provvedimento garante privacy
DESCRIPTION
Provvedimento Garante Privacy - IBM TIVOLI INSIGHT COMPLIANCE MANAGERTRANSCRIPT
IBM Tivoli Security Solutions
© IBM Corporation 2009
Security Information ManagementSecurity Information Management
LL’’audit degliaudit degli amministratori di sistemaamministratori di sistema
Giuseppe Clerici
Software Group - Tivoli Technical Sales
IBM Tivoli Security Solutions
2
Tivoli Compliance Insight Manager - l’Audit degli adm in non può essere più un optional
Privileged Users87%
OtherOther13%13%
Chi è l’autore degli incidenti interni?
Source: USSS/CET Insider Threat Survey
Report/alert on Exceptions to policy!
Verifichiamo se l’effettivo comportamento degli utenti è quello sperato
IBM Tivoli Security Solutions
3
Richieste da parte dell’IT e Business management:
� Siamo in grado di controllare se esistono manipolazioni di info sensibili?
� Possiamo verificare le attività degli outsourcers?
� Possiamo ottenere segnalazioni a fronte di attività non autorizzate?
� Riusciamo a dimostrare la validità della segregation of duties?
� Possiamo investigare su quanto accaduto in modo tempestivo?
Richieste da parte degli auditor:
� Vengono tracciati e visionati i log di applicazioni, database, S.O. e device?
� Le attività dei system administrator, DBA e system operator sono tracciate nei log e sono verificate in maniera regolare?
� Sono tracciati gli accessi a dati sensibili – incluso root/administration e i DBA – nei vari log?
� Esistono dei tool automatici per i processi di audit?
� Gli incidenti di sicurezza e le attività sospette sono analizzate al fine di intraprendere delle azioni correttive?
Cosa aiutiamo a fare per la tematica PUMA
Privileged User Monitoring and Audit
IBM Tivoli Security Solutions
4
Log management: Cosa rilevare
Tutti gli accessi ai dati sensibili immagazzinati nei database e quindioperazioni di: select, insert, update, delete
Accesso ai dati sensibili
Comportamento di tutti i DBA includendo gli accessi ai dati, DBCC (Database Console Command), call a stored procedure
Diritti di accesso
Creazione di nuove utenze, modifica dei privilegi utente, attività dicambio password
Gestione utenze
Modifiche di configurazione, modifiche sui processi di auditing, modifiche sulla struttura dei database, attività di manutenzione
Change management
Start di server, stop, back-up, restoreEventi di gestione
Eventi di logon / logoff Eventi di autenticazione
DescrizioneCategoria
IBM Tivoli Security Solutions
5
La normativa: Il garante obbliga le aziende a gestire i log degli amministratori di sistema
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
PROVVEDIMENTO 27 novembre 2008
MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI TRATTAMENTI EFFETTUATI CON STRUMENTI ELETTRONICI RELATIVAMENTE ALLE ATTRIBUZIONI DELLE FUNZIONI DI
AMMINISTRATORE DI SISTEMA.
