Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Praktyczna interpretacja wymagań „Rekomendacji D” w odniesieniu do dostępnych na rynku produktów bezpieczeństwa IT Wykładowcy: dr inż. Mariusz Stawowski Bartosz.

OpublikowałBłażej Wiśniewski Został zmieniony 5 lat temu

Podobne prezentacje

Prezentacja na temat: "Praktyczna interpretacja wymagań „Rekomendacji D” w odniesieniu do dostępnych na rynku produktów bezpieczeństwa IT Wykładowcy: dr inż. Mariusz Stawowski Bartosz."— Zapis prezentacji:

1 Praktyczna interpretacja wymagań „Rekomendacji D” w odniesieniu do dostępnych na rynku produktów bezpieczeństwa IT Wykładowcy: dr inż. Mariusz Stawowski Bartosz Kryński Check Point Certified Security Expert Imperva Certified Security Engineer

2 Program seminarium 10:00 – 10:45
Praktyczna interpretacja wymagań "Rekomendacji D" w odniesieniu do dostępnych na rynku produktów bezpieczeństwa IT. 10: :15 Kultura bezpieczeństwa informacji - dobre praktyki kształcenia pracowników z tematyki bezpieczeństwa IT. 11: :00 Przerwa kawowa 12: :30 Zabezpieczenia techniczne jako narzędzie rozwijania kultury bezpieczeństwa - rozwiązania Check Point. 12: :30 Lunch 13: :00 Ochrona baz danych i aplikacji Web w świetle nowych wymagań bezpieczeństwa polskich banków. 14: :30 Monitorowanie i kontrola uprawnień użytkowników uprzywilejowanych - rozwiązania Imperva. 14: :45 14: :30 Zarządzanie podatnościami i incydentami w skali całego systemu teleinformatycznego - aspekty organizacyjne i technologiczne. 15: :00 Q&A

3 Konieczność dokonania aktualizacji Rekomendacji (z 2002 r
Konieczność dokonania aktualizacji Rekomendacji (z 2002 r.) wynika ze znacznego rozwoju technologicznego oraz systematycznego wzrostu znaczenia obszaru technologii informacyjnej dla działalności banków, jak również z pojawienia się nowych zagrożeń w tym zakresie. Zalecenia wejdą w życie z dniem 31 grudnia 2014 r.

4 Ewolucja zagrożenia IT

5 Przestępcy wykorzystują najsłabszy element bezpieczeństwa
Większość incydentów i zagrożeń bezpieczeństwa jest skierowana na użytkowników Źródło: Raport "2010/2011 CSI Computer Crime and Security Survey", wykres "Types of Attacks Experienced - By Percent of Respondents"

6 Botnet rozwijane za pomocą różnych, zaawansowanych technik:
Backdooring - złośliwy program "doklejony" do innej aplikacji, dystrybuowany za pomocą serwerów Web, , P2P, IM, itp. Spear Phishing - ataki socjotechniczne na określoną organizację lub grupę docelową, zwykle połączone z dystrybucją złośliwych programów. Watering Hole – ataki prowadzone z przejętych przez przestępców zaufanych serwisów Web, z których korzysta określona organizacja lub grupa docelowa.

7 Przestępcy wykorzystują najsłabszy element bezpieczeństwa
Brak wiedzy i niska świadomość zagrożeń wśród użytkowników oraz brak adekwatnych zabezpieczeń technicznych

8 Brak zrozumienia potrzeb IT przez kierownictwo firmy
Kierownictwo firmy oczekuje od IT zapewnienia bezpieczeństwa, ale nie akceptuje działań i wydatków IT, m.in.: brak zgodny na szkolenia „security awareness” dla pracowników brak zgody na ograniczenie przywilejów użytkowników brak zgody na zakup i wdrożenie nowych zabezpieczeń Źródło: Dimensional Research, "The risk of social engineering on information security", 2011.

9 Antywirus posiada ograniczone możliwości ochrony przed kodem typu Exploit, Bot i Trojan

10 URL Filtering blokuje dostęp do nie-zaufanych stron WWW

11 Przestępcy wykorzystują najsłabszy element bezpieczeństwa
Koncepcja włamania metodą Drive-by Download

12 Przestępcy wykorzystują najsłabszy element bezpieczeństwa
Koncepcja budowy i funkcjonowania Botnet C&C C&C regularnie zmienia oprogramowanie i konfigurację Bot-ów Infekcja komputerów za pomocą różnych technik Drive-by Download P2P, IM, Komunikacja zainfekowanych komputerów (Bot-ów) z C&C jest zaszyfrowana

13 Przestępcy wykorzystują najsłabszy element bezpieczeństwa
Koncepcja włamania poprzez portale społecznościowe Przykład: Koobface 1. Ludzie otrzymują wiadomości od znajomych z portali społecznościowych zawierające link do „ciekawej” strony Web. 2. Po wejściu na stronę Web wyświetlana jest informacja o konieczności aktualizacji Adobe Flash Player. W rzeczywistości instaluje się malware.

