Praktyczna interpretacja wymagań „Rekomendacji D” w odniesieniu do dostępnych na rynku produktów bezpieczeństwa IT Wykładowcy: dr inż. Mariusz Stawowski Bartosz.

Slides:



Advertisements
Podobne prezentacje
SQL INJECTION Wykorzystanie błędów w językach skryptowych
Advertisements

Narzędzia do zarządzania i monitorowania sieci
Ochrona infrastruktury wirtualnej
Bezpieczeństwo informatyczne Informatyka śledcza
Bezpieczeństwo aplikacji WWW
WYBRANE ASPEKTY BEZPIECZEŃSTWA DANYCH BANKOWYCH
BEZPIECZEŃSTWO DANYCH W KOMPUTERZE
1 Projekt System 7/24. Białystok, 9 lipiec 2007 System 7/24 - jako przykład współpracy BIZNES - SAMORZĄD Warszawa,
1 Unia Europejska a edukacja medialna Albert Woźniak Departament Polityki Europejskiej i Współpracy z Zagranicą
Norton AntiVirus.
Temat: Doświadczenie z wdrożenia usług elektronicznych w województwie podlaskim w latach na przykładzie Wojewódzkiego Centrum Zarządzania Siecią
Honorata Prokop, Izabela Ubowska
Proxy WWW cache Prowadzący: mgr Marek Kopel
Proxy (WWW cache) Sieci Komputerowe
Sieci komputerowe: Firewall
Czym jest ISA 2004 Microsoft Internet Security and Acceleration Server 2004 jest zaawansowaną zapora filtrującą ruch w warstwie aplikacji. Razem z zaporą.
Administracja zintegrowanych systemów zarządzania
Zarządzanie zmianami w systemie bezpieczeństwa - rozwiązania Check Point i partnerów OPSEC dr inż. Mariusz Stawowski
Bezpieczeństwo baz danych
Jak przeżyć w Internecie? Czyli o bezpieczeństwie słów kilka… Michał Jankowski MJ Software Solutions Services.
Nowoczesny system zarządzania firmą
Hybrydowy Kontroler NetAXS™
Modelowanie bezpieczeństwa infrastruktury IT na bazie doświadczeń z włamań i wykrytych podatności Prowadzący: Specjalista do sp. Informatyki Śledczej Maciej.
Agenda 1 Tailored Mobile Solutions S.A 2 Aplikacja TMS Finance 3
SurfSafe Polskie usługi bezpieczeństwa treści internetowych klasy operatorskiej Grzegorz Wróbel, Michał Przytulski.
GRC.
BEZPIECZEŃSTWO SIECI ZARZĄDZANIE © CLICO Sp. z o.o. Mechanizmy audytu i kontroli sieci w urządzeniach NGF Check Point. Piotr Motłoch CCSA, CCSE,
Wymiana integracja ? oprogramowania dr Danuta Kajrunajtys.
Sieciowe Systemy Operacyjne
7-8 listopada 2007 Central European Outsourcing Forum
Moduł: Informatyka w Zarządzaniu
Wirusy i robaki komputerowe
Podstawy teleinformatyki
Programy antywirusowe
1 Każdy obiekt jest scharakteryzowany poprzez: tożsamość – daje się jednoznacznie wyróżnić; stan; zachowanie. W analizie obiektowej podstawową strukturą
Tworzenie infrastruktury informacyjnej dla polskiego
Internetowego Biura Rachunkowego
Czym jest Internet Security for Android? To program oparty na nowoczesnych technologiach, zabezpieczających dowolne urządzenie z systemem Android™ przed.
Razem tworzymy bezpieczny Internet
OWASP + DevOps, kilka przydatnych narzędzi
Jak przeżyć w Internecie? Czyli o bezpieczeństwie słów kilka… Michał Jankowski MJ Software Solutions Services.
Bezpieczeństwo w sieci Internet
Unikanie zagrożeń w sieci
Andrzej Majkowski 1 informatyka +. 2 Bezpieczeństwo protokołu HTTP Paweł Perekietka.
Uprawnienia w Windows Server
Szkodliwe wirusy i oprogramowania
niezawodności Z problemem jakości systemów informacyjnych wiąże się problem zapewnienia odpowiedniej niezawodności ich działania.
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007 Grażyna Szydłowska.
Zagrożenia komputera w sieci
Zagrożenia i ochrona systemu komputerowego
Wdrożenie Foglight w Urzędzie Dozoru Technicznego
Kierunki rozwoju usług monitorowania Outsourcing stacji monitorowania Optymalizacja kosztów.
Moduł e-Kontroli Grzegorz Dziurla.
Temat: Jak działa antywirus? _________________________________________________________________________________________________________________ [ Przedmiot:
WYŻSZA SZKOŁA INFORMATYKI I ZARZĄDZANIA z siedzibą w Rzeszowie WYDZIAŁ INFORMATYKI STOSOWANEJ VPN TYPU KLIENT-SERWER, KONFIGURACJA NA MICROSOFT ISA 2006.
WYŻSZA SZKOŁA INFORMATYKI I ZARZĄDZANIA z siedzibą w Rzeszowie WYDZIAŁ INFORMATYKI STOSOWANEJ VPN TYPU KLIENT-SERWER, KONFIGURACJA NA MICROSOFT ISA 2006.
Informatyka Zakres rozszerzony Zebrał i opracował : Maciej Belcarz OPROGRAMOWANIE„ZŁOSLIWE”
Centralna Komisja Egzaminacyjna
Zintegrowany monitoring infrastruktury IT w Budimex
Bezpieczeństwo informacji Jak chronić nasze zasoby w komputerze? Jak zarchiwizować i skompresować pliki?
1 Praca w branży Information Security w Polsce, Europie, Azji i Ameryce Północnej, zarobki i możliwości rozwoju Krzysztof Piłka TeamQuest InfoTRAMS „Fusion.
Elementy przeglądarki internetowej Pasek menu Pasek kart Pasek adresowy Pasek wyszukiwania Okno z zawartością strony internetowej Zakładki (ulubione)
STAĆ CIĘ NA INNOWACJE Systemy Call Center Sp. z o.o.
Wspólny węzeł czyszczący w kontekście organizacyjnym i kosztowym
IV Konferencja Naukowo-Techniczna "Nowoczesne technologie w projektowaniu, budowie.
PROGRAMY DO KONTROLI RODZICIELSKIEJ
SIEĆ KOMPUTEROWA I SIEĆ INTERNET.
PROGRAMY DO KONTROLI RODZICIELSKIEJ
Zapis prezentacji:

