DANMARKS NATIONALBANK REVISION AF CYBERARK Sikkerhed og Revision 2019
Formål med denne session Få et kort overblik over CA Få inspiration til revision af CA Få inspiration til kontrolmål i CA i forhold til ISO 27002, Annex A Slides vil være tilgængelige efter konferencen 2
Torsten Henningsen then@nationalbanken.dk it-revisor i Danmark Nationalbank Arbejdet de sidste 12 år i it-revision Arbejdet de sidste 20 år+ med it M.Sc in IT CISSP, CISA, CISM Tidl. sysadm og konsulent
Disclaimer Hovedsagligt fokus på Vault delen af CA Gennemgang vil være noget generisk Integration mellem CA og andre systemer er ikke dækket her, bortset fra enkelte åbenlyse Gennemgang vil fokusere på de kontroller, der er specielle for CA Min egen erfaring er i nogen udstrækning baseret på version 9.9.0. CA er p.t på version 10.10 Jeg har ingen aktier i CyberArk, men kan godt se at produktet kan noget 4
Hvorfor CyberArk.. Det er det de gerne vil sælge os 5
Hvorfor CyberArk CyberArk er de facto standart for PUM/PIM/PAM Bruges og giver mulighed for meget i forhold til compliance i forhold til kontrol af (privilegerede) adgange Det kan (afhængigt af konfiguration) mitigere en hel del forskellige trusler i forhold til adgangsstyring Giver mulighed for teknisk at implementere fx least privileged Har flere muligheder for at dække devops, cloud mv Kan også hjælpe med at identificere overblik mangler, fx i forhold til adgange Kan integreres med mange andre sikkerhedsprodukter Når det så er sagt, så. 6
CyberArk quick and dirty 4 Hoved komponenter: Vault Vault udgør kernen i CA. Det er her at alle credentials og meta-data opbevares. Password Vault Web Access Web adgangs portal for anvendere CA. Portalen anvendes til adgang for brugere samt konfiguration af CA for administrative brugere. Privilege Session Manager Fungerer som Proxy for de forbindelser (RDP/SSH/ETC) som oprettes gennem CA. Anvendes ligeledes til optagelse af sessioner, samt netværks segregering af brugernes arbejdsstation fra server segmenterne. Central Policy Manager CPM er løsningens bindeled til Active Directory og løfter opgaven med at ændre adgangskoder på de privilegerede konti. Og løbende sørge for at de stemmer overens i både Active Directory og CA. 7
CyberArk quick and dirty part 2 8
CyberArk quick and dirty part 3 9
CyberArk quick and dirty part 4 CA Vault indeholder en Master Policy, der styrer den overordnede sikkerhed CA Vault indeholder en eller flere SAFE, der styrer adgang til infrastrukturen. SAFE strukturen er afhængig, hvilken opdeling man har lavet i organisationen. Der er mange indstillinger, der kan sættes på hvert SAFE CA Vault indeholder også konfigurationen af andre dele af CA infrastrukturen CA Vault kan konfigureres via PWVA, administrationsserver eller via CLI (PACLI) Netværks kommunikationen er veldefineret Kommunikationen mellem dele er ofte krypteret via certifikater Brugeroplysningerne i CA hentes (oftest) via integration til AD Der er også brugere og grupper i CA CA logger alt 10
Revision af CyberArk Organiseret i ISO 27002, annex A områder Listen af kontroller skal ses som et start. Der kan helt sikkert laves yderlige kontroller Når der i det efterfølgende er et kontrolmål om tilstedeværelse af en proces, er det implicit at processens effektivitet også testes Hvad bruges CA egentligt til i organisationen? Hvilke CA kontroller baserer organisationen sig på? 11
Udfordringer ved revision af CyberArk Der er meget der kan konfigureres, så meget "det afhænger af." En revision vil oftest skulle udføres i samarbejde med CA teknikerne, da CA ikke har en auditor adgang Der er mange versioner af CA, der er officielt supporteret. De forskellige versioner har forskellig/udvidet funktionalitet Dokumentation er stort set kun tilgængelig fra leverandøren (se https://docs.cyberark.com) CyberArk er et tool, ikke en trylleformular CyberArk implementering kræver ofte et projekt, og god planlægning 12
ISO 5: Informationssikkerhedspolitikker Det skal sikres at CA er implementeret således at sikkerhedspolitikken, og eventuelle krav i underliggende dokumenter er honorerede Baseret på krav i politikken gennemgå Master Policy for Vault, Opsætning af SAFE i Vault og indstilling af CPM i Vault og det vurderes om det dokumenterede design overholder sikkerhedspolitikken, fx passwordkrav, 2 faktor autentificering og Least priviledged 13
ISO 6: Organisering af informationssikkerhed Sikre at der er ejerskab for CA Sikre at systemejer har kendskab til CyberArk Sikre at der er oprettet funktionsadskillelse i CA Undersøg om der er udpeget systemejer for CA og at opgaver for ejerskabet er defineret Undersøg hvilke kompetancer/certificeringer systemejer har indenfor CA Vurder rollemodel i CA intern og kontroller at der ikke er overtrædelser i forhold til organisationens rolle matricen 14
ISO 7: Personalesikkerhed Sikre at CA administrator er uddannet Sikre at CA administratorer får fjernet sine adgange i CA, når ansættelses forholdet ophører Kontroller at CA administratorer har certificering (kan kun p.t. fås gennem CyberArk) som minimum som "Defender" Kontroller at fjernelse af adgange i CyberArk er en del af processen for nedlæggelse af adgange 15
ISO 8: Styring af aktiver Sikre at adgangsstyringen for alle nye systemer (i scope) bliver håndteret af CA Sikre at nye systemer automatisk opdages Sikre at alle SAFE's har en ejer Kontroller at der er en proces for rulle nye systemer ind i CA, herunder hvordan adgange skal gives (fx least privileged, adgange til forskellige del af stacken) Kontroller at CA er integreres med et discovery tool eller at CA DNA tool køres med jævne mellemrum Kontroller at alle SAFE's har en ejer og at ejerskabet er korrekt (dette kan gøres via rapportudtræk) 16
ISO 9: Adgangsstyring Sikre at der er de oprettede brugerprofiler i CA har de korrekte rettigheder Sikre at SAFE's har de korrekte ejere Sikre at rapporteringen fra CA er korrekt Sikre at antallet af Vault Admin er minimeret Kontroller rollernes rettigheder i CA og kontroller at de stemmer overens med rollemodellen for CyberArk Kontroller ejerskab af SAFE's og sammenlign dem med ansvarlige for de enkelte område (fx finans, Unix afdelingen, HR) Kontroller at rapporterne fra CA, der bruges som kontrol (fx data til adgangsgennemgang) er korrekte. Kontroller at der ikke er ændret på standart rapporterne (Begge dele kontrolleres via PVWA og PrivateArk) Kontroller antallet af Vault Admin's og kontoller at det er de korrekte personer, der har Vault Admin rettigheder 17
ISO 9: Adgangsstyring Sikre at privilegerede bruger i CA kun kan tilgå CA gennem CA Sikre at der er påsat videoovervågning på brugeres handlinger Sikre at adgange til CLI er begrænset Sikre at adgangen til scripts er begrænset Sikre at brugere ikke har adgang til at ændre deres password eller se deres password Kontroller at CA kun kan tilgås via CA Kontroller i Master Policy at "Record and save session activity" er sat til "active"og at overvågningen gemmes i overensstemmelse med organisationens krav. Kontroller i CA hvilke brugere har adgang til CLI Kontroller hvem der har adgang til eventuelle scripts og om der bruges en nøglefil Gennemgå indstillinger i SAFE's om nogle har "Retrive" adgang og check at PWVA konfiguration har sat " AllowViewingGeneratedPassword" til "no" 18
ISO 9: Adgangsstyring Sikre at der altid kræves begrundelse for brugeres tagne adgange Sikre at der er opsat 2 faktor autentificering i CA Sikre at adgangen til nøglefilen for Vault er begrænset Kontroller at "Require users to specify reason for access" er slået til Master Policy Under "System Configuration" i PVWA, klik på "Options", og vælg "Authentication Methods" og kontroller at der er opsat en sekundær autentificerings metode Kontroller hvor nøglefil CD'en befinder sig og test hvem der har adgang 19
ISO 10: Kryptografi Ingen specifikke kontroller 20
ISO 11: Fysisk sikring og miljøsikring Ingen specifikke kontroller 21
