qualysguard infoday 2012 - qualysguard vm ve společnostech skupiny veolia voda Čr
DESCRIPTION
TRANSCRIPT
) Brand department and Communication department 08/06/2012
ve společnostech skupiny Veolia Voda ČR
QualysGuard VM
08/06/2012 ) www.saservices.cz
) Brand department and Communication department 08/06/2012 08/06/2012 ) www.saservices.cz
1. Veolia Environnement 2. Solutions and Services, a.s. 3. Motivace pro nasazení VM 4. Problematika decentralizovaného prostředí 5. Finální nasazení v rámci MPLS 6. Přínosy řešení a Problémy
Obsah
Veolia Environnement Veolia Environnement představuje jediný světový koncern, který je zaměřený výhradně na poskytování environmentálních služeb a nabízí jejich kompletní škálu v rámci svých 4 divizí: • Vodohospodářství (Veolia Water – v ČR Veolia Voda) • Nakládání s odpady (Veolia Environmental Services – v ČR Marius Pedersen) • Energetické služby (Veolia Energy – v ČR Dalkia) • Doprava (Veolia Transport)
Působí v 69 zemích světa 29,6 mld. Euro obrat v roce 2011 315 000 zaměstnanců
VE v ČR 35,5 mld. Kč obrat v roce 2011 12 656 zaměstnanců
08/06/2012 3
Veolia Voda ČR Společnosti skupiny Veolia Voda poskytují městům, obcím a průmyslovým podnikům kompletní služby spojené s výrobou a distribucí pitné vody a s odváděním a čištěním odpadních vod. Největší společnost na českém vodohospodářském trhu • 3,7 milionů zásobovaných obyvatel • 14,4 mld. Kč obrat v roce 2011 • 5 284 zaměstnanců
Solutions and Services, a.s.
Vyčleněná společnost za účelem poskytování ICT služeb společnostem skupiny Veolia Voda Česká republika 124 zaměstnanců (cca 50% z oboru IT nebo systémové integrace) Současné služby: • Poskytování ICT služeb především společnostem skupiny Veolia Voda • Projektové řízení a systémová integrace • Outsourcing IT infrastruktury • Řízení centrálních nákupů • Služby call center • Služby centrální fakturace
08/06/2012 4
Původní infrastrastruktura Veolia Voda ČR 10 oddělených společností – 6 významných lokalit • Praha, Teplice, Plzeň, Olomouc, Kladno, Hradec Králové
Mezi jednotlivými společnostmi nebyla žádná společná síť Celkový počet serverů: cca 300 Celkový počet stanic: cca 2500
08/06/2012 5
Motivace pro nasazení VM Skupina VE je kótovaná na americké burze a jako taková musí splňovat požadavky SOX (Sarbanes-Oxly Act) – sada standardů ustanovená po odhalení podvodů v účetnictví společností Enron, WorldCom a dalších
IT požadavky SOX vycházejí mimo jiné z ISMS (ISO/IEC 27000) a proto bylo rozhodnuto o nasazení ISMS do dvou největších společností • V průběhu realizace bylo však rozhodnuto o ukončení nasazení ISMS jako standardu a v
projektu zůstaly pouze jednotlivé oblasti vycházející z provedené analýzy rizik a kryjící se s požadavky SOX
Jedním z požadavků SOX je pravidelné provádění penetračních testů externím subjektem • V rámci původní infrastruktury si každá společnost najímala své dodavatele a neexistovaly
jednotné požadavky na provádění testů • Interní testování neprobíhalo vůbec
08/06/2012 6
Motivace pro nasazení VM Výběrové řízení na jednotné penetrační testy v r. 2008 • VŘ se soustředilo pouze na externí testy • Ve VŘ mimo dalších i RAC, který jako alternativu prezentoval nástroje Qualys
Myšlenka automatizovaných externích testů z Internetu, ale současně i interních testů pomocí lokální appliance zvítězila
• VŘ bylo následně změněno s cílem vybrat dodavatele automatizovaného nástroje pro podporu procesu řízení technických zranitelností
Výběr byl zúžen na řešení Qualys Guard a McAfee Foundstone
Vítězem řešení Qualys Guard (verze Express, licence pro 512 IP) pro jeho výsledky v provedených testech, celkově profesionální a přitom přehledné GUI a v neposlední řadě maximálně přehledné reporty
08/06/2012 7
Nasazení Qualys Guard VM Nasazení v prostředí VVČR mělo významná omezení • Verze Express dovoluje pouze 2 interní appliance – na 6 našich oddělených lokalit • Prakticky všechny sítě se překrývaly v IP segmentech 192.168.X.X
