) Brand department and Communication department 08/06/2012

ve společnostech skupiny Veolia Voda ČR

QualysGuard VM

08/06/2012 ) www.saservices.cz

) Brand department and Communication department 08/06/2012 08/06/2012 ) www.saservices.cz

1. Veolia Environnement 2. Solutions and Services, a.s. 3. Motivace pro nasazení VM 4. Problematika decentralizovaného prostředí 5. Finální nasazení v rámci MPLS 6. Přínosy řešení a Problémy

Obsah

Veolia Environnement Veolia Environnement představuje jediný světový koncern, který je zaměřený výhradně na poskytování environmentálních služeb a nabízí jejich kompletní škálu v rámci svých 4 divizí: • Vodohospodářství (Veolia Water – v ČR Veolia Voda) • Nakládání s odpady (Veolia Environmental Services – v ČR Marius Pedersen) • Energetické služby (Veolia Energy – v ČR Dalkia) • Doprava (Veolia Transport)

Působí v 69 zemích světa 29,6 mld. Euro obrat v roce 2011 315 000 zaměstnanců

VE v ČR 35,5 mld. Kč obrat v roce 2011 12 656 zaměstnanců

08/06/2012 3

Veolia Voda ČR Společnosti skupiny Veolia Voda poskytují městům, obcím a průmyslovým podnikům kompletní služby spojené s výrobou a distribucí pitné vody a s odváděním a čištěním odpadních vod. Největší společnost na českém vodohospodářském trhu • 3,7 milionů zásobovaných obyvatel • 14,4 mld. Kč obrat v roce 2011 • 5 284 zaměstnanců

Solutions and Services, a.s.

Vyčleněná společnost za účelem poskytování ICT služeb společnostem skupiny Veolia Voda Česká republika 124 zaměstnanců (cca 50% z oboru IT nebo systémové integrace) Současné služby: • Poskytování ICT služeb především společnostem skupiny Veolia Voda • Projektové řízení a systémová integrace • Outsourcing IT infrastruktury • Řízení centrálních nákupů • Služby call center • Služby centrální fakturace

08/06/2012 4

Původní infrastrastruktura Veolia Voda ČR 10 oddělených společností – 6 významných lokalit • Praha, Teplice, Plzeň, Olomouc, Kladno, Hradec Králové

Mezi jednotlivými společnostmi nebyla žádná společná síť Celkový počet serverů: cca 300 Celkový počet stanic: cca 2500

08/06/2012 5

Motivace pro nasazení VM Skupina VE je kótovaná na americké burze a jako taková musí splňovat požadavky SOX (Sarbanes-Oxly Act) – sada standardů ustanovená po odhalení podvodů v účetnictví společností Enron, WorldCom a dalších

IT požadavky SOX vycházejí mimo jiné z ISMS (ISO/IEC 27000) a proto bylo rozhodnuto o nasazení ISMS do dvou největších společností • V průběhu realizace bylo však rozhodnuto o ukončení nasazení ISMS jako standardu a v

projektu zůstaly pouze jednotlivé oblasti vycházející z provedené analýzy rizik a kryjící se s požadavky SOX

Jedním z požadavků SOX je pravidelné provádění penetračních testů externím subjektem • V rámci původní infrastruktury si každá společnost najímala své dodavatele a neexistovaly

jednotné požadavky na provádění testů • Interní testování neprobíhalo vůbec

08/06/2012 6

Motivace pro nasazení VM Výběrové řízení na jednotné penetrační testy v r. 2008 • VŘ se soustředilo pouze na externí testy • Ve VŘ mimo dalších i RAC, který jako alternativu prezentoval nástroje Qualys

Myšlenka automatizovaných externích testů z Internetu, ale současně i interních testů pomocí lokální appliance zvítězila

• VŘ bylo následně změněno s cílem vybrat dodavatele automatizovaného nástroje pro podporu procesu řízení technických zranitelností

Výběr byl zúžen na řešení Qualys Guard a McAfee Foundstone

Vítězem řešení Qualys Guard (verze Express, licence pro 512 IP) pro jeho výsledky v provedených testech, celkově profesionální a přitom přehledné GUI a v neposlední řadě maximálně přehledné reporty

08/06/2012 7

Nasazení Qualys Guard VM Nasazení v prostředí VVČR mělo významná omezení • Verze Express dovoluje pouze 2 interní appliance – na 6 našich oddělených lokalit • Prakticky všechny sítě se překrývaly v IP segmentech 192.168.X.X

