Your SlideShare is downloading. ×
  • Like
QualysGuard InfoDay 2012 - QualysGuard VM ve společnostech skupiny Veolia Voda ČR
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

QualysGuard InfoDay 2012 - QualysGuard VM ve společnostech skupiny Veolia Voda ČR

  • 659 views
Published

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
659
On SlideShare
0
From Embeds
0
Number of Embeds
2

Actions

Shares
Downloads
2
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. QualysGuard VMve společnostech skupiny Veolia Voda ČR )08/06/2012 Brand department and Communication department www.saservices.cz
  • 2. Obsah1. Veolia Environnement2. Solutions and Services, a.s.3. Motivace pro nasazení VM4. Problematika decentralizovaného prostředí5. Finální nasazení v rámci MPLS6. Přínosy řešení a Problémy ) 08/06/2012 Brand department and Communication department www.saservices.cz
  • 3. Veolia Environnement Veolia Environnement představuje jediný světový koncern, který je zaměřený výhradně na poskytování environmentálních služeb a nabízí jejich kompletní škálu v rámci svých 4 divizí: • Vodohospodářství (Veolia Water – v ČR Veolia Voda) • Nakládání s odpady (Veolia Environmental Services – v ČR Marius Pedersen) • Energetické služby (Veolia Energy – v ČR Dalkia) • Doprava (Veolia Transport) Působí v 69 zemích světa 29,6 mld. Euro obrat v roce 2011 315 000 zaměstnancůVE v ČR 35,5 mld. Kč obrat v roce 2011 12 656 zaměstnanců08/06/2012 3
  • 4. Veolia Voda ČR Společnosti skupiny Veolia Voda poskytují městům, obcím a průmyslovým podnikům kompletní služby spojené s výrobou a distribucí pitné vody a s odváděním a čištěním odpadních vod. Největší společnost na českém vodohospodářském trhu • 3,7 milionů zásobovaných obyvatel • 14,4 mld. Kč obrat v roce 2011 • 5 284 zaměstnancůSolutions and Services, a.s. Vyčleněná společnost za účelem poskytování ICT služeb společnostem skupiny Veolia Voda Česká republika 124 zaměstnanců (cca 50% z oboru IT nebo systémové integrace) Současné služby: • Poskytování ICT služeb především společnostem skupiny Veolia Voda • Projektové řízení a systémová integrace • Outsourcing IT infrastruktury • Řízení centrálních nákupů • Služby call center • Služby centrální fakturace08/06/2012 4
  • 5. Původní infrastrastruktura Veolia Voda ČR 10 oddělených společností – 6 významných lokalit • Praha, Teplice, Plzeň, Olomouc, Kladno, Hradec Králové Mezi jednotlivými společnostmi nebyla žádná společná síť Celkový počet serverů: cca 300 Celkový počet stanic: cca 250008/06/2012 5
  • 6. Motivace pro nasazení VM Skupina VE je kótovaná na americké burze a jako taková musí splňovat požadavky SOX (Sarbanes-Oxly Act) – sada standardů ustanovená po odhalení podvodů v účetnictví společností Enron, WorldCom a dalších IT požadavky SOX vycházejí mimo jiné z ISMS (ISO/IEC 27000) a proto bylo rozhodnuto o nasazení ISMS do dvou největších společností • V průběhu realizace bylo však rozhodnuto o ukončení nasazení ISMS jako standardu a v projektu zůstaly pouze jednotlivé oblasti vycházející z provedené analýzy rizik a kryjící se s požadavky SOX Jedním z požadavků SOX je pravidelné provádění penetračních testů externím subjektem • V rámci původní infrastruktury si každá společnost najímala své dodavatele a neexistovaly jednotné požadavky na provádění testů • Interní testování neprobíhalo vůbec08/06/2012 6
  • 7. Motivace pro nasazení VM Výběrové řízení na jednotné penetrační testy v r. 2008 • VŘ se soustředilo pouze na externí testy • Ve VŘ mimo dalších i RAC, který jako alternativu prezentoval nástroje Qualys Myšlenka automatizovaných externích testů z Internetu, ale současně i interních testů pomocí lokální appliance zvítězila • VŘ bylo následně změněno s cílem vybrat dodavatele automatizovaného nástroje pro podporu procesu řízení technických zranitelností Výběr byl zúžen na řešení Qualys Guard a McAfee Foundstone Vítězem řešení Qualys Guard (verze Express, licence pro 512 IP) pro jeho výsledky v provedených testech, celkově profesionální a přitom přehledné GUI a v neposlední řadě maximálně přehledné reporty08/06/2012 7
