Your SlideShare is downloading. ×
0
QualysGuard InfoDay 2012 - QualysGuard VM ve společnostech skupiny Veolia Voda ČR
QualysGuard InfoDay 2012 - QualysGuard VM ve společnostech skupiny Veolia Voda ČR
QualysGuard InfoDay 2012 - QualysGuard VM ve společnostech skupiny Veolia Voda ČR
QualysGuard InfoDay 2012 - QualysGuard VM ve společnostech skupiny Veolia Voda ČR
QualysGuard InfoDay 2012 - QualysGuard VM ve společnostech skupiny Veolia Voda ČR
QualysGuard InfoDay 2012 - QualysGuard VM ve společnostech skupiny Veolia Voda ČR
QualysGuard InfoDay 2012 - QualysGuard VM ve společnostech skupiny Veolia Voda ČR
QualysGuard InfoDay 2012 - QualysGuard VM ve společnostech skupiny Veolia Voda ČR
QualysGuard InfoDay 2012 - QualysGuard VM ve společnostech skupiny Veolia Voda ČR
QualysGuard InfoDay 2012 - QualysGuard VM ve společnostech skupiny Veolia Voda ČR
QualysGuard InfoDay 2012 - QualysGuard VM ve společnostech skupiny Veolia Voda ČR
QualysGuard InfoDay 2012 - QualysGuard VM ve společnostech skupiny Veolia Voda ČR
QualysGuard InfoDay 2012 - QualysGuard VM ve společnostech skupiny Veolia Voda ČR
QualysGuard InfoDay 2012 - QualysGuard VM ve společnostech skupiny Veolia Voda ČR
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

QualysGuard InfoDay 2012 - QualysGuard VM ve společnostech skupiny Veolia Voda ČR

