CONCEPT VURORE/NOREA IT Audit Themadag VURORE/NOREA IT Audit Themadag Technical-audits en monitoring: simpele, effectieve voorbeelden Petr Kazil – EDP Audit Pool Technical-audits en monitoring: simpele, effectieve voorbeelden Petr Kazil – EDP Audit Pool
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
CONCEPT
VURORE/NOREA IT Audit ThemadagVURORE/NOREA
IT Audit Themadag
Technical-audits en monitoring:
simpele, effectieve voorbeelden
Petr Kazil – EDP Audit Pool
Technical-audits en monitoring:
simpele, effectieve voorbeelden
Petr Kazil – EDP Audit Pool
Dia 2
Verwachtingsmanagement - Disclaimer !
• Praktijkervaringen : Informeel : Ongesorteerd
• Techniek : Windows : Active Directory
• Spelen met vragen :
• 1: Frequentie interne incidenten ?
• 2: Detectie misbruik ?
• 3: Detectie zwakke plekken ?– Interne systemen
– Externe websites
– Windows infrastructuren
Demo’s alleen als tijd over!
Alles staat in sheets.
Dia 3
Vraag 1 : Frequentie interne incidenten
Ik denk niet dat de infra-
structuur wordt
misbruikt
Meet- of detecteer je
misbruik proactief ?
Niet echt …
Hoe kun je het dan zeker weten
?
Vicieuzecirkel
Nou, we merken
nooit wat van misbruik
…
Dia 4
Vraag 1 : Klassieke interne fraude
Geen kennisvan fraude 66%
Wel kennisvan fraude 34%
Niet gemeld61%
Wel gemeld14%
Soms gemeld25%
• Iemand anders had het gemeld • Bezorgd over reactie collega’s • Bezorgd over positie in bedrijf
• Gebruiken / stelen bezit bedrijf• Te hoge / privé declaraties • Declareren niet gewerkte tijd
Bron: Kennis van fraude in bedrijven, Regioplan publicatienr.1166, 2004 – 503 respondenten
Fraude vaak niet gezien / gemeld
Dia 5
• Krantenartikel zomer 2006: “Samen de kassa van de baas plunderen”
• PwC constateerde in zijn jaarlijkse onderzoek dat in 2005
• de helft van de plegers van een economisch delict uit de eigen onderneming afkomstig is.
• 'De fraude die we niet kennen neemt toe', zegt Bob Hoogenboom(forensische studies Nivra-Nyenrode). 'Wat we zien is het topje van de ijsberg.
• We weten steeds minder over de aard en omvang van fraude.‘
• Werknemers hebben recht op vertrouwen, maar ook op controle.
Vraag 1 : Klassieke fraude - controle & toezicht
Dia 6
Vraag 1 : ICT misbruik – eerste poging
• Krantenartikelen 2005/6 (Lexis/Nexis)
• Security mailing lijsten (SANS/Govcert)
• Conferenties / presentatie / publicaties
• Niet iedereen integer (ook ambtenaren niet)
• Niet alle infrastructuren goed beveiligd
• Aanvallers worden slimmer
• Schadelijke software slimmer en onzichtbaar
• Criminelen verdienen geld met ICT / data
Dia 7
1: Life-cycle van beveiligingsincidenten
Extern
Intern
Beheerder
Medewerker
HackerGelegen-
heid
Motief
Midde-len
Misbruik Detectie
Het hele plaatje is redelijk in te vullen met gerenommeerd en recent onderzoek !
Dia 8
1: Onderzoeken – public domain
Dia 9
?!*@$!
Dia 10
Extern versus intern : 50-50
Bron: The Information Security Breaches Survey 2006, UK Department of Trade and Industry, PricewaterhouseCoopers
Dia 11
Extern misbruik
Bron: The ASIS Foundation Security Report: Scope and Emerging Trends, ASIS, 2005
Dia 12
Intern misbruik
Dia 13
Dia 14
Motief :
• “Kijk wat ik kan”
• Wraak
• Misbruik middelen
• Financieel
Dia 15
Oorzaak :
• Laag beveiligingsbewustzijn
• Zwakke beveiliging
Dia 16
Gelegenheid :
• Weinig goede beheerders
• Weinig kennis/opleiding staf
• Slecht ingerichte systemen
Dia 17
ICT-Beheerders extra risicobron
• Hoge bevoegdheden + Weinig functiescheiding
• Veel externen + Weinig screening
• Veel vertrouwen + Weinig toezicht– Vreemde werktijden
– Meestal pas achteraf ontdekt, toen storing optrad
Bron: Insider Threat Study: Computer System Sabotage in Critical Infrastructure Sectors, May 2005, Software Engineering Institute, National Threat Assessment Center
Klopt met eigen informele navraagOmdat men denkt dat er zeer weinig incidenten zijn!
Detectie percentage : 90% ?
Maar is dat gevoel terecht?
Volgens ons gevoel niet !
