Älä menetä domainiasi alle 10 minuutissa (Sisältäen kahvitauon) Ympäristön automaattinen suojaaminen ja valvonta

Transkriptio

1 Älä menetä domainiasi alle 10 minuutissa (Sisältäen kahvitauon) Ympäristön automaattinen suojaaminen ja valvonta

2 Tehokasta tietoturvaa älykkäästi Tietoturvan erikoisosaamisemme: Tehokas tietojärjestelmien pääsynhallinta Helppo käyttäjätietojen hallinta Turvallinen kumppaniverkostojen hallinta Älykäs tietoturvariskien hallinta Säädösten mukainen tietoturva Kattava tietoverkkojen tietoturva Perustettu: 2003 Liikevaihto: 5,4 M (2010) Henkilöstö: 28 Palvelee: suuria ja keskisuuria eri toimialojen asiakkaita Trusteq on Suomen suurin käyttäjätietoturvan ja pääsynhallinnan osaamiskeskittymä Palvelumme: Konsultointi IT-hanke- ja -projektijohtaminen Valmisohjelmistot Koulutus ja tekninen tuki IAM-ulkoistus

3 Agenda Security automation Security Content Automation Protocol (SCAP) Consensus Audit Guidelines (CAG) Hardening

4 Security Automation

5 Miksi tietoturva automaatio? Suojattavana ja monitoroitavana useita järjestelmiä sekä sovelluksia Runsaasti konfiguroitavia asetuksia, päivityksiä, jne Resurssi ja aika intensiivistä sekä T.Y.L.S.Ä.Ä = virheitä Nopea reagoiminen uusiin haavoittuvuuksiin ja uhkiin Uusia ohjelmistovirheitä julkaistaan tasaiseen tahtiin Ollaan siirtymässä satunnaisista auditoinneista jatkuvaan monitorointiin sekä liikennevaloihin Tarve vastata vaatimuksien mukaisuuteen sekä toimittaa todisteet vaatimusten mukaisuudesta Standardit, säädökset, ohjeet, vaatimukset Eri järjestelmien välisen yhteentoimivuus Ihmisille jää aikaa uusille sekä vaativammille tehtäville

6 Mitä saavutetaan tietoturvan automatisoinnilla? Vähemmän aikaa toistuviin rutiineihin Vähennetään ajan sekä vaivan määrää joka kuluu manuaaliseen arviointiin sekä ongelmien korjaamiseen Kattavampi arviointi järjestelmän tilasta Lisää standardointia sekä yhteentoimivuutta Mahdollistaa nopean ja tarkan korrelaation koko yrityksen sekä sen organisaatioiden kesken Lyhennetään päätöksen arviointiin kuluvaa aikaa Vaatimukset (Kuinka ja mitä tarkastetaan) Tulokset (Mitä löytyi) Mahdollistaa eri toimittajien tuotteiden ja tietovarastojen jakaa tietoa keskenään Edistää jaettua tilannekuvaa mahdollistamalla ja helpottamalla datan jakamista sekä analysointia että yhdistämistä Nopeus Havaitsee vikkelästi haavoittuvuudet sekä väärin konfiguroidut järjestelmät ja ilmoittaa riskien määrän

7 Security Automation Security Automation Domains Vulnerability Management Configuration Management Malware Detection Software Assurance Event Management Asset Management Network Management Incident Management Patch Management License Management Information Management Security Automation Activities Sensing Compliance Remedy Reporting Orchestration

8 Tietoturva automaation Visio Tietoturva automaatio First Gen Tietoturva automaatio Next Gen Tietoturva automaatio Future Gen Staattinen laitearvio Päätös Verkko ja laite tietoisuus Päätös Korjaus Korjaus Reaali aikainen tilanne kuva Päätös Dynaaminen mukautuminen Korjaus Tietoturva automaatiolla Ei tietoturva automaatiota Muuttumaton firma Sopeutuva firma

9 Security Content Automation Protocol SCAP

10 Mikä SCAP on The Security Content Automation Protocol SCAP on monikäyttöinen protokolla joka tukee automaattista haavoittuvuuksien ja päivitysten tarkastamista, teknisiä vaatimustenmukaisuus toimintoja ja tietoturvan mittaamista. SCAP: n kehittämisen tavoitteisiin kuuluu standardoida järjestelmä turvallisuuden hallinta, edistää tietoturva järjestelmien yhteentoimivuutta sekä edistää standardia tapaa ilmaista tietoturva sisältöä Luoda standardi tapa ylläpitää tietoturvaa enterprise järjestelmissä

11 Tietoturva automaatio - SCAP SCAP keskittyy standardoimaan seuraavia osaalueita (domain) Configuration Management Vulnerability Management Asset Inventory (subset of Asset Management) Malware Detection Patch Management SCAP keskittyy standartoimaan seuraavia aktiviteettejä Sensing Compliance

12 SCAP 1.0 kielet CVE CCE Common Vulnerability and Exposures Common Configuration Enumeration Standard nomenclature and dictionary of security related software flaws Standard nomenclature and dictionary of software misconfigurations CPE Common Platform Enumeration Standard nomenclature and dictionary for product naming XCCDF extensible Configuration Checklist Description Format Standard XML for specifying checklists and for reporting results of checklist evaluation OVAL CVSS Open Vulnerability and Assessment Language Common Vulnerability Scoring System Standard XML for test procedures Standard for measuring the impact of vulnerabilities