(Pubblicato sulla G.U. n. 300 del 24-12-2008 )
HINTS
� È la prima volta che sono esplicitati obblighi per la gestione dei log in sicurezza per tutte le aziende
� Impatti pervasivi per la sicurezza dei Sistemi Informativi dovuti alla definizione di “Amministratore di sistema” molto ampia
� Richiede misure organizzative, tecnologiche e procedurali
� Tempi di adozione molto stretti – 120 gg dal 24 dicembre 2008Proroga a Dicembre
2009
IBM Tivoli Security Solutions
6
La soluzione proposta da IBM
Asse� Servizi consulenziali per:
� valutare lo “stato dell’arte” del cliente rispetto alla normativa e sviluppare il piano di rientro
� Definire la gestione di “ruoli e profili”
� Piattaforma software per:
� la verifica periodica dell’attività degli amministratori “Tivoli Compliance Insight Manager” (TCIM)
� garantire l’archiviazione sicura dell’attività degli amministratori “System Storage Archive Manager” (SSAM)
� la gestione “automatizzata” di ruoli e profili “Tivoli Identity Management” (TIM)
� hardening dell’accesso ai log “Tivoli Access Manager for OS” (TAMOS) - “ISS Proventia”
Controllo e restrizioni per l’accesso ai log
Sorgente
Conservazione e Protezione dei dati
Centralizzazione dei logAudit & Compliance
L
Gestione automatizzata dei Ruoli e dei Profili
TCIM
TAMOS - ISS Proventia
Verifica attivitàamministratori
Sistema di archiviazione sicura
TIM
SSAM
IBM Tivoli Security Solutions
7
IBM Tivoli Compliance Insight Manager Portal
IBM Tivoli Security Solutions
8
Le tre C del TCIM: Capture, Comprehend, Communicate
TCIM TCIM
IBM Tivoli Security Solutions
9
Funzionalità:
� Centralizzazione sicura ed affidabile di log danumerose piattaforme
� Raccolta automatica dei syslogs
� Supporto su attività di raccolta di eventi da log nativi
� Memorizzazione efficiente ed in modalitàcompressa dei dati
� Possibilità di query e definizione di report custom oltre a quelli offerti nativamente
Benefici:
� Riduzione dei costi grazie all’automatizzazione e centralizzazione delle attività di raccolta dei dati
� Garanzia di una costante condizione di “audit ready”
Le tre C del TCIM: Capture – Enterprise Log Managemen t
IBM Tivoli Security Solutions
10
Controllo automatico che evidenzia la continuità e la co mpletezza del processo di log management
Le tre C del TCIM: Capture – Log Continuity Report
IBM Tivoli Security Solutions
11
87% degli incidenti interni sono causati da utenti privile giati.87% degli incidenti interni sono causati da utenti privile giati.
Le tre C del TCIM: Comprehend – Verifica delle attività degli utenti
IBM Tivoli Security Solutions
12
TCIM storicizza le informazioni di security e complian ce ottimizzando i tempi ed i costi attraverso l’automatizzazione dei processi di monitoraggio aziendale
TCIM storicizza le informazioni di security e complian ce ottimizzando i tempi ed i costi attraverso l’automatizzazione dei processi di monitoraggio aziendale
Traduzione dei logs in “Formato Unico”
Tivoli Compliance Insight Manager
Windows z/OS AIX Oracle SAP ISS FireWall-1 Exchange IIS Sola ris
1. Who
2. What
3. On What
4. When
5. Where
6. Where From
7. To Where
Le tre C del TCIM: Comprehend – Normalizzazione dei log
IBM Tivoli Security Solutions
13
Dopo la normalizzazione W7 tutti i dati di log sono riass unti in un unico grafico
Le tre C del TCIM: Comprehend – Compliance Dashboard
IBM Tivoli Security Solutions
14
Le tre C del TCIM: Communicate – ReportingFunzionalità :
� Centinaia di reports
� Moduli di Compliance
� Alert di Special attention
� Reports Custom
Benefici :
� Riduce l’impegno e del tempo richiestoper l’audit e per la definizione deiReports
� Riduzione dei rischi di minacce a datisensibili:
� Protezione dei dati
� Controllo sui change
� User management
IBM Tivoli Security Solutions
15
Compliance Modules
Moduli di Compliance
IBM Tivoli Security Solutions
16
Compliance Modules
Moduli di Compliance
�Tivoli Compliance Management Module for Sarbanes-Oxley
�Tivoli Compliance Management Module for ISO 27001
�Tivoli Compliance Management Module for HIPAA
�Tivoli Compliance Management Module for GLBA
�Tivoli Compliance Management Module for Basel II
�Tivoli Compliance Management Module for PCI DSS
IBM Tivoli Security Solutions
1717
SOX 1.4.1.1
Le Utility di sistema devono essere usate
esclusivamente da staff specializzato in
determinate finestre temporali. Gli eventi che
non rispondono a tale regola vengono
evidenziate come exceptions.
