Sredinom siječnja su stručnjaci tvrtke Dell SecureWorks objavili informaciju o novom malicioznom programu kojeg su otkrili u istrazi jednog incidenta, između travnja i studenog prošle godine. Maliciozni program je nazvan “Skeleton Key”, što je uobičajeni naziv za sredstvo kojim se mogu otvoriti svaka vrata.
Prikazani su postovi s oznakom Kontrola pristupa. Prikaži sve postove
Prikazani su postovi s oznakom Kontrola pristupa. Prikaži sve postove
23.10.13
Thycotic Software u ponudi Boree
Nešto veći razmak od prethodnog teksta na blogu sam, osim za redovite poslovne aktivnosti, iskoristio i za daljnji razvoj poslovanja moje tvrtke. Jedan od rezultata ove aktivnosti je značajno unaprjeđenje suradnje s tvrtkom Thycotic Software. S ovom tvrtkom surađujem preko godinu dana, no krajem ljeta je Borea stekla status Thycotic Certified Partner.
Thycotic Software je najpoznatiji po svom rješenju Secret Server - sustavu za pohranu i upravljanje zaporkama privilegiranih korisničkih računa. Upotreba privilegiranih korisničkih računa u sebi nosi možda najznačajnije rizike od internog ugrožavanja sigurnosti informacijskog sustava. To su pristupna prava koja koriste administratori mrežnih, poslužiteljskih, database i drugih kritičnih resursa informatičke infrastrukture. Secret Server značajno pojačava sigurnosne mehanizme kod pristupa lozinkama ovih korisničkih računa, a sofisticirani mehanizmi evidentiranja i nadzora značajno olakšavaju praćenje, ali i djeluju preventivno te efikasno odvraćaju osobe koje su u iskušenju kompromitirati dodijeljena im prava.
Thycotic Secret Server igra značajnu ulogu u integraciji sa drugim sustavom kojeg Borea ima u ponudi - sa SaaS rješenjem QualysGuard. Naime, integracijom ovih sustava moguće je zaporke koje se koriste u autenticiranom skenu pohraniti unutar lokalne mreže, a ne u Qualysovom oblaku, što predstavlja značajni poticaj za iskorištavanje svih mogućnosti sustava QualysGuard.
Više o svojstvima sustava Thycotic Secret Server možete pronaći na stranicama ove tvrtke ili na stranicama Boree. Naravno, možete mi se javiti mailom ili telefonom za svaku dodatnu informaciju, ako želite vidjeti ovaj sustav u živom radu ili ako želite i sami isprobati Secret Server.
Thycotic Software je najpoznatiji po svom rješenju Secret Server - sustavu za pohranu i upravljanje zaporkama privilegiranih korisničkih računa. Upotreba privilegiranih korisničkih računa u sebi nosi možda najznačajnije rizike od internog ugrožavanja sigurnosti informacijskog sustava. To su pristupna prava koja koriste administratori mrežnih, poslužiteljskih, database i drugih kritičnih resursa informatičke infrastrukture. Secret Server značajno pojačava sigurnosne mehanizme kod pristupa lozinkama ovih korisničkih računa, a sofisticirani mehanizmi evidentiranja i nadzora značajno olakšavaju praćenje, ali i djeluju preventivno te efikasno odvraćaju osobe koje su u iskušenju kompromitirati dodijeljena im prava.
Thycotic Secret Server igra značajnu ulogu u integraciji sa drugim sustavom kojeg Borea ima u ponudi - sa SaaS rješenjem QualysGuard. Naime, integracijom ovih sustava moguće je zaporke koje se koriste u autenticiranom skenu pohraniti unutar lokalne mreže, a ne u Qualysovom oblaku, što predstavlja značajni poticaj za iskorištavanje svih mogućnosti sustava QualysGuard.
