Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Емельянников_Безопасность электронного бизнеса

Download as PPT, PDF
Mikhail Emeliyannikov
Mikhail Emeliyannikov
1 of 26
Москва, 7 июня 2012 года Безопасность электронного бизнеса: от пользователя до виртуальной инфраструктуры Емельянников Михаил Юрьевич Управляющий партнер Консалтинговое агентство «Емельянников, Попова и партнеры»
Дистанционное банковское обслуживание Предоставление банковских услуг на основании распоряжения, передаваемого клиентом по каналам связи (без физического присутствия в банке) с использованием: • компьютера (личного или находящегося в общем пользовании) • планшета, коммуникатора, смартфона • телефона (голосом, путем ввода данных по меню или передачи СМС сообщения) • банкомата, терминала, инфомата www.securitycode.ru 2
Очевидные проблемы • Идентификация (взаимная!) • Аутентификация (взаимная!) • Авторизация • Подтверждение подлинности действий клиента • Защита от перехвата информации • Противодействие навязыванию ложной информации (ложных запросов) www.securitycode.ru 3
Объекты атаки • Информационная система банка • Канал связи • Средства доступа пользователя: o контролируемое (банкомат, платежный терминал, инфомат) o неконтролируемое (принадлежащее пользователю) o доверенное устройство в недоверенной среде www.securitycode.ru 4
Атака на систему ДБО в банке Снаружи • атакуют от имени клиента • преодолевают систему защиты Изнутри • обычный пользователь- нарушитель или в сговоре с ним • привилегированный пользователь • администратор www.securitycode.ru 5
Нейтрализация внешних атак • Межсетевое экранирование • Системы обнаружения/ предупреждения вторжений • Системы защиты от проникновения вредоносного контента • Ловушки для нарушителей, использующих неизвестные способы и методы атак www.securitycode.ru 6
Противодействие неизвестным атакам Security Studio Honeypot Manager www.securitycode.ru 7
Ключевые возможности Security Studio Honeypot Manager Проактивное средство обнаружения хакерских вторжений и НСД к информации • Имитация работы бизнес-приложений • Регистрация попыток НСД к информации • Уведомление о фактах НСД • Отчеты об активности нарушителей • Централизованное управление www.securitycode.ru 8
Достоинства систем данного класса Security Studio Honeypot Manager Проактивное средство обнаружения хакерских вторжений и НСД к информации • Низкое количество ложных срабатываний • Обнаружение атаки по небольшому количеству данных • Обнаружение новых типов атак • Возможность понять цели, методы и средства нарушителя • Невысокие требования к обслуживанию www.securitycode.ru 9
Уникальные особенности Security Studio Honeypot Manager Проактивное средство обнаружения хакерских вторжений и НСД к информации • Единственное СОВ на основе имитации данных • Высокая реалистичность имитации • Возможность оценить реальный уровень угроз и эффективность применения средств защиты • Возможность интеграции с системой безопасности • Наличие сертификата ФСТЭК (ТУ, НДВ-4, 1Г, К1) www.securitycode.ru 10
Барьеры на пути нарушителя, проникшего в сеть • Сегментация и изоляция • Усиленная взаимная аутентификация пользователей и оборудования • Мандатное управление доступом к защищаемым ресурсам • Ограничение прав привилегированных и супер- пользователей www.securitycode.ru 11
Безопасность виртуальной инфраструктуры – vGate R2/S-R2 • Усиленная аутентификация администраторов виртуальной инфраструктуры и администраторов информационной безопасности • Защита средств управления виртуальной инфраструктурой и ESX-серверов от НСД • Мандатное управление доступом • Контроль целостности и доверенная загрузка ESX-серверов, а также виртуальных машин • Контроль целостности и защита от НСД компонентов СЗИ • Контроль доступа администраторов ВИ к данным виртуальных машин • Регистрация событий, связанных с информационной безопасностью • Централизованное управление и мониторинг www.securitycode.ru 12
