  1. 1. Trotz SIEM, PIM & Co. - Wissen Sie wirklich, was in Ihrem Netz los ist?Kontrolle und revisionssichere Auditierung privilegierter IT-ZugriffeIt-sa Nrnberg, 16.-18.10.2012, Stand 12-401 (Exclusive Networks)Martin Grauel [email protected]
  2. 2. BalaBit IT Security - Unternehmensprofil BalaBit ist fhrend im Bereich Kontrolle, Monitoring und Auditierung von privilegierten IT-Zugriffen Shell Control Box BalaBit bietet Lsungen zum Aufbau einer kompletten Log- Infrastruktur syslog-ng Store Box, syslog-ng PE BalaBit IT Security 2012 ~120 Mitarbeiter weltweit HQ in Budapest BalaBit IT Security GmbH in Mnchen seit 2007 Globales Partnernetzwerk (80+ in 30 Lndern)www.balabit.com
  3. 3. Herausforderung privilegierter IT-ZugriffeInformationWeekfbi.gov USA TODAY Unternehmen investieren hohe Summen in Zugangskontrollen wie Firewalls, Authentisierungsysteme etc. Transparenz und Nachvollziehbarkeit der Ttigkeiten sind oft nicht gegeben! www.balabit.com
  4. 4. Regulative Forderungen bzgl. Auditingprivilegierter IT-Zugriffe M 4.81 Audit und Protokollierung der Aktivitten im Netz M 5.15 Absicherung externer Remote-Zugnge BSI Grundschutz ...- Protokollierung aller Ttigkeiten ... 10.10.1 Establish and maintain audit logs ISO 10.10.4 Log system administrator and operator activities 27002:2005 10. Track and monitor all access to network resources and cardholder data PCI-DSS 10.2 Implement automated audit trails for all events 10.2.2 All actions taken by any individual with root or administrative privilegeshnliche Anforderungen knnen aus weiteren Regularien wie Basel II, SOX, HiPAA etc.abgeleitet werden. www.balabit.com
  5. 5. Exkurs: Logging BlindspotsWir haben bereits ein SIEM-System! www.balabit.com
  6. 6. Exkurs: Logging BlindspotsWir haben bereits ein SIEM-System!ABER ...Nur 1% der Datenverletzungen wurden durch Log-Analyse entdeckt!Lsst sich der Vorfall alleine mit Hilfe des Logfiles genau nachvollziehen? with standard log collectors only limited data canbe collected and IT auditors would miss-critical actions ...IDC WP: Compliance is More Than Just Cost: Creating Value Beyond Compliancewww.balabit.com
  7. 7. Exkurs: Logging Blindspots (Linux/Unix) Klassisches Linux-Systemlogwww.balabit.com
  8. 8. Exkurs: Logging Blindspots (Linux/Unix) Klassisches Linux-SystemlogSCB Audit Trailwww.balabit.com
  9. 9. Exkurs: Logging Blindspots (Windows - Eventlog)www.balabit.com
  10. 10. Exkurs: Logging Blindspots (Windows SCB-Audit Trail) www.balabit.com
  11. 11. BalaBit Shell Control Box Shell Control Box (SCB) ist eine Appliance, die privilegierte IT- Zugriffe kontrolliert und smtliche Aktivitten der Benutzer revisionssicher aufzeichnet. www.balabit.com
  12. 12. BalaBit Shell Control Box transparente Integration http(s)VNCICA www.balabit.com
  13. 13. BalaBit Shell Control Boxwww.balabit.com
  14. 14. BalaBit Shell Control Box AuthenticationStarke AuthentisierungPersonalisierter Account Shared AccountCredential ManagementBenefit: Zustzlicher Authentisierungslayerwww.balabit.com
  15. 15. BalaBit Shell Control Box Access Control4-Augen-PrinzipKontrolle der erlaubten Protokollchannels Benefit: Access Policy Enforcementwww.balabit.com
  16. 16. BalaBit Shell Control Box Real-Time AlertsEchtzeit-Kontrolle der AktivittenTerminieren von Verbindungen und AlarmierungBenefit: Verhindern von kritischen Aktivitten www.balabit.com
  17. 17. BalaBit Shell Control Box Audit & ForensicsRevisionssichere Aufzeichnung der kompletten Aktivitt(Verschlsselung, Signatur, Zeitstempel)Vollstndige Indexierung der Audit TrailsEffiziente Metadaten-SucheBenefit: Unabhngiges Tool fr effizientes Auditing www.balabit.com
  18. 18. BalaBit Shell Control Box ReportsZugriffsreportsReports ber AktivittenSystemreports Benefit: Granulare Reports zur Compliance-Erfllung www.balabit.com
  19. 19. BalaBit Shell Control Box als Teil der Compliance- und Security-Umgebung Analyse verschlsselten Alerts Datenverkehrs Zentrales MonitoringIDS System-Mgmt IDS System-MgmtAPIRemote-Suche und -ManagementPIMIntegration mit 3rd Party AnwendungenSIEM/Log-Mgmt PIMSIEM/Log-Mgmt User Account Shared Account Augmented Logs Credential-Management Effizienteres Troubleshooting Bessers Reportingwww.balabit.com
  20. 20. Shell Control Box Business-Treiber Compliance VertrauenEffizienterBetriebInternationaleIT-Outsourcing-TroubleshootingStandards(SLA) Kontrolle ForensikDokumentationMonitoringGesetzeinterner IT Cloud-Service- Monitoring PolicysVDI-Monitoring www.balabit.com
