2. IBM Tivoli Security Solutions
Tivoli Compliance Insight Manager - l’Audit degli admin non può
essere più un optional
Other
13%
Privileged Users Chi è l’autore degli incidenti interni?
87%
Source: USSS/CET Insider Threat Survey
è quello sperato
o comportamento degli utenti
Ve rifichiamo se l’effettiv Report/alert on
Exceptions to policy!
2
3. IBM Tivoli Security Solutions
Cosa aiutiamo a fare per la tematica PUMA
Privileged User Monitoring and Audit
Richieste da parte dell’IT e Business management:
Siamo in grado di controllare se esistono manipolazioni di info sensibili?
Possiamo verificare le attività degli outsourcers?
Possiamo ottenere segnalazioni a fronte di attività non autorizzate?
Riusciamo a dimostrare la validità della segregation of duties?
Possiamo investigare su quanto accaduto in modo tempestivo?
Richieste da parte degli auditor:
Vengono tracciati e visionati i log di applicazioni, database, S.O. e device?
Le attività dei system administrator, DBA e system operator sono tracciate nei log e sono
verificate in maniera regolare?
Sono tracciati gli accessi a dati sensibili – incluso root/administration e i DBA – nei vari log?
Esistono dei tool automatici per i processi di audit?
Gli incidenti di sicurezza e le attività sospette sono analizzate al fine di intraprendere delle
azioni correttive?
3
4. IBM Tivoli Security Solutions
Log management: Cosa rilevare
Categoria Descrizione
Eventi di autenticazione Eventi di logon / logoff
Eventi di gestione Start di server, stop, back-up, restore
Change management Modifiche di configurazione, modifiche sui processi di auditing,
modifiche sulla struttura dei database, attività di manutenzione
Gestione utenze Creazione di nuove utenze, modifica dei privilegi utente, attività di
cambio password
Diritti di accesso Comportamento di tutti i DBA includendo gli accessi ai dati, DBCC
(Database Console Command), call a stored procedure
Accesso ai dati sensibili Tutti gli accessi ai dati sensibili immagazzinati nei database e quindi
operazioni di: select, insert, update, delete
4
5. IBM Tivoli Security Solutions
La normativa: Il garante obbliga le aziende a gestire i log degli
amministratori di sistema
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
PROVVEDIMENTO 27 novembre 2008
MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI TRATTAMENTI EFFETTUATI CON
STRUMENTI ELETTRONICI RELATIVAMENTE ALLE ATTRIBUZIONI DELLE FUNZIONI DI
AMMINISTRATORE DI SISTEMA.
(Pubblicato sulla G.U. n. 300 del 24-12-2008 )
HINTS
È la prima volta che sono esplicitati obblighi per la gestione dei log in sicurezza per tutte
le aziende
Impatti pervasivi per la sicurezza dei Sistemi Informativi dovuti alla definizione di
“Amministratore di sistema” molto ampia
Richiede misure organizzative, tecnologiche e procedurali br e
Di ce m
Tempi di adozione molto stretti – 120 gg dal 24 dicembre 2008 o ga a 9
Pror 200
5
6. IBM Tivoli Security Solutions
La soluzione proposta da IBM
Servizi consulenziali per:
Asse valutare lo “stato dell’arte” del cliente rispetto alla normativa e sviluppare il piano di rientro
Definire la gestione di “ruoli e profili”
Piattaforma software per:
la verifica periodica dell’attività degli amministratori “Tivoli Compliance Insight Manager” (TCIM)
garantire l’archiviazione sicura dell’attività degli amministratori “System Storage Archive Manager” (SSAM)
la gestione “automatizzata” di ruoli e profili “Tivoli Identity Management” (TIM)
hardening dell’accesso ai log “Tivoli Access Manager for OS” (TAMOS) - “ISS Proventia”
TIM
Gestione automatizzata dei Ruoli e dei Profili
TCIM Centralizzazione dei log
Audit & Compliance
L Verifica attività
amministratori
SSAM Conservazione e
Protezione dei dati
Sorgente
Sistema di
archiviazione sicura
TAMOS - ISS Proventia Controllo e restrizioni per l’accesso ai log
6
8. IBM Tivoli Security Solutions
Le tre C del TCIM: Capture, Comprehend, Communicate
TCIM
TCIM
8
9. IBM Tivoli Security Solutions
Le tre C del TCIM: Capture – Enterprise Log Management
Funzionalità:
Centralizzazione sicura ed affidabile di log da
numerose piattaforme
Raccolta automatica dei syslogs
Supporto su attività di raccolta di eventi da log
nativi
Memorizzazione efficiente ed in modalità
compressa dei dati
Possibilità di query e definizione di report custom
oltre a quelli offerti nativamente
Benefici:
Riduzione dei costi grazie all’automatizzazione e
centralizzazione delle attività di raccolta dei dati
Garanzia di una costante condizione di “audit
ready”
9
10. IBM Tivoli Security Solutions
Le tre C del TCIM: Capture – Log Continuity Report
Controllo automatico che evidenzia la continuità e la completezza del processo di log
management
10
11. IBM Tivoli Security Solutions
Le tre C del TCIM: Comprehend – Verifica delle attività degli utenti
87% degli incidenti interni sono causati da utenti privilegiati.
87% degli incidenti interni sono causati da utenti privilegiati.
11
12. IBM Tivoli Security Solutions
Le tre C del TCIM: Comprehend – Normalizzazione dei log
Windows z/OS AIX Oracle SAP ISS FireWall-1 Exchange IIS Solaris
Traduzione dei logs in “Formato Unico”
1. Who
2. What
Tivoli Compliance Insight Manager
3. On What
4. When
5. Where
6. Where From
7. To Where
TCIM storicizza le informazioni di security eecompliance ottimizzando i itempi
TCIM storicizza le informazioni di security compliance ottimizzando tempi
ed i icosti attraverso l’automatizzazione dei processi di monitoraggio aziendale
ed costi attraverso l’automatizzazione dei processi di monitoraggio aziendale
12
13. IBM Tivoli Security Solutions
Le tre C del TCIM: Comprehend – Compliance Dashboard
Dopo la normalizzazione W7 tutti i dati di log sono riassunti in un unico grafico
13
14. IBM Tivoli Security Solutions
Le tre C del TCIM: Communicate – Reporting
Funzionalità:
Centinaia di reports
Moduli di Compliance
Alert di Special attention
Reports Custom
Benefici:
Riduce l’impegno e del tempo richiesto
per l’audit e per la definizione dei
Reports
Riduzione dei rischi di minacce a dati
sensibili:
Protezione dei dati
Controllo sui change
User management
14
16. IBM Tivoli Security Solutions
Moduli di Compliance
Compliance Modules
Tivoli Compliance Management Module for Sarbanes-Oxley
Tivoli Compliance Management Module for ISO 27001
Tivoli Compliance Management Module for HIPAA
Tivoli Compliance Management Module for GLBA
Tivoli Compliance Management Module for Basel II
Tivoli Compliance Management Module for PCI DSS
16
17. IBM Tivoli Security Solutions
SOX 1.4.1.1
Le Utility di sistema devono essere usate
esclusivamente da staff specializzato in
determinate finestre temporali. Gli eventi che
non rispondono a tale regola vengono
evidenziate come exceptions.
17
19. IBM Tivoli Security Solutions
TCIM - Architettura
Event Sources Collection Method IBM TCIM Application Output
Enterprise Server
log Web-base
Applications Agent
Dashboards & drill down
log
Databases
Standard Servers Reports
log
Agent less
Operating Systems Fase di collect
completata Retrieve Log-files
log
IDS & IPS
Third party integration
Syslog/SNMP Log Depot
log
Fase di load
completata
Firewalls
DB2 embedded alerts
19
20. IBM Tivoli Security Solutions
TCIM - event sources supportati
Applications:
Tivoli Identity Manager
Tivoli Access Manager for OS and for e-Business
Servers: Devices:
Tivoli Federated Identity Manager on:
IBM AIX Audit logs Cisco Router
AIX, Solaris, Windows, Red Hat ES, SUSE, HPUX
IBM AIX syslog Hewlett-Packard ProCurve Switch
Tivoli Directory Server on:
IBM OS/400 & i5/OS journals Blue Coat Systems ProxySG Series
AIX, Solaris, Windows, HPUX, Red Hat, SUSE
Hewlett-Packard HP-UX Audit logs Check Point Firewall-1
SAP R/3 on Windows, Solaris, AIX, HP-UX
Hewlett-Packard HP-UX syslog Cisco PIX
mySAP
Hewlett-Packard NonStop (Tandem) Cisco VPN Concentrator (3000 series)
Misys OPICS
Hewlett-Packard OpenVMS Symantec (Raptor) Enterprise Firewall
BMC Identity Manager
Hewlett-Packard Tru64 ISS RealSecure
CA eTrust (Netegrity) SiteMinder
Microsoft Windows ISS System Scanner
RSA Authentication Server
Novell Netware ISS SiteProtector
Microsoft Exchange
Novell NSure Audit McAfee IntruShield IPS Manager
IBM Lotus Domino Server on Windows
Novell Audit McAfee ePolicy Orchestrator
Microsoft Internet Information server
Novell Suse Linux Snort IDS
SUN iPlanet Web Server on Solaris
RedHat Linux Symantec Antivirus
Stratus VOS Supported databases: TrendMicro ScanMail for Domino
SUN Solaris BSM Audit logs IBM DB2 on z/OS TrendMicro ScanMail for MS Exchange
SUN Solaris syslog IBM DB2 on Windows, Solaris, AIX, HPUX, Linux TrendMicro ServerProtect for Windows
IBM DB2 / UDB on Windows, Solaris, AIX
Microsoft SQL Server application logs
Mainframe: Microsoft SQL Server trace files
IBM z/OS + RACF Oracle DBMS on Windows, AIX, Solaris, HP-UX
IBM z/OS + CA ACF2 Oracle DBMS FGA on Windows, AIX, Solaris, HP-UX
IBM z/OS + CA Top Secret Sybase ASE on Windows, AIX, Solaris, HP-UX
CA Top Secret for VSE/ESA IBM Informix Dynamic Server on Windows, AIX, Solaris and HPUX
+ TCIM CAN COLLECT FROM VIRTUALLY ANY EVENT SOURCE
+ Listed above are the event sources for which we have developed W7 mapping
+ Addditional mappers can be developed as needed based on customer requirements
20
21. IBM Tivoli Security Solutions
Magic Quadrant for Security Information and Event Management (SIEM).
21
22. IBM Tivoli Security Solutions
La soluzione proposta da IBM
Servizi consulenziali per:
Asse valutare lo “stato dell’arte” del cliente rispetto alla normativa e sviluppare il piano di rientro
Definire la gestione di “ruoli e profili”
Piattaforma software per:
la verifica periodica dell’attività degli amministratori “Tivoli Compliance Insight Manager” (TCIM)
garantire l’archiviazione sicura dell’attività degli amministratori “System Storage Archive Manager” (SSAM)
la gestione “automatizzata” di ruoli e profili “Tivoli Identity Management” (TIM)
hardening dell’accesso ai log “Tivoli Access Manager for OS” (TAMOS) - “ISS Proventia”
TIM
Gestione automatizzata dei Ruoli e dei Profili
TCIM Centralizzazione dei log
Audit & Compliance
L Verifica attività
amministratori
SSAM Conservazione e
Protezione dei dati
Sorgente
Sistema di
archiviazione sicura
TAMOS - ISS Proventia Controllo e restrizioni per l’accesso ai log
22
23. IBM Tivoli Security Solutions
TCIM/SSAM: archiviazione sicura dei log
Monitoring and retention of systems logs:: TCIM
TCIM
-Tivoli Compliance Insight Manager
Enterprise / /
Enterprise
- System Storage Archive Manager
TCIM Standard Server
StandardServer
TCIM
Standard Server
Standard Server
Ambiente A Ambiente B Ambiente C
S S S
S S S
A A A
M M M
ATTUATORI ATTUATORI
C C C
l l ATTUATORI l
i i i
e e e
n n n
t SORGENTI t SORGENTI t
LAN/SAN
Log Retention
System Storage
Archive Manager
23
24. IBM Tivoli Security Solutions
TCIM/SSAM: archiviazione sicura dei log
Ambiente A Ambiente B Ambiente C
SORGENTI SORGENTI
ATTUATORI
ATTUATORI ATTUATORI
TCIM
TCIM TCIM
TCIM
Standard Server
Standard Server
Enterprise / /
Enterprise
SSAM Client Standard Server
StandardServer
SSAM Client
LAN/SAN
Log Retention
System Storage
Monitoring and retention of systems logs:: Archive Manager
-Tivoli Compliance Insight Manager
- System Storage Archive Manager
24
25. IBM Tivoli Security Solutions
TCIM risponde agli obblighi previsti dal provvedimento di carattere
generale del 27/11/08
– Cattura Gestisce i Log:
– a livello Enterprise
– li centralizza per periodi anche superiori ai 6
mesi
– li conserva in formato originale
– Comprende normalizza ed intepreta
i LOG utilizzando un motore brevettato
– Comunica Produce Report
– ad uso e consumo degli auditor
– per provare la compliance a specifiche
normative
25
26. IBM Tivoli Security Solutions
Stima servizi
Analisi - 10gg
- studio dell'ambiente
- project plan
- Documento di architettura logica e fisica
NOTA: da inserire in tutti i bid che vengono costruiti
Installazione Server - 2gg a server
NOTA: per il dimensionamento del numero di server ogni server puo' governare 1000 event sources
OPPURE 40GB di dati. Al superamento di uno di questi limiti scatta un altro server.
Se il dimensionamento comporta piu' di un server, bisogna poi aggiungerne comunque uno di
controllo: non esiste la configurazione da 2 server ma da 1,3,4,5 etc...
Gestione Adapter su dispositivi standard (supportati) - 4gg per il primo di ogni tipologia e
0.25gg giorni per i successivi della stessa tipologia
Gestione Adapter su dispositivi non standard (non supportati) - 12gg per il primo di ogni
tipologia e 0.25gg giorni per i successivi della stessa tipologia
26
27. IBM Tivoli Security Solutions
Hindi
Traditional Chinese Thai
Gracias
Russian Spanish
Thank English Obrigado
Arabic You Danke
Brazilian Portuguese
German
Grazie
Italian
Simplified Chinese Merci
French
Tamil Japanese
Korean
27