NetIQ Sentinel i Rekomendacja D

www.netiq.plBroszura informacyjnaZARZĄDZANIE TOŻSAMOŚCIĄ I BEZPIECZEŃSTWEM

NetIQ Sentinel i Rekomendacja D

Monitorowanie informacji i zdarzeń w oparciu o rozwiązanie NetIQ Sentinel w celu spełnienia wytycznych Rekomendacji D Komisji Nadzoru Finansowego

str. 2

Wprow adzenieOprogramowanie NetIQ Sentinel wprowadza automatyzację i pełen nadzór do zarządzania

bezpieczeństwem i monitorowania zgodności z regulacjami. Pozwala w pełni przygotować się na

wewnętrzne i zewnętrzne zagrożenia, a także sprostać oczekiwaniom audytorów. Dzięki niemu firmy

i instytucje mają dostęp do pełnych, dostępnych w czasie rzeczywistym informacji o zdarzeniach

związanych z bezpieczeństwem. Mogą reagować na znane zagrożenia, identyfikując i eliminując nowe.

Ponadto Sentinel umożliwia sporządzanie raportów obejmujących całość organizacji i dowodzących

spełniania norm bezpieczeństwa oraz zgodności z regulacjami.

Dzięki oprogramowaniu NetIQ Sentinel osoby odpowiedzialne za bezpieczeństwo informacji w organizacji

mogą tworzyć rygorystyczne programy utrzymania bezpieczeństwa i zgodności z regulacjami obowiązujące

w całym przedsiębiorstwie, usprawnić pracochłonne i podatne na błędy procesy ręcznej sprawozdawczości,

a dzięki wbudowanej w Sentinel automatyzacji — zmniejszyć koszty z tym związane.

Niniejszy dokument omawia, w jaki sposób rozwiązanie NetIQ Sentinel pomaga spełnić wytyczne zawarte

w Rekomendacji D Komisji Nadzoru Finansowego dotyczącej zarządzania obszarami technologii

informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach (zalecenia weszły w życie

z dniem 31 grudnia 2014 r.) oraz zarządzania ryzykami towarzyszącymi systemom informatycznym

i telekomunikacyjnym używanym przez banki (obowiązują od 2002 r.)

I. Rekomendacja D - Architektura infrastruktury teleinformatycznej

9.12 Bank powinien posiadać sformalizowane zasady dokonywania zmian w konfiguracji komponentów

infrastruktury teleinformatycznej, uwzględniające istotność poszczególnych komponentów i zapewniające:

realizację zmian w sposób zaplanowany i kontrolowany, z uwzględnieniem wpływu danej zmiany na innekomponenty,

zabezpieczenie komponentów przed wprowadzaniem nieuprawnionych zmian,

możliwość wycofania zmian, w tym dostępność kopii awaryjnych konfiguracji komponentów,

możliwość identyfikacji osób wprowadzających oraz zatwierdzających poszczególne zmiany w konfiguracji.

SENTINEL: Oprogramowanie Sentinel wspomaga administratorów systemów informatycznych, gdyż

zapewnia monitorowanie naruszenia zasad bezpieczeństwa oraz śledzenie statusów rozwiązywanych

problemów. Pozwala to na szybką identyfikację pojedynczych ataków (przy wykorzystaniu dowolnego źródła

danych). Jednym z takich możliwych ataków jest próba zmian w konfiguracji ustawień sprzętu sieciowego.

Administrator systemu o próbie zmiany konfiguracji urządzenia sieciowego może zostać powiadomiony

np. e-mailem.

9.15 Konfiguracja systemu zapór sieciowych powinna zapewniać rejestrowanie niestandardowych

aktywności w celu umożliwienia dokonywania ich analizy pod kątem wykrywania ataków zewnętrznych

i wewnętrznych. System zapór sieciowych powinien także zapewniać kontrolę ruchu wychodzącego w celu

blokowania prób nawiązania sesji z wewnątrz sieci przez szkodliwe oprogramowanie.

SENTINEL: Operatorzy monitorując środowisko mogą korzystać z danych zbieranych w czasie

rzeczywistym, przedstawionych w sposób graficzny. Mogą też przeglądać informacje historyczne dotyczące

konkretnego urządzenia, użytkownika lub zdarzenia, obejmujące czas sprzed kilku sekund lub godzin.

str. 3

Do połączenia z dowolnym urządzeniem wykorzystywane są różne protokoły, m.in. SNMP, ODBC lub inne

standardy. Administrator z pomocą konektorów zostaje powiadomiony o próbie ataków zewnętrznych

i wewnętrznych .

