Managing Security Information in the Enterprise

Transkript

1 Swiss Security Summit 2002 Managing Security Information in the Enterprise Zurich Financial Services Urs Blum, CISSP Zurich Financial Services

2 Introduction Strategie Umsetzung Betrieb Experiences Zurich Financial Services Page 2

3 Introduction Zurich Financial Services Group Group Information Security Information Security Framework Zurich Global Network Zurich Financial Services Page 3

4 Zurich Financial Services Group weltweit führende Anbieterin von Lösungen in den Bereichen Risikoabsicherung und Vermögensbildung Geschäftsbereiche: Nichtlebens- und Lebensversicherung, Rückversicherung, Farmers Management-Dienstleistungen sowie Fonds- und Vermögensverwaltung. Schlüsselmärkte Nord Amerika, UK, Continental Europe, Schweiz Niederlassungen in mehr als 60 Ländern Über Angestellte 38 Millionen Kunden Zurich Financial Services Page 4

5 Group Information Security Teil von Corporate Risk Management Entwicklung der Security Strategie / Policies in Abhängigkeit der gruppenweiten Strategie Sicherstellen der Umsetzung in Zusammenarbeit mit den einzelnen Business Divisions / Business Units Sicherstellen des Know How und Erfahrungsaustausches in der Gruppe Überwachen und Messen der Effizienz der gruppenweiten Information Security Zurich Financial Services Page 5

6 Information Security Framework Business Bereiche Versicherungen und Bank Business Units weitgehend autonom Ansprechspartner: Lokale Security Verantwortliche Lokale Verantwortung der Umsetzung keine zentrale Network Operation Zurich Financial Services Page 6

7 Zurich Global Network Corporate Network der ZFS Mehr als 80 Lokationen 45 Lokationen mit lokaler Internet Infrastruktur verschiedenste Grössen Small bis Data Center unterschiedlichste Know how Level Zurich Financial Services Page 7

8 Strategie Security Initiative Internet Bereich Zurich Financial Services Page 8

9 Security Initiative Erhöhtes Risiko durch Anbietung der Services über Internet Sicherstellen der Base Line Protection Lokal, Gruppenweit Security Initiative verschiedene Aspekte der Sicherheit Policies, Security Organisation, Network, Internet Access, Antivirus Kontrolle der Umsetzung organisatorisch, technisch Zurich Financial Services Page 9

10 Internet Bereich Reduktion der Risiken aus dem Internet Standartisierte Anschluss Verfahren Errichten des Secure Common Perimeters Re-aktiver Schutz Einheitliches Monitoring Einheitliches Incident handling Pro-aktiver Schutz Periodische Überprüfung auf vorhandene Risiken Zurich Financial Services Page 10

11 Umsetzung Secure Common Perimeter Standartisierte Infrastruktur Vulnerability Management Real-Time Alerting (IDS) Zurich Financial Services Page 11

12 Secure Common Perimeter Firewall Network based IDS periodische Scans Zurich Financial Services Page 12

13 Vulnerability Management Netzwerk basierend aus dem Internet Periodische Scans der externen Infrastruktur Reports online verfügbar jährliche Vulnerability Assessments Entsprechend den allgemein anerkannten Verfahren Zurich Financial Services Page 13

14 Network Based IDS Anforderungen Architektur Evaluation Lösung Deployment Zurich Financial Services Page 14

15 Anforderungen Zentrale Evaluation, Einheitliche Lösung, einfache Installation Kostenoptimiert Lokales Operating, zentrale Vorgabe und Übersicht Zuverlässigkeit, wartungsfreundlich Handling entspechend Know How Level Skalierbar Zurich Financial Services Page 15

16 IDS Architektur Lokal Schutz der Zugänge Lokal Zurinet Monitoring des erlaubten Verkehrs Inbound, outbound Zurich Financial Services Page 16

17 IDS Architektur Global Zentrale Verwaltung der Policies und Updates Globale Reports Korrelation mit Vulnerabilty Daten Zurich Financial Services Page 17

