DANMARKS NATIONALBANK REVISION AF CYBERARK. Sikkerhed og Revision 2019

Relaterede dokumenter
KOMBIT sikkerhedspolitik

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

Vejledning i informationssikkerhedspolitik. Februar 2015

1 Informationssikkerhedspolitik

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Vejledning til Teknisk opsætning

FairSSL Fair priser fair support

Præsentation af Curanets sikringsmiljø

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Region Hovedstadens Ramme for Informationssikkerhed

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

DFF-EDB a.m.b.a CVR nr.:

OS2faktor. AD FS Connector Vejledning. Version: Date: Author: BSG

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018

Informationssikkerhedspolitik for Odder Gymnasium

It-sikkerhedspolitik for Farsø Varmeværk

Databeskyttelsespolitik for DSI Midgård

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

SOPHIAGÅRD ELMEHØJEN

Til Økonomiudvalget. Sagsnr Dokumentnr Bilag 1 til indstilling til Økonomiudvalget

GDPR og ISO-standarderne Få styr på værktøjskassen af ISO-standarder

Timengo DPG A/S CVR-nr

Hillerød Kommune. It-sikkerhedspolitik Bilag 8. Kontrol og adgang til systemer, data og netværk

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant

Ruko SmartAir. Updater installation

Installation og Drift. Aplanner for Windows Systemer Version

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Bilag 1 Databehandlerinstruks

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Sektornet VPN Installationsvejledning Windows Vista/7

TEKNISKE FORHOLD VEDR. ADGANG TIL VP.ONLINE. Brugervejledning

OS2BORGERPC. Installations guide. Januar 2019

1. Ledelsens udtalelse

Navision Stat 9.1. Installationsvejledning til NS CIS Invoker. Overblik. Side 1 af 8. ØSY/TJO/CPS Dato

Beredskabsplan for it-systemer

FairSSL Fair priser fair support

OS2faktor. Windows Credential Providers. Version: Date: Author: BSG

DER ER GÅET SPORT I INFORMATIONSSIKKERHED

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

VIGTIG information til alle kunder som kører backup over Internet via SSL - Kræver kundeaktion inden 17. april 2009!

EasyIQ ConnectAnywhere Release note

Kl Indledning v. Lone Strøm, Rigsrevisor

Installation og Drift. Aplanner for Windows Systemer Version 8.15

Status baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015

Informationssikkerhed Version

Procedure for tilsyn af databehandleraftale

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

OPRETTELSE AF SQL NODE

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Identity Access Management

Sikker Drift. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer

Når compliance bliver kultur

Windows system administration 1

Opsætning af Outlook til Hosted Exchange 2007

STOFA VEJLEDNING ONLINEDISK INSTALLATION

FairSSL Fair priser fair support

Overordnet organisering af personoplysninger

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

Overordnet organisering af personoplysninger

1. trin: Aktivering af brugerkontostyring

Når Compliance Bliver Kultur

I denne øvelse vil du få vist hvordan opsætningen af netværket foregår. Målet er at du selv kan konfigurere en IP adresse på din lokal maskine.

Sikker Drift. Sikker Drift Light. Sikker Drift Standard. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer

It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud. Region Midtjylland 2010.

Forordningens sikkerhedskrav

Bilag 7.1 Status på handleplan

Sikkerhed i trådløst netværk

Overordnet Informationssikkerhedspolitik

UNI C Antivirus. Policy Manager 10 Installationsvejledning

Åbning af porte og UPnP

Databeskyttelsespolitik

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

Persondataforordningen Agenda

Projektopgave Operativsystemer I

Sikkerhedspolitik Version d. 3. oktober 2013

Installation. Aesiras Internet hjemmeside og webshop. Aesiras -integreret Regnskab, Handel og Internet

Security & Risk Management Summit 2016

Handleplan for informationssikkerhed 2017 i Region Midtjylland - oversigt over initiativer/faser som forventes afsluttet i 2017

Hosted CRM Outlook client connector setup guide. Date: Version: 1. Author: anb. Target Level: Customer. Target Audience: End User

OS2kravmotor Håndtering af GDPR

Safe Work Space service beskrivelse. Microsoft Windows version. Version (Maj 2018)

Overordnet it-sikkerhedspolitik for Rødovre Kommune

3. Menuen Start -> Programs -> OpenVPN åbnes, og "My Certificate Wizard" vælges:

STIL BETINGELSER! Med Conditional Access

Dahua Config Tools Sådan kan du bruge programmet

ISA Server 2006 Del 5. Jesper Hanno Hansen

Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere

Informationssikkerhedspolitik for <organisation>

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

ISO Ledelsesværktøj til digital risikostyring

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

PC - installation af Maple 18 med GYM-pakken

Produktspecifikationer Cloud Connect Version 1.1. Cloud Connect. Side 1 af 7

Transkript:

DANMARKS NATIONALBANK REVISION AF CYBERARK Sikkerhed og Revision 2019

Formål med denne session Få et kort overblik over CA Få inspiration til revision af CA Få inspiration til kontrolmål i CA i forhold til ISO 27002, Annex A Slides vil være tilgængelige efter konferencen 2

Torsten Henningsen then@nationalbanken.dk it-revisor i Danmark Nationalbank Arbejdet de sidste 12 år i it-revision Arbejdet de sidste 20 år+ med it M.Sc in IT CISSP, CISA, CISM Tidl. sysadm og konsulent

Disclaimer Hovedsagligt fokus på Vault delen af CA Gennemgang vil være noget generisk Integration mellem CA og andre systemer er ikke dækket her, bortset fra enkelte åbenlyse Gennemgang vil fokusere på de kontroller, der er specielle for CA Min egen erfaring er i nogen udstrækning baseret på version 9.9.0. CA er p.t på version 10.10 Jeg har ingen aktier i CyberArk, men kan godt se at produktet kan noget 4

Hvorfor CyberArk.. Det er det de gerne vil sælge os 5

Hvorfor CyberArk CyberArk er de facto standart for PUM/PIM/PAM Bruges og giver mulighed for meget i forhold til compliance i forhold til kontrol af (privilegerede) adgange Det kan (afhængigt af konfiguration) mitigere en hel del forskellige trusler i forhold til adgangsstyring Giver mulighed for teknisk at implementere fx least privileged Har flere muligheder for at dække devops, cloud mv Kan også hjælpe med at identificere overblik mangler, fx i forhold til adgange Kan integreres med mange andre sikkerhedsprodukter Når det så er sagt, så. 6

CyberArk quick and dirty 4 Hoved komponenter: Vault Vault udgør kernen i CA. Det er her at alle credentials og meta-data opbevares. Password Vault Web Access Web adgangs portal for anvendere CA. Portalen anvendes til adgang for brugere samt konfiguration af CA for administrative brugere. Privilege Session Manager Fungerer som Proxy for de forbindelser (RDP/SSH/ETC) som oprettes gennem CA. Anvendes ligeledes til optagelse af sessioner, samt netværks segregering af brugernes arbejdsstation fra server segmenterne. Central Policy Manager CPM er løsningens bindeled til Active Directory og løfter opgaven med at ændre adgangskoder på de privilegerede konti. Og løbende sørge for at de stemmer overens i både Active Directory og CA. 7

CyberArk quick and dirty part 2 8

CyberArk quick and dirty part 3 9

CyberArk quick and dirty part 4 CA Vault indeholder en Master Policy, der styrer den overordnede sikkerhed CA Vault indeholder en eller flere SAFE, der styrer adgang til infrastrukturen. SAFE strukturen er afhængig, hvilken opdeling man har lavet i organisationen. Der er mange indstillinger, der kan sættes på hvert SAFE CA Vault indeholder også konfigurationen af andre dele af CA infrastrukturen CA Vault kan konfigureres via PWVA, administrationsserver eller via CLI (PACLI) Netværks kommunikationen er veldefineret Kommunikationen mellem dele er ofte krypteret via certifikater Brugeroplysningerne i CA hentes (oftest) via integration til AD Der er også brugere og grupper i CA CA logger alt 10

Revision af CyberArk Organiseret i ISO 27002, annex A områder Listen af kontroller skal ses som et start. Der kan helt sikkert laves yderlige kontroller Når der i det efterfølgende er et kontrolmål om tilstedeværelse af en proces, er det implicit at processens effektivitet også testes Hvad bruges CA egentligt til i organisationen? Hvilke CA kontroller baserer organisationen sig på? 11

Udfordringer ved revision af CyberArk Der er meget der kan konfigureres, så meget "det afhænger af." En revision vil oftest skulle udføres i samarbejde med CA teknikerne, da CA ikke har en auditor adgang Der er mange versioner af CA, der er officielt supporteret. De forskellige versioner har forskellig/udvidet funktionalitet Dokumentation er stort set kun tilgængelig fra leverandøren (se https://docs.cyberark.com) CyberArk er et tool, ikke en trylleformular CyberArk implementering kræver ofte et projekt, og god planlægning 12

ISO 5: Informationssikkerhedspolitikker Det skal sikres at CA er implementeret således at sikkerhedspolitikken, og eventuelle krav i underliggende dokumenter er honorerede Baseret på krav i politikken gennemgå Master Policy for Vault, Opsætning af SAFE i Vault og indstilling af CPM i Vault og det vurderes om det dokumenterede design overholder sikkerhedspolitikken, fx passwordkrav, 2 faktor autentificering og Least priviledged 13

ISO 6: Organisering af informationssikkerhed Sikre at der er ejerskab for CA Sikre at systemejer har kendskab til CyberArk Sikre at der er oprettet funktionsadskillelse i CA Undersøg om der er udpeget systemejer for CA og at opgaver for ejerskabet er defineret Undersøg hvilke kompetancer/certificeringer systemejer har indenfor CA Vurder rollemodel i CA intern og kontroller at der ikke er overtrædelser i forhold til organisationens rolle matricen 14

ISO 7: Personalesikkerhed Sikre at CA administrator er uddannet Sikre at CA administratorer får fjernet sine adgange i CA, når ansættelses forholdet ophører Kontroller at CA administratorer har certificering (kan kun p.t. fås gennem CyberArk) som minimum som "Defender" Kontroller at fjernelse af adgange i CyberArk er en del af processen for nedlæggelse af adgange 15

ISO 8: Styring af aktiver Sikre at adgangsstyringen for alle nye systemer (i scope) bliver håndteret af CA Sikre at nye systemer automatisk opdages Sikre at alle SAFE's har en ejer Kontroller at der er en proces for rulle nye systemer ind i CA, herunder hvordan adgange skal gives (fx least privileged, adgange til forskellige del af stacken) Kontroller at CA er integreres med et discovery tool eller at CA DNA tool køres med jævne mellemrum Kontroller at alle SAFE's har en ejer og at ejerskabet er korrekt (dette kan gøres via rapportudtræk) 16

ISO 9: Adgangsstyring Sikre at der er de oprettede brugerprofiler i CA har de korrekte rettigheder Sikre at SAFE's har de korrekte ejere Sikre at rapporteringen fra CA er korrekt Sikre at antallet af Vault Admin er minimeret Kontroller rollernes rettigheder i CA og kontroller at de stemmer overens med rollemodellen for CyberArk Kontroller ejerskab af SAFE's og sammenlign dem med ansvarlige for de enkelte område (fx finans, Unix afdelingen, HR) Kontroller at rapporterne fra CA, der bruges som kontrol (fx data til adgangsgennemgang) er korrekte. Kontroller at der ikke er ændret på standart rapporterne (Begge dele kontrolleres via PVWA og PrivateArk) Kontroller antallet af Vault Admin's og kontoller at det er de korrekte personer, der har Vault Admin rettigheder 17

ISO 9: Adgangsstyring Sikre at privilegerede bruger i CA kun kan tilgå CA gennem CA Sikre at der er påsat videoovervågning på brugeres handlinger Sikre at adgange til CLI er begrænset Sikre at adgangen til scripts er begrænset Sikre at brugere ikke har adgang til at ændre deres password eller se deres password Kontroller at CA kun kan tilgås via CA Kontroller i Master Policy at "Record and save session activity" er sat til "active"og at overvågningen gemmes i overensstemmelse med organisationens krav. Kontroller i CA hvilke brugere har adgang til CLI Kontroller hvem der har adgang til eventuelle scripts og om der bruges en nøglefil Gennemgå indstillinger i SAFE's om nogle har "Retrive" adgang og check at PWVA konfiguration har sat " AllowViewingGeneratedPassword" til "no" 18

ISO 9: Adgangsstyring Sikre at der altid kræves begrundelse for brugeres tagne adgange Sikre at der er opsat 2 faktor autentificering i CA Sikre at adgangen til nøglefilen for Vault er begrænset Kontroller at "Require users to specify reason for access" er slået til Master Policy Under "System Configuration" i PVWA, klik på "Options", og vælg "Authentication Methods" og kontroller at der er opsat en sekundær autentificerings metode Kontroller hvor nøglefil CD'en befinder sig og test hvem der har adgang 19