Мандатное управление доступом Security Officer ESX-host VM VM Storage Administrator LUN 1 VM VM LUN 2 Administrator LUN 3 LUN N NIC NIC www.securitycode.ru 13
Приведение в соответствие Приведение инфраструктуры в соответствие с требованиями и постоянный контроль соответствия • VMware Security hardening Best Practice • CIS VMware ESX Server 3.5 Benchmark • PCI DSS • СТО БР ИББС • ФЗ-152
Сегментация и изоляция – TrustAccess Распределенный межсетевой экран с централизованным управлением - сертифицированная защита сетевого доступа к информационным системам Рабочие станции пользователей Администратор ИБ Сервер Сервер управления TrustAccess www.securitycode.ru 15
TrustAccess: основные функции www.securitycode.ru 16
Защита виртуальных машин Виртуальная инфраструктура (серверы TrustAccess виртуализации и серверы управления защищает от ) сетевых атак как со стороны внешних физических машин, так и со стороны виртуальных машин. Виртуальные машины - серверы Механизмы защиты TrustAccess не чувствительны к подмене MAC- или IP- адресов. Виртуальные рабочие места www.securitycode.ru 17
Разграничение сетевого доступа Устанавливается защищенное может не (IPSec Аутентификация соединение Аутентификации подвергается Осуществляется проверка правил На результат проверки правила Аутентификация по протоколу AH). Контролируется аутентичность но и только субъект доступа, и целостность можно назначитьна могут к происходить как реакцию: доступа. Правила уровне Kerberos нечувствительна трафика регистрация в журнале, от защищаемый объект шифрования. без применения (защита оперировать широкимMiddle и отдельного пользователя, так угрозам Man in The набором компьютера целиком подмены сервера) критериев (субъекты: сигнализация, компьютеры, пользователи, группы; параметры соединения: адреса, порты, протоколы т.п.). ? Пользователь Сервер управления TrustAccess www.securitycode.ru 18
Защита канала связи АПКШ «Континент» + Защищенный планшет «Континент Т-10» (ОS Android) с интегрированными средствами безопасности. 19
ДБО + BYOD • СКЗИ Континент АП для iOS: программный VPN клиент для устройств iPad • СКЗИ Континент АП для Android: программный VPN клиент для устройств смартфонов, планшетов и коммуникаторов www.securitycode.ru 20
Все сложное – чаще всего просто Группа молодых хакеров, используя сначала вредоносную программу Hodprot, а с 2011 года — Carberp, размещала их на различных сайтах для незаметного проникновения и установки в компьютерах пользователей. Всего были заражены минимум 1,6 млн. компьютеров. www.securitycode.ru 21
Полтора миллиона клиентов банков не думали о безопасности. Своей. www.securitycode.ru 22
Атаки на компьютер клиента – дешево, просто, сердито! Компьютер клиента: • Предотвращение НСД: пароль «123» (если есть вообще) • Антивирус: Он же жутко тормозит! • Персональный межсетевой экран: Чё? • HIPS: Чё-чё??? www.securitycode.ru 23
Но и защита компьютера клиента – дешево, просто, сердито Security Studio Endpoint Protection Administration Center - централизованное развертывание и обновления Security Studio Endpoint Protection и контроль за безопасностью сети Персональный межсетевой экран Антивирус и антишпион Средство обнаружения вторжений (Модули "Детектор атак" и "Локальная безопасность») Веб-контроль за работой интерактивных элементов, встроенных в загружаемые веб-страницы Антиспам www.securitycode.ru
Универсальных таблеток нет. Но есть эшелонированная оборона www.securitycode.ru
Москва, 7 июня 2012 года СПАСИБО ЗА ВНИМАНИЕ! ВОПРОСЫ? М.Ю.Емельянников +7 (916) 659-3474 m.eme@mail.ru Управляющий партнер Консалтинговое агентство «Емельянников, Попова и партнеры» Компания «Код Безопасности» +7 (495) 980-2345 info@securitycode.ru www.securitycode.ru 26

More Related Content

