1. Москва, 7 июня 2012 года
Безопасность электронного
бизнеса: от пользователя
до виртуальной
инфраструктуры
Емельянников Михаил Юрьевич
Управляющий партнер
Консалтинговое агентство
«Емельянников, Попова и партнеры»
2. Дистанционное банковское
обслуживание
Предоставление банковских услуг
на основании распоряжения,
передаваемого клиентом по
каналам связи (без физического
присутствия в банке) с
использованием:
• компьютера (личного или
находящегося в общем
пользовании)
• планшета, коммуникатора,
смартфона
• телефона (голосом, путем ввода
данных по меню или передачи
СМС сообщения)
• банкомата, терминала, инфомата
www.securitycode.ru
2
3. Очевидные проблемы
• Идентификация (взаимная!)
• Аутентификация (взаимная!)
• Авторизация
• Подтверждение подлинности
действий клиента
• Защита от перехвата
информации
• Противодействие навязыванию
ложной информации (ложных
запросов)
www.securitycode.ru
3
4. Объекты атаки
• Информационная система
банка
• Канал связи
• Средства доступа
пользователя:
o контролируемое (банкомат,
платежный терминал,
инфомат)
o неконтролируемое
(принадлежащее
пользователю)
o доверенное устройство в
недоверенной среде
www.securitycode.ru
4
5. Атака на систему ДБО в банке
Снаружи
• атакуют от имени клиента
• преодолевают систему защиты
Изнутри
• обычный пользователь-
нарушитель или в сговоре с
ним
• привилегированный
пользователь
• администратор
www.securitycode.ru
5
6. Нейтрализация внешних атак
• Межсетевое экранирование
• Системы обнаружения/
предупреждения вторжений
• Системы защиты от
проникновения вредоносного
контента
• Ловушки для нарушителей,
использующих неизвестные
способы и методы атак
www.securitycode.ru
6
8. Ключевые возможности
Security Studio Honeypot Manager
Проактивное средство обнаружения
хакерских вторжений и НСД
к информации
• Имитация работы бизнес-приложений
• Регистрация попыток НСД к информации
• Уведомление о фактах НСД
• Отчеты об активности нарушителей
• Централизованное управление
www.securitycode.ru 8
9. Достоинства систем данного класса
Security Studio Honeypot Manager
Проактивное средство обнаружения
хакерских вторжений и НСД
к информации
• Низкое количество ложных срабатываний
• Обнаружение атаки по небольшому количеству данных
• Обнаружение новых типов атак
• Возможность понять цели, методы и средства
нарушителя
• Невысокие требования к обслуживанию
www.securitycode.ru 9
10. Уникальные особенности
Security Studio Honeypot Manager
Проактивное средство обнаружения
хакерских вторжений и НСД
к информации
• Единственное СОВ на основе имитации данных
• Высокая реалистичность имитации
• Возможность оценить реальный уровень угроз и
эффективность применения средств защиты
• Возможность интеграции с системой безопасности
• Наличие сертификата ФСТЭК (ТУ, НДВ-4, 1Г, К1)
www.securitycode.ru 10
11. Барьеры на пути нарушителя,
проникшего в сеть
• Сегментация и изоляция
• Усиленная взаимная
аутентификация пользователей
и оборудования
• Мандатное управление доступом
к защищаемым ресурсам
• Ограничение прав
привилегированных и супер-
пользователей
www.securitycode.ru 11
12. Безопасность виртуальной
инфраструктуры – vGate R2/S-R2
• Усиленная аутентификация администраторов виртуальной
инфраструктуры и администраторов информационной
безопасности
• Защита средств управления виртуальной инфраструктурой
и ESX-серверов от НСД
• Мандатное управление доступом
• Контроль целостности и доверенная загрузка ESX-серверов,
а также виртуальных машин
• Контроль целостности и защита от НСД компонентов СЗИ
• Контроль доступа администраторов ВИ к данным виртуальных
машин
• Регистрация событий, связанных с информационной
безопасностью
• Централизованное управление и мониторинг
www.securitycode.ru
12
13. Мандатное управление доступом
Security Officer
ESX-host
VM VM Storage
Administrator
LUN 1
VM VM
LUN 2
Administrator
LUN 3
LUN N
NIC NIC
www.securitycode.ru 13
14. Приведение в соответствие
Приведение инфраструктуры в соответствие с
требованиями и постоянный контроль соответствия
• VMware Security hardening Best Practice
• CIS VMware ESX Server 3.5 Benchmark
• PCI DSS
• СТО БР ИББС
• ФЗ-152
15. Сегментация и изоляция – TrustAccess
Распределенный межсетевой экран с
централизованным управлением - сертифицированная
защита сетевого доступа к информационным системам
Рабочие станции пользователей Администратор ИБ
Сервер Сервер управления
TrustAccess
www.securitycode.ru 15
17. Защита виртуальных машин
Виртуальная инфраструктура (серверы
TrustAccess виртуализации и серверы управления
защищает от )
сетевых атак как со стороны
внешних физических машин,
так и со стороны виртуальных
машин.
Виртуальные машины - серверы
Механизмы защиты
TrustAccess не чувствительны
к подмене MAC- или IP-
адресов.
Виртуальные рабочие места
www.securitycode.ru 17
18. Разграничение сетевого доступа
Устанавливается защищенное может не (IPSec
Аутентификация соединение
Аутентификации подвергается
Осуществляется проверка правил
На результат проверки правила
Аутентификация по протоколу
AH). Контролируется аутентичность но и
только субъект доступа, и целостность
можно назначитьна могут к
происходить как реакцию:
доступа. Правила уровне
Kerberos нечувствительна
трафика регистрация в журнале, от
защищаемый объект шифрования.
без применения (защита
оперировать широкимMiddle и
отдельного пользователя, так
угрозам Man in The набором
компьютера целиком
подмены сервера)
критериев (субъекты:
сигнализация,
компьютеры, пользователи,
группы; параметры соединения:
адреса, порты, протоколы т.п.).
?
Пользователь
Сервер управления
TrustAccess
www.securitycode.ru 18
19. Защита канала связи
АПКШ «Континент» + Защищенный
планшет «Континент Т-10»
(ОS Android) с интегрированными
средствами безопасности. 19
20. ДБО + BYOD
• СКЗИ Континент АП для iOS: программный VPN
клиент для устройств iPad
• СКЗИ Континент АП для Android: программный
VPN клиент для устройств смартфонов,
планшетов и коммуникаторов
www.securitycode.ru 20
21. Все сложное – чаще всего просто
Группа молодых хакеров, используя сначала вредоносную программу
Hodprot, а с 2011 года — Carberp, размещала их на различных сайтах
для незаметного проникновения и установки в компьютерах
пользователей. Всего были заражены минимум 1,6 млн. компьютеров.
www.securitycode.ru
21
23. Атаки на компьютер клиента –
дешево, просто, сердито!
Компьютер клиента:
• Предотвращение НСД:
пароль «123» (если есть вообще)
• Антивирус:
Он же жутко тормозит!
• Персональный межсетевой
экран: Чё?
• HIPS: Чё-чё???
www.securitycode.ru
23
24. Но и защита компьютера клиента –
дешево, просто, сердито
Security Studio Endpoint Protection
Administration Center - централизованное
развертывание и обновления Security Studio Endpoint
Protection и контроль за безопасностью сети
Персональный межсетевой экран
Антивирус и антишпион
Средство обнаружения вторжений (Модули
"Детектор атак" и "Локальная безопасность»)
Веб-контроль за работой интерактивных элементов,
встроенных в загружаемые веб-страницы
Антиспам
www.securitycode.ru