Your SlideShare is downloading. ×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe

481
views

Published on

In einem Unternehmen gibt es meist eine Vielzahl unbekannter privilegierter Benutzer: Systemadministratoren, Benutzer mit Zugriff auf vertrauliche Inhalte – besonders in IT-Architekturen, die mehrere …

In einem Unternehmen gibt es meist eine Vielzahl unbekannter privilegierter Benutzer: Systemadministratoren, Benutzer mit Zugriff auf vertrauliche Inhalte – besonders in IT-Architekturen, die mehrere Altsysteme enthalten.


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
481
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Zu wenige logs → nicht alle applikationen loggen Logs = Debugging <> Auditing
  • Zu wenige logs → nicht alle applikationen loggen Logs = Debugging <> Auditing
  • Transcript

    • 1. Trotz SIEM, PIM & Co. - Wissen Sie wirklich, was in Ihrem Netz los ist? Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe It-sa Nürnberg, 16.-18.10.2012, Stand 12-401 (Exclusive Networks)Martin Grauel www.balabit.commartin.grauel@balabit.com
    • 2. BalaBit IT Security - Unternehmensprofil  BalaBit ist führend im Bereich Kontrolle, Monitoring und Auditierung von privilegierten IT-Zugriffen → Shell Control Box  BalaBit bietet Lösungen zum Aufbau einer kompletten Log- Infrastruktur → syslog-ng Store Box, syslog-ng PE  BalaBit IT Security 2012  ~120 Mitarbeiter weltweit  HQ in Budapest  BalaBit IT Security GmbH in München seit 2007  Globales Partnernetzwerk (80+ in 30 Ländern) www.balabit.com
    • 3. Herausforderung privilegierter IT-ZugriffeInformationWeek fbi.gov USA TODAY Unternehmen investieren hohe Summen in Zugangskontrollen wie Firewalls, Authentisierungsysteme etc. Transparenz und Nachvollziehbarkeit der Tätigkeiten sind oft nicht gegeben! www.balabit.com
    • 4. Regulative Forderungen bzgl. Auditingprivilegierter IT-Zugriffe M 4.81 Audit und Protokollierung der Aktivitäten im Netz M 5.15 Absicherung externer Remote-Zugänge BSI Grundschutz ... - Protokollierung aller Tätigkeiten ... 10.10.1 Establish and maintain audit logs ISO 10.10.4 Log system administrator and operator activities 27002:2005 10. Track and monitor all access to network resources and cardholder data PCI-DSS 10.2 Implement automated audit trails for all events 10.2.2 All actions taken by any individual with root or administrative privilegesÄhnliche Anforderungen können aus weiteren Regularien wie Basel II, SOX, HiPAA etc.abgeleitet werden. www.balabit.com
    • 5. Exkurs: Logging Blindspots“Wir haben bereits ein SIEM-System!” www.balabit.com
    • 6. Exkurs: Logging Blindspots“Wir haben bereits ein SIEM-System!”ABER ... Nur 1% der Datenverletzungen wurden durch Log-Analyse entdeckt! Lässt sich der Vorfall alleine mit Hilfe des Logfiles genau nachvollziehen? “… with standard log collectors only limited data can be collected and IT auditors would miss-critical actions ...“ IDC WP: Compliance is More Than Just Cost: Creating Value Beyond Compliance www.balabit.com
    • 7. Exkurs: Logging Blindspots (Linux/Unix) Klassisches Linux-Systemlog www.balabit.com
    • 8. Exkurs: Logging Blindspots (Linux/Unix) Klassisches Linux-Systemlog SCB Audit Trail www.balabit.com
    • 9. Exkurs: Logging Blindspots (Windows - Eventlog) www.balabit.com
    • 10. Exkurs: Logging Blindspots (Windows – SCB-Audit Trail) www.balabit.com