693

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
693
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. QualysGuard VMve společnostech skupiny Veolia Voda ČR )08/06/2012 Brand department and Communication department www.saservices.cz
  • 2. Obsah1. Veolia Environnement2. Solutions and Services, a.s.3. Motivace pro nasazení VM4. Problematika decentralizovaného prostředí5. Finální nasazení v rámci MPLS6. Přínosy řešení a Problémy ) 08/06/2012 Brand department and Communication department www.saservices.cz
  • 3. Veolia Environnement Veolia Environnement představuje jediný světový koncern, který je zaměřený výhradně na poskytování environmentálních služeb a nabízí jejich kompletní škálu v rámci svých 4 divizí: • Vodohospodářství (Veolia Water – v ČR Veolia Voda) • Nakládání s odpady (Veolia Environmental Services – v ČR Marius Pedersen) • Energetické služby (Veolia Energy – v ČR Dalkia) • Doprava (Veolia Transport) Působí v 69 zemích světa 29,6 mld. Euro obrat v roce 2011 315 000 zaměstnancůVE v ČR 35,5 mld. Kč obrat v roce 2011 12 656 zaměstnanců08/06/2012 3
  • 4. Veolia Voda ČR Společnosti skupiny Veolia Voda poskytují městům, obcím a průmyslovým podnikům kompletní služby spojené s výrobou a distribucí pitné vody a s odváděním a čištěním odpadních vod. Největší společnost na českém vodohospodářském trhu • 3,7 milionů zásobovaných obyvatel • 14,4 mld. Kč obrat v roce 2011 • 5 284 zaměstnancůSolutions and Services, a.s. Vyčleněná společnost za účelem poskytování ICT služeb společnostem skupiny Veolia Voda Česká republika 124 zaměstnanců (cca 50% z oboru IT nebo systémové integrace) Současné služby: • Poskytování ICT služeb především společnostem skupiny Veolia Voda • Projektové řízení a systémová integrace • Outsourcing IT infrastruktury • Řízení centrálních nákupů • Služby call center • Služby centrální fakturace08/06/2012 4
  • 5. Původní infrastrastruktura Veolia Voda ČR 10 oddělených společností – 6 významných lokalit • Praha, Teplice, Plzeň, Olomouc, Kladno, Hradec Králové Mezi jednotlivými společnostmi nebyla žádná společná síť Celkový počet serverů: cca 300 Celkový počet stanic: cca 250008/06/2012 5
  • 6. Motivace pro nasazení VM Skupina VE je kótovaná na americké burze a jako taková musí splňovat požadavky SOX (Sarbanes-Oxly Act) – sada standardů ustanovená po odhalení podvodů v účetnictví společností Enron, WorldCom a dalších IT požadavky SOX vycházejí mimo jiné z ISMS (ISO/IEC 27000) a proto bylo rozhodnuto o nasazení ISMS do dvou největších společností • V průběhu realizace bylo však rozhodnuto o ukončení nasazení ISMS jako standardu a v projektu zůstaly pouze jednotlivé oblasti vycházející z provedené analýzy rizik a kryjící se s požadavky SOX Jedním z požadavků SOX je pravidelné provádění penetračních testů externím subjektem • V rámci původní infrastruktury si každá společnost najímala své dodavatele a neexistovaly jednotné požadavky na provádění testů • Interní testování neprobíhalo vůbec08/06/2012 6
  • 7. Motivace pro nasazení VM Výběrové řízení na jednotné penetrační testy v r. 2008 • VŘ se soustředilo pouze na externí testy • Ve VŘ mimo dalších i RAC, který jako alternativu prezentoval nástroje Qualys Myšlenka automatizovaných externích testů z Internetu, ale současně i interních testů pomocí lokální appliance zvítězila • VŘ bylo následně změněno s cílem vybrat dodavatele automatizovaného nástroje pro podporu procesu řízení technických zranitelností Výběr byl zúžen na řešení Qualys Guard a McAfee Foundstone Vítězem řešení Qualys Guard (verze Express, licence pro 512 IP) pro jeho výsledky v provedených testech, celkově profesionální a přitom přehledné GUI a v neposlední řadě maximálně přehledné reporty08/06/2012 7
  • 8. Nasazení Qualys Guard VM Nasazení v prostředí VVČR mělo významná omezení • Verze Express dovoluje pouze 2 interní appliance – na 6 našich oddělených lokalit • Prakticky všechny sítě se překrývaly v IP segmentech 192.168.X.X Řešením bylo vytvořit plán rotace appliancí po jednotlivých společnostech • Pro každou společnost ji bylo nutné vždy vymazat a z GUI odstranit reporty z minulých skenů, aby nedocházelo k chybné analýze trendu vývoje zranitelností (pro stejné IP adresy v různých společnostech) Pomoc RAC s nasazením • V prostorách VVČR proběhlo školení práce se systémem pro cca 10 IT správců • Školení proběhlo i k nastavení appliance pro její převážení • RAC dále zpracovala podrobnou směrnici „Řízení technických zranitelností“ • Během prvotního záběhu jsme využívali i support RAC, i když ne příliš často08/06/2012 8
  • 9. Nasazení Qualys Guard VMPřínosy v oblasti externích a interních testů Externí penetrační testy se začaly provádět systematicky a jednotně • Testovalo se pracovníkem SaS (z ústředí – mimo jednotlivé společnosti) s maximálním důrazem na blackbox testování • Fáze pasivního získávání informací WHOIS, Google, DNS, WWW, apod. • Fáze aktivního získávání informací Port skeny, bannery služeb, apod. • Fáze testování zranitelností Analýza vlastních služeb, neinvazivní testování Interní testy se začaly provádět  • Nutnost rotace appliancí omezovala systematické nasazení • Trend nebyl sledován • Výsledkem tak byl pouze aktuální pohled na stav záplat na vybraných serverech v jeden okamžik (například po dobu 1 měsíce)08/06/2012 9
  • 10. Nasazení v rámci MPLS V roce 2011 došlo k vybudování jednotné MPLS sítě a společného datového centra Vznikl centrální bod pro umístění Qualys Guard appliance Unikátní IP adresace umožňuje sledování trendů Počet serverů vzrostl na cca 380 (z toho v DC cca 10%)08/06/2012 10
  • 11. Finální nasazení Qualys Guard VM Vymazání celého účtu (IP adresy, skeny, reporty) Založení nových unikátních IP adres (Host Assets) Vytvoření skupin IP adres (Asset Groups) – jméno determinuje Společnost / Business riziko / Správce • PVK-C-JaNo (Pražské vodovody a kanalizace / Critical / Jan Novák) Vytvoření uživatelských účtů pro jednotlivé správce • Licence Express dovoluje v základu maximálně 6 uživatelů, ale umožňuje si další dokoupit Plán skenů • Externí testy se provádějí 1x za měsíc • Interní testy probíhají každých 5 dnů Reporting • Každému jednotlivém správci chodí výsledky skenů jeho serverů emailem formou odkazu do GUI • K dispozici je Patch Report pro každou společnost (by Patch / by Host) • Každý IT manažer pak získává jednou za 2 měsíce report o stavu v jeho společnosti Remediation modul • Zatím nevyužíváme08/06/2012 11
  • 12. Problémy při nasazení Qualys Guard VM Neochota správců • Problematické bylo překonat pocit, že se jim někdo „dívá pod pokličku“ • ... a následně je donutit dané servery opatchovat (zvláště pak perly s 30ti Critical zranitelnostmi) Práva skenovacího uživatele v OS Windows • Doporučení Qualys je zajistit práva skupiny Local Admins / Domain Admins • Nyní to tak máme, ale naším cílem je vytvořit minimální sadu nutných oprávnění pro efektivní skenning • Možná by tuto sadu mohl dodat nebo pomoci poodkrýt přímo Qualys Informace o autentifikaci skenovacího uživatele • Příklad: Došlo k úspěšnému přihlášení uživatele na testovaném stroji, ale uživatel nemá dostatečná práva (je například pouze ve skupině Users) • V takovém případě sken vykazuje minimum zranitelností a výsledek se tváří na první pohled jako „v pořádku“ • Zjistit, na kterých strojích je autentifikace v tomto stavu, při počtech v řádu několika set IP, je nelehký úkol • Pomohl by komplexní Info QID, který by přímo poukazoval na to, že jsou nedostatečná práva08/06/2012 12
  • 13. Reálné výsledky Jedna samostatná menší společnost (cca 40 serverů), ve které se podařilo významně snížit počet zranitelností – 100% hmatatelný výsledek nasazení Qualys Velká společnost (90 serverů) – je znatelný snižující se trend po nasazení Qualys Celkový trend za celou skupinu VVČR se také snižuje08/06/2012 13
  • 14. Děkuji za pozornostVit MoravecHead of Project ManagementSolutions and Services, a.s.Parizska 11, 110 00 Prague 1phone: +420 222 321 648email: vit.moravec@saservices.cz08/06/2012 14

×