Praktyczna interpretacja wymagań „Rekomendacji D” w odniesieniu do dostępnych na rynku produktów bezpieczeństwa IT Wykładowcy: dr inż. Mariusz Stawowski Bartosz Kryński Check Point Certified Security Expert Imperva Certified Security Engineer

Program seminarium 10:00 – 10:45 Praktyczna interpretacja wymagań "Rekomendacji D" w odniesieniu do dostępnych na rynku produktów bezpieczeństwa IT. 10:45 - 11:15 Kultura bezpieczeństwa informacji - dobre praktyki kształcenia pracowników z tematyki bezpieczeństwa IT. 11:15 - 12:00 Przerwa kawowa 12:00 - 12:30 Zabezpieczenia techniczne jako narzędzie rozwijania kultury bezpieczeństwa - rozwiązania Check Point. 12:30 - 13:30 Lunch 13:30 - 14:00 Ochrona baz danych i aplikacji Web w świetle nowych wymagań bezpieczeństwa polskich banków. 14:00 - 14:30 Monitorowanie i kontrola uprawnień użytkowników uprzywilejowanych - rozwiązania Imperva. 14:30 - 14:45 14:45 - 15:30 Zarządzanie podatnościami i incydentami w skali całego systemu teleinformatycznego - aspekty organizacyjne i technologiczne. 15:30 - 16:00 Q&A

Konieczność dokonania aktualizacji Rekomendacji (z 2002 r Konieczność dokonania aktualizacji Rekomendacji (z 2002 r.) wynika ze znacznego rozwoju technologicznego oraz systematycznego wzrostu znaczenia obszaru technologii informacyjnej dla działalności banków, jak również z pojawienia się nowych zagrożeń w tym zakresie. Zalecenia wejdą w życie z dniem 31 grudnia 2014 r.

