Tradycja i nowoczesność – bankowość spółdzielcza. Szczyrk, 16 listopada 2006 r. Rozwój teleinformatyczny Rozwój teleinformatyczny – – wyzwania i ryzyka wyzwania i ryzyka Piotr Wróbel Asseco Poland S.A.
Jan 21, 2016
Tradycja i nowoczesność – bankowość spółdzielcza.
Szczyrk, 16 listopada 2006 r.
Rozwój teleinformatyczny Rozwój teleinformatyczny – – wyzwania i wyzwania i ryzykaryzyka
Piotr Wróbel Asseco Poland S.A.
Agenda
Wprowadzenie – zasoby teleinformatyczne Zjawiska i trendy Ryzyka i metody przeciwdziałania Podsumowanie
Środowisko IT – zakres
I N F
O R
M A
C J
A
Środowisko IT - cechy Funkcjonalne
Mobilność - praca poprzez sieć Heterogeniczność struktury – sprzęt/systemu
operacyjne/aplikacje Złożoność – brak pewności co do jakości funkcjonowania IT Zróżnicowanie produktowe - podobne funkcjonalności w
różnych obszarach IT
Organizacyjne Niedoinwestowanie – braki funkcjonalne w wielu obszarach IT Marnotrawstwo zasobów – zakupione produkty nie są
wystarczająco wykorzystane Sprawność „na dziś” – brak spójnej polityki serwisowej,
ciągłości działania i reagowania w sytuacji kryzysowej
Środowisko IT – postępujące zjawiska Postępująca unifikacja protokołów – http/https, IPSec
Centralizacja aplikacji/systemów – tworzenie centrów przetwarzania danych
2w1 – łączenie wielu funkcjonalności w jednym urządzeniu/oprogramowaniu
Miniaturyzacja – coraz większa moc i funkcjonalność w mniejszej obudowie
Dezaktualizacja - nieustanna konieczność uaktualniania produktów
Konkurencyjność – walka pomiędzy producentami i ich wzrost niesie spadek jakości i pogoń za niską ceną
Trendy
Mobilność – zanika różnica między urządzeniami
Telefon jak komputer Przenośny odtwarzacz audio/video jak komputer Aparat fotograficzny, kamera jak komputer
Łączność – nadrzędny cel bez względu na środki
Chcemy mieć dostęp do sieci w każdym miejscu
Otwartość Dostęp do internetu i świadczenie usług przy jego
wykorzystaniu to już nie ekstrawagancja to norma!
Nowe technologie
Poufność Technologia VPN over SSL
Tożsamość Uwierzytelnianie za pomocą telefonu
komórkowego Biometryka – tęczówka, skanowanie twarzy,
rozpoznawanie mowy, odcisk dłoni Łączność
WiMAX – nowy standard w sieciach MAN Wydajny WiFi 2,4 GHz (MiMO) – 802.11n 108 Mb/s GPRS/Edge, UMTS
Komunikatywność Telefonia IP Instant Messaging (gg, tlen itp..)
Przykłady zagrożeń…, a jakie ryzyko??? Jak często nie sprawdzamy pochodzenia i wiarygodności
ściągając i instalując skompilowane oprogramowanie? Jak często zapominamy o archiwizacji zasobów
dyskowych naszej stacji roboczej? Jak często zostawiamy laptopa, telefon komórkowy,
klucze do serwerowni lub biura w samochodzie? Czy zawahamy się przed skorzystaniem z bezpłatnego
dostępu do sieci internet w miejscu nam nieznanym? Skąd wiemy, że systemy radiowe naszego komputera lub
telefonu nie łączą się z innymi, sąsiednimi systemami? Co zrobimy gdy znajdziemy na parkingu przed wejściem
do firmy pamięć flash?
Z życia wzięte …
Przykłady zagrożeń…, a jakie ryzyko???
…musisz usuwać niechcianą pocztę?
…musisz czyścić system lub go odzyskiwać po infekcji wirusów?
…musisz odzyskiwać bazę bankową z uszkodzonej lub źle wykonanej kopii bezpieczeństwa?
…musisz zapewnić łączność placówce nie dysponując łączem zapasowym?
…musisz szybko uruchomić system bankowy po awarii serwera nie dysponując zapasowym
A co dopiero gdy …
Nie wierzycie…?
