Säkerhet: IBM i. Vad kan jag göra för att skydda min information. En metod i 6 steg. Handelsbanken Lars-Olov Spångberg

Transkript

1 Säkerhet: IBM i. Vad kan jag göra för att skydda min information. En metod i 6 steg.

2 Vad är säkerhet En organisation uppnår sin önskade säkerhetsnivå genom: Definiera en säkerhetspolicy Implementera policyn Övervaka policyns efterlevnad Oberonde bekräftelse på att policyn är tillräcklig och implementerad

3 Vad är säkerhetsbrist En säkerhetsbrist är en svaghet som: Kan orsaka skada Är öppen för attack eller angrepp. Är svår att försvara sig emot. Ofta förbises säkerhetsbrister som kan göra systemet mottagligt för skada.

4 Vad missas? Det finns ingen säkerhetspolicy. Brist på återkommande säkerhetskontroller. Avsaknad av expertis ingen säkerhetschef. Använder inte kvalificerade resurser för att validera säkerheten. Audit är inte påslagen. Auditloggarna konrolleras inte. Inga säkerhetstester

5 Hur går jag tillväga Hitta en metod Basera metoden på en standard, t.ex. The Standard of Good Practice for Information Security Viktigt att börja med grunden för att sedan fortsätta i olika steg

6 Hur går jag tillväga Information Security Forum, The Standard of Good Practice for Information Security Specificera Förbättra Inför Utvärdera

7 Metod Dela upp införandet i delar med fasta milstolpar. 1. Samla in information, dokumentera system, nätverk och systemsamband. 2. Skydda system och nätverk, förbered för åtgärder vid eventuellt intrång. 3. Skydda dina applikationer 4. Övervaka och kontrollera åtkomsten till systemet 5. Skydda ditt data 6. Se till att kontroller finns på plats och slutför återstående krav

8 1. Samla in information Se till att ha: Ett komplett nätverksdiagram med alla system och nätverk, även WiFi. Diagram över alla systemsamband Förstör konfidentiell information när den inte längre behövs, av legala eller affärskrav. Förstör all information på all elektronisk media så att den inte kan återskapas. Inför en riskanalysprocess Som skall genomföras regelbundet och vid förändringar av miljön

9 1. Samla in information Affärsverksamheten Konsekvenser Systemets risknivå Affärs- och ITrepresentanter Hot Sårbarhet Sannolikhet Åtgärdsplan Åtgärder En riskanalys skall genomföras regelbundet och vid förändringar av miljön

10 2. System och nätverk Konfigurera brandväggar Ta fram kraven för brandväggarna En brandvägg vid varje Internet anslutning Dokumentera alla från verksamheten godkända tjänster, protokoll, portar etc. Dokumentera alla införda säkerhetsfunktioner.

11 2. System och nätverk Tillåt endast inkommande och utgående trafik som är nödvändig för verksamheten, alla annan trafik skall stoppas. Dokumentera alla godkända tjänster, protokoll, portar etc. Säkra och synkronisera konfigurationsfiler för routrar Ha en DMZ för att begränsa inkommande trafik till publika tjänster.

12 2. System och nätverk Inkommande trafik skall endast tillåtas till IP-adresser på DMZ. Tillåt inga direkta kopplingar för inkommande eller utgående trafik mellan Internet och backend-systemen. Tillåt aldrig obehörig utgående trafik från backend-systemen till internet. Se till att säkerhetspolicy och driftrutiner för hantering av brandväggar är dokumenterade.

13 2. System och nätverk Se till att alla lösenord för profiler från leverantörer är utbytta. Ta bort eller inaktivera onödiga standardkonton innan systemet installeras på nätverket. Gäller alla standardprofiler/lösenord som används av operativsystem, program, systemkonton, etc. Se till att all administrativ inloggning och åtkomst till systemet är krypterad. Upprätthåll en inventarielista över alla systemkomponenter. Se till att säkerhetspolicy och driftrutiner för hantering av säkerhetsparametrar är dokumenterade, används och är kända av alla berörda.

14 2. System och nätverk Kryptera all känslig och konfidentiell trafik över publika nätverk, t.ex Internet, WiFi, Bluetooth, etc. Se till att säkerhetspolicy och driftrutiner för krypterade överföringar är dokumenterade, används och är kända av alla berörda. Inför antivirusprogram på samtliga system som kan drabbas av sådan skadlig programvara. Se till att hålla antivirusprogrammet uppdaterat Att det utför regelbundna avsökningar Skapar loggar Inte kan avaktiveras eller förändras av slutanvändare Se till att säkerhetspolicy och driftrutiner för att skydda systemen mot skadlig kod är dokumenterade, används och är kända av alla berörda.

