System & Security Information Management Giuseppe Clerici Software Group - Tivoli Technical Sales IBM Corporation 2009
TCIM Giuseppe Clerici Software Group - Tivoli Technical Sales IBM Corporation 2009
Cosa aiutiamo a fare per la tematica PUMA Privileged User Monitoring and Audit Richieste da parte dell IT e Business management: Siamo in grado di controllare se esistono manipolazioni di info sensibili? Possiamo verificare le attività degli outsourcers? Possiamo ottenere segnalazioni a fronte di attività non autorizzate? Riusciamo a dimostrare la validità della segregation of duties? Possiamo investigare su quanto accaduto in modo tempestivo? Richieste da parte degli auditor: Vengono tracciati e visionati i log di applicazioni, database, S.O. e device? Le attività dei system administrator, DBA e system operator sono tracciate nei log e sono verificate in maniera regolare? Sono tracciati gli accessi a dati sensibili incluso root/administration e i DBA nei vari log? Esistono dei tool automatici per i processi di audit? Gli incidenti di sicurezza e le attività sospette sono analizzate al fine di intraprendere delle azioni correttive? 3
Log management: Cosa è necessario rilevare Categoria Eventi di autenticazione Eventi di gestione Change management Descrizione Eventi di logon / logoff Start di server, stop, back-up, restore Modifiche di configurazione, modifiche sui processi di auditing, modifiche sulla struttura dei database, attività di manutenzione Gestione utenze Creazione di nuove utenze, modifica dei privilegi utente, attività di cambio password Diritti di accesso Accesso ai dati sensibili Comportamento di tutti i DBA includendo gli accessi ai dati, DBCC (Database Console Command), call a stored procedure Tutti gli accessi ai dati sensibili immagazzinati nei database e quindi operazioni di: select, insert, update, delete 4
La normativa: Il garante obbliga le aziende a gestire i log degli amministratori di sistema GARANTE PER LA PROTEZIONE DEI DATI PERSONALI PROVVEDIMENTO 27 novembre 2008 MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI TRATTAMENTI EFFETTUATI CON STRUMENTI ELETTRONICI RELATIVAMENTE ALLE ATTRIBUZIONI DELLE FUNZIONI DI AMMINISTRATORE DI SISTEMA (Pubblicato sulla G.U. n. 300 del 24-12-2008 ) HINTS È la prima volta che sono esplicitati obblighi per la gestione dei log in sicurezza per tutte le aziende Impatti pervasivi per la sicurezza dei Sistemi Informativi dovuti alla definizione di Amministratore di sistema molto ampia Richiede misure organizzative, tecnologiche e procedurali Tempi di adozione molto stretti 120 gg dal 24 dicembre 2008 Proroga a Giugno 5
La normativa: Il provvedimento prevede di svolgere le seguenti attività Valutazione delle caratteristiche soggettive: esperienza, capacità, affidabilità del soggetto designato Designazioni individuali: elencazione degli ambiti di operatività in base al profilo Elenco degli Amministratori di Sistema allegato al DPS Informativa interna specifica sulla identità degli Amministratori di Sistema Conservazione degli estremi degli ammministratori per i servizi in outsourcing Verifica annuale delle attività degli Amministratori di Sistema Registrazione degli accessi Adozione di sistemi di registrazione idonei Qualifiche dei log: completezza, inalterabilità e possibilità di verifica integrità Contenuti: descrizione evento, riferimento temporale, archiviazione non inferiore a sei mesi 6
La soluzione proposta da IBM Servizi consulenziali per: Asse valutare lo stato dell arte del cliente rispetto alla normativa e sviluppare il piano di rientro Definire la gestione di ruoli e profili Piattaforma software per: la verifica periodica dell attività degli amministratori Tivoli Compliance Insight Manager (TCIM) garantire l archiviazione sicura dell attività degli amministratori System Storage Archive Manager (SSAM) la gestione automatizzata di ruoli e profili Tivoli Identity Management (TIM) hardening dell accesso ai log Tivoli Access Manager for OS (TAMOS) - ISS Proventia TIM Gestione automatizzata dei Ruoli e dei Profili TCIM Centralizzazione dei log Audit & Compliance L Verifica attività amministratori Sorgente SSAM Conservazione e Protezione dei dati Sistema di archiviazione sicura TAMOS - ISS Proventia Controllo e restrizioni per l accesso ai log 7