Ernst&Young – Światowe Badanie Bezpieczeństwa Informacji 2005
Jak temu zaradzić? Fizycznym i technicznym
Zasilanie energetyczne budynku Lokalizacja, obiekt Gaszenie, wentylacja
Sprzętowo-programowym Odpowiednia konfiguracja i struktura aplikacji Dobrany i przygotowany sprzęt informatyczny Umowy serwisowe i konserwacyjne Regularna aktualizacja
Organizacyjno-kadrowym Personel administracyjny Polityka bezpieczeństwa Szkolenia Procedury postępowania
Lokalizacja fizyczna Sprzęt System operacyjny Aplikacja Interfejs Użytkownik
Założenia systemu – musimy być pewni czego chcemy Inwentaryzacja zasobów - „może coś już mamy?” Wybór integratora – Asseco Wybór technologii – cena to nie wszystko! Wybór implementacji - „wycisnąć ile się da, ale nie wdrażać
zbędnych funkcjonalności” Kontrola jakości - testy, testy, testy – nie tylko w trakcie,
zaraz po wdrożeniu ale podczas całego okresu użytkowania Szkolenia
Jak realizować?
Przeciwdziałanie
P r o d u k t y
Check Point Integrity – endpoint security Zapora sieciowa
Personalny system firewall – wymusza polityke bezpieczeństwa na stacji Predefiniowane strefy bezpieczeństwa:Trusted, Internet, Blocked Przynależność poszczególnych obiektów do stref Reguły dostępu do predefiniowanych stref – dla aplikacji Przypisywanie polityk do użytkowników i grup użytkowników
System IPS Zabezpiecza przed trojanami, robakami i atakami wirusów Zatrzymuje złodziei danych (anty-spyware) Zabezpieczanie plików (np.: wykonywalnych)
Bezpieczeństwo OS Optymalizuje wykorzystanie łącza Eliminuje zagrożenia komunikatorów sieciowych Zabezpieczanie rejestru Windows Uaktualnianie antywirusa, poziomu patchy
Zarządzanie Centralne zarządzanie, logowanie i raportowanie Uaktualnianie i instalacja reguł bezpieczeństwa na końcówce w czasie rzeczywistym
Bezpieczeństwo zgromadzonych danych Szyfrowanie zasobów – SafeBoot – produkt bezpieczeństwa dla wszystkich urządzeń
przenosnych (dwukładnikowe) uwierzytelnianie Pre-Boot – szyfrowanie dysków i partycji Przeźroczyste i automatyczne szyfrowanie Mocna kryptografia (RC5-1024/AES-256) Uwierzytelnianie wspiera tokeny (USB) Centralnie zarządzany system szyfrowania stacji roboczych Wymuszanie polityki bezpieczeństwa na stacji roboczej – blokada urządzeń USB,
wymuszanie odpowiednich haseł itp.., kto i kiedy może skorzystać ze stacji Centralne zarządzanie z podziałem na użytkowników, grupy i stacje robocze Certyfikacja FIPS 140 W pełni przeźroczysty w użyciu, automatyczne szyfrowanie/deszyfrowanie Praktyczny brak degradacji wydajności na urządzeniu Wsparcie dla wielu języków (w tym PL)
Trwałe usuwanie danych Oprogramowanie Blancco Data Cleaner – m.in.. Certyfikat ABW do klauzuli „tajne” Urządzenia firmy Verity Systems: SV91M Degausser
Audyt i monitorowanie stanu „końcówki” Katapulta firmy Avet - lokalny skaner
bezpieczeństwa dla systemów Windows NT/2000/XP/2003
Nie wymaga instalacji! Nie modyfikuje systemu! Zastosowanie jako:
Audyt zgodności z ISO 17799 i ISO 27001 Zarządzanie podatnościami, identyfikacja
brakujących poprawek i niebezpiecznych konfiguracji
Główne zalety: Dostarcza rzeczywistych informacji o
podatnościach i poprawkach Posiada dostęp do wszystkich elementów
konfiguracji więc pozwala na kompleksową kontrolę polityki bezpieczeństwa
Przeprowadza testy w sposób bezpieczny dla systemu
Umożliwia skanowanie logów
Partnerzy
Dziękuję
http://www.Asseco.pl
Prezentacja systemu
Zarządzanie
MailServer
MS W2K Pro
Zapora sieciowa
WebServer
HP PCM + IDMRadius ServerMS Active Directory
NetScreen Security Manager
NetDetector
Stacja robocza Windows XP
AV Gateway
Przykłady zagrożeń…, a jakie ryzyko???Henryk Walencik, Dyrektor Departamentu Bezpieczeństwa i
Administracji w Banku BPS SA. – Bezpieczeństwo jest dziedziną, w której potrzebne jest stałe udoskonalanie. Jeszcze parę lat temu najważniejsze było zabezpieczenie placówek przed przestępstwami rozbójniczymi, tj. włamania, napady. Obecnie zagrożeniem dla banków, nie tylko spółdzielczych, są przestępstwa wykonywane w tzw. „białych kołnierzykach” i tym przestępstwom musimy przeciwdziałać.