15 2. System och nätverk Använd lämpliga kontroller för att begränsa och övervaka fysisk åtkomst till systemen. Genomför regelbundna sårbarhetstester på nätverken och även vid nätverksförändringar. Använd intrångsdetektering för att upptäcka och förhindra intrång i nätverket. Övervaka all inkommande trafik och larma vid misstänkta intrång. Se till att alltid ha alla detektorer uppdaterade.

16 3. Applikationen Inför en konfigurationsstandard för alla systemkomponenter. Tillåt endast nödvändiga tjänster, protokoll, etc som är nödvändiga för systemets funktion. Inför ytterligare säkerhet för de tjänster, protokoll där det behövs. SSH, S-FTP, SSL eller IPSec för att skydda osäkra tjänster så som NetBIOS, fildelning, Telnet, FTP, etc.

17 3. Applikationen Vad startas med STRTCPSVR? Apache Tomcat Server (ASFTOMCAT) Bootstrap Protocol (*BOOTP) Common Information Model Object Manager (*CIMOM) Debug Server (*DBG) DDM Server (*DDM) Dynamic Host Configuration Protocol (*DHCP) LDAP (*DIRSRV) DataLink File Manager (*DLFM) Domain Name Server (*DNS) Domino (*DOMINO) Extended Dynamic Remote SQL (*EDRSQL) File Transfer Protocol (*FTP) Host on Demand (*HOD) HTTP Server (*HTTP) Integrated Web Application (*IAS) Internet Daemon (*INETD) Line Printer Daemon (*LPD) Management Central (*MGTC) Net Server (*NETSVR) Network Station Login Daemon (*NSLD) Simple Network Time Protocol (*NTP) On Demand Platform Authentication (*ODPA) OMPROUTE Daemon (*OMPROUTED) On Demand Server (*ONDMD) Post Office Protocol (*POP) Quality of Service Server (*QOS) Remote Execution Servers (*REXEC) Router Daemon (*ROUTED) Service Location Protocol (*SLP) Simple Mail Transfer Protocol (*SMTP) Simple Network Management Protocol (*SNMP) Server and Support Proxy (*SRVSPTPRX) Secure Shell (*SSHD) Trigger Cache Manager (*TCM) Telnet (*TELNET) Trivial FTP (*TFTP) Virtual Private Networking (*VPN) Webfacing Server (*WEBFACING)

18 3. Applikationen Sätt säkerhetsparametrarna så att systemen inte kan missbrukas. Ta bort alla onödiga tjänster, t.ex. skript, drivrutiner, delsystem, filsystem, web-servrar, etc. Upprätta en process för att identifierar sårbarheter bl.a. genom att få information från ansedda källor, (t.ex. NIST, Mitre, etc). Varje nyupptäckt sårbarhet skall riskvärderas som hög, medium eller låg. Säkerställ att alla systemkomponenter och program är skyddade mot kända sårbarheter genom att installera lämpliga säkerhetsfixar från leverantören. Kritiska fixar skall installeras snarast, hur snabbt bestäms av företagets policy.

19 3. Applikationen IBM i PTF-grupp för säkerhet finns tillgänglig sedan Juli V6R1 SF99608 V7R1 SF99708 V7R2 SF99718

20 3. Applikationen Alla applikationer skall utvecklas säkert, i enlighet med gällande krav (t.ex. PCI DSS) och baseras på industristandard/ best practices. Införliva informationssäkerhet genom hela utvecklingscykeln Ta bort test- och utvecklingsanvändarprofiler innan applikationen sätts i produktion. All anpassad kod skall granskas innan den sätts i produktion. Granskningsresultatet skall godkännas på lämplig managementnivå innan koden tillåts att användas i produktion.

21 3. Applikationen Följ gällande ändringshanteringsprocess och procedurer för alla ändringar. Skilj utveckling och testmiljö från produktionsmiljön. Separation of Duties mellan utveckling, test och produktionsmiljön. Produktionsdata får inte användas för test eller utveckling. All testdata och test/utvecklingsanvändarprofiler skall tas bort före produktionssättning. Utbilda utvecklarna i säker programmering. Ta fram riktlinjer för säker kodning.

