BalaBit Shell Control Box Kontrolle und Monitoring privilegierter IT-Benutzer

Transkript

1 BalaBit Shell Control Box Kontrolle und Monitoring privilegierter IT-Benutzer terractive Security Breakfast Hotel Victoria, Basel Martin Grauel

2 BalaBit IT Security - Unternehmensprofil BalaBit bietet Lösungen zum Aufbau einer kompletten Log-Infrastruktur syslog-ng PE, syslog-ng Store Box BalaBit ist führend im Bereich Kontrolle, Monitoring und Auditierung von privilegierten IT-Zugriffen Shell Control Box BalaBit IT Security 2013 ~130 Mitarbeiter weltweit HQ in Budapest BalaBit IT Security GmbH in München seit 2007 Globales Partnernetzwerk (80+ in 30 Ländern)

3 Privileged Activity Monitoring PAM

4 Warum PAM? Hohe Privilegien bedeuten hohes Risikopotenzial

5 Risiko privilegierter Zugriffe InformationWeek fbi.gov USA TODAY Unternehmen investieren hohe Summen in Zugangskontrollen wie Firewalls, Authentisierungsysteme etc. Transparenz und Kontrolle der Tätigkeiten sind oft nicht gegeben!

6 Warum PAM? Hohe Privilegien bedeuten hohes Risikopotenzial Risikominimierung (Risk Management) Erfüllung von Compliance-Vorgaben

7 Erfüllung von Compliance-Vorgaben BSI Grundschutz ISO 27002:2005 PCI-DSS M 4.81 Audit und Protokollierung der Aktivitäten im Netz M 5.15 Absicherung externer Remote-Zugänge... - Protokollierung aller Tätigkeiten Control third-party service delivery Monitor information processing facilities Establish and maintain audit logs Log system administrator and operator activities Manage Information Security Incidents 10. Track and monitor all access to network resources and cardholder data Implement automated audit trails for all events All actions taken by any individual with root or administrative privileges... Ähnliche Anforderungen können aus Regularien wie Basel II, SOX, HiPAA etc. abgeleitet werden.

8 Warum PAM? Hohe Privilegien bedeuten hohes Risikopotenzial Risikominimierung (Risk Management) Erfüllung von Compliance-Vorgaben Schutz der eigenen Mitarbeiter

9 Wer sind meine Benutzer?

10 PAM - Focus auf privilegierte Benutzer

11 Grenzen des Loggings Wir haben bereits ein Log-Management/SIEM-System! Aus Security- und Operations-Sicht ist das Sammeln, Verarbeiten und Analyieren von Logs im Rahmen des Incident-Managements unerlässlich! ABER... Nicht alle Systeme und Applikationen schreiben Logs User-Aktivitäten lassen sich mit Hilfe der Logs häufig nicht ausreichend nachvollziehen

12 Beispiel Logging Blindspot Linux logfile SCB audit-trail with movie-like activity replay

13 Grenzen des Loggings Wir haben bereits ein Log-Management/SIEM-System! Aus Security- und Operations-Sicht ist das Sammeln, Verarbeiten und Analyieren von Logs im Rahmen des Incident-Managements unerlässlich! ABER... Nicht alle Systeme und Applikationen schreiben Logs User-Aktivitäten lassen sich mit Hilfe der Logs häufig nicht ausreichend nachvollziehen Logauswertung ist nicht real-time Aktivitäten können nicht verhindert werden Privilegierte Benutzer haben Superuser-Berechtigung auf den zu loggenden Servern with standard log collectors only limited data can be collected and IT auditors would miss-critical actions... IDC WP: 'Compliance is More Than Just Cost: Creating Value Beyond Compliance'

14 Privileged Activity Monitoring mit der BalaBit Shell Control Box

15 BalaBit Shell Control Box Shell Control Box (SCB) ist eine Appliance, die privilegierte IT-Zugriffe kontrolliert und sämtliche Aktivitäten der Benutzer revisionssicher aufzeichnet. Supportete Zugriffprotokolle: SSH incl. X11, RDP, TS Gateway, TELNET/TN3270, VNC, VMware View, ICA, HTTP(S)

16 Keine Agents auf den Zielsystemen BalaBit Shell Control Box http(s) VNC ICA Nutzung von Standard-Tools

17 BalaBit Shell Control Box

18 Target Server SCB - Authentication Layer Optionaler Authentisierungslayer Personalisierter Account Shared Account Auto-Logon EXT. AUTH Credentials Wer? Client

19 SCB Access Control Bestimmte Zugriffe auf kritische Systeme erfordern das Mitwirken einer weiteren Person Server 4-Augen Prinzip Client

20 SCB Access Control Real-Time Monitoring Bestimmte Zugriffe auf kritische Systeme erfordern das Mitwirken einer weiteren Person Server 4-Augen Prinzip Client Authorization

21 SCB Access Control Server Client Was? Wer darf Dateien transferieren? Wer darf Inhalte über die Zwischenablage in Windows austauschen? Verhindern von Datenabfluss!

22 SCB Real-Time Monitoring Neu! Echtzeit-Alarmierung und Prävention Monitoring von Kommandos und Inhalten Gruppenbasierte Steuerung Aktionen: Logging / Alarmierung / Terminierung

23 SCB Audit & Forensics Filtern der Daten Zugriff auf Audit Trails

24 SCB Audit & Forensics Filtern der Daten Authentizität Vertraulichkeit Integrität Zugriff auf Audit Trail Audit Trails

25 SCB Reports Zugriffsreports Reports über Aktivitäten Systemreports

26 BalaBit Shell Control Box als Teil der Compliance- und Security-Umgebung Analyse verschlüsselten Datenverkehrs IDS IDS PIM PIM System-Mgmt System-Mgmt API Remote-Suche und -Management Integration mit 3rd-Party Anwendungen User Account Shared Account Credential-Management Alerts Zentrales Monitoring SIEM/Log-Mgmt SIEM/Log-Mgmt Augmented Logs Effizienteres Troubleshooting Bessers Reporting

27 Referenz-Case

28 SCB Referenz-Case Fiducia IT AG Fiducia IT AG Führender IT Service Provider im Finanzsektor DC-Infrastruktur und Application-Services Kunden: ca. 750 genossenschaftliche und 50 private Banken Anforderungen Aufzeichnung des SSH-Verkehrs interner und externer Administratoren zu ca Linux/Unix Servern zur Umsetzung der BaFin-Anforderungen Redundantes System (HA) mit webbasiertem UI Verschlüsselte Aufzeichnung und Archivierung der Audit-Daten Keine Beeinträchtigung der operativen Administratiosvorgänge Lösung Ca. 800 Administratoren greifen über die Shell Control Box auf die relevanten Zielsysteme zu SCB gewährleistet Transparenz der administrativen Zugriffe und liefert revisionssichere Audit-Trails mit klar definierten Zugriffsberechtigungen Mittlerweile Einsatz von 5 Clustern für SSH/RDP/ICA/TN3270-Audit

29 Vielen Dank für Ihre Aufmerksamkeit! Martin Grauel