Ewolucja zagrożenia IT

Przestępcy wykorzystują najsłabszy element bezpieczeństwa Większość incydentów i zagrożeń bezpieczeństwa jest skierowana na użytkowników Źródło: Raport "2010/2011 CSI Computer Crime and Security Survey", wykres "Types of Attacks Experienced - By Percent of Respondents"

Botnet rozwijane za pomocą różnych, zaawansowanych technik: Backdooring - złośliwy program "doklejony" do innej aplikacji, dystrybuowany za pomocą serwerów Web, Email, P2P, IM, itp. Spear Phishing - ataki socjotechniczne na określoną organizację lub grupę docelową, zwykle połączone z dystrybucją złośliwych programów. Watering Hole – ataki prowadzone z przejętych przez przestępców zaufanych serwisów Web, z których korzysta określona organizacja lub grupa docelowa.

Przestępcy wykorzystują najsłabszy element bezpieczeństwa Brak wiedzy i niska świadomość zagrożeń wśród użytkowników oraz brak adekwatnych zabezpieczeń technicznych

Brak zrozumienia potrzeb IT przez kierownictwo firmy Kierownictwo firmy oczekuje od IT zapewnienia bezpieczeństwa, ale nie akceptuje działań i wydatków IT, m.in.: brak zgodny na szkolenia „security awareness” dla pracowników brak zgody na ograniczenie przywilejów użytkowników brak zgody na zakup i wdrożenie nowych zabezpieczeń Źródło: Dimensional Research, "The risk of social engineering on information security", 2011.

Antywirus posiada ograniczone możliwości ochrony przed kodem typu Exploit, Bot i Trojan

URL Filtering blokuje dostęp do nie-zaufanych stron WWW

Przestępcy wykorzystują najsłabszy element bezpieczeństwa Koncepcja włamania metodą Drive-by Download

Przestępcy wykorzystują najsłabszy element bezpieczeństwa Koncepcja budowy i funkcjonowania Botnet C&C C&C regularnie zmienia oprogramowanie i konfigurację Bot-ów Infekcja komputerów za pomocą różnych technik Drive-by Download P2P, IM, email Komunikacja zainfekowanych komputerów (Bot-ów) z C&C jest zaszyfrowana

Przestępcy wykorzystują najsłabszy element bezpieczeństwa Koncepcja włamania poprzez portale społecznościowe Przykład: Koobface 1. Ludzie otrzymują wiadomości od znajomych z portali społecznościowych zawierające link do „ciekawej” strony Web. 2. Po wejściu na stronę Web wyświetlana jest informacja o konieczności aktualizacji Adobe Flash Player. W rzeczywistości instaluje się malware.

Duża aktywność przestępców w serwisach społecznościowych (Social Phishing)

Duża aktywność przestępców w serwisach społecznościowych (Social Phishing) Źródło: Dimensional Research, "The risk of social engineering on information security", 2011.

Rozwój zabezpieczeń IT

Nowe rozwiązania zabezpieczeń: Firewalle nowej generacji Aplikacyjne firewalle Web Firewalle baz danych Anti-Malware Sandbox Mobile Security WiFi Security Zarządzanie bezpieczeństwem: Incident Management SIEM NBAD Vulnerability Management Security Awareness Business Impact Analysis

Next-Generation Firewall (NGFW) Główne cechy NGFW: Firewall kontroluje aplikacje (np. P2P, Tor, Gmail, Facebook), a nie tylko numery portów. Firewall realizuje funkcje IPS. Firewall kontroluje aplikacje wykorzystujące tunelowanie, szyfrowanie (SSL), itp. Firewall korzysta z źródeł zewnętrznych (np. integracja z AD) w celu identyfikacji użytkowników.