Řešením bylo vytvořit plán rotace appliancí po jednotlivých společnostech • Pro každou společnost ji bylo nutné vždy vymazat a z GUI odstranit reporty z minulých skenů,
aby nedocházelo k chybné analýze trendu vývoje zranitelností (pro stejné IP adresy v různých společnostech)
Pomoc RAC s nasazením • V prostorách VVČR proběhlo školení práce se systémem pro cca 10 IT správců • Školení proběhlo i k nastavení appliance pro její převážení • RAC dále zpracovala podrobnou směrnici „Řízení technických zranitelností“ • Během prvotního záběhu jsme využívali i support RAC, i když ne příliš často
08/06/2012 8
Nasazení Qualys Guard VM Přínosy v oblasti externích a interních testů
Externí penetrační testy se začaly provádět systematicky a jednotně • Testovalo se pracovníkem SaS (z ústředí – mimo jednotlivé společnosti) s maximálním důrazem
na blackbox testování • Fáze pasivního získávání informací
WHOIS, Google, DNS, WWW, apod. • Fáze aktivního získávání informací
Port skeny, bannery služeb, apod. • Fáze testování zranitelností
Analýza vlastních služeb, neinvazivní testování
Interní testy se začaly provádět • Nutnost rotace appliancí omezovala systematické nasazení • Trend nebyl sledován • Výsledkem tak byl pouze aktuální pohled na stav záplat na vybraných serverech v jeden
okamžik (například po dobu 1 měsíce)
08/06/2012 9
Nasazení v rámci MPLS V roce 2011 došlo k vybudování jednotné MPLS sítě a společného datového centra Vznikl centrální bod pro umístění Qualys Guard appliance Unikátní IP adresace umožňuje sledování trendů Počet serverů vzrostl na cca 380 (z toho v DC cca 10%)
08/06/2012 10
Finální nasazení Qualys Guard VM Vymazání celého účtu (IP adresy, skeny, reporty) Založení nových unikátních IP adres (Host Assets) Vytvoření skupin IP adres (Asset Groups) – jméno determinuje Společnost / Business riziko / Správce • PVK-C-JaNo (Pražské vodovody a kanalizace / Critical / Jan Novák)
Vytvoření uživatelských účtů pro jednotlivé správce • Licence Express dovoluje v základu maximálně 6 uživatelů, ale umožňuje si další dokoupit
Plán skenů • Externí testy se provádějí 1x za měsíc • Interní testy probíhají každých 5 dnů
Reporting • Každému jednotlivém správci chodí výsledky skenů jeho serverů emailem formou odkazu do GUI • K dispozici je Patch Report pro každou společnost (by Patch / by Host) • Každý IT manažer pak získává jednou za 2 měsíce report o stavu v jeho společnosti
Remediation modul • Zatím nevyužíváme
08/06/2012 11
Problémy při nasazení Qualys Guard VM Neochota správců • Problematické bylo překonat pocit, že se jim někdo „dívá pod pokličku“ • ... a následně je donutit dané servery opatchovat (zvláště pak perly s 30ti Critical
zranitelnostmi)
Práva skenovacího uživatele v OS Windows • Doporučení Qualys je zajistit práva skupiny Local Admins / Domain Admins • Nyní to tak máme, ale naším cílem je vytvořit minimální sadu nutných oprávnění pro efektivní
skenning • Možná by tuto sadu mohl dodat nebo pomoci poodkrýt přímo Qualys
Informace o autentifikaci skenovacího uživatele • Příklad: Došlo k úspěšnému přihlášení uživatele na testovaném stroji, ale uživatel nemá
dostatečná práva (je například pouze ve skupině Users) • V takovém případě sken vykazuje minimum zranitelností a výsledek se tváří na první pohled
jako „v pořádku“ • Zjistit, na kterých strojích je autentifikace v tomto stavu, při počtech v řádu několika set IP, je
nelehký úkol • Pomohl by komplexní Info QID, který by přímo poukazoval na to, že jsou nedostatečná práva
08/06/2012 12
Reálné výsledky
Jedna samostatná menší společnost (cca 40 serverů), ve které se podařilo významně snížit počet zranitelností – 100% hmatatelný výsledek nasazení Qualys
Velká společnost (90 serverů) – je znatelný snižující se trend po nasazení Qualys
Celkový trend za celou skupinu VVČR se také snižuje
08/06/2012 13
Děkuji za pozornost
08/06/2012 14
Vit Moravec Head of Project Management
Solutions and Services, a.s. Parizska 11, 110 00 Prague 1 phone: +420 222 321 648 email: [email protected]