Defense in Depth
Download
Report
Transcript Defense in Depth
Budai Péter
[email protected]
Microsoft Magyarország
TechNet Programmenedzser
Új programsorozat kifejezetten IT vezetőknek
Nem a Microsoft termékek áttekintéséről szól
Nem marketingüzenetek hangzanak el
Folyamatra, üzleti igényekre és trendekre
fókuszálunk
Hazai példákat mutatunk meg
Várjuk a visszajelzéseket – célunk, hogy a hazai IT
vezetők számára nyújtsunk használható segítséget!
Az IT kockázatokkal több eseményünk és
tartalmunk is foglalkozik majd
Mai fókusz: biztonság
14:00 – 14:30 Norm Judah: az IT folyamatok
fontossága
14:30 – 15:10 Szirtes István: IT biztonsági
folyamatmodell
15:10 – 16:00 Szabó Gábor: Mélységi védelem
Microsoft Corporation
Services CTO
Norm Judah
WW CTO – Microsoft Services
Microsoft Corporation
•6
•7
•8
• The Science of Identifying Architectural Artifacts
• The Art of Simplicity
• Determining the Right Balance between the two
•9
Beautiful designs and
architectures are all good and
well, but what about…
o End user adoption
o Adoption is not Binary
o Operational excellence
o Engineered for Health
Computers are associated with greater productivity...
...But what explains the substantial variation across firms?
Productivity
(relative to
industry
average)
IT Stock (relative to industry average)
Erik Brynjolfsson: “Intangible Assets: Computer and Organizational Capital”. Center for
Business @ MIT. October 2002
•High IT and
•Digital Org.
•IT Capital
Erik Brynjolfsson: “Intangible Assets: Computer and Organizational Capital”. Center for
Business @ MIT. October 2002
Services
Control Layer
Session
Mgm.
Service
Logic
Service
Catalog.
Resource
Mgm.
Identity
Mgm.
SLA
Mgm.
Provisioining
Logical Layer:
Services
Oriented
Infra
Physical Object
Management
MOM
SMS
Physical
Layer
14
Project Risk Profiles
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0
Process Maturity
Solution Quality
Initial Risk Score
Final Risk Score
Team Maturity
•© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
•The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Szirtes István
[email protected]
Szirtes Technologies
… a szervezeti kultúrához és informatikai
környezethet alkalmazkodó egyedi
szabályrendszer
nincs univerzális biztonsági házirend
A világban a cégek fele/harmada nem
rendelkezik biztonsági házirenddel, és ahol igen,
ott is nagy számban nem ismerik vagy értik az
alkalmazottak.
Defense in depth
A védelem mindig több komponensből áll, ezért
mindegyikre figyelnünk kell!
Éppen elégséges jogosultságok elve
Mindenkinek és mindenhová csak annyi jogot
állítsunk be, ami a folyamatokhoz szükséges!
Minimálisra kell szorítani a támadási felületeket
Tökéletes biztonság nincs, de törekedjünk rá!
A megelőzés olcsóbb a kezelésnél!
Kezdjük helyzetelemzéssel! Csak a feltárt
kockázatokat lehet ellensúlyozni!
A kockázatelemzés lényege: számszerűsítsük a
veszélyek lehetséges hatásait.
Meg kel próbálni a kockázatokat elfogadható
szintre csökkenteni
Szakemberek <-> Döntéshozók
Két világot kell összehozni egymással
A védendő erőforrások köre folyamatosan változik,
ahogy egy cég is!
Erőforrás típus
Példa
Hardver
Asztali és hordozható számítógépek
Router-ek és switch-ek
Mentési médiák
Szoftver
Szoftver telepítő készletek
OS image-ek
Egyedileg fejlesztett szoftver kód
Dokumentáció
Biztonsági szabályok és eljárások
Hálózati- és épület tervrajzok
Adat
Vállalati titkok
Dolgozói információk
Ügyfél adatbázisok
Miért fontos a győzelem?
Mert nem mindenki képes rá!
Minden támadót más motivál Azonosítsuk az
ellenségeinket!
•Külső
támadó
•Belső
támadó
•Vírus
•Vállalati erőforrások
•Rossz
•jogosultságrendszer
Bosszú; Kémkedés; Hírnév; Saját szórakoztatására; Terrorizmus
•1
•2
•Azonosítás
•Elemzés
•Kockázati
állítás
•5
•3
•Aktualizálás
•Tervezés
•4
•Követés
A kockázatelemzés legnehezebb fázisa!
Vajon mennyit ér a cég jó híre?
Mennyivel csökken a fogyasztók bizalma a cég
weboldalával szemben indított támadás során?
Mekkora kárt okoz titkos adataink
kiszivárogtatása?
Mennyibe kerül a védekezés?
Mekkora a veszteség vagy a betörés
valószínűsége?
Minősítő (Qualitative) elemzés, pl.: magas
Mennyiségi (Quantitative) elemzés, pl.: mennyibe kerül
Relatív besorolási szám = valószínűség x hatás
Meghatározás
1. Single loss expectancy
(SLE)
Definíció
Az esemény egyszeri
bekövetkezésének költsége
Az esemény
2. Annual rate of occurrence
bekövetkezésének éves átlag
(ARO)
valószínűsége
Várható éves veszteség, ha
3. Annual loss expectancy
nem teszünk semmit a
(ALE)
kockázat csökkentésére
Példa
Pénzügyi hatás: $12,000
+ Üzleti hatás: $27,520
= $39,520
Kétszer egy évben
Veszteség összesen:
$39,520
x
2
= $79,040
Fizikai védelem
védett épületek, lopás, betörés, tűz, víz, földrengés,
illetéktelen hozzáférés…
Számítógépek
nem megfelelő konfiguráció következtében
sebezhetőség, kémprogramok és vírusok…
Felhasználók
gyenge jelszavak, nem megfelelő jogosultságok,
bejelentkezve maradt felhasználók…
Hitelesítés
gyenge titkosítás, nem kompatibilis protokollok
használata…
Adat
sérülés, hardver sérülés, jogosultság…
Hálózati kommunikáció
lehallgatás, átvitt adatok meghamisítása, Denial of
Service támadás…
Egyéb hálózati elemek
nem felügyelt hozzáférés a hálózathoz,
kiszivárogtatott infók, Man-in-the-middle támadás…
Spoofing
Cél: A felhasználó hitelesítési adatainak megszerzése
Pl.: Man-in-the-Middle
Tampering
Cél: adatkommunikáció közben az átvitt adatok
meghamisítása (pl.: adatbázis-, weboldal átírása)
Pl.: Session Hijacking
Repudiation
Cél: a kért tartalom megtagadása (pl.: fizetős oldalon a
regisztráció után a támadó megakadályozza a tartalom
letöltését)
Information Disclosure
Cél: Információk felfedése és ellopása
Pl.: Network Sniffing
Denial of Service
Cél: a szolgáltatás extrém nagy terhelésével előidézett
instabilitása, leállása (pl.: zombi gépek bevonásával)
Pl.: Code Red, Nimda, Slammer féreg vírusok
Elevation of Privilege
Cél: gyenge felhasználói jogokkal erős jogokat
szerezve támadásokat végrehajtani
hálózat teljesítménye csökken
a felhasználói fiókot nem szokványos időben
használják
a naplózott események száma megugrik
a rendszer teljesítménye csökken
a számítógépek gyakran lefagynak vagy
újraindulnak
a felhasználók szólnak, hogy valami nincs rendben
új vírus jelenik meg
a behatolás detektáló jelez
Cél: Ha a támadás mégis megtörténik, akkor arról
minél előbb értesüljünk és a megfelelő
válaszlépéseket gyorsan megtegyük
Legyen cselekvési tervünk!
Gyakran a válaszlépések ad hoc jelleggel történnek
Az incidens válaszkezelési folyamat is fontos,
hiszen ha nincs retorzió, akkor nincs is visszatartó
erő!
Ami nincs kikényszerítve, azt nem tartják be az
emberek
Köze sincs a valósághoz
Olvashatatlan technikai kifejezésekkel teletűzdelt
szakmai anyag
Nem elég könnyen hozzáférhető
Elhanyagolt dokumentáció (rég nem aktuális
szabályok)
Nagyon sok mindenben korlátozó szabályrendszer
(akadályozza az üzleti folyamatokat)
Vezetői példamutatás hiánya
Terjengős dokumentáció
Tiszta és tömör szabályok
Az irányelveknek és az eljárásoknak külön-külön
dokumentumot hozzunk létre
az irányelvek ritkábban változnak, mint a végrehajtási eljárások
Vezetői példamutatás
Legyen könnyen hozzáférhető és naprakész
Az üzleti folyamatokhoz illeszkedő rendszert hozzunk létre
Próbáljuk meg a rendelkezésre álló technológiával
kikényszeríteni a szabályok betartását, de nem ez az
egyetlen eszköz
Legyen következménye a biztonsági szabályok be nem
tartásának
Dolgozzunk ki jutalmazási rendszert, ha valaki biztonsági
incidenst észlel és azt jelenti
Figyeljük a szabályok hatását, vonjuk le a megfelelő
konzekvenciákat, és ha szükséges módosítsunk rajtuk
Próbáljuk meg ösztönözni és érdekelté tenni a
felhasználókat a szabályok betartására (bekövetkezhető
események hatása a munkájára nézve)
Érezzék hogy ők és a cég egy oldalon állnak, és
ne a szabályok kikerülésére törekedjenek!
Szabó Gábor
[email protected]
Security and
Networking
Identity &
Access Mgmt
Desktop,
Device and
Server
Management
Data
Protection and
Recovery
IT and
Security
Process
Nincsenek szabványok
Nincs közös identitás
kezelési modell
Nincs desktop
standard, sok
telepítőkészlet, nincs
egységes
menedzsment
Nincs formális eljárás
Nincsenek biztonsági
folyamatok és
egységes biztonsági
házirend
Anti-virus a
munkaállomásokon
Központi tűzfal
Biztonságos távoli
eléréss
Házirend alapú tűzfal
kliensen és szerveren
Központosított
felhasználó kezelés
Központi konfiguráció
Információvédelmi
infrastruktúra
Patch menedzsment
Szoftverterítés és leltár
Egységes lemezképek
Alkalmazás kompatibilitás
Kiszolgálók monitorozása Rétegezett lemezképek
Mobil eszközök
Biztonságos mobil eszköz
provizionálása
provizionálás
Fontos kiszolgálók
mentése
Központi mentés
minden szerveren
Stabil, de reaktív IT
Formális biztonsági
házirendek
Proaktív és
kiszámítható
Mélységben történő
védekezés
Teljesen automatizált IT
Hálózati karantén
megoldás
Központi
adminisztráció
Federált identitás
kezelés
Kapacitás kezelés
Push technológia a
mobil eszkökre
Teljesen automatizált
IT menedzsment
Teljesen automatizált
IT menedzsment
Proaktív
Költségre történő
optimalizálás
Minden biztonsági
folyamat és házirend
működik
Házirendek, eljárások
Fizikai biztonság
Peremhálózat
Belső hálózat
Számítógép
Alkalmazás
Adat
Mit kell védeni?
Mitől kell védeni?
Cél: működő környezetbe ágyazni a technológiát
Módszer:
Szabályzatok
Házirendek
Legyenek ésszerűek a szabályok!
Ne azért legyen, hogy legyen.
SDL
Hogyan lehet
biztonságossá tenni?
Phishing
Magas
denial of service
back doors
Cross site scripting
A támadás
okozta kár
“stealth” / advanced
scanning techniques
sweepers
distributed
attack tools
www attacks
forgalom
figyelés
automated probes/scans
csomagfigyelés
grafikus
eszközök
címhamisítás
session
lopás port scan
ismert sérülékenység
kihasználása
port próba
Alacsony
A behatoló
tudása
jelszó feltörés
jelszó próba
1980
1985
1990
1995
2000
2005
•
•
•
•
A leghangsúlyosabb volt sokáig
Cél: csak engedélyezett és lehetőleg azonosított
forgalom
Módszer: tűzfalak, IDS/IPS-ek alkalmazása
Eszközök:
• Ismeri az alkalmazásokat is a tűzfalad?
• Belelát a protokollokba?
• Képes logolni még a külső lábán is?
• Az alkalmazásszerverhez már csak authentikált
forgalmat enged?
VPN – „ágyuval verébre”
IPSec/L2TP, PPTP
SSTP
Alkalamazás publikálás – „szelektíven”
Adott port, adott alkalmazás
Jogosultság ellenőrzés
Legyen egyszerű, de biztonságos
Kliens jogok/Eszköz jogok
IP Fejléc
TCP Fejléc
Forrás cím,
Cél cím,
TTL,
Checksum
Forrás Port,
Cél Port,
Checksum
Internet
Application Layer
Content
<html><head><meta httpquiv="content-type" content="text/html;
charset=UTF-8"><title>HTML
title</title><link rel="stylesheet"
Szabványos HTTP forgalom
Váratlan HTTP forgalom
Támadások
HTTP-Tunnel forgalom
Vállalati
hálózat
Kliens
ISA
HTTPS
Webmail
HTTP vagy HTTPS
Megelőzés
Izoláció
Adatmentés
White list / black list
Kockázat
minimalizálás
Visszaállítás
Software Restriction
Policy (SRP)
Network Access
Protection (NAP)
VLAN
Virtualizáció
Domain izoláció
System Center Data
Protection Manager
Policy Servers
Patch, AV
3
1
2
Nem felelt
meg
Vista kliens
DHCP, VPN
Switch/Router
Microsoft
Network Policy
Server
4
WSUS,
SMS stb.
Zárolt
hálózat
Megfelelt
5
1
A kliens hozzáférést kér a jelenlegi állapota alapján
2
A DHCP, VPN, switch/router továbbítja a kérést
a Microsoft Network Policy kiszolgálónak (RADIUS)
3
A Network Policy Server összehasonlítja az általunk definiált
házirenddel a kliens állapotát
4
Ha nem felel meg, a kliens egy zárolt VLAN-ba kerül, és
csak frissítések, szignatúrák, stb. letöltéséhez a kap
hozzáférést (ha kell, ismételve az 1-4. lépést)
5
Ha megfelel, teljes hozzáférést kap a belső hálózathoz
Vállalati hálózat
Authentication
Címtár
Címtár federáció
ADAM
„Csak olvasható” domain
vezérlő
Metacímtár
Több faktoros
authentikáció
Authorization
Csoportházirend
(verziózás)
Security csoportok
Jogosultság kezelés,
igénylés, nyilvántartás
Felhasználó
provízionálás
Szerepkör alapú
hozzáférés
Accounting
Audit események
gyűjtése
Törvényi szabályozásnak való megfelelés
Naplóállományok archiválása
A napló változatlanságának bizonyítása (integritás)
Biztonsági szabályok kikényszerítése
Auditor-Administrator szerepkörök elkülönítése
Rosszindulatú rendszergazdák felfedése
A bizalmas objektumok figyelése
Behatolások felfedezése
Jelszófeltörési kísérletek kiderítése
Böngésző
biztonság
Csökkentett
jogosultágok
„sandbox”
üzemmód
Domain
adminisztrátor ne
böngésszen webet
a szerverről!
Szoftver
frissítések
Biztonsági
frissítések
Rosszindulatú
szoftver eltávolító
eszköz
Kliens
tűzfal
Beépített 2 irányú
tűzfal
IPSec integráció
Vírusvédelem
Legyen
naprakész
Ne fusson kernel
módban
Naplózás
Központi
felügylet
Alkalmazások
„admin” jog nélkül
No comment
sudo
UAC
Kód ellenőrzés
Dokumentálás
FxCop
PREfast
„Hogyan írjunk
biztonságos
kódot?”
„Hogyan írjunk biztonságos
kódot?”
/GS
SafeCRT
Legyen követelmény a fejlesztéseknél
a tudatos security, tesztelésnél is!
Security
Development
Lifecycle (SDL)
Veszély elemzések, kód
ellenőrzés
Secure by Design
Secure by Default
Common Criteria (CC)
Certification
Data Execution
Prevention (DEP)
Windows Service
Hardening
•Kernel Security
Csökkentett
jogosúltásgú szervizek
Szétválasztott
szervizek
Szervizek
jogosúltságának
korlátozása
Address Space Layout
Randomization (ASLR)
System Integrity
Kernel mode code
signing
Kernel Patch Protection
A Kernel „hooking” tiltása
Microsoft
Update
Automatic Updates
Microsoft
Baseline Security
Analyzer 2.0
A dokumentummal
„utazik a védelem”
Nem csak cégen belül
érvényesíthető
Tartalomvédelem
sablonok
Felhasználó szintű file
titkosítás
Központi „recovery
key”
EFS kulcs – smart
card integráció
Harvder támogatott
titkosítás (TPM)
Teljes merevlemez
titkosítás
Központi „recovery key”
•MMS
•Services
•Edge
•Server
Applications
•Information
Protection
•Client and
Server OS
•Identity
Management
•Identity Lifecycle
Manager 2007
•Systems
Management
•Active Directory
Federation Services
(ADFS)
•Guidance
•Developer
Tools
IO felmérésről részletesen
http://www.microsoft.hu/io
EUGA – pályázati lehetőségek
http://www.microsoft.hu/euga
Szakmai tananyagok, oktatások
http://www.microsoft.hu/technet
ISA Server 2006 online oktatás, tananyag
Forefront Client Security online oktatás, tananyag
Windows Server 2003/2008 online oktatás, tananyag
Exchange Server 2007 online oktatás, tananyag
És még sok minden más, témaközpontokra bontva
IT vezetők számára külön témaközpont készül a
megújult TechNet weboldalon