IBM Tivoli Security Solutions
18
Selezione delle informazioni
IBM Tivoli Security Solutions
19
TCIM - Architettura
Collection Method IBM TCIM Application Output
Syslog/SNMP
Dashboards & drill down
Reports
Retrieve Log-files
alerts
Third party integrationLog Depot
DB2 embedded
Event Sources
Applications
Databases
Operating Systems
IDS & IPS
Firewalls
Agent
Agent less
Web-baselog
log
log
log
log
Fase di collectcompletata
Fase di loadcompletata
Enterprise Server
Standard Servers
IBM Tivoli Security Solutions
20
TCIM - event sources supportati
Devices:
� Cisco Router
� Hewlett-Packard ProCurve Switch
� Blue Coat Systems ProxySG Series
� Check Point Firewall-1
� Cisco PIX
� Cisco VPN Concentrator (3000 series)
� Symantec (Raptor) Enterprise Firewall
� ISS RealSecure
� ISS System Scanner
� ISS SiteProtector
� McAfee IntruShield IPS Manager
� McAfee ePolicy Orchestrator
� Snort IDS
� Symantec Antivirus
� TrendMicro ScanMail for Domino
� TrendMicro ScanMail for MS Exchange
� TrendMicro ServerProtect for Windows
Servers:
� IBM AIX Audit logs
� IBM AIX syslog
� IBM OS/400 & i5/OS journals
� Hewlett-Packard HP-UX Audit logs
� Hewlett-Packard HP-UX syslog
� Hewlett-Packard NonStop (Tandem)
� Hewlett-Packard OpenVMS
� Hewlett-Packard Tru64
� Microsoft Windows
� Novell Netware
� Novell NSure Audit
� Novell Audit
� Novell Suse Linux
� RedHat Linux
� Stratus VOS
� SUN Solaris BSM Audit logs
� SUN Solaris syslog
Applications:
� Tivoli Identity Manager
� Tivoli Access Manager for OS and for e-Business
� Tivoli Federated Identity Manager on:
� AIX, Solaris, Windows, Red Hat ES, SUSE, HPUX
� Tivoli Directory Server on:
� AIX, Solaris, Windows, HPUX, Red Hat, SUSE
� SAP R/3 on Windows, Solaris, AIX, HP-UX
� mySAP
� Misys OPICS
� BMC Identity Manager
� CA eTrust (Netegrity) SiteMinder
� RSA Authentication Server
� Microsoft Exchange
� IBM Lotus Domino Server on Windows
� Microsoft Internet Information server
� SUN iPlanet Web Server on Solaris
Supported databases:
� IBM DB2 on z/OS
� IBM DB2 on Windows, Solaris, AIX, HPUX, Linux
� IBM DB2 / UDB on Windows, Solaris, AIX
� Microsoft SQL Server application logs
� Microsoft SQL Server trace files
� Oracle DBMS on Windows, AIX, Solaris, HP-UX
� Oracle DBMS FGA on Windows, AIX, Solaris, HP-UX
� Sybase ASE on Windows, AIX, Solaris, HP-UX
� IBM Informix Dynamic Server on Windows, AIX, Solaris and HPUX
Mainframe:
� IBM z/OS + RACF
� IBM z/OS + CA ACF2
� IBM z/OS + CA Top Secret
� CA Top Secret for VSE/ESA
+ TCIM CAN COLLECT FROM VIRTUALLY ANY EVENT SOURCE
+ Listed above are the event sources for which we have developed W7 mapping
+ Addditional mappers can be developed as needed based on customer requirements
IBM Tivoli Security Solutions
21
Magic Quadrant for Security Information and Event Management (SIEM).
