Tradycja i nowoczesność – bankowość spółdzielcza.

Szczyrk, 16 listopada 2006 r.

Rozwój teleinformatyczny Rozwój teleinformatyczny – – wyzwania i wyzwania i ryzykaryzyka

Piotr Wróbel Asseco Poland S.A.

Agenda

Wprowadzenie – zasoby teleinformatyczne Zjawiska i trendy Ryzyka i metody przeciwdziałania Podsumowanie

Środowisko IT – zakres

I N F

O R

M A

C J

A

Środowisko IT - cechy Funkcjonalne

Mobilność - praca poprzez sieć Heterogeniczność struktury – sprzęt/systemu

operacyjne/aplikacje Złożoność – brak pewności co do jakości funkcjonowania IT Zróżnicowanie produktowe - podobne funkcjonalności w

różnych obszarach IT

Organizacyjne Niedoinwestowanie – braki funkcjonalne w wielu obszarach IT Marnotrawstwo zasobów – zakupione produkty nie są

wystarczająco wykorzystane Sprawność „na dziś” – brak spójnej polityki serwisowej,

ciągłości działania i reagowania w sytuacji kryzysowej

Środowisko IT – postępujące zjawiska Postępująca unifikacja protokołów – http/https, IPSec

Centralizacja aplikacji/systemów – tworzenie centrów przetwarzania danych

2w1 – łączenie wielu funkcjonalności w jednym urządzeniu/oprogramowaniu

Miniaturyzacja – coraz większa moc i funkcjonalność w mniejszej obudowie

Dezaktualizacja - nieustanna konieczność uaktualniania produktów

Konkurencyjność – walka pomiędzy producentami i ich wzrost niesie spadek jakości i pogoń za niską ceną

Trendy

Mobilność – zanika różnica między urządzeniami

Telefon jak komputer Przenośny odtwarzacz audio/video jak komputer Aparat fotograficzny, kamera jak komputer

Łączność – nadrzędny cel bez względu na środki

Chcemy mieć dostęp do sieci w każdym miejscu

Otwartość Dostęp do internetu i świadczenie usług przy jego

wykorzystaniu to już nie ekstrawagancja to norma!

Nowe technologie

Poufność Technologia VPN over SSL

Tożsamość Uwierzytelnianie za pomocą telefonu

komórkowego Biometryka – tęczówka, skanowanie twarzy,

rozpoznawanie mowy, odcisk dłoni Łączność

WiMAX – nowy standard w sieciach MAN Wydajny WiFi 2,4 GHz (MiMO) – 802.11n 108 Mb/s GPRS/Edge, UMTS

Komunikatywność Telefonia IP Instant Messaging (gg, tlen itp..)

Przykłady zagrożeń…, a jakie ryzyko??? Jak często nie sprawdzamy pochodzenia i wiarygodności

ściągając i instalując skompilowane oprogramowanie? Jak często zapominamy o archiwizacji zasobów

dyskowych naszej stacji roboczej? Jak często zostawiamy laptopa, telefon komórkowy,

klucze do serwerowni lub biura w samochodzie? Czy zawahamy się przed skorzystaniem z bezpłatnego

dostępu do sieci internet w miejscu nam nieznanym? Skąd wiemy, że systemy radiowe naszego komputera lub

telefonu nie łączą się z innymi, sąsiednimi systemami? Co zrobimy gdy znajdziemy na parkingu przed wejściem

do firmy pamięć flash?

Z życia wzięte …

Przykłady zagrożeń…, a jakie ryzyko???

…musisz usuwać niechcianą pocztę?

…musisz czyścić system lub go odzyskiwać po infekcji wirusów?

…musisz odzyskiwać bazę bankową z uszkodzonej lub źle wykonanej kopii bezpieczeństwa?

…musisz zapewnić łączność placówce nie dysponując łączem zapasowym?

…musisz szybko uruchomić system bankowy po awarii serwera nie dysponując zapasowym

A co dopiero gdy …

Nie wierzycie…?

