Praktyczna interpretacja wymagań „Rekomendacji D” w odniesieniu do dostępnych na rynku produktów bezpieczeństwa IT Wykładowcy: dr inż. Mariusz Stawowski Bartosz Kryński Check Point Certified Security Expert Imperva Certified Security Engineer
Program seminarium 10:00 – 10:45 Praktyczna interpretacja wymagań "Rekomendacji D" w odniesieniu do dostępnych na rynku produktów bezpieczeństwa IT. 10:45 - 11:15 Kultura bezpieczeństwa informacji - dobre praktyki kształcenia pracowników z tematyki bezpieczeństwa IT. 11:15 - 12:00 Przerwa kawowa 12:00 - 12:30 Zabezpieczenia techniczne jako narzędzie rozwijania kultury bezpieczeństwa - rozwiązania Check Point. 12:30 - 13:30 Lunch 13:30 - 14:00 Ochrona baz danych i aplikacji Web w świetle nowych wymagań bezpieczeństwa polskich banków. 14:00 - 14:30 Monitorowanie i kontrola uprawnień użytkowników uprzywilejowanych - rozwiązania Imperva. 14:30 - 14:45 14:45 - 15:30 Zarządzanie podatnościami i incydentami w skali całego systemu teleinformatycznego - aspekty organizacyjne i technologiczne. 15:30 - 16:00 Q&A
Konieczność dokonania aktualizacji Rekomendacji (z 2002 r Konieczność dokonania aktualizacji Rekomendacji (z 2002 r.) wynika ze znacznego rozwoju technologicznego oraz systematycznego wzrostu znaczenia obszaru technologii informacyjnej dla działalności banków, jak również z pojawienia się nowych zagrożeń w tym zakresie. Zalecenia wejdą w życie z dniem 31 grudnia 2014 r.
Ewolucja zagrożenia IT
Przestępcy wykorzystują najsłabszy element bezpieczeństwa Większość incydentów i zagrożeń bezpieczeństwa jest skierowana na użytkowników Źródło: Raport "2010/2011 CSI Computer Crime and Security Survey", wykres "Types of Attacks Experienced - By Percent of Respondents"
Botnet rozwijane za pomocą różnych, zaawansowanych technik: Backdooring - złośliwy program "doklejony" do innej aplikacji, dystrybuowany za pomocą serwerów Web, Email, P2P, IM, itp. Spear Phishing - ataki socjotechniczne na określoną organizację lub grupę docelową, zwykle połączone z dystrybucją złośliwych programów. Watering Hole – ataki prowadzone z przejętych przez przestępców zaufanych serwisów Web, z których korzysta określona organizacja lub grupa docelowa.
Przestępcy wykorzystują najsłabszy element bezpieczeństwa Brak wiedzy i niska świadomość zagrożeń wśród użytkowników oraz brak adekwatnych zabezpieczeń technicznych
Brak zrozumienia potrzeb IT przez kierownictwo firmy Kierownictwo firmy oczekuje od IT zapewnienia bezpieczeństwa, ale nie akceptuje działań i wydatków IT, m.in.: brak zgodny na szkolenia „security awareness” dla pracowników brak zgody na ograniczenie przywilejów użytkowników brak zgody na zakup i wdrożenie nowych zabezpieczeń Źródło: Dimensional Research, "The risk of social engineering on information security", 2011.
Antywirus posiada ograniczone możliwości ochrony przed kodem typu Exploit, Bot i Trojan
URL Filtering blokuje dostęp do nie-zaufanych stron WWW
Przestępcy wykorzystują najsłabszy element bezpieczeństwa Koncepcja włamania metodą Drive-by Download
Przestępcy wykorzystują najsłabszy element bezpieczeństwa Koncepcja budowy i funkcjonowania Botnet C&C C&C regularnie zmienia oprogramowanie i konfigurację Bot-ów Infekcja komputerów za pomocą różnych technik Drive-by Download P2P, IM, email Komunikacja zainfekowanych komputerów (Bot-ów) z C&C jest zaszyfrowana
Przestępcy wykorzystują najsłabszy element bezpieczeństwa Koncepcja włamania poprzez portale społecznościowe Przykład: Koobface 1. Ludzie otrzymują wiadomości od znajomych z portali społecznościowych zawierające link do „ciekawej” strony Web. 2. Po wejściu na stronę Web wyświetlana jest informacja o konieczności aktualizacji Adobe Flash Player. W rzeczywistości instaluje się malware.
Duża aktywność przestępców w serwisach społecznościowych (Social Phishing)
Duża aktywność przestępców w serwisach społecznościowych (Social Phishing) Źródło: Dimensional Research, "The risk of social engineering on information security", 2011.
