ZagroŜenia w sieciach teleinformatycznych. Sposoby zabezpieczeń.

Transkrypt

1 ZagroŜenia w sieciach teleinformatycznych. Sposoby zabezpieczeń. Tomasz Nowocień nowocien@man.poznan.pl Centrum Innowacji Microsoft Zespół Bezpieczeństwa PCSS Podziękowania:Gerard Frankowski, Jarosław Saiko, BłaŜej Miga 1

2 Partnerzy: Centrum Innowacji Microsoft Corporation Microsoft Pierwsze w Polsce MIC Poznańskie Centrum Superkomputerowo-Sieciowe Politechnika Poznańska Centrum bezpieczeństwa i usług outsourcingowych Otwarcie: r. 2

3 Cele i zadania MIC Wybrane cele MIC: Edukacja poprzez zdalne udostępnianie aplikacji MS Szybszy rozwój lokalnych firm (MŚP) poprzez doradztwo w zakresie podnoszenia poziomu bezpieczeństwa teleinformatycznego, audyty oraz szkolenia Poprawa dostępu i jakości usług medycznych w Wlkp. Łatwy i bezpieczny dostęp do e-usług w urzędach Główne zadania MIC w roku 2007: Zdalne udostępnianie aplikacji Microsoft w polskim środowisku edukacyjnym Audyty bezpieczeństwa usług i aplikacji Szkolenia z zakresu bezpieczeństwa komputerowego Badania technologii multimedialnych Bezpieczne telekonsultacje medyczne wraz ze wspomaganiem decyzji 3

4 Program szkoleń dot. bezpieczeństwa w MIC Pozostałe szkolenia bezpieczeństwa w roku 2007: Wrzesień / październik 2007: Migracja z serwera WWW Apache httpd do Microsoft IIS Grudzień 2007: Tworzenie bezpiecznego oprogramowania w systemach Microsoft Windows Patrz równieŝ: 4

5 Zespół Bezpieczeństwa PCSS praca nad zapewnieniem bezpieczeństwa audyty bezpieczeństwa teleinformatycznego udział w projektach badania i rozwój 5

6 Agenda ZagroŜenia w sieciach Zabezpieczenia przed zagroŝeniami Bezpieczeństwo organizacji 6

7 ZagroŜenia w sieciach System komputerowy System komputerowy to pojedynczy komputer lub ich grupa połączona siecią komputerową. 7

8 ZagroŜenia w sieciach Internet jest siecią globalną 8

9 ZagroŜenia w sieciach Typowy napastnik? wirus, robak,inne złośliwe oprogramowanie (statystycznie) groźnego dla korporacji nastolatek (mit) zorganizowane grupy przestępcze zagroŝenie od pracowników (z wnętrza sieci lokalnej) 9

10 ZagroŜenia w sieciach Kilka przykładowych typów ataków KradzieŜ danych KradzieŜ toŝsamości KradzieŜ zasobów Phishing, pharming Kompromitacja wizerunku DoS, DDoS Niechciana poczta 10

11 ZagroŜenia w sieciach KradzieŜ danych 11

12 ZagroŜenia w sieciach KradzieŜ toŝsamości Ukraść toŝsamość w świecie wirtualnym moŝna przy znacznie mniejszych kosztach niŝ w świecie rzeczywistym. 12

13 ZagroŜenia w sieciach KradzieŜ zasobów JeŜeli celem napastnika nie są nasze dane to moŝe to być moc obliczeniowa komputera. Niewielka moc z jednego komputera pomnoŝona przez tysiące komputerów daje moc duŝą. 13

14 ZagroŜenia w sieciach Phishing, pharming Metoda na rybkę czyli phishing polega na zastawieniu pułapki np. fałszywej strony www - i umiejętnym dostarczeniu przynęty. Pharming to taki phishing tylko, Ŝe siecią rybacką. 14

15 ZagroŜenia w sieciach Ataki Man-In-The- Middle Atak typuman-in-themiddle (MITM) jest sytuacją, w której pomiędzy dwie strony połączenia ingeruje strona trzecia atakujący 15

16 ZagroŜenia w sieciach Kompromitacja wizerunku Korzystając ze słabości w zabezpieczeniach (braku zabezpieczeń) napastnik podmienia lub modyfikuje treść witryny internetowej kompromitując wizerunek firmy/organizacji. 16

17 ZagroŜenia w sieciach Atak DoS/DDoS Jest to sytuacja, w której system z powodu niewystarczających zasobów nie jest w stanie obsługiwać legitymizowanych Ŝądań obsługi. Niekoniecznie na skutek ataku. 17

18 ZagroŜenia w sieciach Niechciana poczta - SPAM Szacuje się, Ŝe koszty jakie ponosi biznes na całym świecie związane ze SPAMem to dziesiątki miliardów dolarów rocznie. 18

