Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych



Podobne dokumenty
Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

Zagrożenia mobilne w maju

Podstawy bezpieczeństwa

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Bezpieczeństwo bankowości internetowej

Innowacja Technologii ICT vs Człowiek

Nie śpię, bo łatam modemy!

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Operator telco na pierwszej linii ognia. Obywatele, biznes a cyberbezpieczeństwo

Ochrona biznesu w cyfrowej transformacji

Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

do podstawowych zasad bezpieczeństwa:

Agenda. Rys historyczny Mobilne systemy operacyjne

n6: otwarta wymiana danych

CERT POLSKA. Raport Przypadki naruszające bezpieczeństwo teleinformatyczne

Audytowane obszary IT

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Technologia Automatyczne zapobieganie exploitom

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Internet Explorer. Okres

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

PODSUMOWANIE ATAKÓW PHISHING SZYBKIE PŁATNOŚCI

Bezpieczeństwo informatyki bankowej specyfika banków spółdzielczych

RAPORT 2 KWARTAŁ bankowość internetowa i mobilna, płatności bezgotówkowe

Metody ochrony przed zaawansowanymi cyberatakami

Największe zagrożenia dla biznesu w roku 2015

Bezpieczeństwo systemu ebanknet w Banku Spółdzielczym w Brańsku

4383: Tyle podatności wykryto w 2010 r. Przed iloma jesteś chroniony? 2010 IBM Corporation

Opis Przedmiotu Zamówienia na realizację audytów dla poszczególnych Inicjatyw i infrastruktury IT w ramach projektu euczelnia

DZIEŃ BEZPIECZNEGO KOMPUTERA

Agenda. Quo vadis, security? Artur Maj, Prevenity

SIŁA PROSTOTY. Business Suite

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa,

dr Beata Zbarachewicz

Najpopularniejsze błędy i metody ataków na aplikacje bankowe. Rafał Gołębiowski Senior Security Officer, Bank BGŻ BNP Paribas S.A.

Najważniejsze trendy i zjawiska dotyczące zagrożeń teleinformatycznych w Polsce. Rafał Tarłowski CERT Polska/NASK

Projekty realizowane w Banku Polskiej Spółdzielczości S.A. przy współudziale i na rzecz Zrzeszenia BPS

Raport: bankowość internetowa i mobilna płatności bezgotówkowe. 1 kwartał 2018

Bankowość elektroniczna jako nowa furtka dla państwowych e-usług, na przykładzie PKO Bank Polski

Agenda. Urządzenia mobilne w transakcjach elektronicznych. - szanse i zagrożenia. Artur Maj, Prevenity. Przegląd rynku urządzeń mobilnych

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem

Powstrzymywanie zaawansowanych, ukierunkowanych ataków, identyfikowanie użytkowników wysokiego ryzyka i kontrola nad zagrożeniami wewnętrznymi

JAK DOTRZYMAĆ KROKU HAKEROM. Tomasz Zawicki, Passus

ATAKI NA SYSTEMY KOMPUTEROWE POZNAJ SWOJEGO WROGA. opracował: Krzysztof Dzierbicki

Raport: bankowość internetowa i mobilna płatności bezgotówkowe. 1 kwartał 2019

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM

Raport CERT NASK za rok 1999

Porozmawiajmy o pieniądzach. Jak wykorzystać płatności elektroniczne w przyjmowaniu opłat geodezyjnych.

Express ELIXIR i OGNIVO

Platforma Bankowości Mobilnej dla grupy

Bezpieczeństwo usług oraz informacje o certyfikatach

WARTO BYĆ RAZEM. Bank Zachodni WBK liderem. Maciej Biniek, czerwiec 2008

Malware przegląd zagrożeń i środków zaradczych

Monitoring stanu zagrożeń dla bezpieczeństwa teleinformatycznego Polski

Kaspersky Hosted Security

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

Bezpieczne Wi-Fi w szkole

Raport: bankowość internetowa i mobilna płatności bezgotówkowe. 2 kwartał 2018

Zarządzanie bezpieczeństwem informacji w urzędach pracy

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Najważniejsze cyberzagrożenia 2013 r.

