Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Transkrypt

1 Warszawa, 9 października 2014r. Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą? Grzegorz Długajczyk ING Bank Śląski

2 Które strony popełniały najwięcej naruszeń w ostatnich 10 latach? Źródło:

3 Agenda Wprowadzenie (ECAP) Najważniejsze zagrożenia Strategia ochrony

4 Wprowadzenie styk organizacji z siecią zewnętrzną ECAP jest jednym z najważniejszych punktów, łączący zasoby sieci wewnętrznej firmy ze światem zewnętrznym (sieć internet) INTERNET Sieć zewnętrzna ECAP Sieć wewnętrzna *ECAP External Connection Aggregation Point

5 Rola ECAP w organizacji Bezpieczeństwo Wydajność Skalowalność Niezawodność i wysoka dostępność

6 Bezpieczeństwo ECAP Główne zadania: Chronić przed zagrożeniami zewnętrznymi Zapewniać dostęp uwierzytelnionym użytkownikom do sieci wewnętrznej Udostępniać serwisy i usługi na zewnątrz

7 Architektura sieci - ECAP Untrusted DMZ-1 Sieć zarządzająca DMZ-n Semi-Trusted Sieć DC Sieć zarządzająca Sieć biurowa Trusted

8 Najważniejsze zagrożenia.oraz scenariusz ochrony

9 Rodzaje zagrożeń zewnętrznych (1) Mające źródło bezpośrednio ze styku sieci zewnętrznej DDoS Social attacks (APT) Malware & Botnet Cloud Computing BYOD Źródło:

10 Rodzaje zagrożeń zewnętrznych (2) Wykorzystujące zaufane dostępy do wewnątrz organizacji Pracownicy Wsparcie /dostawcy/ Klienci firmy Partnerzy (Outsourcing)

11 Rodzaje zagrożeń zewnętrznych (3) Integrujące lub udostępniające systemy wewnętrzne na zewnątrz Moja firma inny system IT PARTNERA Usługa w internecie

12 Czym jest DDoS? DDoS (ang. Distributed Denial of Service) atak na system komputerowy lub usługę sieciową, przeprowadzany równocześnie z wielu komputerów lub miejsc w sieci internet.

13 Jak chronić infrastrukturę przed atakiem DDoS? TIER 3 TIER 2 TIER 1 Chmura publiczna (tzw. scrabbing ) Internet Service Provider Niezawodna infrastruktura IT Przekierowanie ruchu do chmury publicznej Wielu różnych operatorów Ochrona DDOS operatora Load balancer DDOS protector NO SPoF

14 Jak może wyglądać plan ataku wykorzystujący socjotechnikę? APT (ang. Advanced Persistent Threats) jest złożonymi długotrwałym i wielostopniowym działaniem kierowanym przeciwko konkretnym osobom, organizacjom lub firmom Wybór celu Analiza firmy Inżynieria społeczna Wyszukanie luk w systemach Kierunkowy atak

15 Jak chronić infrastrukturę przed atakiem typu APT? Wielopoziomowa ochrona techniczna: filtrowanie Internetu/analiza reputacji IP, białe listy/czarne listy, kontrola aplikacji w oparciu o użytkowników i urządzenia, DLP, IPS/IDS, realizacja funkcja sandbox, kontrola ruchu IN/OUT. Szkolenia pracowników Współpraca z dostawcą zabezpieczeń Segmentacja sieci Dwuskładnikowe uwierzytelnienie : organizacja utrudnia atakującemu wykorzystanie utraconych lub skradzionych danych uwierzytelniania Jasno określone zasady dla: BYOD, urządzeń mobilnych, korzystania z sieci WiFi, itd

16 Czym jest Malware & Botnet? Malware rodzaj złośliwego oprogramowania, zawierający wirusa lub oprogramowanie szpiegowskie (spyware), najczęściej powstały w celu realizacji niedozwolonych działań, bez wiedzy właściciela. Botnet grupa komputerów zainfekowanych złośliwym oprogramowaniem (malware), które daje swojemu zarządcy (Command&Control) określony (lub całkowity) poziom kontroli nad zainfekowanym komputerem ofiary.

17 Jak rozpoznać potencjalne zagrożenie? o Spowolnienie systemu o Pliki i foldery lub ikony pobranych programów znikają lub są modyfikowane o Dioda dysku pulsuje przy bezczynności o Serwisy bankowe zaczynają prosić o dane o Pojawia się więcej informacji o błędach o FW na stacji informuje, że nieznany program chce się komunikować z czymś na zewnątrz o Występują duże opóźnienia w dostępie do zasobów o Można zidentyfikować zwiększony wolumen ruchu

18 Jak można próbować się chronić? Blokować na urządzeniu brzegowym (ruch, porty, protokoły) + domain black list Dokonywać regularnych aktualizacji systemu Uruchamiać IPS/IDS Wdrożyć aplikacyjny content filtering (tylko do aplikacji, które są potrzebne) Zdefiniować polityki bezpieczeństwa Wdrożyć Anti-Bot Wdrożyć program security awareness

19 Cloud Computing na co zwrócić uwagę?

20 Zaufany dostęp do wewnątrz organizacji na co zwracać uwagę? Strona operacyjna Każdy zdalny dostęp powinien być: zidentyfikowany i utrzymywany w rejestrze potwierdzony przez właściciela monitorowany przez IT być zgodny z potrzebą biznesową (umowa) podlegać regularnym przeglądom (audyt) Strona techniczna Użytkownik: Typ urządzenia: Lokalizacja: Czas: Metoda dostępu: Zasób

21 Strategia ochrony

22 MONITOROWANIE ZARZĄDZANIE Model bezpieczeństwa styku z siecią zewnętrzną? ZABEZPIECZANIE POLITYKI AUDYT

23 Jak ING BANK dba o bezpieczeństwo? Foundation IT Sourcing User Access IT Resiliance Change Management Security Monitoring Platform Security

24 Co warto zapamiętać? Kiedyś: - w interesie hakera było pokazanie swoich umiejętności Obecnie: - w interesie hakera jest, aby przestępstwo NIGDY nie zostało wykryte

25 DZIĘKUJĘ Grzegorz Długajczyk ING Bank Śląski ul. Sokolska 34, Katowice