    • 11. BalaBit Shell Control Box Shell Control Box (SCB) ist eine Appliance, die privilegierte IT- Zugriffe kontrolliert und sämtliche Aktivitäten der Benutzer revisionssicher aufzeichnet. www.balabit.com
    • 12. BalaBit Shell Control Box – transparente Integration http(s) VNC ICA www.balabit.com
    • 13. BalaBit Shell Control Box www.balabit.com
    • 14. BalaBit Shell Control Box – Authentication  Starke Authentisierung  Personalisierter Account → Shared Account  Credential Management Benefit: Zusätzlicher Authentisierungslayer www.balabit.com
    • 15. BalaBit Shell Control Box – Access Control  4-Augen-Prinzip  Kontrolle der erlaubten Protokollchannels Benefit: Access Policy Enforcement www.balabit.com
    • 16. BalaBit Shell Control Box – Real-Time Alerts  Echtzeit-Kontrolle der Aktivitäten  Terminieren von Verbindungen und Alarmierung Benefit: Verhindern von kritischen Aktivitäten www.balabit.com
    • 17. BalaBit Shell Control Box – Audit & Forensics  Revisionssichere Aufzeichnung der kompletten Aktivität (Verschlüsselung, Signatur, Zeitstempel)  Vollständige Indexierung der Audit Trails  Effiziente Metadaten-Suche Benefit: Unabhängiges Tool für effizientes Auditing www.balabit.com
    • 18. BalaBit Shell Control Box – Reports  Zugriffsreports  Reports über Aktivitäten  Systemreports Benefit: Granulare Reports zur Compliance-Erfüllung www.balabit.com
    • 19. BalaBit Shell Control Box– als Teil der Compliance- und Security-Umgebung ● Analyse verschlüsselten ● Alerts Datenverkehrs ● Zentrales Monitoring IDS System-Mgmt IDS System-Mgmt API ● Remote-Suche und -Management PIM ● Integration mit 3rd Party Anwendungen SIEM/Log-Mgmt PIM SIEM/Log-Mgmt ● User Account → Shared Account ● Augmented Logs ● Credential-Management ● Effizienteres Troubleshooting ● Bessers Reporting www.balabit.com
    • 20. Shell Control Box Business-Treiber Compliance Vertrauen Effizienter Betrieb Internationale IT-Outsourcing- Troubleshooting Standards (SLA) Kontrolle Forensik Dokumentation Monitoring Gesetze interner IT Cloud-Service- Monitoring Policys VDI-Monitoring www.balabit.com
    • 21. Links  IDC Whitepaper: Creating value beyond compliance http://www.balabit.com/support/documentation/scb-whitepaper-IDC-creating-value- beyond-compliance-summary-en_0.pdf  SCB Produkt Broschüre http://www.balabit.com/support/documentation/SCB_3F3_desc.pdf  PCI compliance and forensics in auditing remote server access http://www.balabit.com/support/documentation/scb-v3.0-whitepaper-pci-compliance-forensics-en_0.pdf  Benefits of Activity Monitoring over System Logging http://www.balabit.com/support/documentation/scb_vs_logging_summary_en.pdf  SCB in Financial Sector http://www.balabit.com/support/documentation/financial_en_web01.pdf  SCB in Managed Service Provider Sector http://www.balabit.com/support/documentation/msp_web03.pdf  SCB in Manufacturer Sector http://www.balabit.com/support/documentation/manufacturer_en.pdf  SCB in Telecom Sector http://www.balabit.com/support/documentation/telco_en_web03.pdf  SCB Referenzcases  Fiducia: http://www.balabit.com/support/documentation/scb-fiducia-reference-en.pdf  Interoute: http://www.balabit.com/support/documentation/interoute-flyer-en.pdf www.balabit.com
    • 22. Vielen Dank für Ihre Aufmerksamkeit! It-sa Nürnberg, 16.-18.10.2012, Stand 12-401 (Exclusive Networks)Martin Grauel www.balabit.commartin.grauel@balabit.com