Емельянников_Безопасность электронного бизнеса

  • 1. Москва, 7 июня 2012 года Безопасность электронного бизнеса: от пользователя до виртуальной инфраструктуры Емельянников Михаил Юрьевич Управляющий партнер Консалтинговое агентство «Емельянников, Попова и партнеры»
  • 2. Дистанционное банковское обслуживание Предоставление банковских услуг на основании распоряжения, передаваемого клиентом по каналам связи (без физического присутствия в банке) с использованием: • компьютера (личного или находящегося в общем пользовании) • планшета, коммуникатора, смартфона • телефона (голосом, путем ввода данных по меню или передачи СМС сообщения) • банкомата, терминала, инфомата www.securitycode.ru 2
  • 3. Очевидные проблемы • Идентификация (взаимная!) • Аутентификация (взаимная!) • Авторизация • Подтверждение подлинности действий клиента • Защита от перехвата информации • Противодействие навязыванию ложной информации (ложных запросов) www.securitycode.ru 3
  • 4. Объекты атаки • Информационная система банка • Канал связи • Средства доступа пользователя: o контролируемое (банкомат, платежный терминал, инфомат) o неконтролируемое (принадлежащее пользователю) o доверенное устройство в недоверенной среде www.securitycode.ru 4
  • 5. Атака на систему ДБО в банке Снаружи • атакуют от имени клиента • преодолевают систему защиты Изнутри • обычный пользователь- нарушитель или в сговоре с ним • привилегированный пользователь • администратор www.securitycode.ru 5
  • 6. Нейтрализация внешних атак • Межсетевое экранирование • Системы обнаружения/ предупреждения вторжений • Системы защиты от проникновения вредоносного контента • Ловушки для нарушителей, использующих неизвестные способы и методы атак www.securitycode.ru 6
  • 7. Противодействие неизвестным атакам Security Studio Honeypot Manager www.securitycode.ru 7
  • 8. Ключевые возможности Security Studio Honeypot Manager Проактивное средство обнаружения хакерских вторжений и НСД к информации • Имитация работы бизнес-приложений • Регистрация попыток НСД к информации • Уведомление о фактах НСД • Отчеты об активности нарушителей • Централизованное управление www.securitycode.ru 8
  • 9. Достоинства систем данного класса Security Studio Honeypot Manager Проактивное средство обнаружения хакерских вторжений и НСД к информации • Низкое количество ложных срабатываний • Обнаружение атаки по небольшому количеству данных • Обнаружение новых типов атак • Возможность понять цели, методы и средства нарушителя • Невысокие требования к обслуживанию www.securitycode.ru 9
  • 10. Уникальные особенности Security Studio Honeypot Manager Проактивное средство обнаружения хакерских вторжений и НСД к информации • Единственное СОВ на основе имитации данных • Высокая реалистичность имитации • Возможность оценить реальный уровень угроз и эффективность применения средств защиты • Возможность интеграции с системой безопасности • Наличие сертификата ФСТЭК (ТУ, НДВ-4, 1Г, К1) www.securitycode.ru 10
  • 11. Барьеры на пути нарушителя, проникшего в сеть • Сегментация и изоляция • Усиленная взаимная аутентификация пользователей и оборудования • Мандатное управление доступом к защищаемым ресурсам • Ограничение прав привилегированных и супер- пользователей www.securitycode.ru 11
  • 12. Безопасность виртуальной инфраструктуры – vGate R2/S-R2 • Усиленная аутентификация администраторов виртуальной инфраструктуры и администраторов информационной безопасности • Защита средств управления виртуальной инфраструктурой и ESX-серверов от НСД • Мандатное управление доступом • Контроль целостности и доверенная загрузка ESX-серверов, а также виртуальных машин • Контроль целостности и защита от НСД компонентов СЗИ • Контроль доступа администраторов ВИ к данным виртуальных машин • Регистрация событий, связанных с информационной безопасностью • Централизованное управление и мониторинг www.securitycode.ru 12