Prezentacja systemu
Zarządzanie
MailServer
Serwer kwarantanny
Zapora sieciowaWeb
Server
Stacja klienta
HP IDM, PCM+
Brak zalogowania lub nieprawidłowe hasło
Logowanie poprawne
Opcja podstawowa Logowanie zdarzeń związanych z pracą systemów bezpieczeństwa: zapór
sieciowych, systemów IPS Archiwizacja logów zdarzeń Przygotowywanie zbiorczych raportów bezpieczeństwa systemów dla personelu
administracyjnego i kadry zarządzającej Przekazywanie informacji o nowych zagrożeniach infrastruktury informatycznej wraz
z propozycją działań zapobiegawczych Opcja rozszerzona
Zakres opcji podstawowej Wykonywanie na zlecenie odbiorcy rekonfiguracji struktury w ramach wdrożonych
funkcjonalności Rozszerzanie funkcjonalności w oparciu o specjalne dedykowane ceny Wykonywanie niezbędnych uaktualnień elementów wchodzących w skład systemu
bezpieczeństwa Przygotowywanie koncepcji rozwoju infrastruktury bezpieczeństwa Poddawanie systemu okresowym audytom Backup i archiwizacja konfiguracji Aktualizacja dokumentacji oraz procedur administracyjnych
Zarządzanie bezpieczeństwem infrastruktury teleinformatycznej
Infrastruktura sieciowa Połączenia przewodowe
HP - switche Cisco – switche/rutery Juniper - rutery
Połączenia bezprzewodowe Redline Communications - WiMAX HP ProCurve - WiFi
WANWAN MANMAN LANLAN PANPAN
3G3GWCDMAWCDMA
GPRSGPRSEDGEEDGE
WiMAXWiMAX802.16802.16
BroadbandBroadband
Wi-FiWi-Fi802.11802.11
BluetoothBluetoothRFIDRFID
ATMATMFRFRPPPPPPSDHSDH
DSLDSLISDNISDN
EthernetEthernetFDDIFDDI
TokenRingTokenRing
RS-232RS-232LPTLPT
USBUSBFireWireFireWire
Bezpieczeństwo systemów i aplikacji sieciowych
Zapory sieciowe - firewall Check Point / Crossbeam, HP Juniper NetScreen
Wykrywanie i zapobieganie włamaniom - IPS
Juniper NetScreen-IDP Check Point InterSpect ISS Proventia G
Kontrola kontekstowa – AV gateway eSafe Aladdin VirusWall Trend Micro F-Secure
Bezpieczeństwo transmisji – VPN Juniper Neoteris Check Point Connectra
Analiza powłamaniowa – IFS Niksun NetDetector
WebServer
Zarządzanie
Użytkownicy lokalni
MailServer
Zapory
Serwery aplikacyjne
Zapory
Użytkownicy zdalni
Użytkownicy zdalni
AV Gateway
WANWAN
Instytucje zewnętrzne
WANWAN
IPS
Zapora
IPS
IPS
IPS
Bezpieczeństwo „końcówki” System operacyjny i aplikacje
Zarządzanie Check Point Integrity Novell ZEN Works
Szyfrowanie zasobów (dysków i partycji) SafeBoot
Ochrona antywirusowa Trend Micro
Audyt i monitorowanie Katapulta
Użytkownik Uwierzytelnianie
RSA Authentication Manager (ACE/Server) ActivIdentity (dawny ActivCard) Wheel CERB
Pojedyncze logowanie ActivIdentity SecureLogin
Usługi dodatkowe Konsulting
Realizacja długofalowych koncepcji rozwoju IT Doradztwo w zakresie doboru odpowiedniej technologii i implementacji Przygotowywanie analiz i specyfikacji wymagań systemów
bezpieczeństwa IT
Serwis i wsparcie techniczne Serwis standardowy i rozszerzony
Diagnoza przyczyny i miejsca awarii Naprawa sprzętu, oprogramowania i przywrócenie funkcjonalności systemu
Nadzór eksploatacyjny i wsparcie techniczne Konsultacje telefoniczne Pomoc eksploatacyjna w pierwszych tygodniach użytkowania Instalacja nowych wersji oprogramowania