Struktura URLe Parametry Cookie … Web Application Firewall (WAF) Główne cechy WAF: Dedykowane zabezpieczenia do ochrony aplikacji Web. System zabezpieczeń WAF bazuje w głównej mierze na automatycznie tworzonym i aktualizowanym profilu chronionej aplikacji Web. Tworzenie profilu ma na celu niezależne odwzorowanie oczekiwanych, poprawnych zachowań użytkowników przy dostępie do aplikacji/serwisu Web. Struktura URLe Parametry Cookie …

Web Application Firewall (WAF) WAF identyfikuje ataki w oparciu o zbudowany profil aplikacji (sygnatury IPS są uzupełniającą funkcją ochrony)

Web Application Firewall (WAF) Główne funkcje: Chronią aplikacje Web przed specyficznymi atakami jak SQL-Injection i Cross-Site Scripting, których nie wykrywają inne zabezpieczenia (IPS, itp.). Uniemożliwiają włamanie do aplikacji Web i umieszczenie w niej złośliwego kodu, który atakuje użytkowników aplikacji, tzw. Watering Hole. Skutecznie chronią przed atakami DoS poziomu aplikacji Web (m.in. zalewanie zapytaniami HTTP GET i HTTP POST)

Web Application Firewall (WAF) Technika ataku na aplikację Web WAF IPS Prosty XSS Reflected XSS Reflected z enkodowaniem znaków Prosty XSS Stored Kombinacje XSS Stored XSS Stored z enkodowanie znaków Prosty SQL-Injection SQL-Injection z kombinacją zapytania SQL Manipulacja parametru aplikacji Web Forceful Browsing Information Leakage   x Wyniki testów na stronie: http://www.clico.pl/edukacja/artykuly/web-ochrona

Web Application Firewall I. WAF jako dedykowana warstwa ochrony aplikacji Web Strategia rozwijana m.in. przez Imperva. Urządzenie Imperva SecureSphere w jednej platformie dostarcza dedykowane zabezpieczenia Web Application Firewall i Database Firewall. Całość zabezpieczeń aplikacji Web i baz danych zarządzana jest z dedykowanego tylko do tego celu systemu MX Management Server. Urządzenia mobilne Web Application Firewall Database Firewall Serwery Web Serwery aplikacji Internet Komputery przenośne Firewall, IPS, … Serwery BD Komputery stacjonarne

Web Application Firewall II. WAF jako zintegrowany element infrastruktury sieciowej Strategia rozwijana m.in. przez F5 Networks. Moduł Application Security Manager (ASM) dedykowany do ochrony aplikacji Web może działać na zintegrowanej platformie F5 BIG-IP. F5 BIG-IP zapewnia także zwiększenie wydajności, optymalizację i ochronę aplikacji przed awariami (load balancing), sprzętową obsługę operacji kryptograficznych (SSL offload), akcelerację Web oraz ochronę przed sieciowymi i aplikacyjnymi atakami D/DoS. Urządzenia mobilne Load balancing SSL Offload D/DoS Shield Web Application Firewall Serwery Web Serwery aplikacji Internet Komputery przenośne Firewall, IPS, … Serwery BD Komputery stacjonarne

Database Firewall (WAF) Precyzyjna kontrola dostępu do danych Dostęp do kolumny z danymi finansowymi Dozwolony użytkownik Dozwolone operacje na danych

Database Firewall (WAF) Główne funkcje: Monitoruje, kontroluje i precyzyjnie rozlicza dostęp do bazy danych. Blokuje przestępcom dostęp i możliwości manipulacji danych. Kontroluje, rozlicza i zapewnia legalnym użytkownikom dostęp do informacji zgodnie z uprawnieniami. Zarządzanie uprawnieniami użytkowników uprzywilejowanych.