18 Evaluation Kriterien Netzwerk basierend Operating System Windows Test Installation, proof of concept zentraler Rollout einfache lokale Installation weltweiter Support Verteilte Funktionen gemäss Organisation Globale Vorgabe und Kontrolle Lokale Operation Konsolidierte Übersicht Zurich Financial Services Page 18

19 Lösung Software Hardware ISS Produkte RealSecure Network IDS SafeSuite Decisions Windows NT basierend Compaq Proliant Servers TAP für Switched Environments alle Komponenten Rack-installed Zurich Financial Services Page 19

20 Deployment Erstellen des Model Images GIS, ISS, Compaq Gobaler Vertrag mit Compaq Custom Systems Manufacturing, and testing Shipment Local delivery Lokale Installation Plug and play Stellfläche, Netzwerk,Elektrizität Zurich Financial Services Page 20

21 Betrieb Learning Phase Ausbildung Operation IDS Management Zurich Financial Services Page 21

22 Learning Phase Start mit Base Policy Erstellt in Pilot Installation Fine tune: Abstimmung auf lokale Eigenheiten NMS, Mail Server, Proxy... Unterschiedliche Policy pro Netzwerk Bereich DMZ, Internal LAN, andere Iterativer und wiederkehrender Prozess Zurich Financial Services Page 22

23 Ausbildung ISS RealSecure Kurse Inhalt: Installation, Handhabung Eigene Ausbildungsworkshops Zugeschnitten auf ZFS Umgebung Kritische Bereiche Verstehen der eigenen Infrastruktur Interpretieren der Events geeignete Massnahmen ergreifen Zurich Financial Services Page 23

24 Operation Lokales Monitoring und Alerting Analysis Response Eskalation Lokal, GIS Zentrale Koordination für Global events Zurich Financial Services Page 24

25 IDS Management Signature updates Zentrale Handhabung, Scripting Policy Management Anzahl Policies Keine automation False Positives Backdoors, Synflood Zurich Financial Services Page 25

26 Software Upgrades Frequenz der Änderungen durch ISS Unterstützungsdauer des alten Releases Grösse des Upgrades (Netzwerk oder CD) ISS Strategie für OS Unterstützung Änderung der Architektur zusätzliche Komponenten Zurich Financial Services Page 26

27 Upgrade RS 6.5 OS change, RS change Model image Migrationsprozess NT4-RS5.0 / W2K RS6.5 Rollout mit CD Voraussetzung: einheitliche HW/SW Platform Aufwand Zurich Financial Services Page 27

28 RS 6.5 Architektur Globale Funktionen Summary Reports Koordination, Kontrolle Lokale Funktionen IDS Operating IDS Management Policies, XPU, Reports Incident Handling Zurich Financial Services Page 28

29 Experiences Produkt Organisation Management Consolidation/Reporting Zurich Financial Services Page 29

30 Produkt Design für grosse Organizationen Split functionality, responsibility, complexity Zuverlässigkeit False posivites, not-preventive actions Administration Roles, Policies, XPU Software Upgrades Support, Frequenz Zurich Financial Services Page 30

31 Organisation Abhängig von Organizationsgrösse 7*24 Stunden Erreichbarkeit Resources Know How, Verantwortlichkeit, weitere Aufgaben Prozesse Zeitlicher Verlauf Informationsfluss Zurich Financial Services Page 31

32 Management Lokale Intervention unabdingbar bei NIDS Attack Packet kann nicht gestoppt werden Actions: TCP Reset, Re-konfiguration von Firewall Zugriff auf Systeme (Berechtigung) Systemverantwortliche sind involviert Verständnis der Installation und Produkte Zurich Financial Services Page 32

33 Consolidation/Reporting Globale Übersicht, Summary, Trends Aussagewert der Reports Korrelation mit Scanner Daten Priorisierung der vorbeugenden Korrekturen andere Security Daten sind nicht einbezogen Bandbreite, Datenmengen, Kosten Zurich Financial Services Page 33

34 Zurich Financial Services Page 34