Link do prezentacji

Transkrypt

Link do prezentacji

Rekomendacja D i Audyty
Bezpieczeństwa - zastosowanie
narzędzi Open Source
Na postawie doświadczeń Banku
Spółdzielczego w Kielcach Jachranka wrzesień 2013
Dlaczego Open Source?
Projekty Open Source








- bezpłatna licencja
- koszt wdrożenia (samodzielnie, usługa zewnętrzna?)
- koszt utrzymania systemu
- często dostępne wsparcie na warunkach komercyjnych
- dostęp do kodów źródłowych – brak monopolu na usługę
wsparcia tylko przez twórcę oprogramowania
- wsparcie dla Firefox, MySql, Apache, Linux ?
- jak nie widać różnicy to po co przepłacać ?
Wykorzystanie

Narzędzia/systemy wspomagające procesy pomocnicze
Rekomendacja D i Audyty Bezpieczeństwa - zastosowanie narzędzi Open Source na
postawie doświadczeń Banku Spółdzielczego w Kielcach - Jachranka 2013
2
Bezpieczeństwo Open Source




Security through/by obscurity (z ang. bezpieczeństwo poprzez
niezrozumiałość) to przykład złych praktyk stosowanych
w bezpieczeństwie teleinformatycznym, którego istotą jest
ukrywanie detali dotyczących implementacji, formatów i protokołów
przed potencjalnymi adwersarzami
Prawo Linusa – “Wystarczająca liczba przyglądających się oczu
sprawia, że wszystkie błędy stają się banalne” - Eric S. Raymond
Im większa popularność rozwiązania tym większe szansa że system
jest bezpieczniejszy
Bezpieczeństwo Open Source jest, jak tysiąc ludzi budujących Arkę,
a bezpieczeństwo zamkniętych źródeł jak setka budujących Titanica
3
Nasi faworyci




OTRS– Open Ticket Request System – system
obsługi Service Desk wspierający metodologię
ITIL (ISO 20000)
Nagios – system do monitorowania środowiska
informatycznego
Web2Project – system zarządzania projektami
Ossim - Open Source Security Information
Management – system klasy SIEM (Security
Information and Event Management)
4
Trochę historii informatyki w Banku




Początki – 1993 rok
1 informatyk,
6 placówek, 6 serwerów lokalnych, około
100 pracowników, 80 stacji roboczych,
Dos, Novell, sieci lokalne
brak:bankowości elektronicznej, internetu,
bankomatów, kart płatniczych
5
Chwila obecna




Wydział Informatyki (Zespół ds. Informatyki, Zespół Bankowości
Elektronicznej) - razem 7 osób
Centrala,16 Oddziałów 14 Filii, 4 Punkty Kasowe
WAN, LAN, 300 stacji roboczych, 300 użytkowników,
zwirtualizowane centrum obliczeniowe (około 50 serwerów
wirtualnych) centrum rezerwowe, zwitrualizowane centrum
zapasowe, scentralizowane zarządzanie stacjami roboczymi,
dostęp do internetu, poczta elektroniczna, intranet, profilaktyka
antywirusowa
Bankowość Elektroniczna, Bankowość Internetowa, SMS-banking,
Karty płatnicze, Lokalny Host Bankomatowy, 21 bankomatów,
8 bankomato-wpłatomatów, transakcje lokalne autoryzowane
biometrycznie
6
Jak tym zarządzać ?



Straż Pożarna ?
JTB – Jakoś to będzie ?
Zmiana organizacji pracy


Pilna konieczność zastosowania narzędzi pracy
grupowej w zespole
Środowisko dosyć złożone jak na prace ręczne
(zastosowanie zasady adekwatności)
7
Problemy:

Monitoring zasobów informatycznych:


Klienci i użytkownicy pierwszym źródłem informacji
o awariach ;)
Są informacje w logach serwerów, serwisów,
systemów o usterkach i błędach:


Kto je przegląda na bieżąco ?
Kto na bieżąco monitoruje stany serwerów, stany serwisów?



Stopień zapełnienia wolumenów dyskowych?
Obciążenia procesorów?
Wykorzystanie pamięci? Itp.
8
Problemy:

Monitoring bezpieczeństwa środowiska,
zasobów informatycznych




analiza logów pod względem bezpieczeństwa,
monitoring podatności,
raporty z systemów antywirusowych
Monitoring bezpieczeństwa niezależny od
monitoringu funkcjonalnego
9
Problemy:

Wieloodziałowość, duża ilość użytkowników





Przekazywanie wiedzy, informacji
w systemach
Elektroniczna Tablica Ogłoszeniowa
Baza Wiedzy
FAQ – Najczęściej zadawane pytania
o
zmianach
Czy nie irytuje Was powtarzanie tej samej
informacji po raz n..ty pracownikom kolejnych
placówek ?
10
Problemy:

