Logging met een business doel

1. Technische audits Performance, logging, penetratie, configuratie Lunch seminar Rijksauditdienst Ferdinand Uittenbogaard Technische audit | 14 maart 2011

2. Inhoud Logging voor wie? Performance Logging Penetratie testen Wat kan de RAD bieden: Vooraf advies oordeel Technische audit | 14 maart 2011

4. Geen inzicht in systeemkosten.

5. VM´s goedkoper?

6. Performance support staff?

7. Scale up of scale out beslissingen

8. Geen inzicht in system utilisation

9. Geen inzicht in systeemperformance

10. Geen value management op afgeronde projecten

11. 80/20 regelvoettekst 3

12. Monitor and evaluate IT performance voettekst 4

13. Management informatie (maandrapportage) Wat moet het management weten om beslissingen te kunnen nemen? Welke zaken moeten daartoe gemeten worden? Daarna moet de informatie systematisch gemeten worden. voettekst 5

14. Maandrapportage voettekst 6

15. Monitoring groeimodel Lunch seminar rapportage en logging 7

17. Cobit ME1 (ME2 en DS5)

18. Coso ERM Monitor IT performance moetpassen in het enterprise monitoring systeem. Real-time monitoring framework is het start punt in de bewegingnaar best practice organisatie. Na implementatiewordt de focus continue verbetering.

19. ITIL logging is the second step in the incident management process. It ensures a full historical record of each issue is captured.

20. NIST SP 800-92 Sep 2006 Guide to Computer Security Log ManagementSamengevat: Log management policy, procedures and technology, Log generation, Log retention and storage, Log analysis, Log protection and security.

21. Wat kunnen de auditors betekenen? voettekst 9

22. Normen voor logging (operations) Logging voldoet aan de volgende eisen: Minimaal wie deed wat, waarmee, wanneer? a. Inloggen (pogingen) mislukt, uitloggen b. het toewijzen van speciale bevoegdheden c. het gebruik van speciale bevoegdheden d. het wijzigen en uitgeven van autorisaties e. pogingen tot niet geautoriseerd handelen f. het starten en beëindigen van batchjobs, serivces, (handmatig en cron) Er is een goedgekeurde actuele lijst (log besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld: event, ID, date, time, welk commando). Beperkingen van het logsysteem zijn bekend (knownunknows) met tegenmaatregelen. Computer events (start stop, runlevels, hardware events, performance, changes) Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends, bijvoorbeeld onrechtmatige activiteiten. Wanneer een logging tot een relevante gebeurtenis leidt, wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris. De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages. Een audit-log mag niet meer worden gewijzigd (readonlyaccess). Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort. De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard. voettekst 10

23. Logs logslogsbeautiful logs Authentication server or system logs may include successful and failed authentication attempts. System logs may include system and service startup and shutdown information, installation of unauthorized software, file accesses, security policy changes, account changes (e.g., account creation and deletion, account privilege assignment), and privilege use. Intrusion detection and prevention system logs may include malicious activity and inappropriate use. Firewall and router logs may include outbound connections that indicate compromised internal devices (e.g., rootkits, bots, Trojan horses, spyware). Firewall logs may include unauthorized connection attempts and inappropriate use. Application logs may include unauthorized connection attempts, account changes, use of privileges, and application or database usage information. Antivirus logs may include update failures and other indications of outdated signatures and software. Security logs, in particular patch management and some IDS and intrusion prevention system (IPS) products, may record information on known vulnerable services and applications. voettekst 11

24. Deel 2: de security audit dmv pentest voettekst 12

25. Penetratie test fases voettekst 13

26. Penetratie test Evaluatie methode om de security van een computer system of netwerk te testen door een aanval te simuleren. Het proces bestaat uit een analyse van het systeem voor potentiële kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen, software fouten, of fouten in procedures of tegenmaatregelen. De analyse wordt uitgevoerd vanuit de positie van een potentiële aanvaller en probeert security kwetsbaarheden actief uit te buiten. Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing. Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen. voettekst 14

28. Identificeren van operating systemen, applicaties, services, en (onveilige) protocollen, (telnet) en ongeautoriseerde protocollen (p2p).

30. Achter de firewalls, om de filter regels te testen

31. Achter IDSs/IPSs, om de kijken of de triggers juist werken

32. Voor een belangrijk (kritiek) systeem

33. Op een specifiek netwerk segment, om de versleutelde protocollen te valideren.voettekst 15

34. Kwetsbaarheidscategorieën 􀀟 Misconfigurations. Misconfigured security settings, particularly insecure default settings, are usually easily exploitable. 􀀟 Kernel Flaws. Kernel code is the core of an OS, and enforces the overall security model for the system—so any security flaw in the kernel puts the entire system in danger. 􀀟 Buffer Overflows. A buffer overflow occurs when programs do not adequately check input for appropriate length. When this occurs, arbitrary code can be introduced into the system and executed with the privileges—often at the administrative level—of the running program. 􀀟 Insufficient Input Validation. Many applications fail to fully validate the input they receive from users. An example is a Web application that embeds a value from a user in a database query. If the user enters SQL commands instead of or in addition to the requested value, and the Web application does not filter the SQL commands, the query may be run with malicious changes that the user requested—causing what is known as a SQL injection attack. 􀀟 Symbolic Links. A symbolic link (symlink) is a file that points to another file. Operating systems include programs that can change the permissions granted to a file. If these programs run with privileged permissions, a user could strategically create symlinks to trick these programs into modifying or listing critical system files. 􀀟 File Descriptor Attacks. File descriptors are numbers used by the system to keep track of files in lieu of filenames. Specific types of file descriptors have implied uses. When a privileged program assigns an inappropriate file descriptor, it exposes that file to compromise. 􀀟 Race Conditions. Race conditions can occur during the time a program or process has entered into a privileged mode. A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode. 􀀟 Incorrect File and Directory Permissions. File and directory permissions control the access assigned to users and processes. Poor permissions could allow many types of attacks, including the reading or writing of password files or additions to the list of trusted remote hosts. voettekst 16

35. Rapportagedoelen voettekst 17

36. Vragen? Audit afspraken / details etc: Contact cluster manager IT1 Marcel ten Have voettekst 18