Anti-Malware Sendbox Główne funkcje: Sandboxing - uruchomienie i analiza kodu w środowisku symulującym rzeczywisty komputer użytkownika Analiza działania kodu i identyfikacja niebezpiecznych zachowań, np.: połączenia sieciowe i protokoły C&C, zmiany plików systemowych i wpisów w rejestrach, pobieranie innego kodu z sieci, itp. SENDBOX

Interpretacja wymagań "Rekomendacji D" w odniesieniu do dostępnych produktów zabezpieczeń IT

Wszystkie banki powinny stosować się do rekomendacji Wszystkie banki powinny stosować się do rekomendacji. Biorąc jednak pod uwagę specyfikę zagadnień związanych z technologią i bezpieczeństwem środowiska teleinformatycznego oraz różnice w zakresie uwarunkowań, skali działalności oraz profili ryzyka banków, sposób realizacji tych rekomendacji i wskazanych w nich celów może być odmienny. Decyzje dotyczące zakresu i sposobu wprowadzenia wskazanych w Rekomendacji rozwiązań poprzedzone zostaną pogłębioną analizą i poparte będą stosowną argumentacją.

Firewall, NGFW 9.4. Firewall zewn. 9.5. Firewall wewn. 7.9. Firewall wewn. 9.6. IDS/IPS 12.1. Anty-wirus 9.15. 19.6. IDS, IPS 12.2. Data Leak Prevention 9.18. Inspekcja treści email Kontrola zapisu na nośniki SIEM, Monitor-owanie sieci 20.7. SIEM 9.2. Monitor sieci 9.29. 11.9. Rejestr dostępu uprzywil. 11.10. Rejestr zdarzeń Configuration Change Mgt. 7.11. Zarządzanie zmianami 9.11. Baza kopii konfiguracji 9.12. Rejestr dostępu uprzyw. Vulnerability Management 9.21. Pen-testy 9.25. Skaner podatności 18.7. Web Application Firewall, Database Firewall 8.7. Ochrona jakości danych 16.4. Bezpieczeństwo danych PCI-DSS 6.6. WAF Inne środki techniczne Auto-update, MDM 11.5. Zarządzanie uprawnieniami 11.7. Silne uwierzytelenianie NAC

Wirtualny ekspert bezpieczeństwa IT (…) Bank powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego oraz stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję (…) WebIT Wirtualny ekspert bezpieczeństwa IT

Program seminarium 10:00 – 10:45 Praktyczna interpretacja wymagań "Rekomendacji D" w odniesieniu do dostępnych na rynku produktów bezpieczeństwa IT. 10:45 - 11:15 Kultura bezpieczeństwa informacji - dobre praktyki kształcenia pracowników z tematyki bezpieczeństwa IT. 11:15 - 12:00 Przerwa kawowa 12:00 - 12:30 Zabezpieczenia techniczne jako narzędzie rozwijania kultury bezpieczeństwa - rozwiązania Check Point. 12:30 - 13:30 Lunch 13:30 - 14:00 Ochrona baz danych i aplikacji Web w świetle nowych wymagań bezpieczeństwa polskich banków. 14:00 - 14:30 Monitorowanie i kontrola uprawnień użytkowników uprzywilejowanych - rozwiązania Imperva. 14:30 - 14:45 14:45 - 15:30 Zarządzanie podatnościami i incydentami w skali całego systemu teleinformatycznego - aspekty organizacyjne i technologiczne. 15:30 - 16:00 Q&A

"Security Awareness" - szkolenia pracowników banków w świetle wymagań Komisji Nadzoru Finansowego

Program seminarium 10:00 – 10:45 Praktyczna interpretacja wymagań "Rekomendacji D" w odniesieniu do dostępnych na rynku produktów bezpieczeństwa IT. 10:45 - 11:15 Kultura bezpieczeństwa informacji - dobre praktyki kształcenia pracowników z tematyki bezpieczeństwa IT. 11:15 - 12:00 Przerwa kawowa 12:00 - 12:30 Zabezpieczenia techniczne jako narzędzie rozwijania kultury bezpieczeństwa - rozwiązania Check Point. 12:30 - 13:30 Lunch 13:30 - 14:00 Ochrona baz danych i aplikacji Web w świetle nowych wymagań bezpieczeństwa polskich banków. 14:00 - 14:30 Monitorowanie i kontrola uprawnień użytkowników uprzywilejowanych - rozwiązania Imperva. 14:30 - 14:45 14:45 - 15:30 Zarządzanie podatnościami i incydentami w skali całego systemu teleinformatycznego - aspekty organizacyjne i technologiczne. 15:30 - 16:00 Q&A