9.17 Bank powinien monitorować sieci teleinformatyczne, komponenty infrastruktury teleinformatycznej,

usługi sieciowe i systemy informatyczne pod kątem ich bezpieczeństwa i poprawności funkcjonowania

adekwatnie do związanego z nimi poziomu ryzyka. Stopień automatyzacji ww. monitorowania powinien być

adekwatny do złożoności środowiska teleinformatycznego banku.

SENTINEL: System Sentinel może pobierać dane o zdarzeniach z następujących obszarów:

urządzenia bezpieczeństwa na granicy sieci, takie jak systemy VPN, zapory, routery i przełączniki,

źródła odniesienia, takie jak systemy zarządzania tożsamością, zarządzania zasobami oraz zarządzaniapoprawkami,

urządzenia do przetwarzania informacji (serwery, stacje robocze, laptopy)

aplikacje użytkownika, systemy do zarządzania bazami danych, systemy pracy grupowej, kontrolery domen.

Przykład: informacja o braku komunikacji z systemem operacyjnym.

Przykład: Zestawienie prezentujące zgłoszoną przez oprogramowanie antywirusowe aktywność szkodliwego

oprogramowania znajdującego się na komputerach w sieci.

str. 4

II. Rekomendacja D - Aktualizacja oprogramowania komponentów infrastruktury teleinformatycznej

9.22 Bank powinien posiadać sformalizowane zasady dotyczące dokonywania aktualizacji oprogramowania

– zarówno komputerów, jak i urządzeń mobilnych oraz pozostałych elementów środowiska

teleinformatycznego (w tym aktualizacji systemów operacyjnych, systemów zarządzania bazami danych,

oprogramowania użytkowego, oprogramowania urządzeń sieciowych itp.), uwzględniające istotność tego

oprogramowania oraz poziom krytyczności poszczególnych aktualizacji.

SENTINEL: System Sentinel stwarza możliwość powiadomienia operatora o dokonaniu aktualizacji

oprogramowania za pomocą zdefiniowanego wcześniej zdarzenia . Sentinel powiadamia operatora po

stworzeniu reguły o nieaktualnym oprogramowaniu na stacjach klienckich czy serwerach.

III. Rekomendacja D - Zarządzanie pojemnością i wydajnością komponentów infrastruktury teleinformatycznej

9.28 Bank powinien posiadać udokumentowane zasady zarządzania wydajnością i pojemnością

komponentów infrastruktury teleinformatycznej, uwzględniające istotność poszczególnych komponentów dla

działalności banku oraz zależności pomiędzy tymi komponentami, obejmujące w szczególności:

określenie parametrów wydajności (np. czas odpowiedzi systemu, czas przetwarzania) i pojemności (np. obciążenie sieci teleinformatycznej, stopień wykorzystania urządzeń pamięci masowych, stopień wykorzystania procesorów, liczba otwartych sesji połączeniowych), wraz ze wskazaniem wartości ostrzegawczych i granicznych w tym zakresie,

monitorowanie powyższych parametrów,

analizę trendów oraz prognozowanie zapotrzebowania na wydajność i pojemność, z uwzględnieniem celów strategicznych banku, w szczególności w zakresie planowanej liczby obsługiwanych klientów orazzmian w profilu działalności i związanego z tym przewidywanego wolumenu przetwarzanych danych,

podejmowanie działań w przypadku przekroczenia wartości ostrzegawczych i granicznych powyższych parametrów oraz w przypadku, gdy analizy w zakresie zapotrzebowania na wydajność i pojemność wykażą, że obecne zasoby nie są wystarczające do jego zaspokojenia,

raportowanie w zakresie wydajności i pojemności komponentów infrastruktury teleinformatycznej, w szczególności do właścicieli systemów informatycznych.

str. 5

SENTINEL: Pozyskując informację o stanach ostrzegawczych i granicznych z środowiska pamięci

masowych będziemy informowani z użyciem zdefiniowanych zdarzeń o osiągnięciu stanów krytycznych

względem pojemności. Elastyczna technologia kolektorów systemu Sentinel pozwala pobierać zdarzenia

i informacje o obciążeniu stopnia wykorzystania procesorów. Administrator w bardzo przejrzysty sposób

może określić progi, po przekroczeniu których będzie informowany o wystąpieniu takiego zdarzenia.

