Ondřej Ševeček | GOPAS a.s. MCSM:Directory Services | MVP:Enteprise Security | CISA | CEH | CHFI | facebook: ondrej.sevecek.official.

Prezentace na téma: "Ondřej Ševeček | GOPAS a.s. MCSM:Directory Services | MVP:Enteprise Security | CISA | CEH | CHFI | facebook: ondrej.sevecek.official."— Transkript prezentace:

1 Ondřej Ševeček | GOPAS a.s. MCSM:Directory Services | MVP:Enteprise Security | CISA | CEH | CHFI ondrej@sevecek.com | www.sevecek.com facebook: ondrej.sevecek.official | twitter: @OndrejSevecek Proč má ISMS smysl ISO/IEC/ČSN 2700x a jak to nedělat aby to opravdu mělo smysl GOLD PARTNER:Hlavní odborný partner:

2 Definice "bezpečnosti"  the preservation of confidentiality (ensuring that information is accessible only to those authorized to have access), integrity (safeguarding the accuracy and completeness of information and processing methods) and availability (ensuring that authorized users have access to information and associated assets when required)  vždycky je to business continuity co podporujeme  ISMS řeší i "papírové" informace

3 Jak se "bezpečnosti" dosahuje  technické prostředky –proaktivní ochrany, zálohování, vysoká dostupnost, post-identifikace průniků  řešení bezpečnostních incidentů  vrstvené ochrany –minimalizace rizik –absolutní bezpečnost neexistuje  správné chování  ISMS vám nic nenařizuje, jen dává doporučení co má smysl zvážit

4 Doporučení, která nejsou zase až tak ultimátní, jak se zdají  9.4.2 - do not display user ID before logon –všechno má smysl, ale je to potřeba brát s rezervou  9.4.2 - protection against brute force (account lockout) –standard neříká nic o počtu špatných pokusů –3 je opravdu málo pro Windows prostředí, přicházíte o extranet lockout vyhledání všech loginů zámky nemusíte přehánět

5 Podceňovaná doporučení, která mají smysl  9.3.1 - implement SSO with regard to unwilling disclosure RDP SSO

6 Detekce je na nic, pokud na ni bezhlavě spoléháte  12.2.1 - implementing controls that prevent or detect the use of unauthorized software  12.2.1 - implementing controls that prevent or detect the use of known or suspected malicious websites  12.4.3 - an intrusion detection system... can be used to monitor system and network administration activities for compliance  "Use of malware detection and repair software alone as a malware control is not usually adequate and commonly needs to be accompanied by operating procedures that prevent introduction of malware" software/hardware keylogger mimikatz vs. procdump ATA detekce použití účtu z jiného počítače

7 Pokud děláte hlouposti, nic vám nepomůže  9.2.3 - management of privileged access rights: separate user IDs  12.4.3 - an intrusion detection system... can be used to monitor system and network administration activities for compliance remote UAC impersonace Kerberos delegace

8 Separace uživatelských účtů  Ve Windows je všechno chráněno a odděleno uživatelskými účty  Musíte být schopni určit si nebezpečnostní zónu daného účtu –9.4.1 - information access restriction: read/write/delete/execute sub-domain admins

9 Separace podle fyzické bezpečnosti (stanice, pobočky) PC open- space ForestA DomainB DC ForestA DomainA DC1 SRV in datacente r NTB no BitLocker ForestA DomainA DC2 PC in-office SRV in branche1 SRV in branche2 NTB with BitLocker

10 Symantec Backup SQL Share Point Farm Intranet Share Point Farm Intranet Separace podle business systémů ForestA DomainB DC ForestA DomainA DC1 ForestA DomainA DC2 DPM Backup SQL Share Point Farm Intranet SRV Exchange SQL Share Point Farm Intranet Share Point Farm Intranet DPM Backup SQL Share Point Farm Extranet RDP farm AD FS NPS RADIUS RDP Gateway SRV FS

11 Symantec Backup SQL Share Point Farm Intranet Share Point Farm Intranet Často se zapomíná na management a monitoring ForestA DomainB DC ForestA DomainA DC1 ForestA DomainA DC2 DPM Backup SQL Share Point Farm Intranet SRV Exchange SQL Share Point Farm Intranet Share Point Farm Intranet DPM Backup SQL Share Point Farm Extranet RDP farm AD FS NPS RADIUS RDP Gateway SRV FS System Center Management System Center Monitoring

12 Na incidenty musíte opravdu reagovat  9.4.2 - raise a security event if a potential attempted or successful breach of log-on controls is detected  12.2.1 - implementing controls that prevent or detect the use of unauthorized software  12.2.1 - implementing controls that prevent or detect the use of known or suspected malicious websites  "Use of malware detection and repair software alone as a malware control is not usually adequate and commonly needs to be accompanied by operating procedures that prevent introduction of malware" podvrhnutý podpisový certifikát

13 Z incidentů se musíte opravdu poučit  7.2.2 -... should be built on lessons learnt from information security incidents  16.1.6 - learning from information security incidents políčko Notes na uživatelském účtu stejná hesla na admin účtech

14 Bezpečnost je potřeba řídit  norma nic nepřikazuje –zvláště ne konkrétní technické prostředky, nebo jejich nastavení  bezpečnost je jenom o minimalizaci rizik –vrstvy, vrstvy a zase vrstvy  sám od sebe to nikdo dodržovat nebude  incidenty je potřeba řešit –nikdo nemá patent na rozum  a poučit se z nich

15 Děkuji za pozornost! GOC169 - ISO 2700x on Windows platform GOC165 - CISM GOC171 - Active Directory internals GOC172 - Kerberos troubleshooting GOC173 - Enterprise PKI GOC175 - Windows Security internals GOC166 - ADFS and WAP Ondřej Ševecek | GOPAS a.s. MCSM:Directory Services | MVP:Enteprise Security | CISA | CEH | CHFI ondrej@sevecek.com | www.sevecek.com facebook: ondrej.sevecek.official | twitter: @OndrejSevecek

16 Aktuální a navazující kurzy sledujte na www.gopas.cz www.gopas.cz DÁREK PRO VÁS! TechEd-DevCon 2016! …získejte tričko TechEd-DevCon 2016!Vyplňte dotazníkové hodnocení a… TechEd party! Xbowling Strašnice, 18. 5. 2016 Buďte The Best IT Pro nebo The Best Developer SOUTĚŽ! SOUTĚŽ! SOUTĚŽ!