  • 8. Nasazení Qualys Guard VM Nasazení v prostředí VVČR mělo významná omezení • Verze Express dovoluje pouze 2 interní appliance – na 6 našich oddělených lokalit • Prakticky všechny sítě se překrývaly v IP segmentech 192.168.X.X Řešením bylo vytvořit plán rotace appliancí po jednotlivých společnostech • Pro každou společnost ji bylo nutné vždy vymazat a z GUI odstranit reporty z minulých skenů, aby nedocházelo k chybné analýze trendu vývoje zranitelností (pro stejné IP adresy v různých společnostech) Pomoc RAC s nasazením • V prostorách VVČR proběhlo školení práce se systémem pro cca 10 IT správců • Školení proběhlo i k nastavení appliance pro její převážení • RAC dále zpracovala podrobnou směrnici „Řízení technických zranitelností“ • Během prvotního záběhu jsme využívali i support RAC, i když ne příliš často08/06/2012 8
  • 9. Nasazení Qualys Guard VMPřínosy v oblasti externích a interních testů Externí penetrační testy se začaly provádět systematicky a jednotně • Testovalo se pracovníkem SaS (z ústředí – mimo jednotlivé společnosti) s maximálním důrazem na blackbox testování • Fáze pasivního získávání informací WHOIS, Google, DNS, WWW, apod. • Fáze aktivního získávání informací Port skeny, bannery služeb, apod. • Fáze testování zranitelností Analýza vlastních služeb, neinvazivní testování Interní testy se začaly provádět  • Nutnost rotace appliancí omezovala systematické nasazení • Trend nebyl sledován • Výsledkem tak byl pouze aktuální pohled na stav záplat na vybraných serverech v jeden okamžik (například po dobu 1 měsíce)08/06/2012 9
  • 10. Nasazení v rámci MPLS V roce 2011 došlo k vybudování jednotné MPLS sítě a společného datového centra Vznikl centrální bod pro umístění Qualys Guard appliance Unikátní IP adresace umožňuje sledování trendů Počet serverů vzrostl na cca 380 (z toho v DC cca 10%)08/06/2012 10
  • 11. Finální nasazení Qualys Guard VM Vymazání celého účtu (IP adresy, skeny, reporty) Založení nových unikátních IP adres (Host Assets) Vytvoření skupin IP adres (Asset Groups) – jméno determinuje Společnost / Business riziko / Správce • PVK-C-JaNo (Pražské vodovody a kanalizace / Critical / Jan Novák) Vytvoření uživatelských účtů pro jednotlivé správce • Licence Express dovoluje v základu maximálně 6 uživatelů, ale umožňuje si další dokoupit Plán skenů • Externí testy se provádějí 1x za měsíc • Interní testy probíhají každých 5 dnů Reporting • Každému jednotlivém správci chodí výsledky skenů jeho serverů emailem formou odkazu do GUI • K dispozici je Patch Report pro každou společnost (by Patch / by Host) • Každý IT manažer pak získává jednou za 2 měsíce report o stavu v jeho společnosti Remediation modul • Zatím nevyužíváme08/06/2012 11
  • 12. Problémy při nasazení Qualys Guard VM Neochota správců • Problematické bylo překonat pocit, že se jim někdo „dívá pod pokličku“ • ... a následně je donutit dané servery opatchovat (zvláště pak perly s 30ti Critical zranitelnostmi) Práva skenovacího uživatele v OS Windows • Doporučení Qualys je zajistit práva skupiny Local Admins / Domain Admins • Nyní to tak máme, ale naším cílem je vytvořit minimální sadu nutných oprávnění pro efektivní skenning • Možná by tuto sadu mohl dodat nebo pomoci poodkrýt přímo Qualys Informace o autentifikaci skenovacího uživatele • Příklad: Došlo k úspěšnému přihlášení uživatele na testovaném stroji, ale uživatel nemá dostatečná práva (je například pouze ve skupině Users) • V takovém případě sken vykazuje minimum zranitelností a výsledek se tváří na první pohled jako „v pořádku“ • Zjistit, na kterých strojích je autentifikace v tomto stavu, při počtech v řádu několika set IP, je nelehký úkol • Pomohl by komplexní Info QID, který by přímo poukazoval na to, že jsou nedostatečná práva08/06/2012 12
  • 13. Reálné výsledky Jedna samostatná menší společnost (cca 40 serverů), ve které se podařilo významně snížit počet zranitelností – 100% hmatatelný výsledek nasazení Qualys Velká společnost (90 serverů) – je znatelný snižující se trend po nasazení Qualys Celkový trend za celou skupinu VVČR se také snižuje08/06/2012 13
  • 14. Děkuji za pozornostVit MoravecHead of Project ManagementSolutions and Services, a.s.Parizska 11, 110 00 Prague 1phone: +420 222 321 648email: vit.moravec@saservices.cz08/06/2012 14