Više o svojstvima sustava Thycotic Secret Server možete pronaći na stranicama ove tvrtke ili na stranicama Boree. Naravno, možete mi se javiti mailom ili telefonom za svaku dodatnu informaciju, ako želite vidjeti ovaj sustav u živom radu ili ako želite i sami isprobati Secret Server.
7.3.08
Societe Generale: 45 dana poslije
Kakva je veza između intervjua virtualnog premijera Jutarnjem listu i senzacionalnog gubitka u francuskoj banci Societe Generale? U oba je slučaja manipulacija elektroničkom poštom odigrala određenu ulogu. U slučaju Jutarnjeg lista, elektronička pošta bila je ključni element zapleta, dok je u slučaju francuske banke elektronička pošta bila jedan od elemenata koje je koristio Jerome Kerviel u prikrivanju svojih transakcija. Naime, negdje pred kraj cijele avanture, Kerviel se "pokrio" e-mailom navodno pristiglim iz Deutsche Bank, a koji je do daljnjega trebao potvrditi uspješnost Kervielovih transakcija. No, Societe Generale je ipak provjerio autentičnost maila i pokazalo se da Deutsche Bank nema pojma o ovim porukama. To je, ujedno, bio i detonator koji je pokrenuo cijeli slučaj. Ova epizoda potvrđuje jednostavnost krivotvorenja elektroničke pošte i poučava da je, ako se e-mail želi koristiti kao mehanizam u kritičnim poslovnim transakcijama, potrebno koristiti takve sustave koji jamče očuvanje autentičnosti poruke i onemogućuju naknadni opoziv transakscija.
Prije dva tjedna objavljen je preliminarni izvještaj o slučaju Societe Generale. Izvještaj je izradila neovisna komisija, a posebno upada u oči činjenica da je tijekom 2006. i 2007. bilo 75 upozorenja o djelovanju Kerviela upućenih od njegovih kolega i izvedenih iz analiza poslovnih rizika. Nadležne osobe nisu reagirale na pravi način. Ostaje pitanje jesu li propustile primjetiti značaj indikatora koji pojedinačno možda nisu bili preupadljivi, no sagledani u ukupnom kontekstu morali su zvoniti na uzbunu? Ili su nadležne osobe bile opijene tadašnjim uspjesima Kerviela te su bili spremne previdjeti indikatore? Upravo je ova druga teza i glavno uporište Kervielove obrane koji tvrdi da ga je management mogao spriječiti da je to htio.
Izvještaj je potvrdio da je manipulacija s korisničkim pravima i autentikacijom korisnika bilo glavno Kervielovo uporište među općim kontrolnim mjerama informacijskog sustava. Kerviel je imao ovlasti za rad na informacijskom sustavu koje su prekoračile ovlasti potrebne na njegovom radnom mjestu, koristio je ovlasti drugih osoba, pristupni sustav nije evidentirao informacije o ključnim događajima (ili takve informacije nisu bile provjeravane). Na koncu, krivotvorio je i sadržaj elektroničke pošte. Ovi nedostaci su kombinirani s manjkavostima aplikativnih kontrola i kumulativni efekt bio je razoran.
U kontekstu ovih stranica htio bih ukazati na tri ključne pouke koje svi moraju izvući iz slučaja Societe Generale.
Prvo, posvetite kontroli pristupnih prava puno više pažnje nego što vam se u određenom trenutku čini da je potrebno. Izbjegnite situaciju u kojoj će prevladati subjektivni osjećaj kako nema potrebe za jačim kontrolnim mjerama jer, eto, kod vas nije bilo do sada nikakvih slučajeva zloupotrebe. Ova pouka osobito vrijedi za članove uprave koji moraju dobro poznavati sve rizike i hrabro "sponzorirati" takve projekte. Rukovodstvo IT službe ili informacijske sigurnosti treba koristiti jezik i argumente koji razumije uprava, i prezentirati takve rizike na pravi način.