Komunikacja wewnątrz zespołu




zgłoszenia na indywidualne skrzynki mailowe? (urlop)
wspólna skrzynka ? - kto obsługuje zgłoszenie ? nikt ? kilka
osób ?
zgłoszenia telefoniczne? (ulotna pamięć, brak śladu
zgłoszenia, zgłoszenie kierowane do wielu osób)
Niepożądana Specjalizacja



każdy ma swoje tajemnice
„pracownik niezastąpiony”
wielokrotne rozwiązywanie tego samego problemu przez
różne osoby
11
Problemy:


Prowadzenie elektronicznego rejestru infrastruktury
informatycznej,
wzajemnych
powiązań
jej
elementów,
rejestru
konfiguracji
systemu,
przechowywanie dokumentacji i parametryzacji.
Zarządzanie
zadaniami
wykonywanymi
przez
członków zespołu, priorytetyzacja tych zadań


każdy robi to co on uważa za ważne lub wygodne,
każdy ma swoją wizję rozwoju i priorytetów
niekoniecznie zgodną z priorytetami firmy.
12
Faworyt nr 1 - OTRS







Open Ticket Request System
System wspierający Serwis Desk w oparciu
o metodologię ITIL (ISO 20000)
Strona internetowa : www.otrs.com
Istnieje od 2001 r
1650000 pobrań
110000 instalacji
dostępny w 32 językach (polski też ;))
13
Fragment z listy referencyjnej z 2010 r.
14
Cechy systemu OTRS






Interfejs Webowy
System zgłoszeniowy oparty na systemie ticketów (maili)
Baza
infrastruktury
informatycznej
–
CMDB
(Configuration Management database) z możliwością
odwzorowania wzajemnych zależności pomiędzy CI
(configuration item)
Możliwość łączenia zgłoszeń z elementami konfiguracji
(np. książki serwisowe, rejestr historii uprawnień)
Baza wiedzy – FAQ z trójpoziomowym dostępem do
informacji i możliwością łączenia artykułów z CI lub
zgłoszeniami
Łatwa integracja z systemem Nagios
15
Doświadczenia Banku



Instalacja marzec 2010 r.
Całkowita ilość zarejestrowanych zgłoszeń
do 20 września 2013 – ponad 65000
W miesiącu sierpniu 2360 zgłoszeń w tym:



1480 – zgłoszenia z monitoringu (Nagios)
558 – bankowość elektroniczna
330 – zespół ds. informatyki
16

Zarejestrowanych 2149 CI w CMDB w tym
między innymi:







29 bankomatów
74 systemy
305 użytkowników
50 wirtualnych maszyn
392 komputery
204 pomieszczenia
531 urządzeń peryferyjnych i urządzeń sieciowych
17


Ponad 100 artykułów w bazie wiedzy
(FAQ) - w tym informacja o kontaktach
i
sposobach
komunikowania
się
z wszystkimi serwisami i usługodawcami
banku
Pierwsze 5 artykułów pod względem
popularności wyświetlona od 120 do 240
razy
18
TO DZIAŁA !!!



Cisza w pomieszczeniach wydziału – sporadyczne
telefony, gdy zgłoszenie wymaga natychmiastowej
interwencji lub użytkownik nie ma możliwości
zarejestrowania zgłoszenia w systemie OTRS
Zaufanie użytkowników – każde zgłoszenie aby je
zamknąć wymaga zwrotnej odpowiedzi użytkownikowi
Doskonały system antyspamowy – użytkownik zgłasza
żądanie wykonania usługi dopiero wtedy gdy jego wkład
pracy w napisanie zgłoszenia jest większy niż
samodzielne poradzenie sobie z problemem
19





Użytkownicy wykonują dużą część biurokratycznej pracy
związanej z opisaniem incydentu
Użytkownicy
coraz
częściej
przed
zgłoszeniem
sprawdzają, czy ich incydent nie ma już opisu
z rozwiązaniem w bazie wiedzy
Informacja o infrastrukturze i jej powiązaniach ciągle
pod ręką, odpowiednio chroniona uprawnieniami
Dostępność aktualnej informacji o kontaktach do
serwisów
Zgłoszenia do serwisów zewnętrznych na podstawie
zgłoszeń wewnętrznych – nie ginie informacja
o zgłoszeniach
20
OTRS a rekomendacja D