Řešením bylo vytvořit plán rotace appliancí po jednotlivých společnostech • Pro každou společnost ji bylo nutné vždy vymazat a z GUI odstranit reporty z minulých skenů,

aby nedocházelo k chybné analýze trendu vývoje zranitelností (pro stejné IP adresy v různých společnostech)

Pomoc RAC s nasazením • V prostorách VVČR proběhlo školení práce se systémem pro cca 10 IT správců • Školení proběhlo i k nastavení appliance pro její převážení • RAC dále zpracovala podrobnou směrnici „Řízení technických zranitelností“ • Během prvotního záběhu jsme využívali i support RAC, i když ne příliš často

08/06/2012 8

Nasazení Qualys Guard VM Přínosy v oblasti externích a interních testů

Externí penetrační testy se začaly provádět systematicky a jednotně • Testovalo se pracovníkem SaS (z ústředí – mimo jednotlivé společnosti) s maximálním důrazem

na blackbox testování • Fáze pasivního získávání informací

WHOIS, Google, DNS, WWW, apod. • Fáze aktivního získávání informací

Port skeny, bannery služeb, apod. • Fáze testování zranitelností

Analýza vlastních služeb, neinvazivní testování

Interní testy se začaly provádět • Nutnost rotace appliancí omezovala systematické nasazení • Trend nebyl sledován • Výsledkem tak byl pouze aktuální pohled na stav záplat na vybraných serverech v jeden

okamžik (například po dobu 1 měsíce)

08/06/2012 9

Nasazení v rámci MPLS V roce 2011 došlo k vybudování jednotné MPLS sítě a společného datového centra Vznikl centrální bod pro umístění Qualys Guard appliance Unikátní IP adresace umožňuje sledování trendů Počet serverů vzrostl na cca 380 (z toho v DC cca 10%)

08/06/2012 10

Finální nasazení Qualys Guard VM Vymazání celého účtu (IP adresy, skeny, reporty) Založení nových unikátních IP adres (Host Assets) Vytvoření skupin IP adres (Asset Groups) – jméno determinuje Společnost / Business riziko / Správce • PVK-C-JaNo (Pražské vodovody a kanalizace / Critical / Jan Novák)

Vytvoření uživatelských účtů pro jednotlivé správce • Licence Express dovoluje v základu maximálně 6 uživatelů, ale umožňuje si další dokoupit

Plán skenů • Externí testy se provádějí 1x za měsíc • Interní testy probíhají každých 5 dnů

Reporting • Každému jednotlivém správci chodí výsledky skenů jeho serverů emailem formou odkazu do GUI • K dispozici je Patch Report pro každou společnost (by Patch / by Host) • Každý IT manažer pak získává jednou za 2 měsíce report o stavu v jeho společnosti

Remediation modul • Zatím nevyužíváme

08/06/2012 11

Problémy při nasazení Qualys Guard VM Neochota správců • Problematické bylo překonat pocit, že se jim někdo „dívá pod pokličku“ • ... a následně je donutit dané servery opatchovat (zvláště pak perly s 30ti Critical

zranitelnostmi)

Práva skenovacího uživatele v OS Windows • Doporučení Qualys je zajistit práva skupiny Local Admins / Domain Admins • Nyní to tak máme, ale naším cílem je vytvořit minimální sadu nutných oprávnění pro efektivní

skenning • Možná by tuto sadu mohl dodat nebo pomoci poodkrýt přímo Qualys

Informace o autentifikaci skenovacího uživatele • Příklad: Došlo k úspěšnému přihlášení uživatele na testovaném stroji, ale uživatel nemá

dostatečná práva (je například pouze ve skupině Users) • V takovém případě sken vykazuje minimum zranitelností a výsledek se tváří na první pohled

jako „v pořádku“ • Zjistit, na kterých strojích je autentifikace v tomto stavu, při počtech v řádu několika set IP, je

nelehký úkol • Pomohl by komplexní Info QID, který by přímo poukazoval na to, že jsou nedostatečná práva

08/06/2012 12

Reálné výsledky

Jedna samostatná menší společnost (cca 40 serverů), ve které se podařilo významně snížit počet zranitelností – 100% hmatatelný výsledek nasazení Qualys

Velká společnost (90 serverů) – je znatelný snižující se trend po nasazení Qualys

Celkový trend za celou skupinu VVČR se také snižuje

08/06/2012 13

Děkuji za pozornost

08/06/2012 14

Vit Moravec Head of Project Management

Solutions and Services, a.s. Parizska 11, 110 00 Prague 1 phone: +420 222 321 648 email: vit.moravec@saservices.cz