Szkolenie Ochrona Danych Osobowych ODO-01

RAPORT. Cyberzagrożenia według polskich firm. Networking Unified Communication Data Center IaaS Security End to end

z testów penetracyjnych

Czy rzeczywiście jest szansa na skuteczne wdrożenie usług e-zdrowia? Marcin Ścieślicki

Urządzenia mobilne Nowe szanse, nowe zagrożenia FWZQJAEHEPQABIRQS

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

MITY. Internet jest ZŁY Internet jest niebezpieczny W Internecie jestem anonimowy Hakerzy to złodzieje

Raport: bankowość internetowa i mobilna płatności bezgotówkowe. 4 kwartał 2018

Rozpoczynamy pracę nad stworzeniem wspólnego krajowego standardu płatności mobilnych

Jak uchronić Twój biznes przed cyberprzestępczością

ZDALNA IDENTYFIKACJA I TRANSAKCJE ELEKTRONICZNE - KIERUNKI ZMIAN W KLUCZOWYCH PROCESACH CYFROWEJ BANKOWOŚCI. Warszawa,

Konferencja w ramach projektu ROZWÓJ ELEKTRONICZNEJ ADMINISTRACJI W SAMORZĄDACH WOJEWÓDZTWA MAZOWIECKIEGO WSPOMAGAJĄCEJ NIWELOWANIE DWUDZIELNOŚCI

Dekalog bezpieczeństwa w Internecie

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Zdobywanie fortecy bez wyważania drzwi.

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

informacji w obszarze jakości danych

BEZPIECZEŃSTWO BANKOWOŚCI DETALICZNEJ

Malware: złośliwe oprogramowanie. Marek Zachara. 1/18

Zasady bezpiecznego korzystania z bankowości elektronicznej

Zarządzanie informacją i wiedzą w usługach o podwyŝszonym poziomie bezpieczeństwa. Poznań,

Botnet Hamweq - analiza

Program ochrony cyberprzestrzeni RP założenia

Otwock dn r. Do wszystkich Wykonawców

Reforma ochrony danych osobowych RODO/GDPR

Klienci PKO Banku Polskiego pokochali bankowość mobilną #2milionyIKO. Warszawa, 6 grudnia 2017 r.

BANKOWOŚĆ INTERNETOWA

Trendy w bezpieczeństwie IT. Maciej Ogórkiewicz, Solidex S.A.

Transkrypt:

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych Prezentacja na Forum Liderów Banków Spółdzielczych Dariusz Kozłowski Wiceprezes Centrum Prawa Bankowego i Informacji sp. z o.o. Warszawa, 17 18 września 2012 r

Co to jest podatność? Słabość systemu, która pozwala atakującemu na naruszenie bezpieczeństwa informacyjnego systemu. Jest wypadkową trzech elementów: ułomności systemu dostępu atakującego do wiedzy o ułomnościach możliwości dokonania ataku wykorzystującego ułomność

O czym mówimy? zablokowano 5,5 miliarda ataków (wzrost w stosunku do 2010 o 81%) średnio odnotowano 4.595 ataków dziennie na aplikacje internetowe 50 % ataków było przeprowadzane przeciwko dużym przedsiębiorstwom skradziono ponad 232 milionów tożsamości (8 % incydentów związanych z wyciekiem danych dotyczyło sektora finansowego) wykryto ponad 55 000 złośliwych domen (z czego 61% to domeny zainfekowane) 10 % zainfekowanych stron internetowych należało do sektora finansowego ponad 1/3 stron internetowych ma co najmniej jedną podatność, a ponad 25 % ma podatności krytyczne, ponad 3 miliony zainfekowanych komputerów działających w botnetach Źródło: Raport Symantec (INTERNET SECURITY THREAT REPORT, kwiecień 2012)

O czym mówimy? w Polsce znajduje się ponad 160 tysięcy źle skonfigurowanych serwerów DNS, które mogą być wykorzystywane w atakach DDoS (problem dotyczy w zasadzie wszystkich operatorów) coraz więcej spamu pochodzi z sieci operatorów mobilnych (dotyczy ich już niemal co piąte zgłoszenie) serwisy oferujące darmowe aliasy są coraz częściej wykorzystywane przez przestępców: aż w 84% phishing był umieszczony w domenie.pl 25% złośliwego oprogramowania łączącego się do polskich sieci, wykorzystywało darmowe subdomeny wzrost phishingu aż o 1/3 w stosunku do 2010 roku (większość przypadków dotyczyła zagranicznych podmiotów finansowych). Źródło: Raport Cert Polska 2011 (Analiza incydentów naruszających bezpieczeństwo teleinformatyczne)