14 Duża aktywność przestępców w serwisach społecznościowych (Social Phishing)

15 Duża aktywność przestępców w serwisach społecznościowych (Social Phishing)
Źródło: Dimensional Research, "The risk of social engineering on information security", 2011.

16 Rozwój zabezpieczeń IT

17 Nowe rozwiązania zabezpieczeń: Firewalle nowej generacji
Aplikacyjne firewalle Web Firewalle baz danych Anti-Malware Sandbox Mobile Security WiFi Security Zarządzanie bezpieczeństwem: Incident Management SIEM NBAD Vulnerability Management Security Awareness Business Impact Analysis

18 Next-Generation Firewall (NGFW)
Główne cechy NGFW: Firewall kontroluje aplikacje (np. P2P, Tor, Gmail, Facebook), a nie tylko numery portów. Firewall realizuje funkcje IPS. Firewall kontroluje aplikacje wykorzystujące tunelowanie, szyfrowanie (SSL), itp. Firewall korzysta z źródeł zewnętrznych (np. integracja z AD) w celu identyfikacji użytkowników.

19 Struktura URLe Parametry Cookie … Web Application Firewall (WAF)
Główne cechy WAF: Dedykowane zabezpieczenia do ochrony aplikacji Web. System zabezpieczeń WAF bazuje w głównej mierze na automatycznie tworzonym i aktualizowanym profilu chronionej aplikacji Web. Tworzenie profilu ma na celu niezależne odwzorowanie oczekiwanych, poprawnych zachowań użytkowników przy dostępie do aplikacji/serwisu Web. Struktura URLe Parametry Cookie

20 Web Application Firewall (WAF)
WAF identyfikuje ataki w oparciu o zbudowany profil aplikacji (sygnatury IPS są uzupełniającą funkcją ochrony)

21 Web Application Firewall (WAF)
Główne funkcje: Chronią aplikacje Web przed specyficznymi atakami jak SQL-Injection i Cross-Site Scripting, których nie wykrywają inne zabezpieczenia (IPS, itp.). Uniemożliwiają włamanie do aplikacji Web i umieszczenie w niej złośliwego kodu, który atakuje użytkowników aplikacji, tzw. Watering Hole. Skutecznie chronią przed atakami DoS poziomu aplikacji Web (m.in. zalewanie zapytaniami HTTP GET i HTTP POST)

22 Web Application Firewall (WAF)
Technika ataku na aplikację Web WAF IPS Prosty XSS Reflected XSS Reflected z enkodowaniem znaków Prosty XSS Stored Kombinacje XSS Stored XSS Stored z enkodowanie znaków Prosty SQL-Injection SQL-Injection z kombinacją zapytania SQL Manipulacja parametru aplikacji Web Forceful Browsing Information Leakage x Wyniki testów na stronie:

23 Web Application Firewall
I. WAF jako dedykowana warstwa ochrony aplikacji Web Strategia rozwijana m.in. przez Imperva. Urządzenie Imperva SecureSphere w jednej platformie dostarcza dedykowane zabezpieczenia Web Application Firewall i Database Firewall. Całość zabezpieczeń aplikacji Web i baz danych zarządzana jest z dedykowanego tylko do tego celu systemu MX Management Server. Urządzenia mobilne Web Application Firewall Database Firewall Serwery Web Serwery aplikacji Internet Komputery przenośne Firewall, IPS, … Serwery BD Komputery stacjonarne

24 Web Application Firewall
II. WAF jako zintegrowany element infrastruktury sieciowej Strategia rozwijana m.in. przez F5 Networks. Moduł Application Security Manager (ASM) dedykowany do ochrony aplikacji Web może działać na zintegrowanej platformie F5 BIG-IP. F5 BIG-IP zapewnia także zwiększenie wydajności, optymalizację i ochronę aplikacji przed awariami (load balancing), sprzętową obsługę operacji kryptograficznych (SSL offload), akcelerację Web oraz ochronę przed sieciowymi i aplikacyjnymi atakami D/DoS. Urządzenia mobilne Load balancing SSL Offload D/DoS Shield Web Application Firewall Serwery Web Serwery aplikacji Internet Komputery przenośne Firewall, IPS, … Serwery BD Komputery stacjonarne

