Hvordan håndteres patch-politik bedst muligt
Bent Kock (projektleder og IT Security ansvarlig)
Presentation title Date 1
Agenda slide
1
2
4
3
5
Hvordan håndteres patch-politik bedst muligt
Spørgsmål
Hvad er erfaringerne, og hvor langt er vi nået I dag
IT-afdelings patch-politik kan skabe bøvl I produktionen
Forskellige syn på vulnerability assessment og life cycle management
PowerPoint toolbox 2
• Hvad er vores erfaringer med udfordringerne i forbindelse med:
• Forskellige syn på vulnerability assessment og life cycle management
• Hvordan styrker vi denne proces og organisationen
• Hvem gør hvad
• IT-afdelings patch-politik kan skabe bøvl I produktionen
• Patch frekvens/Lukke vinduer
• Kompetencer/Ansvar/Resurser
Hvordan håndteres patch-politik bedst muligt
Presentation title Date 3
Agenda slide
1
2
4
3
5
Hvordan håndteres patch-politik bedst muligt
Spørgsmål
Hvad er erfaringerne, og hvor langt er vi nået I dag
IT-afdelings patch-politik kan skabe bøvl I produktionen
Forskellige syn på vulnerability assessment og life cyclemanagement
PowerPoint toolbox 4
• Historisk set har vi tænkt vulnerability =
• FW regler
• Password regler og review af Security log, manuel proces for applikationer
• Ekstern adgang og eksterne konsulenter
• WIFI
• Fysik beskyttelse af udstyr, primært servere/udstyr der indeholder data
• Backup
• AD/netværk
• M.m.
Forskellige syn på vulnerability assessment og life cycle management
Presentation title Date 5
• Hvor langt er vi i dag:• Vi er pt. I gang med at styrke vores infrastruktur med:
• Vulnerability scanning af FW trafik, netværks trafik
• Log management services
• Andre fælles services inden for IT Security
• RISK assessments i forbindelse med patch/projekter
• Vi er pt. I gang med at styrke vores Applikationer/Systemer (MES, PCS, SCADA, m.m.)• gennemføre IT Security assessments
• Patch management
• Monitorering
• Anti-Malware/Whitelisting
Forskellige syn på vulnerability assessment og life cycle management
Presentation title Date 6
Forskellige syn på vulnerability assessment og life cycle management
• Hvad har vi stadig ikke løst• De største udfordringer
• Proces på tværs af systemer
• Proces hvor vi har overblikket over alle kendte sårbarheder på et system
• Deling af kendte sårbarheder på tværs af afdelinger
• Aftaler med leverandøre omkring information når der erkendes en sårbarhed
• Afklaring af hvad ligger lokalt og hvad ligger centralt
Presentation title Date 7
• Asset LCM proces
• Sikre at alt HW/SW er supporteret
• Bedre planlægning for opgraderinger
• Sikre oppetid og minimere nedtiden ved nedbrud
• Strategi inputAsset LCM proces
Forskellige syn på vulnerability assessment oglife cycle management
8
Migrere CI lister til ny std. CI lister med LCM status og afrappotere LCM status via årlig konfig. review.
Udruldning I resten af området
Opdatere standarten (SOP) for CI (HW/SW) og konfig review. Med LCM info/status
“Job Training Plan” I nystandart
Afrappotere til ITC via mdr. system status.
Agenda slide
1
2
4
3
5
Hvordan håndteres patch-politik bedst muligt
Spørgsmål
Hvad er erfaringerne, og hvor langt er vi nået I dag
IT-afdelings patch-politik kan skabe bøvl I produktionen
Forskellige syn på vulnerability assessment og life cyclemanagement
PowerPoint toolbox 9
• Udfordringer omkring af patch i produktionen
• Patch frekvens/Lukke vinduer
• Kompetencer/Ansvar/Resurser
IT-afdelings patch-politik kan skabe bøvl I produktionen
Presentation title Date 10
IT-afdelings patch-politik kan skabe bøvl I produktionen
Presentation title Date 11
Administrativt netværk
Produktions netværk
Patch frekvens = mdr.
Patch frekvens ?
Fabrikschef
26/11/2014
DAPI DATA CENTER
SANSAN
SAN mirror
Hig
h a
va
ilab
ility
Domain controller
CITRIX
Citrix TS
VMWare
VM ESX Host
LMES
Oracle
DB & Report
Virtual Machines
VMWare
VM ESX Host
CITRIX
Citrix TS
Domain controller
LMES
Oracle
DB & Report
ePO SCOM
Citrix TS
SCCM
Backup System
Backup System
Oracle
SDK
Oracle
SDK
Slide no 12
IT-afdelings patch-politik kan skabe bøvl I produktionen
Infrastruktur patch.HW/SW = 2 X årlig
Fordele ved fælles services
HW patches i samarbejde med
leverandøren
SW. Microsoft = patch all, applikationer ud fra
leverandør anbefalinger/RISK
Presentation title Date 13
• Udgangspunkt er “patch all”
• ALLE systemer tages i betragtning
• DAPI IT Sec sikrer kvartalsvis vurdering af patch-lister
• Patchning udføres 1-2 gange årligt på ALLE systemer
• Fælles SOP:
• Beskriver proces
• Fælles årshjul med patch plan pr område, skal sikre at parter kan levere ressourcer for udrulning
• Lokale årshjul med patchplan på maskine niveau
IT-afdelings patch-politik kan skabe bøvl I produktionen
IT-afdelings patch-politik kan skabe bøvl I
produktionen
• De største udfordringer• Forståelse for hvorfor dette er
vigtig hos de produktions ansvarlige
• Hvem har ansvaret for at teste en patch
• Skilleflader mellem ejer af de enkelte systemer og deres afhængigheder
• Patch af programmer som eks.• SCADA
• PCS
• BMS
Presentation title Date 14
Agenda slide
1
2
4
3
5
Hvordan håndteres patch-politik bedst muligt
Spørgsmål
Hvad er erfaringerne, og hvor langt er vi nået I dag
IT-afdelings patch-politik kan skabe bøvl I produktionen
Forskellige syn på vulnerability assessment og life cyclemanagement
PowerPoint toolbox 15
Slide no 16
26/11/2014
Hvad er erfaringerne, og hvor langt er vi nået I dag
• Sikre Life Cycle overblik, så der prioriteres rigtigt• Starte dialog med leverandøren I god tid• Holde HW/SW opdateret hele tiden, små opgraderinger = lille RISK• Have Security kontroller til at sikre de systemer der ikke kan opgraderes
inden support udløber• Lave en infrastruktur og drift setup som nedbringer RISK og tid i forbindelse
med patch/opgraderinger• Finde en proces der gør os i stand til at afdække sårbarheder I vores
systemer:• F.eks. Kendte fejl I applikation:
• Som der ikke kendes en løsning på• som rettes med næste patch• Hvor vi selv skal rette I applikationen
Agenda slide
1
2
4
3
5
Hvordan håndteres patch-politik bedst muligt
Spørgsmål
Hvad er erfaringerne, og hvor langt er vi nået I dag
IT-afdelings patch-politik kan skabe bøvl I produktionen
Forskellige syn på vulnerability assessment og life cyclemanagement
PowerPoint toolbox 17
Slide no 18
26/11/2014
Spørgsmål