Privileged Activity Monitoring jetzt einfach umgesetzt! Wie Sie interne und externe Admin/Root-Zugriffe kontrollieren und protokollieren.

Transkript

1 Privileged Activity Monitoring jetzt einfach umgesetzt! Wie Sie interne und externe Admin/Root-Zugriffe kontrollieren und protokollieren. Sascha Stock, Sales Manager, Balabit Seculonia PM 2016

2 Balabit Wer wir sind PRÄSENZ Hauptsitz in Luxemburg Weitere Standorte in DE, FR, GB, HU, RU, USA 190+ Mitarbeiter weltweit WACHSTUM 30% jährliches Wachstum in den letzten 5 Jahren ( Deloitte Technology Fast 50 Award) KUNDEN Mehr als Kunden weltweit 23% der Fortune-100-Unternehmen VERTRIEBSPARTNER Mehr als 100 Partner in über 40 Ländern Balabit - Log Management Privileged Activity Monitoring User Behavior Analytics

3 THE Product STORY Present LM: Open Source Project begins LM: LM: De-facto Industry Premium Edition Standard launched PAM: Launch Shell Control Box (SCB) V 1.0 LM: Store Box launched LM/PAM: Launch SSB/SCB V 5.0 UBA: Launch BSP V 1.0 3

4 Agenda Gefahr durch privilegierte Benutzer Privileged Activity Monitoring PAM Use Cases Der nächste Schritt: User Behavior Analytics

5

6 Menschliche Sicherheitsverstöße ebay suffered one of the biggest data breaches... Attackers compromised employee log-in credentials to gain access to the company s network PCWorld.com Designs for the U.S most sensitive advanced weapon systems have been compromised by Chinese hackers. Washington Post Former security contractor Edward Snowden obtained secret documents revealing a massive U.S. spying effort from the NSA s internal website Reuters Retail giant Target confirmed that credit and debit card information for 40 million of its customers had been compromised. New York Times

7 Gefahr durch privilegierte Insider 60 % 55 % der Störungen durch Fehler wurden durch System-Admins verursacht der internen Vergehen gehen auf Privilegien-Missbrauch zurück * Source: Verizon 2015 Data Breach Investigations Report

8 Gefahr durch privilegierte Insider...most insider misuse occurs within the boundaries of trust necessary to perform normal duties. That s what makes it so difficult to prevent. Verizon DBIR 2014

9 Übergewicht der Kontrolle OBSERVATION External Internal CONTROL

10 Übergewicht der Überwachung OBSERVATION Extern Intern CONTROL

11

12 Compliance und Audits ISO 27001:2013 A Administrator and operator logs Control: System administrator and system operator activities shall be logged and the logs protected and regularly reviewed. A Monitoring and review of supplier services Control: Organizations shall regularly monitor, review and audit supplier service delivery. PCI-DSS v Track and monitor all access to network resources and cardholder data 10.1 Implement audit trails to link all access to system components to each individual user Implement automated audit trails for all system components to reconstruct the following events: All actions taken by any individual with root or administrative privileges

13 Was nun? Wie kann ich der Gefahr des Insider Threats begegnen? Wie kann ich effizient die Tätigkeit privilegierten Nutzer beim Zugriff auf Unternehmensdaten kontrollieren und nachvollziehen? Wie kann ich umgekehrt als Service Provider nachweisen, korrekt gearbeitet zu haben? Wie kann ich die Compliance bzgl. privilegierter Zugriffe sicherstellen und entsprechende Audits bestehen? Wie verbessere ich die Effizienz von privilegierten Zugriffen und Fehleranalysen? Firewall, VPN, SIEM und SLA sind hier nicht genug! PAM

14 Privileged Activity Monitoring

15 Shell Control Box Shell Control Box (SCB) ist eine Activity Monitoring Appliance zum Kontrollieren privilegierter Zugriffe auf die IT-Infrastruktur Verhindern bösartiger Aktivitäten revisionssicheren Aufzeichnen der Aktivitäten Erstellen von Compliance-/Entscheidungs-Reports

16 Benefits EINFACHE IMPLEMENTIERUNG MULTI-PROTOKOLL- LÖSUNG TRANSPARENT UNABHÄNGIG PROXY GATEWAY

17 Shell Control Box IT Staff Outsourcing Partner Manager VDI User TRANSPARENTE PROXY-LÖSUNG Firewall, Netzwerk Devices, Dataenbanken, Web/File-Servers, Citrix Server

18 STANDARD TOOLS IT Staff Outsourcing Partner Manager VDI User TRANSPARENTE PROXY-LÖSUNG Firewall, Netzwerk Devices, Dataenbanken, Web/File-Servers, Citrix Server

19 KEINE AGENTEN IT Staff Outsourcing Partner Manager VDI User TRANSPARENTE PROXY-LÖSUNG Firewall, Netzwerk Devices, Dataenbanken, Web/File-Servers, Citrix Server