Ernst&Young – Światowe Badanie Bezpieczeństwa Informacji 2005

Jak temu zaradzić? Fizycznym i technicznym

Zasilanie energetyczne budynku Lokalizacja, obiekt Gaszenie, wentylacja

Sprzętowo-programowym Odpowiednia konfiguracja i struktura aplikacji Dobrany i przygotowany sprzęt informatyczny Umowy serwisowe i konserwacyjne Regularna aktualizacja

Organizacyjno-kadrowym Personel administracyjny Polityka bezpieczeństwa Szkolenia Procedury postępowania

Lokalizacja fizyczna Sprzęt System operacyjny Aplikacja Interfejs Użytkownik

Założenia systemu – musimy być pewni czego chcemy Inwentaryzacja zasobów - „może coś już mamy?” Wybór integratora – Asseco Wybór technologii – cena to nie wszystko! Wybór implementacji - „wycisnąć ile się da, ale nie wdrażać

zbędnych funkcjonalności” Kontrola jakości - testy, testy, testy – nie tylko w trakcie,

zaraz po wdrożeniu ale podczas całego okresu użytkowania Szkolenia

Jak realizować?

Przeciwdziałanie

P r o d u k t y

Check Point Integrity – endpoint security Zapora sieciowa

Personalny system firewall – wymusza polityke bezpieczeństwa na stacji Predefiniowane strefy bezpieczeństwa:Trusted, Internet, Blocked Przynależność poszczególnych obiektów do stref Reguły dostępu do predefiniowanych stref – dla aplikacji Przypisywanie polityk do użytkowników i grup użytkowników

System IPS Zabezpiecza przed trojanami, robakami i atakami wirusów Zatrzymuje złodziei danych (anty-spyware) Zabezpieczanie plików (np.: wykonywalnych)

Bezpieczeństwo OS Optymalizuje wykorzystanie łącza Eliminuje zagrożenia komunikatorów sieciowych Zabezpieczanie rejestru Windows Uaktualnianie antywirusa, poziomu patchy

Zarządzanie Centralne zarządzanie, logowanie i raportowanie Uaktualnianie i instalacja reguł bezpieczeństwa na końcówce w czasie rzeczywistym

Bezpieczeństwo zgromadzonych danych Szyfrowanie zasobów – SafeBoot – produkt bezpieczeństwa dla wszystkich urządzeń

przenosnych (dwukładnikowe) uwierzytelnianie Pre-Boot – szyfrowanie dysków i partycji Przeźroczyste i automatyczne szyfrowanie Mocna kryptografia (RC5-1024/AES-256) Uwierzytelnianie wspiera tokeny (USB) Centralnie zarządzany system szyfrowania stacji roboczych Wymuszanie polityki bezpieczeństwa na stacji roboczej – blokada urządzeń USB,

wymuszanie odpowiednich haseł itp.., kto i kiedy może skorzystać ze stacji Centralne zarządzanie z podziałem na użytkowników, grupy i stacje robocze Certyfikacja FIPS 140 W pełni przeźroczysty w użyciu, automatyczne szyfrowanie/deszyfrowanie Praktyczny brak degradacji wydajności na urządzeniu Wsparcie dla wielu języków (w tym PL)

Trwałe usuwanie danych Oprogramowanie Blancco Data Cleaner – m.in.. Certyfikat ABW do klauzuli „tajne” Urządzenia firmy Verity Systems: SV91M Degausser

Audyt i monitorowanie stanu „końcówki” Katapulta firmy Avet - lokalny skaner

bezpieczeństwa dla systemów Windows NT/2000/XP/2003

Nie wymaga instalacji! Nie modyfikuje systemu! Zastosowanie jako:

Audyt zgodności z ISO 17799 i ISO 27001 Zarządzanie podatnościami, identyfikacja

brakujących poprawek i niebezpiecznych konfiguracji

Główne zalety: Dostarcza rzeczywistych informacji o

podatnościach i poprawkach Posiada dostęp do wszystkich elementów

konfiguracji więc pozwala na kompleksową kontrolę polityki bezpieczeństwa

Przeprowadza testy w sposób bezpieczny dla systemu

Umożliwia skanowanie logów

Partnerzy

Dziękuję

Piotr.Wrobel@Asseco.pl

http://www.Asseco.pl

Prezentacja systemu

Zarządzanie

MailServer

MS W2K Pro

Zapora sieciowa

WebServer

HP PCM + IDMRadius ServerMS Active Directory

NetScreen Security Manager

NetDetector

Stacja robocza Windows XP

AV Gateway

Przykłady zagrożeń…, a jakie ryzyko???Henryk Walencik, Dyrektor Departamentu Bezpieczeństwa i

