Datu bāzu drošība ar IBM InfoSphere Guardium. Jānis Bērziņš. DPA Konference 2...
Drosibas auditi
1. Auditora pieredze: 10
izplatītākās drošības kļūdas
organizāciju informācijas
sistēmās
Didzis Balodis, CISSP
IT drošības auditors
2011. gada 2. novembris
2. Saturs
- Kādēļ jārūpējas par IT drošību un kādas ir sekas, ja to
nedara?
- Tipiskie apdraudējumu veidi
- 10 izplatītākās drošības kļūdas uzņēmumos
- Ieteicamie risinājumi
3. Kādēļ jārūpējas par IT drošību
Lai nodrošinātu informācijas konfidencialitāti, pieejamību,
integritāti un ievērotu normatīvo aktu prasības:
Valsts pārvaldes iestādēm
– Valsts informācijas sistēmu likums
– Valsts informācijas sistēmu vispārējās drošības prasības
– Informācijas tehnoloģiju drošības likums
Finanšu institūcijām
– Finanšu un kapitāla tirgus dalībnieku informācijas sistēmu drošības
normatīvie noteikumi
Visiem - Fizisko personu datu aizsardzības likums
4. Sekas, ja par IT drošību nedomā
Organizācijai kopumā:
• Pazaudēta, sabojāta vai publiskota informācija t.sk. konfidenciāla
• Negatīva publicitāte un reputācija
• Finanšu zaudējumi
• Tiesu darbi
Atbildīgajām personām:
• Rājiens, algu samazinājums
• Pazemināšana amatā
• Atlaišana!
5. Veiksmīgi realizētie uzbrukumi pēc to
sarežģītības līmeņa
Avots: Verzion Data Breach Report 2011
8%
49%
37%
6%
0%
10%
20%
30%
40%
50%
60%
Sarežģīti Vidēji Viegli Ļoti viegli
Gandrīz puse
uzbrukumu
neprasa dziļas
zināšanas un
meistarību!
6. 10 izplatītākās drošības kļūdas
1. Nav definēta un/vai netiek realizēta IS ielāpu pārvaldība
2. Izslēgta Log failu un auditācijas pierakstu veikšana
3. Ārpakalpojumu sniedzējiem piešķirtas neierobežotas un
nekontrolētas piekļuves tiesības organizācijas IS
4. Sistēmu testa vidēs tiek izmantoti reāli dati
5. Nedroša bezvadu tīkla konfigurācija
7. 10 izplatītākās drošības kļūdas
6. Vairāki sistēmu administratori izmanto vienu un to pašu kontu
lai pieslēgtos IS
7. Uz serveriem, ugunsmūriem un tīkla ierīcēm paroles netiek
mainītas
8. Lokālie sistēmu ugunsmūri nav ieslēgti
9. Nekontrolēta un vāji aizsargāta attālinātā piekļuve
10.Netiek veiktas lietotāju apmācības
8. Secinājumi
• Kļūdas nepieļauj tikai tas, kurš neko nedara
• Nepieciešama risku un tā ietekmes novērtēšana
• Nepieciešams skats no malas
• Daudzus riskus var novērst, izmantojot jau esošos līdzekļus
9. Drošības audits
• Faktiskās drošības situācijas novērtējums organizācijā
• Neatkarīgu ekspertu skatījums uz esošajiem drošības riskiem
• «Īsta» hakera metožu pielietojums, mēģinot ielauzties
organizācijas datortīklā un piekļūt aizsargātiem datiem
• Rekomendācijas IT drošības attīstības prioritātēm
• Precīzas un realizējamas rekomendācijas:
– Veicamās darbības - konfigurāciju vai uzstādījumu nomaiņa
– Atbildīgie par rekomendāciju realizāciju organizācijā
– Realizācijas laikietilpība un izmaksu novērtējums
10. DPA drošības ekspertu komanda
Apvienota būtiska pieredze IT drošības jomā, risinājumu ieviešanā un
uzturēšanā
• Sertifikāti
– CISSP - Certified Information Systems Security Professional
– CISA – Cerified Information Systems Auditor
– MCSE, Microsoft Certified Systems Engineer: Security.
