hvordan håndteres patch-politik bedst muligt -...

Hvordan håndteres patch-politik bedst muligt

Bent Kock (projektleder og IT Security ansvarlig)

Presentation title Date 1

Agenda slide

1

2

4

3

5


Spørgsmål

Hvad er erfaringerne, og hvor langt er vi nået I dag

IT-afdelings patch-politik kan skabe bøvl I produktionen

Forskellige syn på vulnerability assessment og life cycle management

PowerPoint toolbox 2

• Hvad er vores erfaringer med udfordringerne i forbindelse med:

• Forskellige syn på vulnerability assessment og life cycle management

• Hvordan styrker vi denne proces og organisationen

• Hvem gør hvad

• IT-afdelings patch-politik kan skabe bøvl I produktionen

• Patch frekvens/Lukke vinduer

• Kompetencer/Ansvar/Resurser



Agenda slide

1

2

4

3

5


Spørgsmål



Forskellige syn på vulnerability assessment og life cyclemanagement


• Historisk set har vi tænkt vulnerability =

• FW regler

• Password regler og review af Security log, manuel proces for applikationer

• Ekstern adgang og eksterne konsulenter

• WIFI

• Fysik beskyttelse af udstyr, primært servere/udstyr der indeholder data

• Backup

• AD/netværk

• M.m.



• Hvor langt er vi i dag:• Vi er pt. I gang med at styrke vores infrastruktur med:

• Vulnerability scanning af FW trafik, netværks trafik

• Log management services

• Andre fælles services inden for IT Security

• RISK assessments i forbindelse med patch/projekter

• Vi er pt. I gang med at styrke vores Applikationer/Systemer (MES, PCS, SCADA, m.m.)• gennemføre IT Security assessments

• Patch management

• Monitorering

• Anti-Malware/Whitelisting




• Hvad har vi stadig ikke løst• De største udfordringer

• Proces på tværs af systemer

• Proces hvor vi har overblikket over alle kendte sårbarheder på et system

• Deling af kendte sårbarheder på tværs af afdelinger

• Aftaler med leverandøre omkring information når der erkendes en sårbarhed

• Afklaring af hvad ligger lokalt og hvad ligger centralt


• Asset LCM proces

• Sikre at alt HW/SW er supporteret

• Bedre planlægning for opgraderinger

• Sikre oppetid og minimere nedtiden ved nedbrud

• Strategi inputAsset LCM proces

Forskellige syn på vulnerability assessment oglife cycle management

8

Migrere CI lister til ny std. CI lister med LCM status og afrappotere LCM status via årlig konfig. review.

Udruldning I resten af området

Opdatere standarten (SOP) for CI (HW/SW) og konfig review. Med LCM info/status

“Job Training Plan” I nystandart

Afrappotere til ITC via mdr. system status.

Agenda slide

1

2

4

3

5


Spørgsmål





• Udfordringer omkring af patch i produktionen

• Patch frekvens/Lukke vinduer

• Kompetencer/Ansvar/Resurser





Administrativt netværk

Produktions netværk

Patch frekvens = mdr.

Patch frekvens ?

Fabrikschef

26/11/2014

DAPI DATA CENTER

SANSAN

SAN mirror

Hig

h a

va

ilab

ility

Domain controller

CITRIX

Citrix TS

VMWare

VM ESX Host

LMES

Oracle

DB & Report

Virtual Machines

VMWare

VM ESX Host

CITRIX

Citrix TS

Domain controller

LMES

Oracle

DB & Report

ePO SCOM

Citrix TS

SCCM

Backup System

Backup System

Oracle

SDK

Oracle

SDK

Slide no 12


Infrastruktur patch.HW/SW = 2 X årlig

Fordele ved fælles services

HW patches i samarbejde med

leverandøren

SW. Microsoft = patch all, applikationer ud fra

leverandør anbefalinger/RISK


• Udgangspunkt er “patch all”

• ALLE systemer tages i betragtning

• DAPI IT Sec sikrer kvartalsvis vurdering af patch-lister

• Patchning udføres 1-2 gange årligt på ALLE systemer

• Fælles SOP:

• Beskriver proces

• Fælles årshjul med patch plan pr område, skal sikre at parter kan levere ressourcer for udrulning

• Lokale årshjul med patchplan på maskine niveau


IT-afdelings patch-politik kan skabe bøvl I

produktionen

• De største udfordringer• Forståelse for hvorfor dette er

vigtig hos de produktions ansvarlige

• Hvem har ansvaret for at teste en patch

• Skilleflader mellem ejer af de enkelte systemer og deres afhængigheder

• Patch af programmer som eks.• SCADA

• PCS

• BMS


Agenda slide

1

2

4

3

5


Spørgsmål





Slide no 16

26/11/2014


• Sikre Life Cycle overblik, så der prioriteres rigtigt• Starte dialog med leverandøren I god tid• Holde HW/SW opdateret hele tiden, små opgraderinger = lille RISK• Have Security kontroller til at sikre de systemer der ikke kan opgraderes

inden support udløber• Lave en infrastruktur og drift setup som nedbringer RISK og tid i forbindelse

med patch/opgraderinger• Finde en proces der gør os i stand til at afdække sårbarheder I vores

systemer:• F.eks. Kendte fejl I applikation:

• Som der ikke kendes en løsning på• som rettes med næste patch• Hvor vi selv skal rette I applikationen

Agenda slide

1

2

4

3

5


Spørgsmål





Slide no 18

26/11/2014

Spørgsmål

hvordan håndteres patch-politik bedst muligt -...

Documents