22 4. Övervakning och kontroll Begränsa åtkomsten till systemkomponenter, känslig och konfidentiell information så att endast de vars jobb kräver det har åtkomst. Bestäm åtkomstbehovet utifrån varje roll Begränsa privilegierade användare till lägsta möjliga behörighet Varje behörighet och rättighet skall vara dokumenterad och godkänd. Behörigheter får endast delas ut efter formellt godkännande. Standardbehörigheten skall vara baserad på deny all. Försök att ändra den publika behörigheten till *EXCLUDE Se IBM i Security Guide for IBM I5/OS Version 5 Release 4, SG för en metod att ändra och begränsa den publika behörigheten. Metoden för att få Exclusionary access control finns beskriven i kapitel 4 under punkten Protecting Strategies. Se till att säkerhetspolicy och driftrutiner för att skydda informationen är dokumenterade, används och är kända av alla berörda.

23 4. Övervakning och kontroll Inför policy och procedurer för att hantera användare. Alla användare skall ha en egen unik användarprofil Alla upplägg, borttag och modifieringar av användarprofiler skall loggas och kontrolleras All åtkomst skall omedelbart tas bort för användare som slutar Ta bort eller avaktivera inaktiva användare efter senast 90 dagar Lås användarprofilen efter tre på varandra misslyckade inloggningsförsök Om en session är inaktiv mer än 15 minuter skall sessionen kopplas bort

24 4. Övervakning och kontroll Lösenord skall skyddas med stark kryptering vid all kommunikation. Kryptera all nätverkstrafik (Telnet, FTP, ODBC, Navigatorn, etc) Reset av lösenord får endast ske om användares identitet kan verifieras Lösenorden måste vara: Minst vara 8 tecken långt Innehålla både bokstäver och siffror Bytas minst var 90e dag Inte vara samma som de senaste 18 lösenorden (3) Måste bytas vid första inloggningen

25 4. Övervakning och kontroll Dokumentera och informera alla om policy och procedurer som gäller. Skyddande av lösenord Inte återanvända lösenord Byta lösenord vid misstanke om att lösenordet blivit känt etc Dela aldrig användarprofil och lösenord Skydda åtkomst till konfidentiell information genom att aldrig tillåta direkt åtkomst till databasen. All åtkomst ska ske genom ett program. Endast databasadministratören ska ha möjlighet till direkt åtkomst till databasen. Se till att säkerhetspolicy och driftrutiner för identifiering och autentisering är dokumenterade, används och är kända av alla berörda.

26 4. Övervakning och kontroll Se till att all åtkomst är spårbar på individnivå All individuell åtkomst av känslig och konfidentiell data Allt som utförs av användare med root eller administrativ behörighet (CHGUSRAUD USRPRF(user) AUDLVL(*CMD)) Åtkomst till spårbarhetsloggar Misslyckade åtkomstförsök Ändringar av behörighet Start eller stopp av auditlogg Skapande eller borttag av systemobjekt

27 4. Övervakning och kontroll Varje loggpost för samtliga system måste minst innehålla Användare Typ av händelse Tid och datum Indikation på om händelsen gick igenom eller misslyckades Händelsens ursprung Identitet eller namn på berörd data, systemkomponent eller resurs Använd tidssynkronisering Alla system skall ha korrekt tid Tidsuppgifterna ska skyddas Tidsinställningarna tas emot från godkänd källa

28 4. Övervakning och kontroll Skydda alla loggposter så att de inte kan förändras. Endast de som har behov i jobbet av att se loggarna skall ha åtkomst Loggarna skall inte kunna förändras Loggarna skall omedelbart sparas på en central loggserver Kontrollera dagligen Alla säkerhetshändelser Alla systemkomponenter som lagrar, hanterar eller skickar konfidentiellt data Kritiska systemkomponenters loggar Loggar för säkerhets funktioner t.ex. Brandväggar Intrusion-detection systems Intrusion-prevention systems, etc

29 4. Övervakning och kontroll Kontrollera övriga komponenter regelbundet utifrån policy och riskmanagement strategin, baserad på den årliga risk analysen. Följ upp alla undantag och avvikelser som hittas under granskningsprocessen. Spara loggarna i minst ett år och med direkt åtkomst i minst tre månader. Se till att säkerhetspolicy och driftrutiner för övervakning av åtkomst till resurser och konfidentiell data är dokumenterade, används och är kända av alla berörda.