Drugo, obratite pažnju na sve indikatore koji govore o "insiderskim" napadima. Takvi indikatori nisu glasni poput onih koje izazivaju vanjski napadi, zahtjevaju puno više pažnje i bolju pripremu, a naročito poznavanje konteksta poslovnog procesa. "Insiderski" napadi se, uglavnom, ne otkrivaju iz poruka IDS sustava već strpljivom, ponekad dosadnom, analizom mnoštva rutinskih događaja.
Treće, kontinuirana revizija/provjera aplikativnih i općih kontrolnih mjera, a naročito onih koje su vezani za pristupni podsustav i procese upravljanja korisničkim pravima, mora postati prioritetna obveza. Dinamika takvih provjera prerasla je godišnji ritam revizije, te mora biti znatno češća.
Prije dva tjedna objavljen je preliminarni izvještaj o slučaju Societe Generale. Izvještaj je izradila neovisna komisija, a posebno upada u oči činjenica da je tijekom 2006. i 2007. bilo 75 upozorenja o djelovanju Kerviela upućenih od njegovih kolega i izvedenih iz analiza poslovnih rizika. Nadležne osobe nisu reagirale na pravi način. Ostaje pitanje jesu li propustile primjetiti značaj indikatora koji pojedinačno možda nisu bili preupadljivi, no sagledani u ukupnom kontekstu morali su zvoniti na uzbunu? Ili su nadležne osobe bile opijene tadašnjim uspjesima Kerviela te su bili spremne previdjeti indikatore? Upravo je ova druga teza i glavno uporište Kervielove obrane koji tvrdi da ga je management mogao spriječiti da je to htio.
Izvještaj je potvrdio da je manipulacija s korisničkim pravima i autentikacijom korisnika bilo glavno Kervielovo uporište među općim kontrolnim mjerama informacijskog sustava. Kerviel je imao ovlasti za rad na informacijskom sustavu koje su prekoračile ovlasti potrebne na njegovom radnom mjestu, koristio je ovlasti drugih osoba, pristupni sustav nije evidentirao informacije o ključnim događajima (ili takve informacije nisu bile provjeravane). Na koncu, krivotvorio je i sadržaj elektroničke pošte. Ovi nedostaci su kombinirani s manjkavostima aplikativnih kontrola i kumulativni efekt bio je razoran.
U kontekstu ovih stranica htio bih ukazati na tri ključne pouke koje svi moraju izvući iz slučaja Societe Generale.
Prvo, posvetite kontroli pristupnih prava puno više pažnje nego što vam se u određenom trenutku čini da je potrebno. Izbjegnite situaciju u kojoj će prevladati subjektivni osjećaj kako nema potrebe za jačim kontrolnim mjerama jer, eto, kod vas nije bilo do sada nikakvih slučajeva zloupotrebe. Ova pouka osobito vrijedi za članove uprave koji moraju dobro poznavati sve rizike i hrabro "sponzorirati" takve projekte. Rukovodstvo IT službe ili informacijske sigurnosti treba koristiti jezik i argumente koji razumije uprava, i prezentirati takve rizike na pravi način.
Drugo, obratite pažnju na sve indikatore koji govore o "insiderskim" napadima. Takvi indikatori nisu glasni poput onih koje izazivaju vanjski napadi, zahtjevaju puno više pažnje i bolju pripremu, a naročito poznavanje konteksta poslovnog procesa. "Insiderski" napadi se, uglavnom, ne otkrivaju iz poruka IDS sustava već strpljivom, ponekad dosadnom, analizom mnoštva rutinskih događaja.
Treće, kontinuirana revizija/provjera aplikativnih i općih kontrolnih mjera, a naročito onih koje su vezani za pristupni podsustav i procese upravljanja korisničkim pravima, mora postati prioritetna obveza. Dinamika takvih provjera prerasla je godišnji ritam revizije, te mora biti znatno češća.
Pretplati se na:
Postovi (Atom)