Rekomendacja
5.10
(…zapewnić
dostępność
aktualnej
i precyzyjnej dokumentacji środowiska teleinformatycznego,
…..promować dzielenie się wiedzą między pracownikami)
Rekomendacja 7.13 (…rejestr zmian wprowadzanych do
poszczególnych systemów…)
Rekomendacja 9.11 (– ….utrzymywania rejestru komponentów
infrastruktury informatycznej wraz z podstawowymi informacjami na
temat ich rodzaju i konfiguracji, – utrzymywania elektronicznego
repozytorium kopii zastosowanej konfiguracji)
Rekomendacja
9.34
(…elektronicznego
repozytorium
dokumentacji infrastruktury teleinformatycznej.)
Rekomendacja 13 (wsparcie wewnętrznych użytkowników
systemów)
21
Faworyt nr 2 - Nagios
Nagios – aplikacja służąca do monitoringu
zasobów sieci.
 monitorowanie hostów i ich zasobów (zużycie
dysku, obciążenie procesora)
 monitorowanie usług (SMTP, POP3, HTTP itp.)
 ustalenie hierarchii monitorowanej sieci
 powiadomienia w przypadku wystąpienia awarii
 interfejs www umożliwiający podgląd stanu sieci
 dodawanie własnych dodatków rozszerzających
możliwości monitoringu
22
Nagios
Strona projektu: www.nagios.org
Polecana dystrybucja: http://www.fullyautomatednagios.org/wordpress/
Fully automated Nagios
Dystrybucja na serwerze Centos
Alternatywny frontend Centreon
NagVis
Prosta instrukcja instalacji i konfiguracji
Plugin do analizy logów (check_logfiles):
http://labs.consol.de/lang/en/nagios/check_logfiles/
http://sourceforge.net/projects/check-logfiles/
Plugin do monitorowania serwerów i stacji windows (NSCLient++):
http://nsclient.org/nscp/
23






Zintegrowanie systemu z OTRS
Wykorzystywany od 2010 r.
Bez integracji z OTRS system jest kolejnym
narzędziem do spamowania pracowników IT
Po właściwym zintegrowaniu z systemem OTRS
może tworzyć „książkę serwisową” urządzeń
Raporty z dostępności serwisów i serwerów
Monitoring logów serwisów w poszukiwaniu
wzorców krytycznych
24
Nagios a rekomendacja D




Rekomendacja 9.17 (Bank powinien monitorować sieci
teleinformatyczne, komponenty infrastruktury teleinformatycznej,
usługi sieciowe i systemy informatyczne….)
Rekomendacja 9.28 (– określenie parametrów wydajności… wraz
ze wskazaniem wartości ostrzegawczych i granicznych w tym
zakresie,– monitorowanie powyższych parametrów)
Rekomendacja 9.29 (zastosowania narzędzi pozwalających na
automatyzację monitorowania obciążenia zasobów)
Rekomendacja 10.5 (Bank powinien monitorować jakość usług
świadczonych przez dostawców zewnętrznych…) np. jakość łącz
25
Faworyt nr 3 – Web2Project
Webowy system pracy grupowej do zarządzania
projektami
 Strona www http://web2project.net/
 Następca oprogramowania DotProject
Porównanie systemów zarządzania projektami:





http://www.4pm.pl/bundles/applicationmain/soft/index.html
32 systemy 19 płatnych - w tym Microsoft Project Professional +
Project Server)
Najbardziej zaawansowany spośród darmowych – Dot Project:
Na 22 cechy porównawcze brak 5 (Microsoft Project – brak 3)
26
Web2Project a rekomendacja D


Rekomendacja
3.4
monitorowanie
realizacji
w niej celów oraz programów,
Rekomendacja
6
–
wspierające pracę grupową
projektu
(….poprzez
określonych
projektów)
narzędzie
uczestników
27
Faworyt nr 4 Ossim






Ossim - Open Source Security Information
Management
System klasy SIEM - Security Information and
Event Management
Strona www http://www.alienvault.com/open-threat-exchange
Wersja 1.04 luty 2008
Obecnie wersja 4.3
zaufało mu ponad 195000 profesjonalistów
bezpieczeństwa w 175 krajach
28



System w Banku w fazie testów
Używanie poprzedniej wersji zaniechano na
poziomie testów z powodu wykorzystywania
Nagiosa i dublowania funkcjonalności
Obecnie wdrażany w celu separowania
monitoringu bezpieczeństwa od monitoringu
jakości i wydajności środowiska
29
Ossim a rekomendacja D


Rekomendacja
9.17
(Bank
powinien
monitorować
sieci
teleinformatyczne,
komponenty infrastruktury teleinformatycznej,
usługi sieciowe i systemy informatyczne pod
kątem ich bezpieczeństwa…)
Rekomendacja 20.7 (…na tej podstawie
podjąć
odpowiednią
decyzję
dotyczącą
wykorzystania rozwiązań klasy SIEM…)
30
Wsparcie systemów



Wszystkie wymienione systemy posiadają fora
społecznościowe wspierające ich rozwój
W przypadku OTRS, OSSIMA, Nagiosa istnieje
możliwość wykupienia komercyjnego wsparcia,
wszystkie trzy systemy rozwijają się w sposób
bardzo dynamiczny, z dużą ilością użytkowników
Jedynym systemem odstającym od pozostałej
trójki jest web2project, ale nie wspiera on
żadnego procesu krytycznego, a zalety jego
użycia w przypadku nie korzystania z żadnego
oprogramowania przewyższają jego wady
31
Dziękuję za uwagę
Kurczych Janusz
Naczelnik Wydziału Informatyki
Bank Spółdzielczy w Kielcach
mail:[email protected]

Link do prezentacji

Transkrypt

Podobne dokumenty

AKTUALNOŚCI Bezpłatne oprogramowanie komputerowe

Download: NewsWorld

w życiu ucznia

doradztwo biznesowe

Ile kosztuje Open Source?

Monitoring mediów