Monitoring systemów informatycznych Pro-aktywne śledzenie systemów Reakcja na potencjalnie mające wystąpić problemy i awarie Zarządzanie bezpieczeństwem infrastruktury teleinformatycznej
Usługi internetowe – zarządzanie i dostępność Systemy poczty elektronicznej
Postfix SunONE Messaging Server
Zarządzanie http – EIM (Employee Internet Management) WebSense BlueCoat Squid
Sterowanie dostępem i pasmem Sterowanie pasmem – QoS/kompresja
Rutery i zapory sieciowe Juniper WX
Podział obciążenia Nortel Application Switch and VPN Gateway – Alteon load balancer + SSL
terminator Radware Application Switch Juniper DX
Jak zrealizować system ochrony?… Analiza wymagań
specyfikacja założeń ilościowych specyfikacja założeń funkcjonalnych
Dobór optymalnego rozwiązania Wybór technologii Wybór platformy sprzętowej Określenie rodzaju implementacji Specyfikacja wymagań zamówienia
Prace projektowe Projekt lub dokumentacja wykonawcza Harmonogram wdrożenia
Wdrożenie Dostawa sprzętu i oprogramowania Wykonanie prac instalacyjno-konfiguracyjnych Kontrola jakości
Prace powdrożeniowe Szkolenie personelu administracyjnego Dokumentacja powykonawcza Procedury eksploatacyjne Wsparcie powdrożeniowe
Serwis i utrzymanie Wsparcie i serwis rozwiązania w ramach wdrożonej funkcjonalności Wsparcie rozwiązania obejmujące nadzór nad rozwiązaniem i jego rozwój Wizyty konsultacyjne w miejscu wdrożenia
Infrastruktura sieciowa – Redline RedMAX WiMAX – co to jest?
Pasma Licencjonowane pasmo 3,5 GHz (3,4-3,6GHz) Nielicencjonowane pasmo 5,8 GHz (w Polsce zdyskwalifikowane przez duże ograniczenie mocy) Przyszłość: 3,6-3,8 GHz (w Polsce został już rozpisany przetarg – unieważniony)
Technologia Standard IEEE 802.16 definiuje PHY (radio) i protokół transmisji warstwy drugiej, 802.16e –
mobilny standard obejmujący karty dla urządzeń przenośnych Zakres częstotliwości: 2 – 66 GHz OFDM – kluczowa technologia ze względu na obszar wysokiej zabudowy Certyfikacja: WiMAX Forum Certified Standardy pracy: PTP (w celu retransmisji sysgnału) i PMP (w celu dystrybucji sygnału)
Urządzenia AN100
Pierwsze na świecie urządzenie zgodne z 802.16 - certyfikowane PTP i PMP w paśmie 3.3-3.8 GHz Kanały 3.5, 7 i 14 MHz Dane (>50 Mbps net/14 MHz) + TDM (do 8 E1/T1 portów) QoS do wspierania 5 poziomów SLA, 1000s service flows per sektor OFDM Klasyfikacja L2/L3 i VLAN tagging/management Wspiera uwierzytelnianie i szyfrowanie (128 bit)
SUO Certyfikowany przez WiMAX Forum CPE (Interoperable) 3.4-3.6 GHz Interfejsy: Ethernet (PoE) + (E1/T1, VoIP, or POTS) Praca bez widoczności optycznej (Robust OFDM) Dynamiczne Quality of Service (QoS) Bezpieczny (AES, DES) Zarządzenie poprzez scentralizowany system
Katapulta
Audyt, Zarządzanie Podatnościami, Analiza logów
Katapulta - zastosowania Audyt wewnętrzny
„Compliance check” Sarbanes-Oxley (SOX) ISO 17799 ISO 27001
Weryfikacja procesu „patch management” Inspektor bezpieczeństwa
Zarządzanie podatnościami Identyfikacja brakujący poprawek Identyfikacja niebezpiecznych konfiguracji