• Pieredzē – ievērojams skaits veikto drošības auditu gan Latvijā gan
ārzemēs
11. Mūsu pieeja
IT procesu
novērtēšana
• ISO 27002
• CobiT
• ITIL
• PCI DSS
• Likumdošanas
prasības
• Regulatoru
prasības
Sistēmu
izvērtējumi
Ielaušanās
testi
Rezultātu
apkopšana
Visu IS
komponenšu
pilnīga
izvērtēšana, tai
skaitā:
• Microsoft
• Oracle
• Novell
• IBM
• HP
• Tīkla ielaušanās
testi
• Bezvadu tīklu
ielaušanās testi
• Aplikāciju un IS
testēšana
• Komerciāla
ranga
testēšanas rīku
izmantošana
• Detalizētu
rekomendāciju
izstrāde
• Reālo risku
identificēšana
• Prioritizācija
• Novēršanas
plāna izstrāde
12. Cita veida auditi un konsultācijas
• IT pārvaldības audits
• Fizisko personu datu apstrādes audits
• Licenču auditi
• IT stratēģijas izstrāde
• IT dokumentācijas izstrāde
• Lietotāju apmācība
Labdien, mani sauc Didzis Balodis, esmu DPA IT drošības auditors un mana šodienas uzstāšanas tēma ir 10 izplatītākās drošības kļūdas organizāciju informācijas sistēmās.
Pavisa’m īsi par mani – strādāju DPA kopš ša gada maija, manā pārziņā ir drošībās risinājumi un IT drošības auditi un cita veida IT konsultācijas. Līdz tam savu pieredzi esmu ieguvusi starptausitskā kompānijā kur esmu ieguvis vairāk kā 4 gadu pieredzi tieši drošības auditu un konsultāciju veikšanā.
Šodien stāstīšu par to kādēļ ir jārūpējas par IT drošību
Kā arī par to kādi ir tipiskie padraudējumu veidi
Tad sniegšu savu versiju par to kādas tad ir izplatītākās drošības kļūdas uzņēmumos
Un sniegšu arī risinājumus kā ar to cīnīties
Kādēļ tad ir jārūpējas par IT drošību -
Protams, kā mācību grāmatās rakstīts, lai nodrošinātu informācijas konfidencialitāti pieejamību un integritāti. Publiskā sektora un arī atsevišķu komercesktoru uzņēmumiem ir pat vēl vieglāk un pašiem nav jādomā kas zem šiem trīs vārdiem slēpjas, jo pastāv virkne likumu un noteikumu un regulu kas pieprasa konkrētu rīcību un pienākumus kas ir jāievēro lai pārziņā esošās sistēmas tiktu pienācīgi aizsargātas.
Kas tad var notikt ja par IT drošību nerūpējas
Pazaudēta, sabojāta vai publiskota konfidenciāla informācija var radīt gan negatīvu publicitāti, gan sabojāt organizācijas vai uzņēmuma reputāciju, kas visdrīzāk radīs finanšu zaudējumus, bet sliktākā gadījumā tas var beigties arī daudz bēdīgāk, pat aŗ uzņēmuma likvidāciju.
<><>
gadijumā ja tiks pazuadēti klientu vai citu trešo pušu dati protams ka pastāv iespēja ka kāds jūs iesūdzēs tiesā un pieprasīs milzu kompensāciju, kas atkal nozīmē negatīvo publicitāti, izdevumus un citas nepatikšanas. Domāju ka visiem mums vēl atmiņā ir VID gadījums, kad saceltā jezga bija patiešām iespaidīga.
