Trotz SIEM, PIM & Co. - Wissen Sie wirklich, was in Ihrem Netz los ist? Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe It-sa Nürnberg, 16.-18.10.2012, Stand 12-401 (Exclusive Networks) Martin Grauel martin.grauel@balabit.com
BalaBit IT Security - Unternehmensprofil BalaBit ist führend im Bereich Kontrolle, Monitoring und Auditierung von privilegierten IT-Zugriffen Shell Control Box BalaBit bietet Lösungen zum Aufbau einer kompletten LogInfrastruktur syslog-ng Store Box, syslog-ng PE BalaBit IT Security 2012 ~120 Mitarbeiter weltweit HQ in Budapest BalaBit IT Security GmbH in München seit 2007 Globales Partnernetzwerk (80+ in 30 Ländern)
Herausforderung privilegierter IT-Zugriffe InformationWeek fbi.gov USA TODAY Unternehmen investieren hohe Summen in Zugangskontrollen wie Firewalls, Authentisierungsysteme etc. Transparenz und Nachvollziehbarkeit der Tätigkeiten sind oft nicht gegeben!
Regulative Forderungen bzgl. Auditing privilegierter IT-Zugriffe BSI Grundschutz ISO 27002:2005 PCI-DSS M 4.81 Audit und Protokollierung der Aktivitäten im Netz M 5.15 Absicherung externer Remote-Zugänge... - Protokollierung aller Tätigkeiten... 10.10.1 Establish and maintain audit logs 10.10.4 Log system administrator and operator activities 10. Track and monitor all access to network resources and cardholder data 10.2 Implement automated audit trails for all events 10.2.2 All actions taken by any individual with root or administrative privileges Ähnliche Anforderungen können aus weiteren Regularien wie Basel II, SOX, HiPAA etc. abgeleitet werden.
Exkurs: Logging Blindspots Wir haben bereits ein SIEM-System!
Exkurs: Logging Blindspots Wir haben bereits ein SIEM-System! ABER... Nur 1% der Datenverletzungen wurden durch Log-Analyse entdeckt! Lässt sich der Vorfall alleine mit Hilfe des Logfiles genau nachvollziehen? with standard log collectors only limited data can be collected and IT auditors would miss-critical actions... IDC WP: 'Compliance is More Than Just Cost: Creating Value Beyond Compliance'
Exkurs: Logging Blindspots (Linux/Unix)
Exkurs: Logging Blindspots (Linux/Unix)
Exkurs: Logging Blindspots (Windows)
Exkurs: Logging Blindspots (Windows)
BalaBit Shell Control Box Shell Control Box (SCB) ist eine Appliance, die privilegierte ITZugriffe kontrolliert und sämtliche Aktivitäten der Benutzer revisionssicher aufzeichnet.
BalaBit Shell Control Box http(s) VNC ICA
BalaBit Shell Control Box
BalaBit Shell Control Box Authentication Starke Authentisierung Personalisierter Account Shared Account Credential Management Benefit: Zusätzlicher Authentisierungslayer
BalaBit Shell Control Box Access Control 4-Augen-Prinzip Kontrolle der erlaubten Protokollchannels Benefit: Access Policy Enforcement
BalaBit Shell Control Box Real-Time Alerts Echtzeit-Kontrolle der Aktivitäten Terminieren von Verbindungen und Alarmierung Benefit: Verhindern von kritischen Aktivitäten
BalaBit Shell Control Box Audit & Forensics Revisionssichere Aufzeichnung der kompletten Aktivität (Verschlüsselung, Signatur, Zeitstempel) Vollständige Indexierung der Audit Trails Effiziente Metadaten-Suche Benefit: Unabhängiges Tool für effizientes Auditing
BalaBit Shell Control Box Reports Zugriffsreports Reports über Aktivitäten Systemreports Benefit: Granulare Reports zur Compliance-Erfüllung
BalaBit Shell Control Box als Teil der Compliance- und Security-Umgebung Analyse verschlüsselten Datenverkehrs IDS IDS PIM PIM System-Mgmt System-Mgmt API Remote-Suche und -Management Integration mit 3rd Party Anwendungen User Account Shared Account Credential-Management Alerts Zentrales Monitoring SIEM/Log-Mgmt SIEM/Log-Mgmt Augmented Logs Effizienteres Troubleshooting Bessers Reporting
Shell Control Box Business-Treiber Compliance Vertrauen Internationale Standards IT-Outsourcing(SLA) Kontrolle Gesetze Monitoring interner IT Policys VDI-Monitoring Effizienter Betrieb Troubleshooting Forensik Dokumentation Cloud-ServiceMonitoring
Links IDC Whitepaper: Creating value beyond compliance http:///support/documentation/scb-whitepaper-idc-creating-valuebeyond-compliance-summary-en_0.pdf SCB Produkt Broschüre http:///support/documentation/scb_3f3_desc.pdf PCI compliance and forensics in auditing remote server access http:///support/documentation/scb-v3.0-whitepaper-pci-compliance-forensics-en_0.pdf Benefits of Activity Monitoring over System Logging http:///support/documentation/scb_vs_logging_summary_en.pdf SCB in Financial Sector http:///support/documentation/financial_en_web01.pdf SCB in Managed Service Provider Sector http:///support/documentation/msp_web03.pdf SCB in Manufacturer Sector http:///support/documentation/manufacturer_en.pdf SCB in Telecom Sector http:///support/documentation/telco_en_web03.pdf SCB Referenzcases Fiducia: http:///support/documentation/scb-fiducia-reference-en.pdf Interoute: http:///support/documentation/interoute-flyer-en.pdf
Vielen Dank für Ihre Aufmerksamkeit! It-sa Nürnberg, 16.-18.10.2012, Stand 12-401 (Exclusive Networks) Martin Grauel martin.grauel@balabit.com