Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Transkrypt

1 Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych Prezentacja na Forum Liderów Banków Spółdzielczych Dariusz Kozłowski Wiceprezes Centrum Prawa Bankowego i Informacji sp. z o.o. Warszawa, września 2012 r

2 Co to jest podatność? Słabość systemu, która pozwala atakującemu na naruszenie bezpieczeństwa informacyjnego systemu. Jest wypadkową trzech elementów: ułomności systemu dostępu atakującego do wiedzy o ułomnościach możliwości dokonania ataku wykorzystującego ułomność

3 O czym mówimy? zablokowano 5,5 miliarda ataków (wzrost w stosunku do 2010 o 81%) średnio odnotowano ataków dziennie na aplikacje internetowe 50 % ataków było przeprowadzane przeciwko dużym przedsiębiorstwom skradziono ponad 232 milionów tożsamości (8 % incydentów związanych z wyciekiem danych dotyczyło sektora finansowego) wykryto ponad złośliwych domen (z czego 61% to domeny zainfekowane) 10 % zainfekowanych stron internetowych należało do sektora finansowego ponad 1/3 stron internetowych ma co najmniej jedną podatność, a ponad 25 % ma podatności krytyczne, ponad 3 miliony zainfekowanych komputerów działających w botnetach Źródło: Raport Symantec (INTERNET SECURITY THREAT REPORT, kwiecień 2012)

4 O czym mówimy? w Polsce znajduje się ponad 160 tysięcy źle skonfigurowanych serwerów DNS, które mogą być wykorzystywane w atakach DDoS (problem dotyczy w zasadzie wszystkich operatorów) coraz więcej spamu pochodzi z sieci operatorów mobilnych (dotyczy ich już niemal co piąte zgłoszenie) serwisy oferujące darmowe aliasy są coraz częściej wykorzystywane przez przestępców: aż w 84% phishing był umieszczony w domenie.pl 25% złośliwego oprogramowania łączącego się do polskich sieci, wykorzystywało darmowe subdomeny wzrost phishingu aż o 1/3 w stosunku do 2010 roku (większość przypadków dotyczyła zagranicznych podmiotów finansowych). Źródło: Raport Cert Polska 2011 (Analiza incydentów naruszających bezpieczeństwo teleinformatyczne)

5 Czy na pewno jesteśmy bezpieczni? luty - pojawił się nowy wariant Zeusa atakujący polskich użytkowników (atakujący mógł czytać i modyfikować informacje - np. zawierające kody autoryzacji transakcji) kwiecień ukierunkowany atak na użytkowników Internetu (mail z fałszywą fakturą, po otwarciu której instalował się trojan SpyEye i następowało przejęcie kontroli nad komputerem - wykradane wszystkie poufne informacje, w tym także te z systemów bankowości elektronicznej) od końca kwietnia do czerwca 2011 r. doszło do wielu wycieków danych klientów usług elektronicznych (dane o ok. 100 mln kont i 10 mln kart kredytowych) jesień - pojawiła się nowa wersja Zeusa, wykorzystująca do propagacji i komunikacji z kontrolerem stworzoną przez siebie sieć peer-to-peer oraz generowanie nazw domen Źródło: Raport Cert Polska 2011 (Analiza incydentów naruszających bezpieczeństwo teleinformatyczne)

6 Cel projektu udostępnienie bankom pakietu usług ułatwiających zarządzanie bezpieczeństwem infrastruktury informatycznej oraz aplikacji internetowych w kierunku proaktywnego wykrywania ewentualnych ich podatności na ataki hakerskie Główne założenia projektu podniesienie aktywnego i biernego bezpieczeństwa infrastruktury IT w banku synergia rozwiązania - obniżenie jednostkowych kosztów ca 50% niższe koszty rozwiązania brak kosztów utrzymania infrastruktury po stronie banku (oprogramowanie typu SaaS) szybkość wdrożenia minimalny nakład pracy po stronie banku poufność danych żadne dane pochodzące ze skanowania nie opuszczają ZBP możliwość wykonywania scoringów z obszaru bezpieczeństwa dla całego sektora bankowego

7 Idea projektu Pomoc w wykryciu usterek i zarządzaniu naprawami co w konsekwencji ma zapobiec przeniknięciu hakerów z sieci zewnętrznej

8 Idea projektu Związek Banków Polskich uruchomi oprogramowanie w formie usługi nie wymagającej instalacji i konserwacji po stronie Banku. na zamówienie Banku oprogramowanie skanuje urządzenia z dostępem do Internetu, będące składnikami sieci, które mogą stanowić cel hakerów. skanowanie aplikacji internetowych pod kątem ich podatności na ataki będące wynikiem zarówno błędów w samych aplikacjach, jak również podatności bibliotek programistycznych użytych do ich tworzenia Efektem działania oprogramowania jest udostępnienie czytelnego raportu o wykrytych podatnościach, zawierającym m.in.: informacje o skanowanym komponencie wykrytych podatnościach (źródle, stopniu krytyczności razem z punktacją CVSS v.2) sposobie usunięcia podatności (łącznie z odnośnikami do stron zawierających poprawki udostępnione przez producentów sprzętu i oprogramowania).

9

10

11 Etapy uruchamiania projektu 1. Etap pilotażowy, demonstracyjny W ramach pilotażu zostaną wykonane darmowe skanowania w kliku wybranych, potencjalnie zainteresowanych uruchomieniem usługi bankach w zamian za raport o wykrytych podatnościach. Skanowanie będzie przeprowadzone przez ZBP z zewnątrz na wskazanym przez bank adresie IP. 2. Etap produkcyjny Warunkiem koniecznym do uruchomienia usługi jest pozyskanie minimum 10 Banków zainteresowanych pakietem co najmniej 5 adresów IP na skany infrastruktury i aplikacji.

12 Dziękuję za uwagę Dariusz Kozłowski Centrum Prawa Bankowego i Informacji Sp. z o.o Warszawa, ul. Kruczkowskiego 8 tel. (22) dariusz.kozlowski@cpb.pl