19 ZagroŜenia w sieciach InŜynieria Społeczna...inŜynier społeczny jest w stanie uzyskać od człowieka informacje z uŝyciem lub bez uŝycia technologii... Kevin Mitnick 19

20 ZagroŜenia w sieciach InŜynierowie społeczni... Politycy, aktorzy, handlowcy, prawnicy, szpiedzy, hakerzy, itd... 20

21 ZagroŜenia w sieciach Złośliwe oprogramowanie Spyware, adware, trojany, wirusy, robaki, adware, malware, keyloggery, exploity, etc... 21

22 ZagroŜenia w sieciach Złośliwe oprogramowanie Złośliwe oprogramowanie to przede wszystkim oprogramowanie. Na pierwszy rzut oka moŝe wyglądać niegroźnie. 22

23 ZagroŜenia w sieciach Dostęp bezprzewodowy Sieci bezprzewodowe Urządzenia Bluetooth 23

24 ZagroŜenia w sieciach ZagroŜenia w sieciach bezprzewodowych Poufność danych Ingerencja w dane Identyfikacja węzłów sieci Podatność na zakłócenia 24

25 ZagroŜenia w sieciach Komunikacja w sieci Tekstowe komunikatory internetowe Poczta elektroniczna Usługi transmisji Audio i Video 25

26 ZagroŜenia w sieciach ZagroŜenia dla komunikacji w sieci Podsłuch danych Ingerencja w dane Problem z identyfikacją drugiej strony 26

27 ZagroŜenia w sieciach Bezpieczeństwo fizyczne 27

28 Zabezpieczenia 28

29 Zabezpieczenia Po pierwsze, aktualizacje (tylko MSIE) 29

30 Zabezpieczenia NaleŜyta konfiguracja 30

31 Zabezpieczenia Bezpieczne hasła Jakie hasła są złe? Hasło: najpopularniejszy sposób ochrony Puste / krótkie Takie, jak nazwa konta test, haslo, qwerty,... Imię psa, data urodzenia,... Istniejące słowo Jedno hasło do wielu kont Jakie hasła są dobre? Takie, które uŝytkownik będzie w stanie stosować Przykład: Bss 3_Atnmi. 31

32 Zabezpieczenia Chronimy nazwę konta Naczelna zasada: nie ujawniać zbędnych danych Start / Ustawienia / Panel sterowania / Konta uŝytkowników 32

33 Zabezpieczenia Specjalistyczne aplikacje Programy antywirusowe Ściany ogniowe (firewalle) Oprogramowanie antyspyware Programy porządkujące system Systemy IDS/IPS Antyspam, Anty-phishing, Anty-rootkit... 33

34 Zabezpieczenia Kryptografia Ochrona transmisji Ochrona danych składowanych Nie wolno wymyślać własnych szyfrów, protokołów połączeń,... 34

35 Zabezpieczenia Kopie zapasowe Dlaczego potrzebna jest kopia zapasowa? Kopie naleŝy testować!!! Przechowywać w odrębnej lokalizacji 35

36 Zabezpieczenia Usuwamy dane To nie wystarczy To teŝ nie Całkowita pewność 36

37 Bezpieczeństwo organizacji Za brak jakości się płaci, za brak bezpieczeństwa się siedzi 37

38 Bezpieczeństwo Organizacji Wymogi formalne Ustawa z dnia 22 stycznia 1999 o Ochronie Informacji Niejawnych (Dz.U ) Ustawa z dnia 29 sierpnia 1997 r. o Ochronie Danych Osobowych (Dz.U ) Tajemnica Zawodowa 38

39 Bezpieczeństwo Organizacji Prawdy o bezpieczeństwie Nie naleŝy oszczędzać na bezpieczeństwie Nie ma bezpieczeństwa absolutnego Ryzyko zawsze istnieje. Trzeba potrafić nim zarządzać. 39

40 Bezpieczeństwo Organizacji Polityka bezpieczeństwa 40

41 Bezpieczeństwo Organizacji Bezpieczeństwo Poufność Integralność Dostępność 41

42 Bezpieczeństwo Organizacji Poufność informacji 42

43 Bezpieczeństwo Organizacji Integralność informacji 43

44 Bezpieczeństwo Organizacji Dostępność informacji 44

45 Bezpieczeństwo Organizacji Audyt Audyt to weryfikacja zgodności stanu istniejącego ze stanem poŝądanym Audyt to nie kontrola, która ma znaleźć winnych Audyt to działania zmierzające do wspomagania firmy, a nie spowodowania strat 45

46 Bezpieczeństwo Organizacji Pomoc Normy (np. PN-ISO2700x) Metodologie (np. TISM) Projekty (np. OWASP) 46

47 Pytania...? 47

48 Dziękuję za uwagę Tomasz Nowocień Centrum Innowacji Microsoft PSNC Security Team 48