<>
Protams, ka ja tāds gadījums būs noticis, tad visdrīzāk tiks meklēti arī vainīgie un šajā gadījumā vainīgais var izrādīties kāds no IT un sodi var būt dažādi rājiens algas samazinājums, pazemināšana amatā vai pat atlaišana no darba,
labi palūkosimies kādi tad ir tipiskie uzbrukumu veidi un kas ir tie kas mūs apdraud
Man šeit ir grafiks no Verizon data breach report, kas sadala visus pētījumā iekļautos veiksmīgos iebrukumus datorsistēmās un tādi ir vairāk kā 5000 pēc to sarežģītības. Domāju ka latvijā situācij ir līdzīga, ja nu vienīgi tie stabi’’ni vēl vairāk nenobī’dās pa labi
sarežģītus uzbrukumus veic ļoti mērķtiecīgi iebrucēji un pret tādiem mūsdienu mainīgajā IT pasaulē aizsargāties ir gandrīz neiespējami, savukārt pret pārējiem uzbrukumiem mums vajadzētu būt gataviem
<>
un kas ir pats būtiskākais gandrīz puse no visiem uzbrukumiem ir bijuši vienkārši vai pat ļoti vienkārši, kas pārfrāzējot nozīmē tikai to, ka ja automašīnai pa nakti ir atstāts vaļā logs un vēl atslēgas slēdzenē tad nevajag brīnīties par to ka nākamā rītā automašīnas tur vairs nav. Vienkārši uzbrukumi šajā gadījumā ir tādi, kur lietotājs ar minimālām iemaņām un zināšanām vai pilnīgi bez tām, tikai izmantojot jau gatavus internetā publiski pieejamus rīkus īpaši pat nepūloties var veiksmīgi piekļūt datortīklam un tajā esošajiem datiem.
tieši par šo kļūdu iemesliem es arī vēlos pastāstīt nedaudz vairāk
Uzreiz man ir jāmin, ka vietu secībai šajā topā nav nozīmes, manuprāt, vairumu manis uzskaitīto trūkumu ir vienlīdz vienkārši labot vai arī vienkārši nepieļaut.
<>
Viena no visbiežāk sastopamajām kļūdām ir tas ka ielāpu pārvaldība netiek realizēta, vai vienkāršākā gadījumā sistēmām netiek uzstādīti ielāpi pat tajos gadījumos kad tiem noteikti vajadzētu būt, piemēram web serveriem, kas strādā ar linux apache un php
<>
Komplektā ar šo nāk arī nākamā kļūda – ļoti bieži log faili vienkārši netiek uzkrāti vai tiek uzkrāti noklusētajā režīmā, nerunājot jau par to centralizētu uzglabāšanu analīzi un izpēti. Šis aspekts ir ļoti svarīgs kaut vai tādēļ, ka gadījumā ja tiešām kas ļauns atgadīsies, tad bez auditācijas un log pierakstiem nebūs pat īsti sparotams kas un kā ir noticis.
<>
Tāpat bieži vien veicot auditus uzņēmumos nākas sastapties ar to ka ārpakalpojumu sniedzējiem uzņēmuma sistēmās ir piešķirtas priviliģētas tiesības uz neierobežotu laiku un prakstiski nepastāv nekādi kontroles mehānismi kas spētu identificēt ko un kapēc ārpakalpojumu sniedzēji sistēmās dara.
<>
Līdzīgs ir arī nākamais novērojums – testa vides tiek veidotas iegūstot reālo datu kopiju kas protams ir pareizi, bet nepareizi ir tas, ka dati tajās netiek sagrozīti tā lai tie vairs nesaturētu konfidencālu vai citādi aizsargājamu informāciju.
<><>
Bezvadu tīkls un drošā tā integrācija uzņēmuma datortīklā domāju ka ir atsevišķas prezentācijas vērta tēma, tipiskākās kļūdas šajā jomā ir: vienkāršas un visiem zināmas paroles izmantošana, bezvadu tīkls nav atdalīts ar ugunsmūri, protams spēkā paliek arī iepriekš minētais par neesošiem log pierakstiem un programmatūras atjauninājumiem.
Šeit varu minēt arī to ka DPA ir pieredze drošas bezvadu tīkla infrastruktūras izveidē
Turpinot,
<>
bieži vien atklājas ka vairāki sistēmu administratori izmanto vienu kontu lai administrētu sistēmu, tādejādi nav iespējams precīzi identificēt kurš kādas darbības ir veicis
<>
Ja lietotājam mēs liekam paroli mainīt tad bieži vien paši administratori šajā jomā grēko un savas paroles nemaina
<>
Lokālie sistēmu ugunsmūri pārsvarā gadījumos netiek ieslēgi – šeit ir jāatgadina senā patiesība, ka vislielākie draudi vienmēr nāk no iekšpuses, tādēļ lokālie ugunsmūri būtu jālieto, tos ir iespēja lietot gan protams windows serveros, gan arī linux un unix operētājsistēmās
<>
Bieži vien nākas arī redzēt to ka administratori, lai attālināti pieslēgtos savam datortīklam izmanto nepietiekami drošus līdzeķļus, piemēram tikai win rds
<>
Un šo uzskaitījumu es vēlos noslēgt ar vienu no pašiem būtiskākajiem trūkumiem, kas eksistē ievērojamā skaitā organizāiju, un tā ir lietotāju apmācība <> kura netiek veikta vai tiek veikta nepietiekami, mēs visi zinam ka ķēde ir tik stipra cik ir tās vājākais posms, un tā kā lietotājs ir tas kas ikdienā izmanto datoru un internetu, kas protams ir primārais draudu avots, tad nevajadzētu būt tā, ka šis vājākais ķēdes posms ir tieši lietotājs, jo viņu kā likums ir daudz. Ko mums dod divi paši jaunākie un modernākie ugunsmūri, ja aiz tiem jau sež 500 potenciālie draudu avoti.