Integrator Pomoc przy opracowywaniu polityki bezpieczeństwa dla systemów
Windows NT i nowszych Administrator
Identyfikacja brakujących poprawek
Skaner lokalny vs sieciowy Skaner lokalny dostarcza rzeczywistych informacji o
podatnościach i poprawkach Skaner lokalny nie musi „zgadywać” na podstawie ruchu
sieciowego czy system jest podatny Skaner lokalny ma dostęp do wszystkich elementów
konfiguracji więc pozwala na kompleksową kontrolę polityki bezpieczeństwa
Skaner lokalny może przeprowadzać testy w sposób bezpieczny dla systemu
Skaner lokalny jest szybszy podczas skanowania systemu Skaner lokalny umożliwia skanowanie loków
Katapulta – doskonałe narzędzie dla audytorów Stworzone przez audytorów dla audytorów i
inżynierów bezpieczeństwa Stale rozwijany Nie wymaga instalacji Skanuje tylko to co naprawdę chcemy kontrolować Niezwykle szybki w działaniu Umożliwia porównywanie raportów
Katapulta
Naciśnij „Scan” aby
rozpocząć test
Niebezpieczne serwisy
Analiza praw dostępu i struktury IIS
Niebezpieczna konfiguracja
Zainstalowane aplikacje
Zainstalowane hotfixy
Analiza i statyski logów
Polityki
Polityki
Co będzie w wersji 2.5? Katapulta Exploit Manager
Zewnętrzne modułu zawierającego gotowe do użycia exploity
Exploity lokalne i zdalne Automatyzacja testów penetracyjnych
Zdalne skanowanie sieciowe Automatyczne aktualizacje
Bezpieczeństwo systemów sieciowych – Juniper Networks
WebServer
Zarządzanie
Użytkownicy lokalni
MailServer
Serwery aplikacyjne
Użytkownicy zdalni
Użytkownicy zdalni
WANWAN
Instytucje zewnętrzne
WANWAN
Dlaczego jest dużo do zrobienia?…
IDC – Konferencja Roadshow CEE 2005 Do 2008 roku w regionie Europy Centralnej i Wschodniej najszybciej
będą rosły wydatki na usług związane z bezpieczeństwem IT; systemy zarządzania treścią, zapory ogniowe oraz systemy autoryzacji i uwierzytelniania użytkowników. Zainteresowaniem cieszyć się będą także dedykowane urządzenia z wbudowanym oprogramowaniem obsługującym bezpieczeństwo.
W Polsce, w porównaniu z krajami takimi jak Czechy, Węgry czy Słowacja, o wiele mniej wydaje się na usługi związane z bezpieczeństwem IT. Stosunek wydatków na usługi do wydatków na oprogramowanie wynosi 30 do 70. W innych krajach regionu Europy Środkowej i Centralnej jest niemal dokładnie odwrotnie.
System bezpieczeństwa jest tak silny jak jego najsłabsze ogniwo.
Definicje Firewall – Security Gateway System
Kompleksowy system kontroli ruchu pomiędzy różnymi funkcjonalnie segmentami sieci IP
Zapewnia budowę bezpiecznych kanałów VPN w oparciu o sieci publiczne Zarządzanie dostępnym pasmem transmisyjnym
IPS –Intrusion Prevention System Popularnie zwany in-line IDS, bądź IPS Wykrywa i przeciwdziała intruzom Loguje i powiadamia o wykryciach i reakcji na nie
AV – Antivirus Gateway System Niezależny system poddający bezpośredniej kontroli zawartości ruch
powszechnie stosowanych w sieci Internet protokołów
IFS –Intrusion Forensic System Często mylone z IDS’ami, znane także pod nazwą NFAT (Network
Forensisc Analysis Tool) Poddaje logowaniu i archiwizacji całość ruchu sieciowego Na podstawie zebranych informacji generuje raport