Administracji w Banku BPS SA. – Bezpieczeństwo jest dziedziną, w której potrzebne jest stałe udoskonalanie. Jeszcze parę lat temu najważniejsze było zabezpieczenie placówek przed przestępstwami rozbójniczymi, tj. włamania, napady. Obecnie zagrożeniem dla banków, nie tylko spółdzielczych, są przestępstwa wykonywane w tzw. „białych kołnierzykach” i tym przestępstwom musimy przeciwdziałać.

Prezentacja systemu

Zarządzanie

MailServer

Serwer kwarantanny

Zapora sieciowaWeb

Server

Stacja klienta

HP IDM, PCM+

Brak zalogowania lub nieprawidłowe hasło

Logowanie poprawne

Opcja podstawowa Logowanie zdarzeń związanych z pracą systemów bezpieczeństwa: zapór

sieciowych, systemów IPS Archiwizacja logów zdarzeń Przygotowywanie zbiorczych raportów bezpieczeństwa systemów dla personelu

administracyjnego i kadry zarządzającej Przekazywanie informacji o nowych zagrożeniach infrastruktury informatycznej wraz

z propozycją działań zapobiegawczych Opcja rozszerzona

Zakres opcji podstawowej Wykonywanie na zlecenie odbiorcy rekonfiguracji struktury w ramach wdrożonych

funkcjonalności Rozszerzanie funkcjonalności w oparciu o specjalne dedykowane ceny Wykonywanie niezbędnych uaktualnień elementów wchodzących w skład systemu

bezpieczeństwa Przygotowywanie koncepcji rozwoju infrastruktury bezpieczeństwa Poddawanie systemu okresowym audytom Backup i archiwizacja konfiguracji Aktualizacja dokumentacji oraz procedur administracyjnych

Zarządzanie bezpieczeństwem infrastruktury teleinformatycznej

Infrastruktura sieciowa Połączenia przewodowe

HP - switche Cisco – switche/rutery Juniper - rutery

Połączenia bezprzewodowe Redline Communications - WiMAX HP ProCurve - WiFi

WANWAN MANMAN LANLAN PANPAN

3G3GWCDMAWCDMA

GPRSGPRSEDGEEDGE

WiMAXWiMAX802.16802.16

BroadbandBroadband

Wi-FiWi-Fi802.11802.11

BluetoothBluetoothRFIDRFID

ATMATMFRFRPPPPPPSDHSDH

DSLDSLISDNISDN

EthernetEthernetFDDIFDDI

TokenRingTokenRing

RS-232RS-232LPTLPT

USBUSBFireWireFireWire

Bezpieczeństwo systemów i aplikacji sieciowych

Zapory sieciowe - firewall Check Point / Crossbeam, HP Juniper NetScreen

Wykrywanie i zapobieganie włamaniom - IPS

Juniper NetScreen-IDP Check Point InterSpect ISS Proventia G

Kontrola kontekstowa – AV gateway eSafe Aladdin VirusWall Trend Micro F-Secure

Bezpieczeństwo transmisji – VPN Juniper Neoteris Check Point Connectra

Analiza powłamaniowa – IFS Niksun NetDetector

WebServer

Zarządzanie

Użytkownicy lokalni

MailServer

Zapory

Serwery aplikacyjne

Zapory

Użytkownicy zdalni

Użytkownicy zdalni

AV Gateway

WANWAN

Instytucje zewnętrzne

WANWAN

IPS

Zapora

IPS

IPS

IPS

Bezpieczeństwo „końcówki” System operacyjny i aplikacje

Zarządzanie Check Point Integrity Novell ZEN Works

Szyfrowanie zasobów (dysków i partycji) SafeBoot

Ochrona antywirusowa Trend Micro

Audyt i monitorowanie Katapulta

Użytkownik Uwierzytelnianie

RSA Authentication Manager (ACE/Server) ActivIdentity (dawny ActivCard) Wheel CERB

