Bezpiecze stwo IT z punktu widzenia Rekomendacji D

Podobne dokumenty
Aktywna ochrona sieci z wykorzystaniem urządzeń Fortinet

Digital WorkPlace według Aruba Networks. Robert Miros Network Solution Architect

Narzędzia OWASP dla developerów OWASP ESAPI & AppSensor OWASP The OWASP Foundation

CYBEROAM Unified Treatment Management, Next Generation Firewall

Palo Alto firewall nowej generacji

Wprowadzenie do zagadnień związanych z firewallingiem

Inwazja security na świat wirtualny VPN-1 VE Radosław Wal CLICO

Cyberoam next generation security

WiFi na śniadanie. Andrzej Bajcar, Inżynier ds. Bezpieczeństwa i Sieci. Warszawa,

! Retina. Wyłączny dystrybutor w Polsce

Wirtualizacja sieci - VMware NSX

Portal Security - ModSec Enterprise

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

Open(Source) Web Application Security Project

OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie

PARAMETRY TECHNICZNE I FUNKCJONALNE

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Specyfikacja techniczna oferowanego sprzętu

Wprowadzenie do Cloud Networking. Czym jest Meraki i jak możemy pozycjonować Meraki?

Minimalne wymagania techniczne dla systemu:

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Bezpieczny e-urząd. Praktyczne wyjaśnienie techniki ataku APT z wykorzystaniem exploitoraz malware.

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

OWASP. The Open Web Application Security Project. OWASP Top rc1. Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach

OPIS PRZEDMIOTU ZAMÓWIENIA

Agenda. Quo vadis, security? Artur Maj, Prevenity

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

Przełą. łączniki Ethernetowe

Budowa bezpiecznej sieci w małych jednostkach Artur Cieślik

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Warstwa ozonowa bezpieczeństwo ponad chmurami

Dostawa urządzenia sieciowego UTM.

OPIS PRZEDMIOTU ZAMÓWIENIA. Dotyczy postępowania : Zakup licencji na system zabezpieczeń dla Urzędu Miejskiego w Gliwicach.

Securing the Cloud Infrastructure

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

Marek Pyka,PhD. Paulina Januszkiewicz

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Skuteczna kontrola aplikacji i działao użytkowników w sieci Rozwiązanie Palo Alto Networks. Agenda

Wirtualizacja sieciowej infrastruktury bezpieczeństwa

Terminarz Szkoleń ACTION CE

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

Wstęp do Microsoft Forefront. Jakub Januszewski Technology Adviser - Security Microsoft

17-18 listopada, Warszawa

Bezpieczeństwo jako fundament budowy Społeczeństwa Informacyjnego w JST Beata Haber IS Account Manager wbeata@cisco.

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Windows Server 2012/2012R2 styczeń czerwiec 2016

Formularz Oferty Technicznej

Załącznik nr 2 do I wyjaśnień treści SIWZ

Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

Lodówki i kamery atakują. Mariusz Sawczuk Specialist Systems Engineer North & East EMEA [ ]

Część 2: Dostawa i konfiguracja sprzętowej zapory sieciowej (UTM - Unified Threat Management)

9:45 Powitanie. 12:30 13:00 Lunch

Produkty. F-Secure Produkty

Przełączanie i Trasowanie w Sieciach Komputerowych

Dlaczego my? HARMONOGRAM SZKOLEŃ lipiec - wrzesień ACTION Centrum Edukacyjne. Autoryzowane szkolenia. Promocje

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

DESIGNED FOR ALL-WIRELESS WORLD

Dlaczego my? HARMONOGRAM SZKOLEŃ październik - grudzień ACTION Centrum Edukacyjne. Autoryzowane szkolenia. Promocje

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

The OWASP Foundation Session Management. Sławomir Rozbicki.

Enterprise Mobility urządzenia mobilne w infrastrukturze przedsiębiorstwa# Grażyna Dadej, Andrzej Urbanowicz"

Dlaczego my? HARMONOGRAM SZKOLEŃ kwiecień - czerwiec ACTION Centrum Edukacyjne. Autoryzowane szkolenia. Promocje

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

AUL33 Zbuduj i sprawdź działanie różnych topologii sieci Ethernet/IP. Poznaj nowe funkcje przemysłowego przełącznika Stratix 5700.