IBM Tivoli Security Solutions
22
La soluzione proposta da IBM
Asse� Servizi consulenziali per:
� valutare lo “stato dell’arte” del cliente rispetto alla normativa e sviluppare il piano di rientro
� Definire la gestione di “ruoli e profili”
� Piattaforma software per:
� la verifica periodica dell’attività degli amministratori “Tivoli Compliance Insight Manager” (TCIM)
� garantire l’archiviazione sicura dell’attività degli amministratori “System Storage Archive Manager” (SSAM)
� la gestione “automatizzata” di ruoli e profili “Tivoli Identity Management” (TIM)
� hardening dell’accesso ai log “Tivoli Access Manager for OS” (TAMOS) - “ISS Proventia”
Controllo e restrizioni per l’accesso ai log
Sorgente
Conservazione e Protezione dei dati
Centralizzazione dei logAudit & Compliance
L
Gestione automatizzata dei Ruoli e dei Profili
TCIM
TAMOS - ISS Proventia
Verifica attivitàamministratori
Sistema di archiviazione sicura
TIM
SSAM
IBM Tivoli Security Solutions
23
ATTUATORI
ATTUATORI ATTUATORI
SORGENTI SORGENTI
Ambiente A Ambiente CAmbiente B
Log Retention
LAN/SAN
SSAM
Client
TCIM/SSAM: archiviazione sicura dei log
Monitoring and retention of systems logs: :-Tivoli Compliance Insight Manager
- System Storage Archive Manager
System Storage Archive Manager
TCIM Standard Server
TCIM Standard Server
TCIM Enterprise /
Standard Server
TCIM Enterprise /
Standard Server
SSAM
Client
SSAM
Client
IBM Tivoli Security Solutions
24
System Storage Archive Manager
Log Retention
LAN/SAN
TCIM/SSAM: archiviazione sicura dei log
ATTUATORI ATTUATORI
Ambiente A Ambiente CAmbiente B
ATTUATORI
SORGENTI SORGENTI
Monitoring and retention of systems logs: :-Tivoli Compliance Insight Manager
- System Storage Archive Manager
TCIM Standard Server
TCIM Standard Server
TCIM Enterprise /
Standard Server
TCIM Enterprise /
Standard ServerSSAM Client
SSAM Client
IBM Tivoli Security Solutions
25
TCIM risponde agli obblighi previsti dal provvedimento di caratteregenerale del 27/11/08
– Cattura ���� Gestisce i Log:
– a livello Enterprise
– li centralizza per periodi anche superiori ai 6 mesi
– li conserva in formato originale
– Comprende ���� normalizza ed intepreta
i LOG utilizzando un motore brevettato
– Comunica ���� Produce Report
– ad uso e consumo degli auditor
– per provare la compliance a specifichenormative
IBM Tivoli Security Solutions
26
Stima servizi� Analisi - 10gg
� - studio dell'ambiente
� - project plan
� - Documento di architettura logica e fisica
� NOTA: da inserire in tutti i bid che vengono costruiti
� Installazione Server - 2gg a server
� NOTA: per il dimensionamento del numero di server ogni server puo' governare 1000 event sources OPPURE 40GB di dati. Al superamento di uno di questi limiti scatta un altro server.
� Se il dimensionamento comporta piu' di un server, bisogna poi aggiungerne comunque uno di controllo: non esiste la configurazione da 2 server ma da 1,3,4,5 etc...
� Gestione Adapter su dispositivi standard (supportat i) - 4gg per il primo di ogni tipologia e 0.25gg giorni per i successivi della stessa tipolog ia
� Gestione Adapter su dispositivi non standard (non s upportati) - 12gg per il primo di ogni tipologia e 0.25gg giorni per i successivi della st essa tipologia
IBM Tivoli Security Solutions
27
Thank You
MerciGrazie
Gracias
Obrigado
Danke
Japanese
English
French
Russian
German
Italian
Spanish
Brazilian Portuguese
Arabic
Traditional Chinese
Simplified Chinese
Hindi
Tamil
Thai
Korean