Pojedyncze logowanie ActivIdentity SecureLogin

Usługi dodatkowe Konsulting

Realizacja długofalowych koncepcji rozwoju IT Doradztwo w zakresie doboru odpowiedniej technologii i implementacji Przygotowywanie analiz i specyfikacji wymagań systemów

bezpieczeństwa IT

Serwis i wsparcie techniczne Serwis standardowy i rozszerzony

Diagnoza przyczyny i miejsca awarii Naprawa sprzętu, oprogramowania i przywrócenie funkcjonalności systemu

Nadzór eksploatacyjny i wsparcie techniczne Konsultacje telefoniczne Pomoc eksploatacyjna w pierwszych tygodniach użytkowania Instalacja nowych wersji oprogramowania

Monitoring systemów informatycznych Pro-aktywne śledzenie systemów Reakcja na potencjalnie mające wystąpić problemy i awarie Zarządzanie bezpieczeństwem infrastruktury teleinformatycznej

Usługi internetowe – zarządzanie i dostępność Systemy poczty elektronicznej

Postfix SunONE Messaging Server

Zarządzanie http – EIM (Employee Internet Management) WebSense BlueCoat Squid

Sterowanie dostępem i pasmem Sterowanie pasmem – QoS/kompresja

Rutery i zapory sieciowe Juniper WX

Podział obciążenia Nortel Application Switch and VPN Gateway – Alteon load balancer + SSL

terminator Radware Application Switch Juniper DX

Jak zrealizować system ochrony?… Analiza wymagań

specyfikacja założeń ilościowych specyfikacja założeń funkcjonalnych

Dobór optymalnego rozwiązania Wybór technologii Wybór platformy sprzętowej Określenie rodzaju implementacji Specyfikacja wymagań zamówienia

Prace projektowe Projekt lub dokumentacja wykonawcza Harmonogram wdrożenia

Wdrożenie Dostawa sprzętu i oprogramowania Wykonanie prac instalacyjno-konfiguracyjnych Kontrola jakości

Prace powdrożeniowe Szkolenie personelu administracyjnego Dokumentacja powykonawcza Procedury eksploatacyjne Wsparcie powdrożeniowe

Serwis i utrzymanie Wsparcie i serwis rozwiązania w ramach wdrożonej funkcjonalności Wsparcie rozwiązania obejmujące nadzór nad rozwiązaniem i jego rozwój Wizyty konsultacyjne w miejscu wdrożenia

Infrastruktura sieciowa – Redline RedMAX WiMAX – co to jest?

Pasma Licencjonowane pasmo 3,5 GHz (3,4-3,6GHz) Nielicencjonowane pasmo 5,8 GHz (w Polsce zdyskwalifikowane przez duże ograniczenie mocy) Przyszłość: 3,6-3,8 GHz (w Polsce został już rozpisany przetarg – unieważniony)

Technologia Standard IEEE 802.16 definiuje PHY (radio) i protokół transmisji warstwy drugiej, 802.16e –

mobilny standard obejmujący karty dla urządzeń przenośnych Zakres częstotliwości: 2 – 66 GHz OFDM – kluczowa technologia ze względu na obszar wysokiej zabudowy Certyfikacja: WiMAX Forum Certified Standardy pracy: PTP (w celu retransmisji sysgnału) i PMP (w celu dystrybucji sygnału)

Urządzenia AN100

Pierwsze na świecie urządzenie zgodne z 802.16 - certyfikowane PTP i PMP w paśmie 3.3-3.8 GHz Kanały 3.5, 7 i 14 MHz Dane (>50 Mbps net/14 MHz) + TDM (do 8 E1/T1 portów) QoS do wspierania 5 poziomów SLA, 1000s service flows per sektor OFDM Klasyfikacja L2/L3 i VLAN tagging/management Wspiera uwierzytelnianie i szyfrowanie (128 bit)

SUO Certyfikowany przez WiMAX Forum CPE (Interoperable) 3.4-3.6 GHz Interfejsy: Ethernet (PoE) + (E1/T1, VoIP, or POTS) Praca bez widoczności optycznej (Robust OFDM) Dynamiczne Quality of Service (QoS) Bezpieczny (AES, DES) Zarządzenie poprzez scentralizowany system