20 MANIPULATIONSSICHERE BEWEISE IT Staff Outsourcing Partner Manager VDI User TRANSPARENTE PROXY-LÖSUNG Firewall, Netzwerk Devices, Dataenbanken, Web/File-Servers, Citrix Server

21 Benefits EINFACHE IMPLEMENTIERUNG MULTI-PROTOKOLL- LÖSUNG TRANSPARENT UNABHÄNGIG PROXY GATEWAY ERWEITERTES AUDIT WIEDERGABE WIE EIN FILM VOLLTEXT-SUCHE DATEI-EXPORT REPORTING

22 Erweitertes Audit Index-Suche Zugriff auf Audit Trails Screenshot Prieview

23 Erweitertes Audit

24 Benefits EINFACHE IMPLEMENTIERUNG MULTI-PROTOKOLL- LÖSUNG TRANSPARENT UNABHÄNGIG PROXY GATEWAY ERWEITERTES AUDIT WIEDERGABE WIE EIN FILM VOLLTEXT-SUCHE DATEI-EXPORT REPORTING GRANULARE KONTROLLE 4-AUGEN PRINZIP AUTO-LOGON CHANNEL KONTROLLE DATEI-TRANSFER

25 Granulare Kontrolle: 4-Augen Prinzip Autorisierung ZUGRIFF ZUGRIFF Privilegierte User Echtzeit-Monitoring

26 Granulare Kontrolle von Shared Accounts External IM AD / LDAP Data center SSH SSH Privilegierte User Credential Store internal / external 1 0

27 Echtzeit-Analyse: Kommandofilter Kommando wird nicht ausgeführt

28 Benefits EINFACHE IMPLEMENTIERUNG ERWEITERTES AUDIT GRANULARE KONTROLLE ECHTZEIT- ANALYSE MULTI-PROTOKOLL- LÖSUNG TRANSPARENT UNABHÄNGIG PROXY GATEWAY WIEDERGABE WIE EIN FILM VOLLTEXT-SUCHE DATEI-EXPORT REPORTING 4-AUGEN PRINZIP AUTO-LOGON CHANNEL KONTROLLE DATEI-TRANSFER ALRAMIEREN BEI BÖSARTIGEN AKTIVITÄTEN TERMINIEREN VON VERBINDUNGEN

29 Seamless Enterprise Integration System- Management Microsoft Azure Identity- Management Workflow- & Ticketing-Systems Password- Management User Behavior Analytics SIEM- / Log- Management

30 Business Driver Compliance Erfüllen von internationalen Standards, lokalen Gesetzen und Unternehmens-Policys Security Besseres Kontrolle externer Partner und interner, privilegierter Benutzer Erweiterete Sicherheit gegenüber menschlicher Risiken Operational Efficiency Effiziente Troubleshooting- & Forensik-Prozesse Schnellere Audits Reduzierung menschlicher Fehler

31 Der nächste Schritt: User Behavior Analytics (UBA) Der Blindspot im Unternehmen: Bringen Sie Licht ins Dunkel Ihrer privilegierten Userzugriffe.

32 "However, what we really need are more sophisticated approaches. User Activity Monitoring (from the perspective of monitoring and logging) and User Behavior Analytics (the perspective of analyzing collected data) must move to the center of our attention. We need becoming able in identifying anomalies in user behavior. Martin Kuppinger - KuppingerCole

33 Logging: the primary source of evidence Machine data Compliance data User data VIP data High-speed logging Trusted logging Advanced log filtering???

34 Balabit UBA Digitale Footprints der Benutzer sammeln Baseline für normales Verhalten bilden Ungewöhnliche Aktivitäten in Echt-Zeit identifizieren Number of used hosts Schnelle Reaktion zur Vermeidung von Datenverletzungen Admin ID

35 Anomalie-Erkennung ohne Pattern Normale Login-Zeit Ungewöhnliche Login-Zeit

36 Fokus auf das Wichtige DBA führt Query auf Kundentabelle aus Deviation DBA startet Oracle neu Trainee Login um 23 Uhr Trainee Login um 9 Uhr Risk factor Prioritätsliste basierend auf Risiko- Faktoren und Abweichung

37

38

39 Blindspotter in der IT!

40 Use Cases Erkennen von Identitätsdiebstahl Erkennen von Privilegien-Missbrauch Erkennen von Shared Accounts Erkennen von System-Accounts, die von Personen genutzt werden und persönliche Accounts, die von Skripten genutzt werden Unterstützung von Security-Entscheidungen aufgrund von System-Nutzung Optimierung von SIEMs und Security-Prozessen

41 Business Benefits Wahrscheinlichkeit und Auswirkung von Sicherheitsverstößen verringern Verdächtige IT-Aktivitäten identifizieren und unbekannte Bedrohungen von intern und extern erkennen Effizienz der Security-Teams verbessern Business-Flexibilität erhöhen und gleichzeitig die Sicherheit verbessern

42

43 Referenzen TELCO / IT FINANCE OTHER INDUSTRIES 6

44 Q & A Vielen Dank für Ihre Aufmerksamkeit!