Czy na pewno jesteśmy bezpieczni? luty - pojawił się nowy wariant Zeusa atakujący polskich użytkowników (atakujący mógł czytać i modyfikować informacje - np. zawierające kody autoryzacji transakcji) kwiecień ukierunkowany atak na użytkowników Internetu (mail z fałszywą fakturą, po otwarciu której instalował się trojan SpyEye i następowało przejęcie kontroli nad komputerem - wykradane wszystkie poufne informacje, w tym także te z systemów bankowości elektronicznej) od końca kwietnia do czerwca 2011 r. doszło do wielu wycieków danych klientów usług elektronicznych (dane o ok. 100 mln kont i 10 mln kart kredytowych) jesień - pojawiła się nowa wersja Zeusa, wykorzystująca do propagacji i komunikacji z kontrolerem stworzoną przez siebie sieć peer-to-peer oraz generowanie nazw domen Źródło: Raport Cert Polska 2011 (Analiza incydentów naruszających bezpieczeństwo teleinformatyczne)

Cel projektu udostępnienie bankom pakietu usług ułatwiających zarządzanie bezpieczeństwem infrastruktury informatycznej oraz aplikacji internetowych w kierunku proaktywnego wykrywania ewentualnych ich podatności na ataki hakerskie Główne założenia projektu podniesienie aktywnego i biernego bezpieczeństwa infrastruktury IT w banku synergia rozwiązania - obniżenie jednostkowych kosztów ca 50% niższe koszty rozwiązania brak kosztów utrzymania infrastruktury po stronie banku (oprogramowanie typu SaaS) szybkość wdrożenia minimalny nakład pracy po stronie banku poufność danych żadne dane pochodzące ze skanowania nie opuszczają ZBP możliwość wykonywania scoringów z obszaru bezpieczeństwa dla całego sektora bankowego

Idea projektu Pomoc w wykryciu usterek i zarządzaniu naprawami co w konsekwencji ma zapobiec przeniknięciu hakerów z sieci zewnętrznej

Idea projektu Związek Banków Polskich uruchomi oprogramowanie w formie usługi nie wymagającej instalacji i konserwacji po stronie Banku. na zamówienie Banku oprogramowanie skanuje urządzenia z dostępem do Internetu, będące składnikami sieci, które mogą stanowić cel hakerów. skanowanie aplikacji internetowych pod kątem ich podatności na ataki będące wynikiem zarówno błędów w samych aplikacjach, jak również podatności bibliotek programistycznych użytych do ich tworzenia Efektem działania oprogramowania jest udostępnienie czytelnego raportu o wykrytych podatnościach, zawierającym m.in.: informacje o skanowanym komponencie wykrytych podatnościach (źródle, stopniu krytyczności razem z punktacją CVSS v.2) sposobie usunięcia podatności (łącznie z odnośnikami do stron zawierających poprawki udostępnione przez producentów sprzętu i oprogramowania).

Etapy uruchamiania projektu 1. Etap pilotażowy, demonstracyjny W ramach pilotażu zostaną wykonane darmowe skanowania w kliku wybranych, potencjalnie zainteresowanych uruchomieniem usługi bankach w zamian za raport o wykrytych podatnościach. Skanowanie będzie przeprowadzone przez ZBP z zewnątrz na wskazanym przez bank adresie IP. 2. Etap produkcyjny Warunkiem koniecznym do uruchomienia usługi jest pozyskanie minimum 10 Banków zainteresowanych pakietem co najmniej 5 adresów IP na skany infrastruktury i aplikacji.

Dziękuję za uwagę Dariusz Kozłowski Centrum Prawa Bankowego i Informacji Sp. z o.o. 00-380 Warszawa, ul. Kruczkowskiego 8 tel. (22) 48 68 405 e-mail: dariusz.kozlowski@cpb.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres