varonis - identifiera och förebygg intrång - radpoint · 2 agenda •gdpr och vad innebär den...
TRANSCRIPT
1
Varonis - Identifiera
och förebygg intrång
Björn Kjellsson
Senior Security Consultant
2Agenda
• GDPR och vad innebär den nya förordningen
• Hur kan man med Varonis lösa GDPR-frågor
• Förebyggande arbete
• Incidenthantering
3
Varför gör vi det här?
4
General Data Protection Regulation
5
GDPR ersätter det föråldrade Data Protection-direktivet och PUL och adresserar paradigmer
kring datakonsumtion såsom:
• Internet
• Internet of things
• Big data analytics
• Cloud hosting
Vad är GDPR och varför behövs det?
6Vad är GDPR och varför behövs det?
GDPR använder “Privacy by design”-skolans tänk, vilket innebär:
• Minimera insamling av personlig data
• Reducera access
• Radera person-kopplad data när den inte längre behövs
• Säkra data genom datas hela livscykel
7Vad är GDPR och varför behövs det?
GDPR avser ansvar för data vilket innebär:
• Implementering av teknisk och organisatoriska åtgärder för hantering av personlig data
• Rapportera dataintrång av personlig data inom 72 timmar
• Genomföra regelbudna “Data Protection Impact Assessments” (riskanalys)
• Tillhandahålla tydlig dokumentation av implementerade processer
• Möjligen nominera en dataskyddsombud (beroende av verksamhet)
8
Kapitel 4 - Avsnitt 1 – Allmäna skyldigheter
• Artikel 20 – Inbyggt dataskydd och dataskydd som standard
• Artikel 24 – Register över behandling
• Artikel 27 – Konsekvensbedömning avseende dataskydd
Vad består GDPR av?
Kapitel 4 - Avsnitt 2 - Säkerhet för personuppgifter
• Artikel 30 – Anmälan av en personuppgiftsincident till tillsynsmyndigheten
• Artikel 32 – Säkerhet i samband med behandlingen
Kapitel 3 - Avsnitt 3 - Rättelse och radering
• Artikel 17 – Rätten att bli bortglömd
9
Kapitel 4 - Avsnitt 1 – Allmäna skyldigheter
• Artikel 20– DatAdvantage : Access-kontroll och least privilege
• Artikel 24 – DatAdvantage & DCF : Var lagras känsliga filer? Vem har access? Vem
använder? Kan data raderas?
• Artikel 27 – DatAdvantage & DCF : Riskanalys av miljön
Vad består GDPR av?
Kapitel 4 - Avsnitt 2 - Säkerhet för personuppgifter
• Artikel 30 – DatAlert : Upptäck dataintrång och policyöverträdelse och larma om det händer
• Artikel 32 – DatAdvantage & DataPrivilege: Avhjälp och automatisera/tvinga least privilege
Kapitel 3 - Avsnitt 3 - Rättelse och radering
• Artikel 17 – DCF : Hitta, flagga, radera
10Vem bryr sig?
Vad händer om man inte följer regelverket?
• Att inte vara compliant resulterar i böter på upp till 4% av globala omsättningen
11
Upptäcka intångsförsök
12Upptäcka intrångsförsök – DatAlert – User Behaviour Analysis
Modification of Critical Organizational Units
Indikerar obehörig försök att få access genom att ändra policies eller använda priviligierade grupper.
Kan även indikera försök att förbjuda åtkomst för användare till systemet.
Modification of Security Settings GPO
Indikerar felkonfiguration eller obehörig försöker skada infrastruktur och förbjuda åtkomst för användare
till systemet, särskilt om genomförd utanför kontrollerade förändringsprocesser
Permission Changes on OU
Indikerar felkonfiguration eller obehörig försöker få access till data genom att tillåta bred access.
Kan även indikera försök att förbjuda användare access till systemet.
Permission Granted Directly to User in Directory Services
Indikerar felkonfiguration eller obehörigt försök att få access till data.
Administrative or Service Account Reset
Indikerar försök av obehörig att förstöra infrastruktur eller förbjuda åtkomst för användare till systemet.
Kan även indikera försök att mörka, särskilt om genomförd utanför kontrollerade förändringsprocesser.
13Upptäcka intrångsförsök – DatAlert – User Behaviour Analysis
Admin or Service Account Disabled or Deleted
Indikerar försök av obehörig att förstöra infrastruktur eller förbjuda åtkomst för användare till systemet.
Kan även indikera försök att mörka, särskilt om genomförd utanför kontrollerade förändringsprocesser.
Deletion of Active Directory Containers
Indikerar försök att förstöra operationell struktur av obehörig och förbjuda åtkomst för användare till systemet
Service Account Membership Changes
Indikerar felkonfiguration eller obehörig försöker skada infrastruktur och förbjuda åtkomst för användare
till systemet, särskilt om genomförd utanför kontrollerade förändringsprocesser
Modification Critical GPO
Indikerar obehörig försök att få access genom att ändra policies eller använda priviligierade grupper.
Kan även indikera försök att förbjuda åtkomst för användare till systemet, särskilt om genomförd utanför
kontrollerade förändringsprocesser
14
Varonis miljö
Demonstration
15
Tack
Frågor?