  • 13. Мандатное управление доступом Security Officer ESX-host VM VM Storage Administrator LUN 1 VM VM LUN 2 Administrator LUN 3 LUN N NIC NIC www.securitycode.ru 13
  • 14. Приведение в соответствие Приведение инфраструктуры в соответствие с требованиями и постоянный контроль соответствия • VMware Security hardening Best Practice • CIS VMware ESX Server 3.5 Benchmark • PCI DSS • СТО БР ИББС • ФЗ-152
  • 15. Сегментация и изоляция – TrustAccess Распределенный межсетевой экран с централизованным управлением - сертифицированная защита сетевого доступа к информационным системам Рабочие станции пользователей Администратор ИБ Сервер Сервер управления TrustAccess www.securitycode.ru 15
  • 17. Защита виртуальных машин Виртуальная инфраструктура (серверы TrustAccess виртуализации и серверы управления защищает от ) сетевых атак как со стороны внешних физических машин, так и со стороны виртуальных машин. Виртуальные машины - серверы Механизмы защиты TrustAccess не чувствительны к подмене MAC- или IP- адресов. Виртуальные рабочие места www.securitycode.ru 17
  • 18. Разграничение сетевого доступа Устанавливается защищенное может не (IPSec Аутентификация соединение Аутентификации подвергается Осуществляется проверка правил На результат проверки правила Аутентификация по протоколу AH). Контролируется аутентичность но и только субъект доступа, и целостность можно назначитьна могут к происходить как реакцию: доступа. Правила уровне Kerberos нечувствительна трафика регистрация в журнале, от защищаемый объект шифрования. без применения (защита оперировать широкимMiddle и отдельного пользователя, так угрозам Man in The набором компьютера целиком подмены сервера) критериев (субъекты: сигнализация, компьютеры, пользователи, группы; параметры соединения: адреса, порты, протоколы т.п.). ? Пользователь Сервер управления TrustAccess www.securitycode.ru 18
  • 19. Защита канала связи АПКШ «Континент» + Защищенный планшет «Континент Т-10» (ОS Android) с интегрированными средствами безопасности. 19
  • 20. ДБО + BYOD • СКЗИ Континент АП для iOS: программный VPN клиент для устройств iPad • СКЗИ Континент АП для Android: программный VPN клиент для устройств смартфонов, планшетов и коммуникаторов www.securitycode.ru 20
  • 21. Все сложное – чаще всего просто Группа молодых хакеров, используя сначала вредоносную программу Hodprot, а с 2011 года — Carberp, размещала их на различных сайтах для незаметного проникновения и установки в компьютерах пользователей. Всего были заражены минимум 1,6 млн. компьютеров. www.securitycode.ru 21
  • 22. Полтора миллиона клиентов банков не думали о безопасности. Своей. www.securitycode.ru 22
  • 23. Атаки на компьютер клиента – дешево, просто, сердито! Компьютер клиента: • Предотвращение НСД: пароль «123» (если есть вообще) • Антивирус: Он же жутко тормозит! • Персональный межсетевой экран: Чё? • HIPS: Чё-чё??? www.securitycode.ru 23
  • 24. Но и защита компьютера клиента – дешево, просто, сердито Security Studio Endpoint Protection Administration Center - централизованное развертывание и обновления Security Studio Endpoint Protection и контроль за безопасностью сети Персональный межсетевой экран Антивирус и антишпион Средство обнаружения вторжений (Модули "Детектор атак" и "Локальная безопасность») Веб-контроль за работой интерактивных элементов, встроенных в загружаемые веб-страницы Антиспам www.securitycode.ru
  • 25. Универсальных таблеток нет. Но есть эшелонированная оборона www.securitycode.ru
  • 26. Москва, 7 июня 2012 года СПАСИБО ЗА ВНИМАНИЕ! ВОПРОСЫ? М.Ю.Емельянников +7 (916) 659-3474 m.eme@mail.ru Управляющий партнер Консалтинговое агентство «Емельянников, Попова и партнеры» Компания «Код Безопасности» +7 (495) 980-2345 info@securitycode.ru www.securitycode.ru 26