IBM Tivoli Compliance Insight Manager Portal 8
Le tre C del TCIM: Capture, Comprehend, Communicate TCIM 9
Le tre C del TCIM: Capture Enterprise Log Management Funzionalità: Centralizzazione sicura ed affidabile di log da numerose piattaforme Raccolta automatica dei syslogs Supporto su attività di raccolta di eventi da log nativi Memorizzazione efficiente ed in modalità compressa dei dati Possibilità di query e definizione di report custom oltre a quelli offerti nativamente Benefici: Riduzione dei costi grazie all automatizzazione e centralizzazione delle attività di raccolta dei dati Garanzia di una costante condizione di audit ready 10
Le tre C del TCIM: Capture Log Continuity Report Controllo automatico che evidenzia la continuità e la completezza del processo di log management 11
Le tre C del TCIM: Comprehend Verifica delle attività degli utenti 87% 87% degli degliincidenti incidentiinterni internisono sonocausati causatida dautenti utentiprivilegiati. 12
Le tre C del TCIM: Comprehend Normalizzazione dei log Windows z/os AIX Oracle SAP ISS FireWall-1 Exchange IIS Solaris 1. Who 2. What 3. On What 4. When 5. Where 6. Where From 7. To Where Traduzione dei logs in Formato Unico Tivoli Compliance Insight Manager TCIM TCIM storicizza storicizzale le informazioni informazionidi disecurity e e compliance compliance ottimizzando ottimizzandoi i tempi tempi ed ed i i costi costiattraverso attraversol automatizzazione l automatizzazionedei deiprocessi processidi dimonitoraggio monitoraggioaziendale aziendale 13
TCIM - event sources supportati Applications: Tivoli Identity Manager Tivoli Access Manager for OS and for e-business Servers: Devices: Tivoli Federated Identity Manager on: IBM AIX Audit logs Cisco Router AIX, Solaris, Windows, Red Hat ES, SUSE, HPUX IBM AIX syslog Hewlett-Packard ProCurve Switch Tivoli Directory Server on: IBM OS/400 & i5/os journals Blue Coat Systems ProxySG Series AIX, Solaris, Windows, HPUX, Red Hat, SUSE Hewlett-Packard HP-UX Audit logs Check Point Firewall-1 SAP R/3 on Windows, Solaris, AIX, HP-UX Hewlett-Packard HP-UX syslog Cisco PIX mysap Hewlett-Packard NonStop (Tandem) Cisco VPN Concentrator (3000 series) Misys OPICS Hewlett-Packard OpenVMS Symantec (Raptor) Enterprise Firewall BMC Identity Manager Hewlett-Packard Tru64 ISS RealSecure CA etrust (Netegrity) SiteMinder Microsoft Windows ISS System Scanner RSA Authentication Server Novell Netware ISS SiteProtector Microsoft Exchange Novell NSure Audit McAfee IntruShield IPS Manager IBM Lotus Domino Server on Windows Novell Audit McAfee epolicy Orchestrator Microsoft Internet Information server Novell Suse Linux Snort IDS SUN iplanet Web Server on Solaris RedHat Linux Symantec Antivirus Stratus VOS Supported databases: TrendMicro ScanMail for Domino SUN Solaris BSM Audit logs IBM DB2 on z/os TrendMicro ScanMail for MS Exchange SUN Solaris syslog IBM DB2 on Windows, Solaris, AIX, HPUX, Linux TrendMicro ServerProtect for Windows IBM DB2 / UDB on Windows, Solaris, AIX Microsoft SQL Server application logs Mainframe: Microsoft SQL Server trace files IBM z/os + RACF Oracle DBMS on Windows, AIX, Solaris, HP-UX IBM z/os + CA ACF2 Oracle DBMS FGA on Windows, AIX, Solaris, HP-UX IBM z/os + CA Top Secret Sybase ASE on Windows, AIX, Solaris, HP-UX CA Top Secret for VSE/ESA IBM Informix Dynamic Server on Windows, AIX, Solaris and HPUX + TCIM CAN COLLECT FROM VIRTUALLY ANY EVENT SOURCE + Listed above are the event sources for which we have developed W7 mapping + Addditional mappers can be developed as needed based on customer requirements 14