERARK PAS Centrální řízení přístupů k systémům Nahrávání session Password management (pravidelná rotace hesel) Bezpečné úložiště hesel, nahrávek atd. Silný nástroj pro kontrolu a případný zpětný audit Možnost napojení na systém SIEM a workflow service desku Zákaznické reference Leader na trhu Splnil požadavky zákazníka na jednotlivé funkcionality

FÁZE IMPLEMENTACE ZABEZPEČENÍ PRIVILEGOVANÝCH ÚČTŮ

PROGRAM IMPLEMENTACE Fáze 0 Příprava Definice požadavků Prioritizace cílů Plán implementace Tier 0 Fáze 1 (do 30 dní) Kritické aktiva Rychlé odstranění rizik Tier 1 Fáze 2 (do 6 měsíců) Bezpečná Windows doména Širší pokrytí Tier 2 Fáze 3 (do 24 měsíců) Rozšíření na ostatní systémy Plošné vynucení bezpečnosti

FÁZE 0 PŘEDTÍM NEŽ ZAČNEME: 1. Definice požadavků Eliminace kritických zranitelností přístup k Tier0 Ochrana přístupu externích dodavatelů Ochrana přístupů ke kritickým systémům Zvýšit efektivitu správy sdílených účtů Soulad s bezpečnostními normami Náprava úspěšného kybernetického útoku Identifikace rizik spojených s implementací 2. Technické požadavky 3. Identifikce a prioritizace aktiv 4. Požadavky na workflow 5. Role

FÁZE 1 HLAVNÍ CÍLE Týden 1-2 Týden 3 Týden 4 Týden 5 Příprava prostředí Instalace CyberArk Přístupy ke kritickým systémům a Domain Controlleru (Tier 0) Řízení domain admin účtů Monitoring aktivit, řízení přístupů a izolace relací přes PSM, vynucení 2-faktorové autentizace Detekce podezřelých aktivit Randomizace hesel pro built-in účty Built - in admin účty administrator, root, oracle SYS/System, enable, ilo,.. Vysoce rizikové servisní účty podporované out of box Vulnerability Management Qualys, Rapid7, Tenable, McAfee Discovery Service-Now Discovery, HP Universal Discovery, ForeScout,

FÁZE 1 PŘÍPRAVA PROSTŘEDÍ 1. Štruktúra safe 1. Instalace CyberArk komponent 5 1. Role Vault Admin, User, Auditor, Safe owner (vlastník systému) 2. Prístupové práva - kto kam môže pristupovať Vault, Web portál - PWVA, CPM, PSM, PSMP Hardening Volitelné: Load Balancing Dokumentace, Testování 2. Integrace s infrastrukturou 2-15 LDAP / Active Directory Email notifikace DR a Backupy Volitelné: Performance a event management, SIEM, 2-faktor autentizace, Ticketing system Dokumentace, Testování MD (Odhad) 3. Nastavení přístupů 1-3 Vytvoření Safes Design (např. Unix, Windows local, Windows Domain,..) Definice rolí Vault Admin, Safe Owner, User, Auditor Matice přístupů uživatelů do Safe

FÁZE 1 ŘÍZENÍ VYBRANÉ PLATFORMY 1. Onboarding účtů a verifikace hesel 1.5 Nahrání účtů do CyberArk pomocí Password Upload Utility nebo Account Discovery Verify - systém se přihlásí pomocí uloženého účtu a ověří platnost hesla (neprovádí změnu) Získáte důvěru administrátorů jak se pracuje s CyberArk - Seznam účtů, zobrazení a kopírování hesel, tlačítko Connect 2. Nastavení Master politiky 1 Frekvence výměny a komplexnost hesla Kontrola 4 očí zaslání požadavku na přístup k vybranému účtu Integrace s ticketing systémem Exkluzivní přístup Jednorázové heslo Email notifikace o přístupech MD (Odhad)

FÁZE 1 ŘÍZENÍ VYBRANÉ PLATFORMY 1. Štruktúra safe 1. Role Vault Admin, User, Auditor, Safe owner (vlastník systému) 2. Ad-hoc Prístupové změna hesel práva přes - kto CPM kam Tlačítko môže Change pristupovať Now 3. Password / SSH Key Management 2 Automatická výměna hesel na základě Master politiky Reconciliace hesel jak je heslo out of sync, automaticky ho změň Ověření pro menší skupinu účtů následně širší nasazení 4. Izolace a řízení přístupů přes PSM 1-3 Nastavení přístupů přes PSM (formou PSM, SSH Proxy, RDP Proxy,...) Customizace Connection Component 5. Detekce anomálií privilegovaných přístupů (2) Nastavení PTA MD (Odhad)

FÁZE 2 - PRIVILEGED ACCOUNT SECURITY PROGRAM 1-6 MĚSÍCŮ Ochrana účtů pro kritické databáze a cloud Zabezpečte databázové účty v plain textu ve WebSphere, JBOSS, Tomcat, Weblogic Ochraňte důležité účty pro správu cloud prostředí Tiering sítě a ochrana Tier 1 Rozdělte aktiva do oddělených Tier prostředí (např. - Tier 0 (DC), Tier 1 (kritické servery) a Tier 2 (méně významné Servery, Desktopy)) Vyhrazené účty pro správu aktiv s role based access Monitoring, izolace, detekce podezřelých aktivit a least privilege pre Tier 1

FÁZE 3 - PRIVILEGED ACCOUNT SECURITY PROGRAM 6-12 MĚSÍCŮ Zařazení nových účtů do CyberArk Automatizace, vynucení bezpečnostných politik Přístupy dodavatelů přes PSM Bezpečný, izolovaný a nahrávaný přístup přes PSM

FÁZE 3 - PRIVILEGED ACCOUNT SECURITY PROGRAM 12+ MĚSÍCŮ Ochrana Tier 2 Windows - Aplikační kontrola, Řízení oprávnění Unix Nastavení oprávnění Ochrana vysokorizikových servisních a aplikačních účtov Popsané veškeré usages pro servisní účty Definice oprávnění potřebných pro servisní účty a případné omezené (EPM) Odstranění hard-coded hesel v aplikacích, skriptech

PRIVILEGED ACCESS MANAGEMENT SOLUTIONS

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář