Fokus på intern it sikkerhed Et samarbejde mellem Udenrigsministeriet og Atos 23. September 2015
Agenda Introduktion Kort om UM UM Interne sikkerhedstiltag CyberArk EPV LogPoint CyberArk PTA Lesson Learned
UM IT- kort Antal medarbejdere i UM: ca. 2400 Antal IT medarbejdere i UM: 56 753 servere (inkl. virtuelle) Ca. 5000 Arbejdsstationer (inkl. MPC er) Lokationer Ude tjenesten (94 lokaliteter) Hjemme tjenesten (1 lokalitet) 3
Typiske interne sikkerhedstiltag Fysisk sikkerhed Adgang til serverrum Netværksadgang (fx 802.1x) Patch management Sikkerhedsopdateringer Systemopdatering Anti-virus Daglige opdateringer Håndtering af virus incident Backup Daglig backup Restore test Log Management Opsamling af events Analyse 4
Typiske interne sikkerhedstiltag forsat Overvågning Hardware Software Logisk adgangskontrol og Identity management 2 Faktor (OTP token) Rettighedsstyring (FIM og AD) Uddannelse Security awareness Løbende kontrol og opfølgning 5
Fokus på.. CyberArk 6
CyberArk Komponenter UM External Vendors Management Portal/Web Access Identity Management IT Personnel Enterprise Password Vault Privileged Session Manager Application Identity Manager On- Demand Privileges Manager Privileged Threat Analytics Ticketing Systems Monitoring & SIEM Applications Master Policy Secure Digital Vault Enterprise Directory and More Auditors Developers & DBAs Any Device, Any Datacenter On Premise, Hosted or In The Cloud 7
CyberArk UM DNA scan Periodisk scan for ændring i AD Password skift Service konti Policies med og uden automatisk password skift Privilegeret bruger Lokal administrator Kuvert bruger Password til konti der ikke administreres af CyberArk Adgangskontrol Brug af konto med årsagsforklaring (Reason) Brug af konto med godkendelse (Dual controll) Brug af konto med 2 faktor validering Integration til IdM (FIM) 8
CyberArk UM 1. Request workflow 2. Direct connection Oiue^$fgW Vault Policy Manager System User Pass Unix root Oracle SYS lm7yt5w gvina9% Windows Administrator Tojsd$5fh Portal z/os Cisco DB2ADMIN enable y7qef$1 X5$aq+p IT Enterprise IT Environment 9
CyberArk UM Auditors IT IT Environment Vault (HA Cluster) Intra net Auditors/IT Auditors/IT IT Environment DMZ IT Environment DMZ 10
Fokus på.. LogPoint 11
Logpoint Samlet Fragmenterede overblik overblik Firewall IPS Server Logs Vulnerability Management 12
Logpoint Samlet overblik Web cache & proxy logs Web server activity logs Switch logs Content management logs IDS/IDP logs Windows logs Windows domain logins VA Scan logs Router logs VPN logs Firewall logs Wireless access logs Database Logs Linux, Unix, Windows OS logs Mainframe logs Client & file server logs San File Access Logs VLAN Access & Control logs DHCP logs Oracle Financial Logs 13
LogPoint Dashboards 14
Logpoint UM Indsamling af logs fra: Domain Controller File server Exchange CyberArk Andre centrale enheder Samlet overblik af hændelser på tværs af systemer Opsætning af søge templates Alarmer på kritiske hændelser Rapportering 15
Fokus på.. PTA 16
Privileged Threat Analytics Introduktion Privilegeret Threat Analytics registrerer unormal privilegeret konto adfærd. PTA detektere og identificere uregelmæssigheder mens de sker, ved i realtid at sammenholde aktuelle privilegeret aktivitet med historisk aktivitet. Det gør muligt for et incident response team til at reagere og afværge angrebet før der er sket alvorlig skade. 17
Privileged Threat Analytics Hvorfor? Identificer igangværende avancerede angreb Målrettede analyse af privilegeret konto aktivitet Alarmer baseret på realtid data Bedre forståelse af det aktuelle trusselsniveau Real-time baseret detektering Korrelation af begivenheder Klassificering af trusseler af sværhedsgrad Forbedre effektiviteten SIEM system SIEM er centreret om sikkerhedsspørgsmål rapporteret fra mange kilder Privilegeret Threat Analytics er fokuseret på at identificere mistænkelige privilegeret brugeraktivitet Komplementerende, ikke alternativt til SIEM 18
Privileged Threat Analytics Overblik 19
Privileged Threat Analytics Dashboard 20
Privileged Threat Analytics UM Fordele Evne til at opdage og alarmere på skadelig adfærd Reducerer tidshorisonten for hackerens mulighed Muliggør en hurtig og præcis indsats for at stoppe angreb En løsning til at opdage både eksterne og interne trusler Ingen afhængighed af signatur, sandboxing eller andre metoder, der kræver forudgående kendskab til angrebet Tilpasser sig over tid til ændringer i brugeradfærden Forbedrer effektiviteten af SIEM, at fokusere på den aktivitet, der virkelig betyder noget Reducerer falske positiver Pragmatisk tilgang til analyse De "rigtige" data vs. "alle" de data 21
