Vahvojen tunnusten hallinta

Vahvojen tunnusten hallinta

Pekka Lindqvist

[email protected]

© 2015 NetIQ Corporation and its affiliates. All Rights Reserved.2

NERC CIP

Privacy Mandates HIPAA / HITECH

ISO 27001/2

SOX

Audits

European Data Protection Regulation

PCI DSS

Miksi miettiä vahvojen tunnusten hallintaa?

“Right to be forgotten”

GLBA

User demands

Governance


NERC CIP

Privacy Mandates HIPAA / HITECH

ISO 27001/2

SOX

Audits

European Data Protection Regulation

PCI DSS

Miksi miettiä vahvojen tunnusten hallintaa?

“Right to be forgotten”

GLBA

User demands

GovernanceGartner Strategic AssumptionBy 2017, more stringent regulations around control of privileged access will lead to a rise of 40% infines and penalties imposed by regulatory bodies on organizations with deficient PAM controls thathave been breached.

- Market Guide for Privileged Access Management – May 27, 2015


Setting the stage

“Home Depot Breach Has Already Cost $43 Million ” – eSecurityPlanet

“Cost of Target Data Breach Exceeds $200 Million”

– Consumer Banker’s Association

Neiman Marcus Sued Over Customer Credit Card Data Breach - Bloomberg

“Target says up to 70 million more customers were hit by December data breach”– The Washington Post

“Health care data breaches have hit 30M patients and counting…” – The Washington Post

“Energy company reports $1 billion in charges and a loss” - New York Times

“Security Breach Exposes Data on Millions of Payment Cards” - InformationWeek


Setting the stage

“Home Depot Breach Has Already Cost $43 Million ” – eSecurityPlanet

“Cost of Target Data Breach Exceeds $200 Million”

– Consumer Banker’s Association

Neiman Marcus Sued Over Customer Credit Card Data Breach - Bloomberg

“Target says up to 70 million more customers were hit by December data breach”– The Washington Post

“Health care data breaches have hit 30M patients and counting…” – The Washington Post

“Energy company reports $1 billion in charges and a loss” - New York Times

“Security Breach Exposes Data on Millions of Payment Cards” - InformationWeek

Several high-profile breaches and insider attacks have been known to exploit privileged accounts,and this has increased the interest in tools to tighten controls on privileged activity, as well asinterest in two-factor authentication for privileged access.

While in 2013 the majority of inquiriesabout PAM tools from Gartner clients were driven by compliance concerns and operationalefficiency, a large part is now driven by the desire to mitigate threats of breaches and insider attacks. Gartner expects this trend to continue at least until 2016.

- Market Guide for Privileged Access Management – May 27, 2015



Vahvat tunnukset on tunnuksia, joilla on suuret oikeudet:‒ Tiedostoihin‒ Ohjelmien asennukseen ja ajoon‒ Asetusten ja määritysten muutoksiin

– Uusien käyttäjien/profiilien luonti ja käyttäjien oikeuksien muuttaminen

Monet tunnuksista ovat konetilejä

Käyttäjät, joille aseman tai työsuhteen keston perusteella on myönnetty/ kertynyt selkeästi normaalikäyttäjää vahvemmat oikeudet

© 2014 NetIQ Corporation. All rights reserved.7

Vahvoja tunnuksia organisaatioissa

SaaSPaaSIaaS

Tietokannat Sovellukset Virtuaali-palvelimet

Fyysiset palvelimet

Oma konesali

IT-hen-kilöstö

Kehittäjät Liiketoiminta-käyttäjät

Ulkoistettu konesali

Ulkoistettu IT

Liiketoiminta

Verkkolaittet



Jaettujen tunnusten

salasanojen hallinta

Pääkäyttäjien oikeuksien ja salasanojen hallinta

Monitorointi

Autentikointi

IGA

* IGA – Identiteetin ja pääsyn hallinnnan järjestelmät

Lähde: Gartner


Jaettujen tunnusten salasanojen hallinta

• Salasanaholvi jaettujen tunnusten salasanoille

• Jaetutu tilit voivat olla käyttöjärjestelmä-, tietokanta- tai sovellustilejä. (root, Järjestelmävalvoja Administrator, SYS,ora_dba, sa)