Rozwój zabezpieczeń IT
Nowe rozwiązania zabezpieczeń: Firewalle nowej generacji Aplikacyjne firewalle Web Firewalle baz danych Anti-Malware Sandbox Mobile Security WiFi Security Zarządzanie bezpieczeństwem: Incident Management SIEM NBAD Vulnerability Management Security Awareness Business Impact Analysis
Next-Generation Firewall (NGFW) Główne cechy NGFW: Firewall kontroluje aplikacje (np. P2P, Tor, Gmail, Facebook), a nie tylko numery portów. Firewall realizuje funkcje IPS. Firewall kontroluje aplikacje wykorzystujące tunelowanie, szyfrowanie (SSL), itp. Firewall korzysta z źródeł zewnętrznych (np. integracja z AD) w celu identyfikacji użytkowników.
Struktura URLe Parametry Cookie … Web Application Firewall (WAF) Główne cechy WAF: Dedykowane zabezpieczenia do ochrony aplikacji Web. System zabezpieczeń WAF bazuje w głównej mierze na automatycznie tworzonym i aktualizowanym profilu chronionej aplikacji Web. Tworzenie profilu ma na celu niezależne odwzorowanie oczekiwanych, poprawnych zachowań użytkowników przy dostępie do aplikacji/serwisu Web. Struktura URLe Parametry Cookie …
Web Application Firewall (WAF) WAF identyfikuje ataki w oparciu o zbudowany profil aplikacji (sygnatury IPS są uzupełniającą funkcją ochrony)
Web Application Firewall (WAF) Główne funkcje: Chronią aplikacje Web przed specyficznymi atakami jak SQL-Injection i Cross-Site Scripting, których nie wykrywają inne zabezpieczenia (IPS, itp.). Uniemożliwiają włamanie do aplikacji Web i umieszczenie w niej złośliwego kodu, który atakuje użytkowników aplikacji, tzw. Watering Hole. Skutecznie chronią przed atakami DoS poziomu aplikacji Web (m.in. zalewanie zapytaniami HTTP GET i HTTP POST)
Web Application Firewall (WAF) Technika ataku na aplikację Web WAF IPS Prosty XSS Reflected XSS Reflected z enkodowaniem znaków Prosty XSS Stored Kombinacje XSS Stored XSS Stored z enkodowanie znaków Prosty SQL-Injection SQL-Injection z kombinacją zapytania SQL Manipulacja parametru aplikacji Web Forceful Browsing Information Leakage x Wyniki testów na stronie: http://www.clico.pl/edukacja/artykuly/web-ochrona
Web Application Firewall I. WAF jako dedykowana warstwa ochrony aplikacji Web Strategia rozwijana m.in. przez Imperva. Urządzenie Imperva SecureSphere w jednej platformie dostarcza dedykowane zabezpieczenia Web Application Firewall i Database Firewall. Całość zabezpieczeń aplikacji Web i baz danych zarządzana jest z dedykowanego tylko do tego celu systemu MX Management Server. Urządzenia mobilne Web Application Firewall Database Firewall Serwery Web Serwery aplikacji Internet Komputery przenośne Firewall, IPS, … Serwery BD Komputery stacjonarne
Web Application Firewall II. WAF jako zintegrowany element infrastruktury sieciowej Strategia rozwijana m.in. przez F5 Networks. Moduł Application Security Manager (ASM) dedykowany do ochrony aplikacji Web może działać na zintegrowanej platformie F5 BIG-IP. F5 BIG-IP zapewnia także zwiększenie wydajności, optymalizację i ochronę aplikacji przed awariami (load balancing), sprzętową obsługę operacji kryptograficznych (SSL offload), akcelerację Web oraz ochronę przed sieciowymi i aplikacyjnymi atakami D/DoS. Urządzenia mobilne Load balancing SSL Offload D/DoS Shield Web Application Firewall Serwery Web Serwery aplikacji Internet Komputery przenośne Firewall, IPS, … Serwery BD Komputery stacjonarne
Database Firewall (WAF) Precyzyjna kontrola dostępu do danych Dostęp do kolumny z danymi finansowymi Dozwolony użytkownik Dozwolone operacje na danych
Database Firewall (WAF) Główne funkcje: Monitoruje, kontroluje i precyzyjnie rozlicza dostęp do bazy danych. Blokuje przestępcom dostęp i możliwości manipulacji danych. Kontroluje, rozlicza i zapewnia legalnym użytkownikom dostęp do informacji zgodnie z uprawnieniami. Zarządzanie uprawnieniami użytkowników uprzywilejowanych.
Anti-Malware Sendbox Główne funkcje: Sandboxing - uruchomienie i analiza kodu w środowisku symulującym rzeczywisty komputer użytkownika Analiza działania kodu i identyfikacja niebezpiecznych zachowań, np.: połączenia sieciowe i protokoły C&C, zmiany plików systemowych i wpisów w rejestrach, pobieranie innego kodu z sieci, itp. SENDBOX
Interpretacja wymagań "Rekomendacji D" w odniesieniu do dostępnych produktów zabezpieczeń IT
Wszystkie banki powinny stosować się do rekomendacji Wszystkie banki powinny stosować się do rekomendacji. Biorąc jednak pod uwagę specyfikę zagadnień związanych z technologią i bezpieczeństwem środowiska teleinformatycznego oraz różnice w zakresie uwarunkowań, skali działalności oraz profili ryzyka banków, sposób realizacji tych rekomendacji i wskazanych w nich celów może być odmienny. Decyzje dotyczące zakresu i sposobu wprowadzenia wskazanych w Rekomendacji rozwiązań poprzedzone zostaną pogłębioną analizą i poparte będą stosowną argumentacją.
Firewall, NGFW 9.4. Firewall zewn. 9.5. Firewall wewn. 7.9. Firewall wewn. 9.6. IDS/IPS 12.1. Anty-wirus 9.15. 19.6. IDS, IPS 12.2. Data Leak Prevention 9.18. Inspekcja treści email Kontrola zapisu na nośniki SIEM, Monitor-owanie sieci 20.7. SIEM 9.2. Monitor sieci 9.29. 11.9. Rejestr dostępu uprzywil. 11.10. Rejestr zdarzeń Configuration Change Mgt. 7.11. Zarządzanie zmianami 9.11. Baza kopii konfiguracji 9.12. Rejestr dostępu uprzyw. Vulnerability Management 9.21. Pen-testy 9.25. Skaner podatności 18.7. Web Application Firewall, Database Firewall 8.7. Ochrona jakości danych 16.4. Bezpieczeństwo danych PCI-DSS 6.6. WAF Inne środki techniczne Auto-update, MDM 11.5. Zarządzanie uprawnieniami 11.7. Silne uwierzytelenianie NAC
Wirtualny ekspert bezpieczeństwa IT (…) Bank powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego oraz stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję (…) WebIT Wirtualny ekspert bezpieczeństwa IT
Program seminarium 10:00 – 10:45 Praktyczna interpretacja wymagań "Rekomendacji D" w odniesieniu do dostępnych na rynku produktów bezpieczeństwa IT. 10:45 - 11:15 Kultura bezpieczeństwa informacji - dobre praktyki kształcenia pracowników z tematyki bezpieczeństwa IT. 11:15 - 12:00 Przerwa kawowa 12:00 - 12:30 Zabezpieczenia techniczne jako narzędzie rozwijania kultury bezpieczeństwa - rozwiązania Check Point. 12:30 - 13:30 Lunch 13:30 - 14:00 Ochrona baz danych i aplikacji Web w świetle nowych wymagań bezpieczeństwa polskich banków. 14:00 - 14:30 Monitorowanie i kontrola uprawnień użytkowników uprzywilejowanych - rozwiązania Imperva. 14:30 - 14:45 14:45 - 15:30 Zarządzanie podatnościami i incydentami w skali całego systemu teleinformatycznego - aspekty organizacyjne i technologiczne. 15:30 - 16:00 Q&A
"Security Awareness" - szkolenia pracowników banków w świetle wymagań Komisji Nadzoru Finansowego
Program seminarium 10:00 – 10:45 Praktyczna interpretacja wymagań "Rekomendacji D" w odniesieniu do dostępnych na rynku produktów bezpieczeństwa IT. 10:45 - 11:15 Kultura bezpieczeństwa informacji - dobre praktyki kształcenia pracowników z tematyki bezpieczeństwa IT. 11:15 - 12:00 Przerwa kawowa 12:00 - 12:30 Zabezpieczenia techniczne jako narzędzie rozwijania kultury bezpieczeństwa - rozwiązania Check Point. 12:30 - 13:30 Lunch 13:30 - 14:00 Ochrona baz danych i aplikacji Web w świetle nowych wymagań bezpieczeństwa polskich banków. 14:00 - 14:30 Monitorowanie i kontrola uprawnień użytkowników uprzywilejowanych - rozwiązania Imperva. 14:30 - 14:45 14:45 - 15:30 Zarządzanie podatnościami i incydentami w skali całego systemu teleinformatycznego - aspekty organizacyjne i technologiczne. 15:30 - 16:00 Q&A