25 Database Firewall (WAF)
Precyzyjna kontrola dostępu do danych Dostęp do kolumny z danymi finansowymi Dozwolony użytkownik Dozwolone operacje na danych

26 Database Firewall (WAF)
Główne funkcje: Monitoruje, kontroluje i precyzyjnie rozlicza dostęp do bazy danych. Blokuje przestępcom dostęp i możliwości manipulacji danych. Kontroluje, rozlicza i zapewnia legalnym użytkownikom dostęp do informacji zgodnie z uprawnieniami. Zarządzanie uprawnieniami użytkowników uprzywilejowanych.

27 Anti-Malware Sendbox Główne funkcje:
Sandboxing - uruchomienie i analiza kodu w środowisku symulującym rzeczywisty komputer użytkownika Analiza działania kodu i identyfikacja niebezpiecznych zachowań, np.: połączenia sieciowe i protokoły C&C, zmiany plików systemowych i wpisów w rejestrach, pobieranie innego kodu z sieci, itp. SENDBOX

28 Interpretacja wymagań "Rekomendacji D" w odniesieniu do dostępnych produktów zabezpieczeń IT

29 Wszystkie banki powinny stosować się do rekomendacji
Wszystkie banki powinny stosować się do rekomendacji. Biorąc jednak pod uwagę specyfikę zagadnień związanych z technologią i bezpieczeństwem środowiska teleinformatycznego oraz różnice w zakresie uwarunkowań, skali działalności oraz profili ryzyka banków, sposób realizacji tych rekomendacji i wskazanych w nich celów może być odmienny. Decyzje dotyczące zakresu i sposobu wprowadzenia wskazanych w Rekomendacji rozwiązań poprzedzone zostaną pogłębioną analizą i poparte będą stosowną argumentacją.

30 Firewall, NGFW 9.4. Firewall zewn. 9.5. Firewall wewn. 7.9. Firewall wewn. 9.6. IDS/IPS 12.1. Anty-wirus 9.15. 19.6. IDS, IPS 12.2. Data Leak Prevention 9.18. Inspekcja treści Kontrola zapisu na nośniki SIEM, Monitor-owanie sieci 20.7. SIEM 9.2. Monitor sieci 9.29. 11.9. Rejestr dostępu uprzywil. 11.10. Rejestr zdarzeń Configuration Change Mgt. 7.11. Zarządzanie zmianami 9.11. Baza kopii konfiguracji 9.12. Rejestr dostępu uprzyw. Vulnerability Management 9.21. Pen-testy 9.25. Skaner podatności 18.7. Web Application Firewall, Database Firewall 8.7. Ochrona jakości danych 16.4. Bezpieczeństwo danych PCI-DSS 6.6. WAF Inne środki techniczne Auto-update, MDM 11.5. Zarządzanie uprawnieniami 11.7. Silne uwierzytelenianie NAC

31

32 Wirtualny ekspert bezpieczeństwa IT
(…) Bank powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego oraz stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję (…) WebIT Wirtualny ekspert bezpieczeństwa IT

33 Program seminarium 10:00 – 10:45
Praktyczna interpretacja wymagań "Rekomendacji D" w odniesieniu do dostępnych na rynku produktów bezpieczeństwa IT. 10: :15 Kultura bezpieczeństwa informacji - dobre praktyki kształcenia pracowników z tematyki bezpieczeństwa IT. 11: :00 Przerwa kawowa 12: :30 Zabezpieczenia techniczne jako narzędzie rozwijania kultury bezpieczeństwa - rozwiązania Check Point. 12: :30 Lunch 13: :00 Ochrona baz danych i aplikacji Web w świetle nowych wymagań bezpieczeństwa polskich banków. 14: :30 Monitorowanie i kontrola uprawnień użytkowników uprzywilejowanych - rozwiązania Imperva. 14: :45 14: :30 Zarządzanie podatnościami i incydentami w skali całego systemu teleinformatycznego - aspekty organizacyjne i technologiczne. 15: :00 Q&A

34 "Security Awareness" - szkolenia pracowników banków w świetle wymagań Komisji Nadzoru Finansowego