Lesson Learned Start småt Tænk stort og i sammenhængende løsninger Fase opdelt implementering med mange små leverancer Bruge live POC til at afdække ukendte og komplekse aspekter Organisatorisk implementering Sikkerhed er ikke sexet, kræver ledelsesopbakning Dedikeret system ejer Begrænset antal af administratorer Husk undtagelserne 22
Spørgsmål? 23
Tak for opmærksomheden Bjørn Lysholm Jensen bjljen@um.dk Ole Jepsen ole.jepsen@atos.net Atos, the Atos logo, Atos Consulting, Atos Worldline, Atos Sphere, Atos Cloud and Atos Worldgrid are registered trademarks of Atos SE. April 2015 2015 Atos Consulting. Confidential information owned by Atos, to be used by the recipient only. This document, or any part of it, may not be reproduced, copied, circulated and/or distributed nor quoted without prior written approval from Atos. 23-09-2015 For internal use
BACKUP Slides 25
Automatically Discover Privileged Accounts Unix/Linux Servers Vmware ESX/ESXi Linux virtual images Windows virtual images Windows Servers Windows Services Scheduled Tasks IIS Pools Windows Desktops & Laptops Where do all the privileged and superuser accounts exist? 27
CyberArk UM 1. Master/exception policy definition 2. Initial load & reset Automatic Detection, Bulk upload, Manual 3. Request workflow Dual control, Integration with ticketing systems, One-time passwords, exclusivity, groups 4. Direct connection to device 5. Auditor access IT Policy Security/ Risk Management Request access to Windows Administrator On prod.dom.us Vault Portal Request to view Reports Policy Oiue^$fgW Tojsd$5fh gvina9% lm7yt5w y7qef$1 X5$aq+p Policy Manager System User Pass Unix root Oracle SYS Windows Administrator z/os DB2ADMIN Cisco enable Enterprise IT Environment tops3cr3t tops3cr3t tops3cr3t tops3cr3t tops3cr3t Auditors 28
PRIVILEGED SESSION MANAGER 2923-09-2015 Bjørn Lysholm Jensen Udenrigsministeriet
Privileged Session Manager Control, Isolate and Monitor Privileged Activity Establish a single point of control for privileged sessions Isolate malware from the target system Monitor and record command level activity Scalable, low impact architecture 30
Privileged Account Security for Remote Vendors Corporate Network Windows Servers Remote Vendors HTTPS Firewall Toad UNIX Servers & DBs Routers and Switches Vault IT/ Auditors/Security Operations 31
Application Identity Management 323-09-2015 Bjørn Lysholm Jensen Udenrigsministeriet
Eliminating Hard Coded Passwords Configuration Files & Databases Application Servers Service Accounts Hard-Coded, Embedded Credentials Web Config files INI/text files Application Databases J2EE Application Servers Also in registry, FTP credentials and more Windows service IIS Directory Security IIS for Windows Server Scheduled tasks COM+ IIS application pool Registry Third Party Applications 33
CyberArk Application Identity Manager Accounts Receivable CRM Human Resources Online Booking System Websphere Weblogic IIS /.NET Legacy/ Homegrown UserName = GetUserName() Password = GetPassword() Host = GetHost() UserName ConnectDatabase(Host, = app Password UserName, = y7qef$1 Password) Host = 10.10.3.56 ConnectDatabase(Host, UserName, Password) Secure & reset application credentials with no downtime or restart Secure local caching for business continuity & high performance Avoid code changes & overhead upon application password or machine address change Strong authentication by: Machine address OS user Application path Signature/hash Secure, manage and eliminate hard-coded privileged accounts from applications 34
How Does it Work? Collect Collecting privileged accounts activity Ongoing Profiling Profiling normal behavior Detect Detecting abnormal privileged accounts activity 35
Privileged Threat Analytics Dashboard 3623-09-2015 Bjørn Lysholm Jensen Udenrigsministeriet
Collectors - Normalization SIEM Architecture ESCM : Secure Multiuser Environment Log Sources CTAS CTAS Centralized Management Analysis Reporting SIEM Log server SIEM Log server SIEM Log server SIEM servers Correlate Data Enrichment Compliance Search Active Response Security Local Archive SAN-NAS Forensics Custom 24. september 2015 37
CyberArk UM 1. Request workflow 2. Direct connection Oiue^$fgW Vault Policy Manager System User Pass Unix root Oracle SYS lm7yt5w gvina9% Windows Administrator Tojsd$5fh Portal z/os Cisco DB2ADMIN enable y7qef$1 X5$aq+p IT Enterprise IT Environment 38