Dia 20
Vraag 1 : Mogelijke conclusies
• Organisatie kan niet zonder
vertrouwen maar:– Beheerders en gebruikers hebben
recht op toezicht
• Actief ontdekken en opsporen van :
– Aanvallen - Bewust Misbruik
– Toe-eigenen van functionaliteit
– Slordigheden - Gemakzucht
Consistent met ‘klassieke’ fraude
literatuurInterne controle? Taak IT-Auditor?
Of niet?
Dia 21
Vraag 1 : Mogelijk vervolg ?
• Belastingdienst : Jaarlijkse trendanalyse !
• Norea ? IT-Audit opleidingen ?
Dia 22
Inhoud
• 1: Frequentie interne incidenten ?
• 2: Detectie misbruik ?
• 3: Detectie zwakke plekken ?
– Externe websites
– Windows infrastructurenInterne systemen
Dia 23
Vraag 2: Detectie - Analyse Windows logfiles
Elke Windows server houdt (minimaal) 3 logfiles bij :
Zitten vol met interessante informatieVooral “security” log interessant voor auditorsBeheerders:Kijken meestal achteraf naar logfiles – analyse storingenKijken vooral naar “application” en “system” logs
Dia 24
2: Analyse Windows logfiles
Dia 25
Wat staat analyse in de weg ?
• Logs verspreid over vele systemen
– Soms meer dan 50 Domain Controllers
• Logfiles zijn groot
– 100Mb en meer
• “Events” zijn technisch
• Onduidelijk welke events kritisch zijn
• Microsoft levert nu bruikbare hulpmiddelen
• Gratis !
Dia 26
Welke events zijn belangrijk?
• In 2005 heeft Microsoft richtlijnen uitgebracht voor loganalyse
• Voor de eerste keer !
Dia 27
2: Welke events zijn belangrijk?
Dia 28
2: Hoe haal je de kritische events er uit?
• Microsoft tool : Logparser
• Leest gestructureerde bestanden en selecteert gegevens op basis van SQL-queries
• Krachtige en toch eenvoudige programmeertaal
• Is in een dag te leren (eigen ervaring)
• Verbazingwekkend snel
Dia 29
2: Selectie van succesvolle logins
• Uitstekende help files van Microsoft
• Query is met “trial en error” in een kwartier te knutselen
Dia 30
2: Selectie van succesvolle logins
Dia 31
2: Verzamelen van files
Dia 32
Wat kun je zo uit de files halen
• Handelingen van beheerders
– Aanmaken van accounts en groepen
– Wijzigen van policies
– Wie doen beheer en zijn ze geautoriseerd
• Handelingen van gebruikers
– Login / logout
– Toegang tot bestanden
• Mogelijke aanvallen / misbruik
– Mislukte toegangspogingen
– Grootschalige toegangspogingen
– Vreemde tijden
Prima
bestaanscontrole!
Dia 33
Vraag 2 : Detectie : Het ideaal
Log
parser
Event
comb
Queries
volgens
Microsoft
Samen
vatting
Auditors
Beheerders
Scripts die wekelijks draaien
E-mail
Controle werking wordt mogelijk !
Dia 34
Vraag 2 : Mogelijk vervolg ?
• Norea ? IT-Audit opleidingen ?
• Centraal tools beoordelen en aanbevelen?
• Centraal richtlijnen voor monitoring opstellen?
• Aantoonbaar:
• Bent U in control?
Dia 35
Inhoud
• 1: Frequentie interne incidenten ?
• 2: Detectie misbruik ?
• 3: Detectie zwakke plekken ?
– Interne systemen
– Externe websites
– Windows infrastructuren
Dia 36
3a : Interne scan
• Grootschalige port scan
• Handmatig nalopen van resultaten
• Zoeken van de “foute” systemen
Auditor
Nmap / superscan
Dia 37
3a : “Vergeten” en heel oude servers
Dia 38
Webtoegang tot servers
Dia 39
Webtoegang tot servers
Dia 40
Beheer interfaces
Dia 41
Beheer-interfaces
Dia 42
Niet beveiligde printers
Dia 43
Oracle : wachtwoord = accountnaam
Op (xxx.bd.minxxx.local) zijn accounts aanwezig met wachtwoord gelijk aan de accountnaam. Het is
mogelijk om in te loggen en de structuur van de database tabellen te zien.
Dia 44
Netwerkbeheer – default wachtwoord
Dia 45
FTP-server : personeelsgegevens open
Op server ka5xxx04 is een anoniem toegankelijke FTP-server aangetroffen met back-up bestanden
van een personeelsdatabase (sofinummers, bankrekeningnummers, salarisgegevens,
ziekteverzuim).
Dia 46
“Gevonden gegevens”
In meerdere onderzoeken aangetroffen !
Dia 47
Interne “vulnerability” scan
GFI Languard
Eenvoudig tool
Niet heel kostbaar
Maar kan toch heel “enge”resultaten aan het licht brengen