35

36

37

38

39

40

41 Program seminarium 10:00 – 10:45
Praktyczna interpretacja wymagań "Rekomendacji D" w odniesieniu do dostępnych na rynku produktów bezpieczeństwa IT. 10: :15 Kultura bezpieczeństwa informacji - dobre praktyki kształcenia pracowników z tematyki bezpieczeństwa IT. 11: :00 Przerwa kawowa 12: :30 Zabezpieczenia techniczne jako narzędzie rozwijania kultury bezpieczeństwa - rozwiązania Check Point. 12: :30 Lunch 13: :00 Ochrona baz danych i aplikacji Web w świetle nowych wymagań bezpieczeństwa polskich banków. 14: :30 Monitorowanie i kontrola uprawnień użytkowników uprzywilejowanych - rozwiązania Imperva. 14: :45 14: :30 Zarządzanie podatnościami i incydentami w skali całego systemu teleinformatycznego - aspekty organizacyjne i technologiczne. 15: :00 Q&A

Pobierz ppt "Praktyczna interpretacja wymagań „Rekomendacji D” w odniesieniu do dostępnych na rynku produktów bezpieczeństwa IT Wykładowcy: dr inż. Mariusz Stawowski Bartosz."

Podobne prezentacje

SQL INJECTION Wykorzystanie błędów w językach skryptowych

SQL INJECTION Wykorzystanie błędów w językach skryptowych
Narzędzia do zarządzania i monitorowania sieci

Narzędzia do zarządzania i monitorowania sieci
Ochrona infrastruktury wirtualnej

Ochrona infrastruktury wirtualnej
Bezpieczeństwo informatyczne Informatyka śledcza

Bezpieczeństwo informatyczne Informatyka śledcza
Bezpieczeństwo aplikacji WWW

Bezpieczeństwo aplikacji WWW
WYBRANE ASPEKTY BEZPIECZEŃSTWA DANYCH BANKOWYCH

WYBRANE ASPEKTY BEZPIECZEŃSTWA DANYCH BANKOWYCH
BEZPIECZEŃSTWO DANYCH W KOMPUTERZE

BEZPIECZEŃSTWO DANYCH W KOMPUTERZE
1 Projekt System 7/24. Białystok, 9 lipiec 2007 System 7/24 - jako przykład współpracy BIZNES - SAMORZĄD Warszawa, 7.12.2007.

1 Projekt System 7/24. Białystok, 9 lipiec 2007 System 7/24 - jako przykład współpracy BIZNES - SAMORZĄD Warszawa,
1 Unia Europejska a edukacja medialna Albert Woźniak Departament Polityki Europejskiej i Współpracy z Zagranicą

1 Unia Europejska a edukacja medialna Albert Woźniak Departament Polityki Europejskiej i Współpracy z Zagranicą
Norton AntiVirus.

Norton AntiVirus.
Temat: Doświadczenie z wdrożenia usług elektronicznych w województwie podlaskim w latach 2004-2006 na przykładzie Wojewódzkiego Centrum Zarządzania Siecią

Temat: Doświadczenie z wdrożenia usług elektronicznych w województwie podlaskim w latach na przykładzie Wojewódzkiego Centrum Zarządzania Siecią
Honorata Prokop, Izabela Ubowska

Honorata Prokop, Izabela Ubowska
Proxy WWW cache Prowadzący: mgr Marek Kopel

Proxy WWW cache Prowadzący: mgr Marek Kopel
Proxy (WWW cache) Sieci Komputerowe

Proxy (WWW cache) Sieci Komputerowe
Sieci komputerowe: Firewall

Sieci komputerowe: Firewall
Czym jest ISA 2004 Microsoft Internet Security and Acceleration Server 2004 jest zaawansowaną zapora filtrującą ruch w warstwie aplikacji. Razem z zaporą.

Czym jest ISA 2004 Microsoft Internet Security and Acceleration Server 2004 jest zaawansowaną zapora filtrującą ruch w warstwie aplikacji. Razem z zaporą.
Administracja zintegrowanych systemów zarządzania

Administracja zintegrowanych systemów zarządzania
Zarządzanie zmianami w systemie bezpieczeństwa - rozwiązania Check Point i partnerów OPSEC dr inż. Mariusz Stawowski mariusz.stawowski@clico.pl.

Zarządzanie zmianami w systemie bezpieczeństwa - rozwiązania Check Point i partnerów OPSEC dr inż. Mariusz Stawowski
Bezpieczeństwo baz danych

Bezpieczeństwo baz danych
Jak przeżyć w Internecie? Czyli o bezpieczeństwie słów kilka… Michał Jankowski MJ Software Solutions Services.

Jak przeżyć w Internecie? Czyli o bezpieczeństwie słów kilka… Michał Jankowski MJ Software Solutions Services.

Podobne prezentacje

Reklamy Google