ISO 10: Kryptografi Ingen specifikke kontroller 20

ISO 11: Fysisk sikring og miljøsikring Ingen specifikke kontroller 21

ISO 12: Driftssikkerhed Sikre at der foretages backup af CyberArk Sikre at der er operations håndbøger til CA Sikre at konfigurationen af CA er dokumenteret Kontroller at "Vault Backup Utility" er konfigureret til at tage backup til enten til en server eller via et backup system (via PAReplicate.ini filen) og kontroller effektiviteten af backup på det eksterne system Undersøg om der er udarbejdet operational handbooks til CA og kontroller at de indeholder beskrivelser af relevante arbejdsgange fx oprettelse/ændring af brugere, indeholder beskrivelse af håndtering af fejl, genstart mv Kontroller at der bliver vedligeholdt en konfigurationsbeskrivelse af CA, og at der findes kopier af relevante konfigurations filer (ini filer) 22

ISO 12: Driftssikkerhed Sikre at CA hardnings guidelines er fulgt Sikre at logning overføres til central lognings system Sikre at den fuldstændige log bliver overført til central logning system Sikre at der foretages driftsovervågning af CA Gennemgå de enkelte komponenter (og eller dokumentation) for at sikre at CA komponenterne er hardnet som beskrevet af CA (disse guidelines findes på nettet). Der er fx krav om installation af anti-virus Kontroller via gennemgang af "DBParm.ini" filen at der bliver sendt log til et logopsamling/siem Kontroller via gennemgang af "DBParm.ini" filen at "SyslogMessageCodeFilter" ikke bruges/er null Kontroller at der i driftsovervågningen er opsat overvågning af de relevante services på de enkelte CA komponenter, fx adgang til PWVA webservice 23

ISO 13: Kommunikationssikkerhed Sikre at netværksadgangen og netværkskommunikationen er begrænset Sikre at netværksadgangen og netværkskommunikationen er begrænset Sikre at netværksadgangen og netværkskommunikationen er begrænset Ved gennemgang af firewall konfigurationen kontroller at de forskellige CA komponenter kun kan kommunikere med hinanden på de specificerede porte fra CA og at der kun er adgang til CA fra relevante IP adresser og porter, fx at klienter kun har adgang til PVWA på port 443 Ved gennemgang af firewall konfigurationen kontroller at de forskellige CA komponenter befinder sig i hver deres netværkszone og at der er en firewall imellem dem og at regler for netværkstrafik Ved gennemgang af firewall konfigurationen kontroller at tilgangen til CA altid foregår gennem en firewall og der er implementeret relevante begrænsninger i netværkstrafikken 24

ISO 14: Anskaffelse, udvikling og vedligeholdelse af systemer Der er ingen specielle kontrolmål 25

ISO 15: Leverandørforhold Sikre at der er foreligger aftale om samarbejde i forbindelse med CA Sikre at der er de nødvendige ressourcer til rådighed hos eksterne leverandører Kontroller kontrakt med leverandør og vurder om den indeholder krav og eller KPI'er i forhold til fx support, konsulentydelser og hjælp i forbindelse med hasteopgaver Kontroller indeholder krav om sikring og dokumentation for konsulenters certificeringer 26

ISO 16: Styring af informationssikkerhedsbrud Sikre at der er relevante sikkerhedshændelser for CA Gennemgå risikovurderingen for CA og kontroller at der er identificeret sikkerhedsevent, der specifik relaterer sig til CA. Vurder fuldstændigheden af definerede sikkerhedshændelser 27

ISO 17: Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring Sikre at CyberArk er opsat i spejlet set up Sikre at der er restore håndbøger for CA Sikre at CA var en del af den sidste test Gennemgå dokumentation for implementering af CA og se i "PADR.ini" filen og kontroller at parameteren "EnableReplicate" er sat til "Yes" Og at parameteren "LastDataReplicationTimestamp" er mindre en uge gammelt Kontroller tilstedeværelsen af restore håndbøger og vurder fuldstændigheden, fx om adgangen til nøglefilen for Vault er beskrevet Gennemgå seneste DR test og kontroller at CA var en del af testen og kontroller at påkrævede RTO og RPO blev nået 28

ISO 18: Overenstemmelse (Compliance) Sikre at implementeringen af CA understøtter compliance krav Sikre at der foretages regelmæssige gennemgang at tekniske compliance Kontroller at der er en proces for identifikation af compliance krav, og at der er en proces, der sikre at disse krav bliver reflekteret i CA implementeringen Kontroller at der er en proces, der sikrer at der foretages regelmæssig teknisk compliance, herunder at der ved non-compliance bliver foretaget en root cause analyse 29

DANMARKS NATIONALBANK SPØRGSMÅL? 30

DANMARKS NATIONALBANK MANGE TAK 31

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback