martes, 4 de julio de 2017

SecurityIQ and Microsoft (Azure) Rights Management–Better together: Remediation process

Resultado de imagen de confidential dataOne of the most important important topics in discussions with customers about Information Rights Management (Microsoft IRM) is the need to have a sensitive data discovery, classifiction and remediation plan that allows individuals and administrators to set access permissions to documents, workbooks, presentations, and e-mail messages. This helps prevent sensitive information from being printed, forwarded, or copied by unauthorized people. After policies are put in place to restrict permissions for a file using IRM, the access and usage restrictions for that file are enforced even if the file reaches unintended recipients; access permissions are stored in the document, workbook, presentation, or e-mail message itself and these must be authenticated against the server. IRM is a useful tool, but there are unanswered questions:
    • Where is the sensible data?
    • Where should we apply this restriction?
    • Can we categorize the information?
    • Do we know WHO has access?
    • Is it APPROPRIATE?
    • Can we PROVE it?


Needed VISIBILITY and CONTROL  

image
SecurityIQ is a leading data access governance system that can assist you:


image
  • Data Discovery and Classification
    • Helps answer the question, “Where does the sensitive data reside?”
    • Ensures that sensitive data is located in the correct locations and helps apply more granular permissions with Microsoft RMS RMS.
    • Changing of permissions may not be necessary.
image
  • Permissions Analysis
      • Helps answer the question, “Who has access to what data?”
    image
    • Conducts crowd sourcing campaign to identify data owners of company wide file shares
    image
    • Fine Graned Audit Trail
    • Real-Time Activity Monitoring
    image
    • Implements compliance controls (GDPR, LOPD, HIPAA, PCI, EU GDP, MAS, ITAR…)

    This video shows user access to words confidential document (without RMS, no template applied) before and after SecurityIQ is utilized. SecurityIQ classifies and categorizes the document according to the sensitive data it contains, and then applies a remediation process/plan using an RMS template



    More detail about the use case:


    Scenario

    Medusa, Libellula, Remo and Romulo are internal projects. Access to those projects use a shared PROJECTS folder. There is a confidential folder (Information Protection) that has a summary information about the project with costs, efforts, resources, competitors, benefits, and task durations so It’s very important and relevant information.

    image



    It’s a security breach and customer want to protect the folder with a IRM template applied to project (protected) group (project.protected@lab.sailpoint.com)


    Template

    3 Templates deployed in RMS Server. We’re using Protect RMS File in Remediation process

    image
    image


    Hope this helps

    martes, 27 de junio de 2017

    Video: Active Directory - Control, Auditoría y Remediación en tiempo real

    En el post Active Directory: Control, Auditoría y Remediación en tiempo real describimos un escenario muy típico en los entorno de IT (elevación de privilegios mediante grupos críticos de directorio activo). El siguiente video muestra cómo ante un cambio en el directorio activo SecurityIQ recibe un evento (en tiempo real) con la información legible y cómo da marcha atrás al cambio a través de una ejecución de una alerta. A pesar de no tener audio (prometo que el siguiente video tendrá sonido) es auto-explicativo.




    Resumen del video
    El usuario AdminIAM accede a la consola del directorio activo (a través de run as) y añade al grupo Domain Admins el usuario Alejandro Fernandez. En SecurityIQ se ha definido una política que si existe algún cambio en el grupo Domain Admin, la remediación es eliminar el usuario añadido al grupo y todo esto en tiempo real.





    Espero que os sirva de ayuda

    martes, 20 de junio de 2017

    Active Directory: Control, Auditoría y Remediación en tiempo real

    Resultado de imagen de no tocar imagenesUno de los mayores contratiempos en época vacacional es la ejecución de tareas no autorizadas (entre muchas de ellas se encuentra el añadir usuarios a grupos sensible/administrativos del directorio activo) por parte de los administradores (incluso del departamento de Helpdesk/CAU) para evitar problemas. A priori, el motivo principal es evitar los problemas típicos de permisos/accesos a recursos (destacar que el problema de raíz no es este sino la definición de un modelo de autorización basado en roles y la gestión de éstos en los períodos vacacionales) cuando “el master del universo” está fuera de vacaciones (¿os suena esto?).

    Este tipo de tareas de añadir usuarios a grupos sensibles del directorio activo para así elevar los privilegios es una brecha de seguridad que se evita con un control y remediación en tiempo real de los cambios en directorio activo pero si no se dispone de este tipo de herramientas os aseguro, y no creo que me equivoque, esta acción se realizará.

    Para ello, SecurityIQ permite auditar y controlar en tiempo real los cambios realizados en el directorio activo y disparar una acción correctora (remediar/mitigar) en caso necesario.


    Escenario:

    • Alguien (¿?) añade al grupo Domain Admin el usuario Alejandro Fernandez

    image

    • El cambio es detectado en tiempo real por SecurityIQ y nos da la posibilidad de responder preguntas “tan sencillas” como:
    image image
    • Al detectar un cambio no permitido, se dispara un alerta con la acción correctora, que en nuestro caso es eliminar (campo Attribute Old Value tiene el valor del cambio) Alejandro Fernandez del grupo Domain Admins

    image

    De esta manera, evitamos en todo momento que cambios no deseados en el directorio (con lo que implica) se puedan llevar a cabo.


    Espero que os sirva de ayuda

    jueves, 1 de junio de 2017

    Cuentas privilegiadas - Certificación de accesos y Segregación de funciones (SoD)

    imageExisten organizaciones que tienen ya desplegada una solución de cuentas privilegiadas (Privileged Account Management), otras están involucradas en dicho proyecto y otras tantas están pensando abordar un proyecto de esta índole…Este tipo de proyecto es importante y clave en sí mismo, es obvio, ya que que se trata de gestionar de una manera u otra (sesión y/o contraseña) el acceso controlado a los sistemas críticos (y no tan críticos) de la compañía, bien sean por empleados, outsources, partners…etc pero aún es más clave y relevante tener control, visibilidad y gobierno de estos accesos ya que este tipo de aplicación no ofrecen esta información. Este tipo de solución conviven de forma “independiente” del gestores de identidades y accesos (IAM).

    Uno de los casos de uso más frecuentes es el movimiento de los empleados, outsources, partners a otros departamentos, proyectos, ubicaciones…etc y a pesar de que sus autorizaciones cambian (o debe cambiar), mantienen sus accesos intactos en el gestor de cuentas privilegiadas (¡¡¡Alerta!!!). Esto es una brecha de seguridad “conocida”, que tanto se habla en estos momentos, en organizaciones que tienen desacopladas la gestión de sus cuentas privilegiadas con el gestor de identidades.

    Esta independencia, con el módulo PAM disponible en Sailpoint, de vivir como silos (siempre evitable en cualquier organización) desaparece y permite gobernar los accesos a las plataformas críticas de la compañía de forma que:

    • Control y Visibilidad de todos los accesos de las personas (independencia de su tipología: empleado, outsource…etc) a los sistemas críticos
    • Aplicar de forma correcta la segregación de funciones (SoD) en el acceso a los sistemas
    • Ampliar el contexto en el workflow de peticiones de accesos
    • Ciclo de vida completo en la gestión de cuentas privilegiadas. Cualquier cambio organizacional, que a priori está fuera del alcance de este tipo de herramienta, será controlado por el gestor de identidades
    • Unificación del proceso de aprovisionamiento de cuentas privilegiadas y no privilegiadas
    • Simplificar los procesos de Gobierno y cumplimiento normativo a través de informes y auditoría de la actividad

    image

    Lo interesante de esta aproximación es la posibilidad de elegir a los mejores en cada una de sus áreas (Gestión de Identidades y Accesos | Gestión de cuentas privilegiadas). Para ello podrá basarse en los cuadrantes de cada uno de los analistas: Gartner y Forrester. La conjunción de ambas tecnología es garantía de éxito.


    Espero que os sirva de ayuda

    lunes, 29 de mayo de 2017

    Visibilidad, Control, Cumplimiento, Remediación y Actividad de aplicaciones desarrolladas en casa y productos de terceros (versión 2)

    Resultado de imagen de extend iconSe ha extendido el escenario expuesto en el post Visibilidad, Control, Cumplimiento, Remediación y Actividad de aplicaciones desarrolladas en casa y productos de terceros para ofrecer al usuario final:

    • Mayor granularidad a la hora de visualizar y gestionar la actividad del recurso (incluido análisis forense)
    • Posibilidad de solicitar, desde el portal de solicitudes, el acceso al recurso MicroXtrategy

    De esta manera, tendríamos controlado todo el entorno de MicroXtrategy desde la consola de SecurityIQ (SQI) y se podría decir que se convierte en el framework de gestión de datos no-estructurados y estructurados.

     

    Pasos a seguir

    Para ofrecer una mayor integración, se añade un mapeo entre la aplicación y otras aplicaciones gestionadas por SecurityIQ (en nuestro caso, directorio activo). Para ello, modificar la parte del conector a Microstrategy, añadiendo la propiedad User Name en Unique User Account Mapping (ambos conectores)

    image

    image

    image

    Para permitir mayor granularidad, añadir el tipo de acceso a la tabla de actividad

    image

    Después de añadir esta configuración, se ha obtenido los siguientes resultados:

    image

    image

    image

    Añadir la posibilidad de realizar solicitud de acceso al portal de forma granular

    image

    image

    image

    image

    image

    Gracias a Shlomi Wexler y Aviad Chen por ayudarme / My speciall thanks to go Shlomi Wexler and Aviad Chen for helping me!!!

    Espero que os sirva de ayuda

    viernes, 12 de mayo de 2017

    Visibilidad, Control, Cumplimiento, Remediación y Actividad de aplicaciones desarrolladas en casa y productos de terceros

    Image result for project management images pngEn todas las conversaciones alrededor del gobierno del dato no-estructurado (servidor de ficheros, box, Office 365, Exchange, Linux/Unix…etc) siempre sale a la palestra el tema de qué ocurre con mis aplicaciones desarrolladas a medida y con aquellas aplicaciones que explotan información sensible (Data Warehouse, Business Intelligence…etc)  de la compañía y no “tengo control” de ellas ya que tiene su propio modelo de autorización y se desconoce la actividad que se hace de esta información. Para este escenario, la respuesta es SecurityIQ (SIQ).

    SQI, además de soportar multitud de plataformas que almacenan datos no-estructurados: Windows, Linux/Unix, EMC2, NetApp, OneDrive, Box, Exchange, Office 365, SharePoint, Dropbox y Google Drive permite ampliar esta capacidad a cualquier plataforma y ofrecer así un framework único y centralizado del gobierno de la información de una compañía de tal manera que el/los departamento/s de Seguridad, cumplimiento, auditoría…utilicen SIQ como punto central.

    Con esta capacidad podremos obtener visibilidad de quién puede acceder a la información, aplicar normativas y reglamentos sobre esta información para cumplir las regulaciones vigentes (cumplimiento), remediar las no conformidades detectada y mediar y evaluar la actividad de dichas aplicaciones por los usuarios que la están consumiendo de tal manera que se tenga una foto real de qué está ocurriendo.

    Para su puesta en marcha se necesitan 3 pasos sencillos:

    • Datos de origen de la aplicación
    • Desplegar un agente encargado de capturar la actividad
    • Configurar la aplicación para la recolección de toda la información relativa al modelo de datos

     

    Escenario de partida

    Se ha tomado como ejemplo una modelo de datos (y modelo de autorización) que encaja con más del 90% de las aplicaciones de mercado, es decir, una tabla para usuarios, grupos / roles, relación de usuario/grupos, tipología de permisos, recursos, actividad sobre los recursos, acceso a los recursos a nivel de usuario/grupo.

    Toda la información detallada con anterioridad, se ha cargado desde un fichero CSV en tablas de SQL y de ahí en SecurityIQ para correlar la información.

    El esquema de las tablas se muestra a continuación:

    • Usuarios (tabla: user)

    image

    • Grupos (tabla: group)

    image

    • Informes (tabla: report)image
    • Relación de usuarios con grupos (tabla: userINgroup)
    • Tipología de permisos sobre los informes (tabla: permission)

    image

    • Actividad (tabla: activity). Esta tabla de actividad tiene que tener obligatoriamente un identificador único (en mi caso he utilizado un secuencial) para que el proceso de importación de datos en SIQ identifique qué registros han sido ya importados, el recurso de acceso (en mi caso es el identificador del informes), el usuario que ha realizado dicha operación y cuando ha realizado la operación.

    image

    Esta información de actividad será recogida de la plataforma, en mi caso MicroXtrategy, vía syslogs, ficheros logs, visor de eventos…etc.

    Nota: la estructura que se ha mostrado en cada una de las tablas no tiene porque seguir la misma nomenclatura, información…etc.

    1) Creación de un Data Enrichment

    image

    image

    2) Configuración de una aplicación en SIQ de tipo [Generic Table]

    • Iniciar el cliente de SecurityIQ | System | Application
    • New Application Wizard, seleccionar en Application Type: Generic Table

    image

    • Crear un container con el nombre de MicroXtrategy e incorporar como nombre de la aplicación MicroXtrategy – Reports

    image

    • Rellenar toda la información relativa al acceso a la tabla de actividad

    image

    • Seleccionar de qué Data Enrichment se va a obtener la información adicional de la actividad (se creó previamente en el punto 1)

    image

    Una vez finalizado el proceso de configuración se habrá generado el fichero XML que posteriormente se utilizará en el despliegue (punto 2.a)

    Nota: En este punto tendríamos recogida la actividad de nuestra aplicación MicroXtrategy. Este información ha sido cargada previamente desde un fichero de texto pero podría cargarse desde un SIEM…etc.

    2.a) Despliegue del agente de monitorización de actividad

    • Iniciar la instalación del agente de SecurityIQ. En caso de tener desplegados más agente (como se muestra en la imagen inferior), pulsar el botón Add Product

    image

    • Seleccionar el XML previamente creado (punto 3)

    image

    image

    • Ver el estado del agente desde System | Health Center

    image

     

    3) Añadir una aplicación para la captura de los permisos, usuarios, grupos…etc

    • Seleccionar la aplicación MicroXtrategy – Activity, añadir una nueva aplicación

    image

    Con las siguiente características

    image

    Se han creado Data Sources para ser más fácil de identificarlos a la hora de configurar cada unos de los pasos: Resource | Permission Types | User Permissions

    image

    image

    image

    image

    Lanzar el proceso recolección de datos

    Image result for outcome iconUn vez finalizado,ésta es nuestra visibilidad, en SecurityIQ, de la aplicación MicroXtrategy, tanto a nivel de permisos como de actividad, grupos, accesos…etc

     

    Actividad a nivel de aplicación

    image

    image

     

    Quién puede ejecutar el informe SP_Forecast_Spain

    image

    Visibilidad y gestión de permisos

    image

    Aplicación de políticas

    image

     

    Espero que os sirva de ayuda