<Insert Picture Here> Bezpieczeństwo danych w usługowym modelu funkcjonowania państwa

HARMONOGRAM SZKOLEŃ styczeń - marzec 2017

Załącznik nr 02 do OPZ - Zapora ogniowa typu A

Dlaczego my? HARMONOGRAM SZKOLEŃ kwiecień - czerwiec ACTION Centrum Edukacyjne. Autoryzowane szkolenia. Promocje RODO / GDPR

DLP i monitorowanie ataków on-line

Funkcjonalność ochrony firewall w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń

Dr Michał Tanaś(

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Terminarz Szkoleń ACTION CE

Terminarz Szkoleń II kwartał 2013 ACTION CE

Check Point Endpoint Security

Chmura zrzeszenia BPS jako centrum świadczenia usług biznesowych. Artur Powałka Microsoft Services

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.

Formularz cenowo-techniczny

Bezpieczeństwo aplikacji webowych - standardy, przewodniki i narzędzia OWASP OWASP The OWASP Foundation

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

Rozwiązania internetowe iplanet

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV

zania z zakresu cyberbezpieczeństwa systemów w SCADA

There is nothing more important than our customers

Opis przedmiotu zamówienia.

Spis treści Podziękowania Wprowadzenie 1 Instalacja, migracja lub uaktualnienie do systemu Windows 7 Lekcja 1: Instalacja systemu Windows 7

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Centralne zarządzanie odległych instalacji zabezpieczeń na przykładzie SofaWare Security Management Portal

3 RAZY TAK Tomasz Busłowski Netformers Sp. z o.o.

OCENA ZABEZPIECZEŃ. Obraz środowiska wirtualnego

Kompleksowa ochrona sieci przedsiębiorstwa

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web

Budowa systemu bezpieczeństwa danych osobowych. Przegląd technologii w aspekcie RODO.

Kontrola dostępu do kodu i własności intelektualnej w Zintegrowanej Architekturze. Copyright 2012 Rockwell Automation, Inc. All rights reserved.

Rok akademicki: 2013/2014 Kod: IET SU-s Punkty ECTS: 3. Kierunek: Elektronika i Telekomunikacja Specjalność: Sieci i usługi

Ewolucja operatorów od dostawców bitów do dostawców usług

Instrukcja szybkiego uruchomienia szerokopasmowego bezprzewodowego routera WL-520GU/GC

Transkrypt:

Bezpieczestwo IT z punktu widzenia Rekomendacji D Robert Dbrowski, CISSP SE Fortinet 1 Copyright 2013 Fortinet Inc. All rights reserved.

rodowisko IT Edge Firewall (NGFW) Enterprise Campus Carrier/MSSP Firewall Cloud/Carrier Data Center Firewall (Core, Perimeter, VM) Data Center INTERNET Edge Firewall (NGFW) Branch Office Distributed Enterprise Client Firewall (VPN) Remote End Points Unified Threat Management (UTM) 2

rodowisko IT w SMB Pracownicy w głównej lokalizacji Zdalni pracownicy wymagający dostępu VPN Hostowane Data Center Technologie dostępowe:» Ethernet, Wireless, Voice Outsourcing IT Stały Security Budget Różnorodność środowiska sieci i bezpieczeństwa. 3

Wymagania bezpieczestwa przy zdalnym dostpie Rozproszone lokalizacje ze zdalnymi pracownikami Używane różne technologie WAN Połączenia VPN zagregowane do centralnego Data Center Wymagania dla Unified Threat Management (Firewall, AV, WF, WLAN controller) Technologie dostępowe:» Ethernet, Wireless, 2FA Brak personelu IT w lokalizacjach Wymagane zdalne zarządzanie wieloma urządzeniami. 4

Wymagania bezpieczestwa w strukturze rozproszonej Punkty sprzedaży z sytemami POS, które powinny być zabezpieczone Różne technologie WAN Połączenia VPN zagregowane do centralnego Data Center Wymagania dla Unified Threat Management (Firewall, AV, WF, WLAN controller) Technologie dostępowe:» Ethernet, Wireless, POS / Kiosk systems, Customer WiFi Access Zgodność z PCI Brak personelu IT w lokalizacjach 5

Model sieci w rozproszonym przedsibiorstwie Zarządzanie wieloma systemami bezpieczeństwa jest kosztowne i czasochłonne Internet Router Firewall Web Filtering Antivirus Wymaga doświadczenia w wielu dziedzinach Problematyczna współpraca z serwisem wielu producentów WAN Accelerator Switch AV Server Efektywność zabezpieczeń zmniejszona przez złożoność polityk i konfiguracji VPN WiFi 6

Zintegrowane zarzdzanie bezpieczestwem IT Konsolidacja pozwala zredukować koszty Proste i intuicyjne zarządzanie obejmuje wiele technologii bezpieczeństwa Internet App Control Wireless Antivirus Web Filtering WAN Opt Redukcja kosztów współpracy z dostawcami Uproszczone polityki bezpieczeństwa przy zwiekszonej efektywności FortiWiFi- UTM Firewall 7