30 4. Övervakning och kontroll Om WiFi används, inför en process för att regelbundet testa förekomsten av accesspunkter, upptäcka och identifiera tillåtna och ej tillåtna accesspunkter. Upprätthåll en förteckning av alla tillåtna accesspunkter samt en godkänd och dokumenterad motivering från verksamheten

31 5. Skydda ditt data Skydda konfidentiellt data så att endast den som har behov i arbetet kan se känslig och konfidentiell data. Överväg att kryptera konfidentiell information även vid lagring Dokumentera och inför procedurer för att skydda krypteringsnycklar Begränsa åtkomsten till krypteringsnycklarna Inför och dokumentera en key-management process och procedur för hantering av kryptonycklar Skydda all fysisk media Kryptera konfidentiell data oavsett media Lagra alla backuper på en säker plats

32 6. Kontroller Inför en formell process för godkännande och test av nätverkskopplingar och förändringar i brandväggar och routerkonfigurationer. Beskriv grupper, roller och ansvar gällande förvaltning av nätverk Krav på översyn av brandväggar och router regler, var sjätte månad Ändringshanteringen av säkerhetsfixar och programmodifiering måste innehålla: Påverkan är dokumenterad Auktoriserat och dokumenterat godkännande av ändringen Funktionstest för att verifiera att ändringen inte påverkar säkerheten negativt Procedur hur man backar tillbaka

33 6. Kontroller Etablera, publicera, underhåll och sprid säkerhetspolicy Ha en översyn av säkerhetspolicyn minst en gång om året och uppdatera när miljön förändras Utveckla policys för riskfyllda tekniker och hur de skall användas (laptops, smartphones, , Internet användande, etc.) Uttryckligt godkännande av befogad person Autentisering som skall användas Lista med enheter och personer som har åtkomst Acceptabelt användande Lista på av företaget godkända produkter Automatisk bortkoppling vid inaktiviet Inte tillåta att konfidentiell information kopieras, flyttas eller lagras

34 6. Kontroller Säkerställ att säkerhetspolicyn och procedurerna definierar informationssäkerhetsansvaret för all personal Tilldela ansvaret för Etablera, dokumentera och distribuera säkerhetspolicyn och procedurerna Övervaka och analysera säkerhetsinformation och larm samt tilldela till lämplig personal Administrera användarprofiler, tillägg, borttag och modifieringar Övervaka och kontrollera all dataåtkomst

35 6. Kontroller Inför ett formellt program för säkerhetsmedvetande för att få personal medveten om hur viktig datasäkerheten är. Utbilda vid anställning och årligen Avkräv årligen av all personal att de har läst och förstått säkerhetspolicyn och procedurerna. Gör en noggrann kontroll av tilltänkt personal före anställning för att minimera risken för ett internt angrepp. Bakgrundskontroll kan vara tidigare anställningar, belastningsregistret, betalningsanmärkningar, referenskontroller, etc.

36 Samla in information 1. Se till att alla system, nätverk och systemsamband är väl dokumenterade. Ha alltid en aktuell och korrekt dokumentation av: System Nätverk Systemsamband Tjänster Protokoll Portar etc. Hitta riskområden Riskanalys

37 System och nätverk 2. Skydda systemen och nätverken. Ta fram krav på och dokumentera: Brandväggar Tjänster Protokoll Portar Säkerhetsfunktioner Tillåt inga standard profiler/lösenord från leverantörer Kryptera känslig och konfidentiell kommunikation Etc.

38 Applikationen 3. Skydda applikationen. Tillåt endast nödvändiga tjänster och protokoll. Kryptera kommunikation. Skilj på test/utveckling och produktion Ändringshantering

39 Övervakning och kontroll 4. Övervaka och kontrollera åtkomsten till systemet. Standard deny all Policy för hantering av användare Lösenord Spårbarhet Kontroll av loggar

40 Skydda ditt data 5. Skydda ditt data. Endast den som är i behov av data för att kunna utföra sina arbetsuppgifter skall ha tillgång till data. Skydda all media Kryptera din databas

41 Ha kontroller på plats 6. Se till att kontroller finns på plats. Fördela ansvar: Policy och procedurer Etablera Dokumentera Distribuera Övervakning Analysering Administrering av användare

42 Frågor?