13 SCAP 1.0 Suomeksi Mitä IT järjestelmiä firmassani on? Mistä haavoittuvuuksista minun tulee olla huolissani? Mistä haavoittuvuuksista minun pitää olla huolissani juuri nyt? Kuinka voin konfiguroida järjestelmäni vielä turvallisemmisiksi? Kuinka määrittelen turvallisen konfiguraation? Kuinka voin olla varma että järjestelmäni noudattaa politiikkaa CPE (Platforms) CVE (Vulnerabilities) CVSS (Scoring System) CCE (Configurations) XCCDF (Configuration Checklists) OVAL (Assessment Language)

14 SCAP validointi SCAP validointi ohjelman tarkoitus on testata tuotteiden kykyä toteuttaa SCAP:n ominaisuuksia ja toiminnallisuuksia SCAP validointi testit tehdään akredoiduissa laboratorioissa Nykyiset SCAP ominaisuuksien validoinnit FDCC scanner Authenticated Configuration Scanner Authenticated Vulnerability and Patch Scanner Unauthenticated Vulnerability Scanner Patch Remediation Misconfiguration Remediation

15 SCAP validoitujen tuotteiden toimittajia

16 Consensus Audit Guidelines (CAG)

17 Mikä on CAG The Consensus Audit Guidelines CAG on kokoelma kriittisiä kontrolleja IT:n tehokkaaseen suojaamiseen CAG luo priorisoidun perustan mitattavalle tietoturva tasolle jota voidaan jatkuvasti valvoa automaattisesti CAG auttaa CISO/CIO:ja toimittamaan ympäristöön tärkeimmät kontrollit, keskittyen suojautumaan kriittisimmiltä riskeiltä Taustalla on NIST:n (National Institute of Standards and Technology)

18 CAG periaatteet Puolustuksen tulee keskittyä suojautumaan tämän hetken ja oletettuilta tulevaisuuden yleisimmiltä sekä vahingoittavimmilta hyökkäyksiltä Hyökkäys ohjaa puolustusta suojaaminen on melko haastavaa jos ei tiedä miltä puolustautuu Enterprise ympäristön täytyy taata yhtenäiset sekä jatkuvat kontrollit ehkäistäkseen hyökkäykset Puolustuksen tulisi olla automatisoitua sekä tietoturvatilaa tulisi mitata jatkuvasti milloin vain se on mahdollista

19 Miksi GAC Korjaa tärkeimmät tietoturva ongelmat ensimmäisenä Tukee tietoturvan automaatiota TOP 20 kontrollien automatisointi pienentää huomattavasti kustannuksia kun se samalla parantaa mitattavan tietoturvan tasoa. US State Department on jo osoittanut 80% laskun tietoturvariskien osalta automatisoinnin avulla

20 GAC - Top Inventory of Authorized and Unauthorized Devices 2. Inventory of Authorized and Unauthorized Software 3. Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers 4. Secure Configurations for Network Devices such as Firewalls, Routers, and Switches 5. Boundary Defense 6. Maintenance, Monitoring, and Analysis of Security Audit Logs 7. Application Software Security 8. Controlled Use of Administrative Privileges 9. Controlled Access Based on Need to Know 10. Continuous Vulnerability Assessment and Remediation 11. Account Monitoring and Control 12. Malware Defenses 13. Limitation and Control of Network Ports, Protocols, and Services 14. Wireless Device Control 15. Secure Network Engineering 16. Penetration Tests and Red Team Exercises 17. Incident Response Capability 18. Data Recovery Capability 19. Security Skills Assessment and Appropriate Training to Fill Gaps 20. Data Loss Prevention

21 Hardening

22 FDCC:n taustaa Office of Management and Budget julkaisi muistion jossa neuvottiin hallituksen virastoja kehittämään suunnitelmia XP ja Vista koneiden suojaamiseksi United States Air Force:n ohje XP koneiden suojaamiseksi valitiin mallin pohjaksi, josta uusi standardi luotaisiin Win7 varten on luotu USGCB

23 Hardenointi resursseja USGCB (Win7, Win7 fw, IE8) Asetukset, GPO s, SCAP sisältö Microsoft Security Compliance Manager WS08 SP2 /R2, WS03 SP2 Win7, Vista SP2, XP SP3 Office 2007 / 2010 SQLs 2008 / R2 Exchange & Sharepoint tulossa Settings, GPO s, SCAP content DISA Security Technical Implementation Guides (STIG) 55 eri implementointi ohjetta, osassa jo SCAP tuki zos, Solaris, ESX, Citrix, Symantec, Oracle, Linux Redhat, debian

24 MS Security Compliance Manager

25 Take away Security automation Ihmisille enemmän aikaa oikeisiin töihin Alemmat kustannukset Mitattavuus SCAP Tukee automaatioita Tukee CAG CAG Valmista materiaalia Tukee automaatiota Hardenointi Paljon valmista materiaalia Vaadi SCAP tukea

26 Tehokasta tietoturvaa älykkäästi Tietoturvan erikoisosaamisemme: Tehokas tietojärjestelmien pääsynhallinta Helppo käyttäjätietojen hallinta Turvallinen kumppaniverkostojen hallinta Älykäs tietoturvariskien hallinta Säädösten mukainen tietoturva Kattava tietoverkkojen tietoturva Perustettu: 2003 Liikevaihto: 5,4 M (2010) Henkilöstö: 28 Palvelee: suuria ja keskisuuria eri toimialojen asiakkaita Trusteq on Suomen suurin käyttäjätietoturvan ja pääsynhallinnan osaamiskeskittymä Palvelumme: Konsultointi IT-hanke- ja -projektijohtaminen Valmisohjelmistot Koulutus ja tekninen tuki IAM-ulkoistus