Ko mēs no iepriekšminētā varam secināt, protams visi esam cilvēki un pieļaujam kļūdas, nekļūdās tikai tas kuŗš neko nedara
Ko darīt lai lietas vērstu uz labo pusi –
Nepieciešams apzināt faktisko situāciju, vislabāk ja to dara kompetenti ārēji eksperti
Ļoti iespējams ka daļu risku var novērst pavisam vienkārši izmantojot jau pieejamos līdzekļus un lai būtiski uzlabotu drošības līmeni organizāijā ir nepieciešams pavisam nedaudz
Bet kā jau minēju jāsāk ir ar novērtēšanu, ko var iegūt veicot drošības auditu, tipiskā drošības audita mērķi un ieguvumi ir:
<>
Neatkarīga Faktiskās situācijas novērtēšana, ko veic profesionāli eksperti
<>
Īsta hakera vai ļauprātīgas personas darbības imitēšana ar mērķi piekļūt organizācijas datortīklam un datiem
<>
Un visu augstākminēto aktivitāšu rezultātā radušos secinājumu apkopošana un prioritizēšana kā arī precīzas un izpildāmas rekomendācijas.
Vispirms vēlos uzsvērt to ka Mūsu uzņēmums ir unikāls ar to ka šeit ir apvienota gan ievērojama pieredze IT drošības jomā un tās novērtēšanā, un kas nav mazāk būtiski, ļoti liela pieredze tieši risinājumu ieviešanā un uzturēšanā un šī saikne nodrošina to ka drošības audita rezutlāti nebūs tikai augsta līmeņa vispārīgas rekomendācijas, bet gan konkrēti risinājumi vai konfigurācijas piemēri un galu galā mēs paši arī varam apņemties identificētos trūkumus priekš jums novērst.
No kā tad sastāv tipisks drošības audits:
Es vienmēr piedāvāju to sākt ar procesu izvērtējumu atkārībā no uzņēmuma tas var būt kāds no standartiem kas attiecas tikai uz šo konkrēto uzņēmumu veidu, vai arī kāds vispārigs kurš der pilnīgi viesiem kā piemēram iso 27002
Tālāk seko sistēmu izvērtējumi, būtiski ir izvērtēt tās sistēmas kas uzņēmumam vai iestādei ir pašas krisitākās piemēram ugusmūri, lietotāju direktorijas, finanšu vadības sistēmas, un citas kas nu kuram ir tās būtiskākās. Šajā gadījumā ar terminu sistēmu tiek sparasta tiešām sistēma, un tā var sastāvēt no daudz un da’’zādiem komponentiem, piemēram ‘finanšu vadības sitstēma kas sastāv no oracle datubāzes, kas savukārt griežas un linux servera, un aplikāciju servera kas strādā uz windows, kas vēl lai interesantāk strādā uz vmwares platformas, tātad mums jau ir 5 komponentes kuru drošība ir jāizvērtē lai varētu spriest par mūsu mērķa finanšu vadības sitēmas drošību.
<>
Dažādi ielaušanās testi ir neatņemama drošības auditu sastāvdaļa
<>
Kā arī pati būtiskākā daļa rezulātu apkpoošana un rekomendāciju iz’trāde.
<>
Noslēgumā vēlos pieminēt ka mēs piedāvājam arī cita veida auditus un konsultācijas, gan dažādus IT auditus gan arī it attīstības stratēģijas izstrādi, dokumentācijas sakārtošanu, kā arī varam veikt lietotāju apmācību it drošības jomā