ISO 12: Driftssikkerhed Sikre at der foretages backup af CyberArk Sikre at der er operations håndbøger til CA Sikre at konfigurationen af CA er dokumenteret Kontroller at "Vault Backup Utility" er konfigureret til at tage backup til enten til en server eller via et backup system (via PAReplicate.ini filen) og kontroller effektiviteten af backup på det eksterne system Undersøg om der er udarbejdet operational handbooks til CA og kontroller at de indeholder beskrivelser af relevante arbejdsgange fx oprettelse/ændring af brugere, indeholder beskrivelse af håndtering af fejl, genstart mv Kontroller at der bliver vedligeholdt en konfigurationsbeskrivelse af CA, og at der findes kopier af relevante konfigurations filer (ini filer) 22
ISO 12: Driftssikkerhed Sikre at CA hardnings guidelines er fulgt Sikre at logning overføres til central lognings system Sikre at den fuldstændige log bliver overført til central logning system Sikre at der foretages driftsovervågning af CA Gennemgå de enkelte komponenter (og eller dokumentation) for at sikre at CA komponenterne er hardnet som beskrevet af CA (disse guidelines findes på nettet). Der er fx krav om installation af anti-virus Kontroller via gennemgang af "DBParm.ini" filen at der bliver sendt log til et logopsamling/siem Kontroller via gennemgang af "DBParm.ini" filen at "SyslogMessageCodeFilter" ikke bruges/er null Kontroller at der i driftsovervågningen er opsat overvågning af de relevante services på de enkelte CA komponenter, fx adgang til PWVA webservice 23
ISO 13: Kommunikationssikkerhed Sikre at netværksadgangen og netværkskommunikationen er begrænset Sikre at netværksadgangen og netværkskommunikationen er begrænset Sikre at netværksadgangen og netværkskommunikationen er begrænset Ved gennemgang af firewall konfigurationen kontroller at de forskellige CA komponenter kun kan kommunikere med hinanden på de specificerede porte fra CA og at der kun er adgang til CA fra relevante IP adresser og porter, fx at klienter kun har adgang til PVWA på port 443 Ved gennemgang af firewall konfigurationen kontroller at de forskellige CA komponenter befinder sig i hver deres netværkszone og at der er en firewall imellem dem og at regler for netværkstrafik Ved gennemgang af firewall konfigurationen kontroller at tilgangen til CA altid foregår gennem en firewall og der er implementeret relevante begrænsninger i netværkstrafikken 24
ISO 14: Anskaffelse, udvikling og vedligeholdelse af systemer Der er ingen specielle kontrolmål 25
ISO 15: Leverandørforhold Sikre at der er foreligger aftale om samarbejde i forbindelse med CA Sikre at der er de nødvendige ressourcer til rådighed hos eksterne leverandører Kontroller kontrakt med leverandør og vurder om den indeholder krav og eller KPI'er i forhold til fx support, konsulentydelser og hjælp i forbindelse med hasteopgaver Kontroller indeholder krav om sikring og dokumentation for konsulenters certificeringer 26
ISO 16: Styring af informationssikkerhedsbrud Sikre at der er relevante sikkerhedshændelser for CA Gennemgå risikovurderingen for CA og kontroller at der er identificeret sikkerhedsevent, der specifik relaterer sig til CA. Vurder fuldstændigheden af definerede sikkerhedshændelser 27
ISO 17: Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring Sikre at CyberArk er opsat i spejlet set up Sikre at der er restore håndbøger for CA Sikre at CA var en del af den sidste test Gennemgå dokumentation for implementering af CA og se i "PADR.ini" filen og kontroller at parameteren "EnableReplicate" er sat til "Yes" Og at parameteren "LastDataReplicationTimestamp" er mindre en uge gammelt Kontroller tilstedeværelsen af restore håndbøger og vurder fuldstændigheden, fx om adgangen til nøglefilen for Vault er beskrevet Gennemgå seneste DR test og kontroller at CA var en del af testen og kontroller at påkrævede RTO og RPO blev nået 28
ISO 18: Overenstemmelse (Compliance) Sikre at implementeringen af CA understøtter compliance krav Sikre at der foretages regelmæssige gennemgang at tekniske compliance Kontroller at der er en proces for identifikation af compliance krav, og at der er en proces, der sikre at disse krav bliver reflekteret i CA implementeringen Kontroller at der er en proces, der sikrer at der foretages regelmæssig teknisk compliance, herunder at der ved non-compliance bliver foretaget en root cause analyse 29
DANMARKS NATIONALBANK SPØRGSMÅL? 30
DANMARKS NATIONALBANK MANGE TAK 31