• Tukee salasanojen ulos- ja sisäänkuittausta

• Automatisoitu kirjautuminen ja session luonti

• Jaettujen salasanojen automaattinen uudelleenasetus

• Auditointi


Pääkäyttäjien oikeuksien ja salasanojen hallinta

• Mahdollistaa kirjautumisen henkilökohtaisella tunnuksella ja myöntää pääsyn vahvoilla oikeuksilla, joita on mahdollisesti rajattu

• Oikeuksien käytön ajankohdan rajoittaminen

• Perustuu agenttiin tai hyppykoneeseen

• Session hallinta

• Hienojakoinen monitorointi ja raportointi


Monitorointi

• Session monitorointi, näppäilyjen monitorointi, näyttöjen nauhoitus

• Hakutoiminto tietueisiin, raportit

• Tietokanta toimien monitorointi

• Tietoturvainformaation hallinta (SIEM)



• Mikä näistä on suurin ongelma?‒ Tiedostojen eheys tai vahvojen oikeuksien luvaton

käyttö tietojen tarkasteluun

‒ Pääkäyttäjien toiminta Root- ja Järjestelmävalvoja-tunnusten kautta UNIX-, Linux- ja/tai Windows-ympäristöissä

‒ Liian monella henkilöllä on Windows-domainin täydet Järjestelmävalvojan oikeudet Active Directoryyn

‒ Kriittisten järjestelmien jatkuva seuranta ja epäilyttävien toimien havaitseminen



• NetIQ/Micro Focus tarjoaa erilaisia vaihtoehtoja vahvojen tunnusten hallintaan.

– Identity Manager

– Privileged Account Manager

– Change Guardian

– Directory Resource Administrator

– Identity Tracking

• Ennen ratkaisumallin valintaa kannattaa selvittää kaikkien osapuolien vaatimukset ratkaisulle


Privileged Account Manager

• Perustuu Privileged User Manager -tuotteen pohjalle

• Unix-, Linux- ja Windows-ympäristöjen sessioiden hallinta

• Sessioiden nauhoitus ja auditoitavuus

• Toimenpiteiden hyväksyntä

• Selainpohjainen konsoli

• Sääntöjen hallinta, käyttäjä, laite, aika …

• Vikasietoinen arkkitehtuuri

• Toiminta agentilla ja hyppykoneella


Privileged Account Manager

• Salasanaholvi, josta salaisuudet voidaan kuitata käyttöön

• Tietokantojen käyttö vahvoilla tunnuksilla (Oracle, MS SQL)

• Hätäpääsy (normaalista poikkeava tilanne)

• Auditointitietojen siirto CSV-muodossa

• REST-rajapinnan tuki ylläpitoon ja tunnusten hallintaan


Salasanaholvi

SaaSPaaSIaaS

DB Sovellukset Virtuaalipalvelimet

Säännöt

Esimies

Käyttäjä

Salasanan uloskuittaus ja session aloitus

Authorization workflow

Auditointilokit ja -raportit

Salasanaholvi


Salasanan uloskuittaus - pyyntö


Salasanan uloskuittaus


Hätäpääsy – Uusi pyyntö


Yhteenveto

• Jaettujen tilien käytössä on riskejä

• Ongelma voidaan ratkaista monella tavalla

• Valitse omaan ympäristöön ja haasteeseen parhaiten sopiva työkalu


Yhteenveto

Toimeenpane pääsyn hallinta

Monitoroi toimintaa

Hallitseoikeuksia



+1 713.548.1700 (Worldwide)888.323.6768 (Toll-free)[email protected]

Worldwide Headquarters1233 West Loop South Suite 810 Houston, TX 77027 USA

http://community.netiq.com

This document could include technical inaccuracies or typographical errors. Changes are periodically made to the information herein. These changes may be incorporated in new editions of this document. NetIQ Corporation may make improvements in or changes to the software described in this document at any time.

Copyright © 2014 NetIQ Corporation. All rights reserved.

ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, the cube logo design, Directory and Resource Administrator, Directory Security Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, the NetIQ logo, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator, VigilEnt, and Vivinet are trademarks or registered trademarks of NetIQ Corporation or its subsidiaries in the United States and other countries.

Vahvojen tunnusten hallinta

Software

Transcript of Vahvojen tunnusten hallinta