Katapulta

Audyt, Zarządzanie Podatnościami, Analiza logów

Katapulta - zastosowania Audyt wewnętrzny

„Compliance check” Sarbanes-Oxley (SOX) ISO 17799 ISO 27001

Weryfikacja procesu „patch management” Inspektor bezpieczeństwa

Zarządzanie podatnościami Identyfikacja brakujący poprawek Identyfikacja niebezpiecznych konfiguracji

Integrator Pomoc przy opracowywaniu polityki bezpieczeństwa dla systemów

Windows NT i nowszych Administrator

Identyfikacja brakujących poprawek

Skaner lokalny vs sieciowy Skaner lokalny dostarcza rzeczywistych informacji o

podatnościach i poprawkach Skaner lokalny nie musi „zgadywać” na podstawie ruchu

sieciowego czy system jest podatny Skaner lokalny ma dostęp do wszystkich elementów

konfiguracji więc pozwala na kompleksową kontrolę polityki bezpieczeństwa

Skaner lokalny może przeprowadzać testy w sposób bezpieczny dla systemu

Skaner lokalny jest szybszy podczas skanowania systemu Skaner lokalny umożliwia skanowanie loków

Katapulta – doskonałe narzędzie dla audytorów Stworzone przez audytorów dla audytorów i

inżynierów bezpieczeństwa Stale rozwijany Nie wymaga instalacji Skanuje tylko to co naprawdę chcemy kontrolować Niezwykle szybki w działaniu Umożliwia porównywanie raportów

Katapulta

Naciśnij „Scan” aby

rozpocząć test

Niebezpieczne serwisy

Analiza praw dostępu i struktury IIS

Niebezpieczna konfiguracja

Zainstalowane aplikacje

Zainstalowane hotfixy

Analiza i statyski logów

Polityki

Polityki

Co będzie w wersji 2.5? Katapulta Exploit Manager

Zewnętrzne modułu zawierającego gotowe do użycia exploity

Exploity lokalne i zdalne Automatyzacja testów penetracyjnych

Zdalne skanowanie sieciowe Automatyczne aktualizacje

Bezpieczeństwo systemów sieciowych – Juniper Networks

WebServer

Zarządzanie

Użytkownicy lokalni

MailServer

Serwery aplikacyjne

Użytkownicy zdalni

Użytkownicy zdalni

WANWAN

Instytucje zewnętrzne

WANWAN

Dlaczego jest dużo do zrobienia?…

IDC – Konferencja Roadshow CEE 2005 Do 2008 roku w regionie Europy Centralnej i Wschodniej najszybciej

będą rosły wydatki na usług związane z bezpieczeństwem IT; systemy zarządzania treścią, zapory ogniowe oraz systemy autoryzacji i uwierzytelniania użytkowników. Zainteresowaniem cieszyć się będą także dedykowane urządzenia z wbudowanym oprogramowaniem obsługującym bezpieczeństwo.

W Polsce, w porównaniu z krajami takimi jak Czechy, Węgry czy Słowacja, o wiele mniej wydaje się na usługi związane z bezpieczeństwem IT. Stosunek wydatków na usługi do wydatków na oprogramowanie wynosi 30 do 70. W innych krajach regionu Europy Środkowej i Centralnej jest niemal dokładnie odwrotnie.

System bezpieczeństwa jest tak silny jak jego najsłabsze ogniwo.

Definicje Firewall – Security Gateway System

Kompleksowy system kontroli ruchu pomiędzy różnymi funkcjonalnie segmentami sieci IP

Zapewnia budowę bezpiecznych kanałów VPN w oparciu o sieci publiczne Zarządzanie dostępnym pasmem transmisyjnym

IPS –Intrusion Prevention System Popularnie zwany in-line IDS, bądź IPS Wykrywa i przeciwdziała intruzom Loguje i powiadamia o wykryciach i reakcji na nie

AV – Antivirus Gateway System Niezależny system poddający bezpośredniej kontroli zawartości ruch

powszechnie stosowanych w sieci Internet protokołów

IFS –Intrusion Forensic System Często mylone z IDS’ami, znane także pod nazwą NFAT (Network

Forensisc Analysis Tool) Poddaje logowaniu i archiwizacji całość ruchu sieciowego Na podstawie zebranych informacji generuje raport