IV. Rekomendacja D - Mechanizmy kontroli dostępu logicznego

11.10 Systemy informatyczne przetwarzające dane o wysokiej istotności dla banku powinny posiadać

mechanizmy pozwalające na automatyczną rejestrację zachodzących w nich zdarzeń w taki sposób, aby

zapisy tych rejestrów mogły – w przypadku wystąpienia takiej konieczności – stanowić wiarygodne dowody

niewłaściwego lub niezgodnego z zakresem zadań użytkowników korzystania z tych systemów.

Mechanizmy rejestracji zdarzeń powinny również uniemożliwiać nieuprawnione usuwanie lub

modyfikowanie zapisów.

SENTINEL: Kolektory związane z autoryzacją w dowolnym systemie operacyjnym pozwalają monitorować

w czasie rzeczywistym nieuprawnione uwierzytelnienie w systemie (np. po trzykrotnym wpisaniu błędnego

hasła). Oprogramowanie Sentinel wysyła e-mail do administratora o niepoprawnej autoryzacji użytkownika.

Wszystkie zaistniałe incydenty związane z uwierzytelnianiem są przechowywane w bazie oprogramowania

Sentinel.

Przykład. Alert informujący o nieuprawnionym uwierzytelnieniu w systemie użytkownika z opcją

wygenerowania poczty e-mail o takim powtórnym incydencie:

Raport prezentujący statusy zmiany haseł przez użytkowników:

str. 6

V. Rekomendacja D - Mechanizmy kontroli dostępu fizycznego

11.12 Istotnym elementem bezpieczeństwa środowiska teleinformatycznego jest kontrola fizycznego

dostępu do pomieszczeń, w których ulokowane są serwery i inne kluczowe elementy infrastruktury

teleinformatycznej oraz urządzenia wspierające jej działanie (w tym zasilacze awaryjne, generatory

prądotwórcze, klimatyzatory i rozdzielnie elektryczne). Mechanizmy kontroli dostępu fizycznego powinny

zapewniać dostęp jedynie uprawnionych osób (tj. takich, w przypadku których konieczność posiadania

dostępu wynika z zakresu obowiązków) oraz wszczęcie alarmu w przypadku prób dostępu podejmowanych

przez osoby nieuprawnione. Mechanizmy te powinny również obejmować rejestrację ruchu osobowego.

Stosowane rozwiązania powinny być adekwatne do poziomu ryzyka związanego z komponentami

ulokowanymi w danym pomieszczeniu, specyficznych uwarunkowań (w tym lokalowych) banku oraz skali

i charakteru prowadzonej działalności.

SENTINEL: Występujące w obiektach wydzielone strefy bezpieczeństwa, w których przetwarzane są

dokumenty np. oznaczone klauzulą „poufne”, są zwykle chronione pomocą różnych mechanizmów

kontrolnych, takich jak czytnik kart. Sentinel umożliwia generowanie powiadomienia z wykorzystaniem

dynamicznych list o próbie nieuprawnionego dostępu do pomieszczeń, w których ulokowane są serwery

i inne kluczowe elementy infrastruktury teleinformatycznej.

str. 7

VI. Rekomendacja D - Zarządzanie incydentami naruszenia bezpieczeństwa środowiska

teleinformatycznego

20.2 Zasady postępowania z incydentami naruszenia bezpieczeństwa środowiska teleinformatycznego

powinny w szczególności określać:

metody i zakres zbierania informacji o incydentach,

zakresy odpowiedzialności w obszarze zarządzania incydentami,

sposób przeprowadzania analiz wpływu incydentów na środowisko teleinformatyczne, w tym jego bezpieczeństwo,

zasady kategoryzacji i priorytetyzacji incydentów, uwzględniające klasyfikację informacji i systemów informatycznych związanych z danym incydentem,

zasady wykrywania zależności pomiędzy incydentami (przykładem tego rodzaju zależności jest atak typu „Denial-of-Service” uniemożliwiający szybką identyfikację innego incydentu lub usunięcie jego przyczyn),

zasady komunikacji, obejmujące zarówno pracowników banku, jak i zewnętrznych dostawców usług oraz

w przypadku istotnego narażenia na skutki danego incydentu – również innych stron trzecich (klientów, kontrahentów itp.), zapewniające odpowiednio szybkie powiadamianie zainteresowanych stron i podejmowanie działań, adekwatnie do poziomu istotności incydentu,

zasady gromadzenia i zabezpieczania dowodów związanych z incydentami, które będą mogły zostać wykorzystane w ewentualnych postępowaniach sądowych (w szczególności minimalizujące ryzyko utraty takich dowodów lub ich odrzucenia ze względu na niewłaściwe zabezpieczenie danych),

zasady dotyczące podejmowania działań naprawczych i zapobiegawczych, obejmujące w szczególnościprzypisanie osób odpowiedzialnych za realizację tych działań oraz monitorowanie stanu ich realizacji.

SENTINEL: W przypadku incydentu naruszenia bezpieczeństwa środowiska teleinformatycznego NetIQ

Sentinel pozwala :

uporządkować incydenty uwzględniając klasyfikację informacji w odniesieniu do systemów informatycznych,

wykrywać zależności pomiędzy incydentami,

gromadzić dowody o incydentach, które mogą być wykorzystane w postępowaniach sądowych,

pozwala przypisać konkretną osobę do incydentu wraz z informacją o postępie realizacji tego zadania.

str. 8

Przykład. Raport podsumowujący ataki typu DdoS:

str. 9

20.3 W celu m.in. umożliwienia podejmowania działań zapobiegawczych w odniesieniu do identyfikowanych

problemów, bank powinien prowadzić rejestr incydentów naruszenia bezpieczeństwa środowiska

teleinformatycznego, w którym przechowywane powinny być w szczególności informacje dotyczące:

daty wystąpienia i identyfikacji incydentu,

przyczyn zajścia incydentu,

przebiegu incydentu,

skutków incydentu,

podjętych działań naprawczych.

SENTINEL: System Sentinel wykorzystuje techniki korelacji wykonywane w pamięci, aby zmniejszyć

obciążenie bazy danych i przyspieszyć proces dostarczenia ważnych danych o zdarzeniach do centralnej

konsoli. Dane archiwalne przechowywane są w bazach danych Oracle lub SQL. Sentinel pozwala w szybki

sposób dostać się do danych archiwalnych dotyczących zidentyfikowanych naruszeń bezpieczeństwa

środowiska informatycznego.

20.5 Zaleca się, aby w stosunku do incydentów mających istotny wpływ na bezpieczeństwo przetwarzanych

danych, w tym w szczególności na bezpieczeństwo środków klientów (również w przypadkach incydentów,

o których bank jest informowany przez zewnętrznego dostawcę usług), bank posiadał szybką ścieżkę

raportowania ich wystąpienia (wraz z określeniem prawdopodobnych przyczyn oraz skutków) wysokiemu

szczeblowi kierownictwa banku. Szybki przepływ informacji w zakresie zaistniałego istotnego naruszenia

bezpieczeństwa powinien pozwalać na odpowiednie zaangażowanie kierownictwa banku w proces

podejmowania działań naprawczych. Kierownictwo banku powinno być również systematycznie

informowane o stanie realizacji tych działań.

SENTINEL: Oprogramowanie Sentinel zawiera aplikację Sentinel Reports służącą do wizualizacji

środowiska zabezpieczeń w przedsiębiorstwie, dokumentowania zgodności z regulacjami, a także

efektywnego zarządzania ryzykiem operacyjnym.

Sentinel posiada dużą liczbę wbudowanych raportów, które można wygenerować dla wysokiego szczebla

kierownictwa banku, zawierające informacje o wystąpieniu incydentów mających istotny wpływ na

bezpieczeństwo przetwarzanych danych. System dostarcza raporty dostosowane do przepisów lub ról

pełnionych przez użytkowników w organizacji, co pozwala stale oceniać i potwierdzać zgodność z

regulacjami.

Raporty przygotowane przez producenta to m.in.:

raporty zawierające wytyczne normy ISO 27000,

raporty dotyczące bezpieczeństwa sieci,

zbiór raportów dotyczący produktu Sentinel.

Sentinel zapewnia pełną sprawozdawczość w zakresie bezpieczeństwa i zgodności z regulacjami, która

wykracza znacznie poza dostarczanie prostych plików dziennika.

Konsole i raporty dla kierownictwa prezentują pojedynczy widok każdego zdarzenia,

Analiza z uszczegóławianiem oraz modelowanie pozwalają zaprojektować dowolne scenariusze „różnych zdarzeń” oraz pozwalają na aktywne zarządzanie, które jest niezbędnym czynnikiem do wszechstronnego zarządzania bezpieczeństwem i zgodnością oraz regulacjami w przedsiębiorstwie.

str. 10

Przykład. Raport prezentuje informację, jaki użytkownik zmieniał swoje hasło. Taki raport zawiera informacje

o użytkowniku i dacie wystąpienia zdarzenia wraz z podsumowaniem, czy taka próba była pozytywna.

20.7 Bank powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności

środowiska teleinformatycznego, stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska

oraz skalę i specyfikę prowadzonej działalności) i na tej podstawie podjąć odpowiednią decyzję dotyczącą

wykorzystania rozwiązań klasy SIEM (ang. Security Information and Event Management), ułatwiających

zarządzanie incydentami naruszenia bezpieczeństwa m.in. poprzez centralizację zbierania, analizowania

i przechowywania dzienników zdarzeń generowanych przez systemy informatyczne i inne komponenty

środowiska teleinformatycznego.

SENTINEL: Korzystając ze swoich wbudowanych mechanizmów oprogramowanie Sentinel pozwala

w sposób scentralizowany na:

zintegrowane, skalowalne i zautomatyzowane monitorowanie bezpieczeństwa i zgodności z regulacjami,w czasie rzeczywistym, obejmujące wszystkie systemy i sieci,

Zautomatyzowane reagowanie na zdarzenia związane z zarządzaniem użytkownikami i bezpieczeństwem. Na przykład próba dostępu do danych finansowych podjęta przez niepowołaną osobę może spowodować zapisanie szczegółowych informacji o zdarzeniu oraz przesłanie poczty elektronicznej do osoby odpowiedzialnej w firmie za bezpieczeństwo,

analizowanie zdarzeń związanych zarówno z użytkownikami, jak i urządzeniami, przy użyciu pojedynczego narzędzia,

stworzenie środowiska, które umożliwia ustalenie strategii informatycznej i podejmowanie działań w oparciu o strategię biznesową. Można samodzielnie ustalać kryteria alarmów, miar, a także poziom szczegółowości danych w raportach,

zautomatyzowane zbieranie, analizowanie, korelowanie, rozwiązywanie i raportowanie zdarzeń związanych z bezpieczeństwem oraz zgodnością z regulacjami, obejmujące całość przedsiębiorstwa

o wstępnie skonfigurowane i łatwe do dostosowania kolektory zbierają dane z dowolnych systemów, procesów lub urządzeń w sieci przedsiębiorstwa,

o reguły korelacji pozwalają przeanalizować dane w czasie rzeczywistym, zidentyfikować przypadki naruszenia bezpieczeństwa lub zgodności oraz zweryfikować zdarzenia w różnych narzędziach i systemach,

o działania podjęte w celu rozwiązania problemu mogą być wykonywane w oparciu o szablonyprocesów,

wykrywanie nowych zagrożeń, gdy tylko pojawią się gdziekolwiek na terenie przedsiębiorstwa.

str. 11

Z pomocą zbioru paczek (ISO 27000, Identity Tracking, NetIQ Secure Login SAP itp.) można polepszyć

funkcjonalność platformy Sentinel poprzez ujednolicenie względem wytycznych zawartych w normach

bezpieczeństwa.

Dodatkowym wbudowanym elementem pakietu NetIQ Sentinel jest Solution Designer, który pozwala na

utworzenie dowolnego zestawu elementów potrzebnych do analizy bezpieczeństwa infrastruktury.

Przygotowana paczka przykładowo ze zdefiniowanymi korelacjami, dodatkowymi raportami, wybranymi

zdarzeniami może być przygotowana przez niezależną firmę i wdrożona na platformie Sentinel.

P o d s u m o w a n i e

Dzięki oprogramowaniu NetIQ Sentinel kosztowne, czasochłonne i podatne na błędy ręczne procesy

zapewniania bezpieczeństwa i zgodności z regulacjami można zastąpić zautomatyzowanym,

rygorystycznym i przewidywalnym programem monitorowania środowiska IT. Wprowadzając automatyzację

i pełen nadzór do zarządzania bezpieczeństwem i monitorowania zgodności z regulacjami oraz wytycznymi,

takimi jak Rekomendacja D, oprogramowanie Sentinel pozwala w pełni przygotować się na wewnętrzne

i zewnętrzne zagrożenia, a także sprostać oczekiwaniom audytorów. Więcej informacji o oprogramowaniu

NetIQ Sentinel zamieszczono na stronie www.netiq.com/products/sentinel

Micro Focus | NetIQ w Polsce

ul. Postępu 21, 02-676 Warszawa

tel. +48 22 537 5000

bezpłatna infolinia 800 22 66 85

infolinia@ netiq.com

2017 NetIQ , Inc. Wszelkie prawa zastrzeżone. Micro Focus, NetIQ , logo NetIQ, Sentinel są zastrzeżonymi znakami towarowymi firm Micro Focus | NetIQ w USA i innych krajach. * Pozostałe znaki towarowe są własnością odpowiednich podmiotów.

str. 12