Dopasowanie odpowiednich rodków ochrony MSSP Carrier Data Center Enterprise Distributed Enterprise (Branch) (Branch) (Campus) (Campus) SMB Product Range Key Hardware Options 20-90 Series 100-200 Series 300-600 Series 800-1000 Series 3000 Series Desktop Mid Range High End PoE, Switch, WiFi PoE, High Density GE High Density GE High Density GE, 10 GE 10 GE, 40 GE 5000 Series 8

Wykorzystanie zasobów implementowanych platform Security Updates Services & Licensing APIs Management Data Collection Data FortiGate Network Security Security Modules Specialized Network FortiOS Access Policy ASICs LAN WAN WIFI CLIENT 9

Trendy rozwoju wymaga w sieciach IT Trendy sieciowe» Konsolidacja, 802.11ac, zwiększona segmentacja, szybsze łącza Trendy bezpieczeństwa» Zgodność z regulacjami, zaawansowany malware Trendy technologii wsparcia sprzedaży» Kioski dostawców trzecich, analizy sprzedaży, dostęp goscinny WiFi, promocje w centrach handlowych BYOD, BYOA oraz inne trendy w technologiach mobilnych» Niezbędne jest monitorowanie i zarządzanie kontentem, aplikacjami, urządzeniami, wykorzystaniem pasma. 10

Efekt ruchu generowanego przez urzdzenia mobilne. Zmniejsza si redni rozmiar pakietów Zmienne wzorce ruchu Wiksza liczba pocze Wicej aplikacji wraliwych na opónienia (Voice, Video) Typ Ruchu Aplikacje Charakterystyka Instant Messaging ichat, SMS Sporadyczne mae pakiety VoIP Skype, FaceTime Cige mae pakiety Streaming YouTube, Pandora Cige due pakiety Social Networks Facebook, Twitter Sporadyczne mae pakiety Web Browsing Firefox, Chrome, Safari Sporadyczne due pakiety Cloud icloud, Dropbox Sporadyczne due pakiety Email Gmail, Outlook Sporadyczne due pakiety 11

Wymagania do zapewnienia zintegrowanego bezpieczestwa Dzisiejsze wymagania UTM FW/VPN IPS/App Control Web Filtering/Botnet Intelligence Advanced Threat Protection Vulnerability Scanning Security Updates Cloud Ready Cloud-based reporting & configuration mgmt Directory Integration Actionable Reporting 3 rd Party Ecosystem ATP High Performance Up to 3.5 Gbps FW Throughput Up to 1.7 Gbps IPS Up to 1.3 Gbps IPSec Compact Appliance Desktop form-factor Space Saving Flexible HA options Deployment Flexibility Wide range of interfaces High port density POE interfaces Configuration Wizard 12

In Action: Bezpieczny dostp przewodowy i bezprzewodowy w zdalnym oddziale Remote Office Data Center (Perimeter Firewall) FortiWiFi-90D Konsolidacja urządzenia dostępowego i bezpieczeństwa, połączenie do sieci WAN przedsiębiorstwa oraz ochrona użytkowników w zdalnej lokalizacji. Zoptymalizowane połączenie WAN w celu polepszenia komfortu pracy ze zdalnej lokalizacji. Zintegrowany, bezpieczny WLAN pokrywający do 280 m. kw. 13

In Action: Zarzdzanie bezpieczestwem zgodno z PCI Headquarters (Enterprise Campus) Retail Outlet FortiAnalyzer Non-PCI Network Segment PCI Network Segment Segment właścicieli kart oraz danych w tej samej strukturze fizycznej Centralne kolekcjonowanie i analiza logów Generowanie raportów zgodności dla sieci przewodowych i bezprzewodowych Raporty typu Drill down na użytek informatyki śledczej. 14

In Action: Zarzdzanie polityk bezpieczestwa Headquarters (Enterprise Campus) FortiManager Provisioning zdalnych użadzeń poprzez template y konfiguracji. Centralne polityki firewalli. Kontrola praw dostępu w przedsiębiorstwie Zapewnienie bezpieczeństwa treści (URL blacklisty, sygnatury, etc.) aktualizacje. Utrzymanie aktualnych wersji oprogramowania firewalli. Multiple FortiGate/FortiWiFi Devices 15

Narzdzia monitorowania i zarzdzania FortiAnalyzer Centralized Log & Reporting FortiManager Centralized Management FortiCloud Hosted Security Management & Log Retention 16 Also Available as Virtual Appliance

Weryfikacja tosamoci uytkowników wewntrznych oraz klientów. Strong Authentication and Authorization RADIUS and LDAP Authentication External LDAP integration Two-factor auth with hardware, mobile, SMS and e-mail tokens REST API 802.1X Port Access Control IEEE802.1X supporting EAP-TTLS, EAP-TLS, PEAP, EAT-GTC MAC address bypass Certificate Authority X.509 Certificate signing (CA) Certificate distribution via SCEP User Certificate binding Revocation Fortinet Single Sign On Active Directory Polling Single Sign-on Portal Embedded widgets FortiClient User ID Carrier RADIUS Integration 17

Zagroenia dla cigoci dziaania ataki DDoS Bulk Volumetric Application Layer Cloud Infrastructure Zaprojektowane aby wysycić pasmo internetowe lub zasoby serwerów (np. SYN, UDP, ICMP floods). Problemy: Usługi niedostępne dla użytkowników Mogą ukrywać kradzież danych Zwiększjące się rozmiary ataków Istnieją środki skutecznej ochrony Mniejsze, bardziej zaawansowane ataki sięgające warstwy aplikacji dla usług HTTP, SMTP i HTTPS. Problemy: Omijają tradycyjne środki ochrony Najszybciej rozwijający się typ ataku Trudne do wykrycia Łatwiejsze do zarządzania przez przestępców Nowoczesne ataki są wycelowane w elementy infrastruktury cloud np. firewalle, serwery mail czy web. Problemy: Skomplikowane wymagania ochrony Dotykają wielu klientów Kombinacje różnych ataków DDoS Konieczność ochrony wielu lokalizacji. 18

Ochrona przed atakami DDoS DDoS Service Provider Model usług zarządzanych z opcjami detekcji oraz ochrony. Za: Łatwa subskrypcja Łatwe uruchomienie Przeciw: Kosztowne Koszty trudne do przewidzenia Mała elastyczność Firewall/IPS Zintegrowane urządzenia firewall, IPS i DDoS. Za: Pojedyncze urządzenie Mniej elementów do zarządzania Przeciw: Brak wykrycia ataków L7 Może wymagać licencjonowania Duży wpływ na wydajność Dedicated Appliance Detykowane urządzenie w data center zapewniajace ochronę przed atakami DDoS w warstwie 3, 4 i 7. Za: Przewidywalne koszty Ochrona przed atakami w warstwie aplikacji. Przeciw: Dodatkowe urządzenie do zarządzania. Nie chroni przed atakami wolumetrycznymi Może wymagać aktualizacji sygnatur 19

Zapewnienie poufnoci i integralnoci, ochrona przed szkodliwym oprogramowaniem Hackerzy wykorzystuj masowo sieci botnet Obserwowany jest znaczny wzrost ataków DDoS w warstwie 7 atwa dostpno narzdzi do przeprowadzenia ataków przez Hacktivistów Skanery, crawlery zalewaj serwery webowe. Wiele zaifekowanych stacji klienckich Dominacja ataków SQL Injection/XSS Web Application Servers 20

Nowe podejcie do zapewnienia bezpieczestwa aplikacji Firewalle sieciowe wykrywaj ataki sieciowe Sprawdzaj IP i port IPS sprawdzaj ruch pod wzgldem sygnatur Moliwe jest ominicie sygnatur Brak ochrony dla ruchu SSL Brak rozumienia HTTP (nagówki, parametry, etc) Brak wiadomoci aplikacji Brak wiadomoci uytkowników Dua liczba false positive Network Firewall IPS/Deep Packet Inspection Firewalls FortiWeb Web Application Firewall Network layer (OSI 1-3) Application layer (OSI 4-7) Tylko Web Application Firewalle mog wykry i zablokowa ataki w warstwie aplikacji 21

OWASP Top 10 Standard zabezpieczenia aplikacji web WAF OWASP Top 10 Injection Cross-Site scripting Broken Authentication and session management Insecure Direct Object References Cross-Site Request Forgery (CSRF) Security Misconfiguration Insecure Cryptographic Storage Failure to Restrict URL Access Insufficient Transport Layer Protection Unvalidated Redirects and Forwards Ochrona FortiWeb FortiWeb zapewnia wielowarstwową ochronę przed atakami wymieniamymi w OWASP Top 10 Pozytywne i negatywne modele bezpieczeństwa Bezpośrednia ochrona przed wieloma atakami Zaawansowane profile Auto Learn pomagają indentyfikować normalne zachowanie oraz zabezpieczyć przed nieuprawnionym dostępem do źle skonfigurowanych serwerów oraz referencjami do niebezpiecznych obiektów. Predefiniowane polityki DLP zabezpieczają przed przypadkowym wyciekiem danych. Zabezpieczenie przed cookie poisoning, zarządzanie sesjami i kontrola przepływów zabezpieczją przed atakami mającymi na celu ominięcie procesów uwierzytelnienia i autoryzacji. 22

23 Dziękuję