bezpieczeństwo a zarządzanie ryzykiem

advertisement
Bezpieczeństwo pracy w sieciach informatycznych
- Zabezpieczenie infrastruktury
DOTCOM Sp. z o.o. – www.dtcom.pl
•Andrzej Zienkiewicz – Vice Prezes
•Maciej Kulka – Opiekun Kluczowych Klientów
•Jacek Gawrych – Inżynier Systemowy
ANKIETA
•Bez papierowych kwestionariuszy
•7 pytań – po 1 punkt za każde
•Każdy dodaje swoje punkty w pamięci
•Może być anonimowa
START!
PYTANIE NR 1
1Zarządzam
PUNKT firmą.
b.
sięstopniu
przedekieruję
wszystkim
o to, co jest
a. Martwię
W dużym
się zapewnieniem
teraz.
jej ciągłości niezakłóconego działania przez
najbliższych kilka lat
0b.PUNKTÓW
Martwię się przede wszystkim o to, co jest
a. Wteraz
dużym stopniu kieruję się zapewnieniem
jej ciągłości niezakłóconego działania przez
najbliższe kilka lat.
3/43
PYTANIE NR 2
1Nie
PUNKT
mam ochoty płacić za zabezpieczenia sieci,
Nie
ochoty płacićnigdy
za zabezpieczenia
jeślimam
prawdopodobnie
nie zostanę sieci.
Jeśli
mnie zaatakują,
to się
zabezpieczę.
zaatakowany.
Jeśli mnie
zaatakują,
to się wtedy
zabezpieczę.
0 PUNKTÓW
Mam ochotę płacić za zabezpieczenia sieci.
4/43
PYTANIE NR 3
1WPUNKT
mojej firmie jest osoba odpowiedzialna za
W
mojej firmie nie
ma osoby odpowiedzialnej
bezpieczeństwo
informacji.
za bezpieczeństwo informacji.
0 PUNKTÓW
W mojej firmie jest osoba odpowiedzialna za
bezpieczeństwo informacji.
5/43
PYTANIE NR 4
1To,
PUNKT
że komuś ukradli dane, nie oznacza, że ja
To,
że komuś
dane,Ten
niektoś
oznacza,
że ja a
mogę
zostać ukradli
okradziony.
miał pecha
mogę
zostać
okradziony.
ja mam
przecież
szczęście. Inaczej nie byłbym
tym, kim jestem.
0 PUNKTÓW
To, że komuś ukradli dane, oznacza, że ja
mogę zostać okradziony.
6/43
PYTANIE NR 5
PUNKT
W1mojej
firmie policzono, ile będzie kosztować nas
W mojej
firmie laptopa.
nie policzono
strat.
kradzież
mojego
Uwzględniono
przy tym:
•straty wynikające z dostania się poufnych
0 PUNKTÓW
informacji
w ręce konkurencji
W mojej firmiestratę
policzono
•nieodwracalną
częścistraty.
informacji
7/43
PYTANIE NR 6
1WPUNKT
mojej firmie policzono, ile kosztuje nas utrata
W
mojej firmie
nie policzono
połączenia
z Internetem
na 1kosztów
dzień. utraty
połączenia z Internetem na 1 dzień.
0 PUNKTÓW
W mojej firmie policzono koszty utraty
połączenia z Internetem na 1 dzień.
8/43
PYTANIE NR 7
1Co
PUNKT
ma bezpieczeństwo do CIA?
Nie wiem (i inne).
0 PUNKTÓW
Bezpieczeństwo to zapewnienie:
•Poufności (Confidentiality)
•Integralności (Integrity)
•Dostępności (Availability)
9/43
PODSUMOWANIE ANKIETY
•Im mniej tym lepiej
•3 i więcej – zachęcamy do wzmożonej
koncentracji
•2 i mniej – GRATULUJEMY!
10/43
AGENDA
•Bezpieczeństwo a Business Continuity
•Bezpieczeństwo a Zarządzanie Ryzykiem
•Definicja Bezpieczeństwa
•Bezpieczeństwo jako cykl
•Ochrona reaktywna a pro aktywna
•Sposoby zabezpieczenia infrastruktury
teleinformatycznej
11/43
BEZPIECZEŃSTWO
A BUSINESS CONTINUITY
MISJA
12/43
BEZPIECZEŃSTWO CHRONI MISJĘ
MISJA
13/43
BEZPIECZEŃSTWO POZWALA
PRZYGOTOWAĆ SIĘ NA NAJGORSZE
14/43
BEZPIECZEŃSTWO KOSZTUJE,
ALE NALEŻY PATRZEĆ NA NIE JAK NA
ZYSK
ZYSKI
STRATY
BEZPIECZEŃSTWO
15/43
ZA BEZPIECZEŃSTWO MUSI KTOŚ
ODPOWIADAĆ –
INACZEJ GO NIE MA!
16/43
PODSUMOWUJĄC
•Bezpieczeństwo chroni misję
•Bezpieczeństwo pozwala
przygotować się na najgorsze
•Bezpieczeństwo kosztuje, ale należy
patrzeć na nie jak na zysk
•Za bezpieczeństwo musi ktoś
odpowiadać – inaczej go nie ma
17/43
BEZPIECZEŃSTWO
A ZARZĄDZANIE RYZYKIEM
18/43
ZARZĄDZANIE RYZYKIEM
UŚWIADAMIA, CO MOŻE SIĘ STAĆ
I ILE BY NAS TO KOSZTOWAŁO
19/43
ZARZĄDZANIE RYZYKIEM
TO ZIMNA KALKULACJA – LICZĄ SIĘ
LICZBY A NIE PRZECZUCIE
PRAWDOPODOBIEŃSTWO
STRATA
AKCEPTUJEMY?
20/43
KORZYŚCI Z ZARZĄDZANIA
RYZYKIEM
•Uświadamiamy sobie zagrożenia, o
których wcześniej nawet nie
myśleliśmy
•Wiemy, co OPŁACA SIĘ zabezpieczać
21/43
ZARZĄDZANIE RYZYKIEM
W ŚWIATOWYCH NORMACH
• ISO/IEC 27001 i 27002 (17799)
nakazują wprowadzenie procesu
zarządzania ryzykiem
• Brak procesu zarządzania ryzykiem = brak
szansy na certyfikację
• Proces zarządzania ryzykiem -> norma
ISO/IEC 27005
22/43
Wartość zasobu – Podatność
– Zagrożenie – Incydent
Zagrożenie 2
Incydent 1
Podatność 1
Zagrożenie 1
Podatność 2
System IT
wartość
3.000.000PLN
Podatność 3
Incydent 3
Podatność 4
Incydent 2
23/43
PRZYKŁAD
Haker
wykonuje
atak SQL
Injection
Haker
Haker
wykonuje
atak XSS
Robak
internetowy
Możliwość ataku
SQL Injection
Login: admin
Hasło: admin
Serwer WWW
sklep Internet
Możliwość ataku
XSS
Niszczenie się pod
wpływem kurzu
Robak
odgaduje
hasło
admina i
przejmuje
kontrolę nad
systemem
24/43
SKŁADOWE RYZYKA
•
•
•
•
Wartość zasobu
Poziom podatności
Poziom zagrożenia
Prawdopodobieństwo wystąpienia incydentu
AUDYT BEZPIECZEŃSTWA IT ZNAJDUJE
PODATNOŚCI I OKREŚLA ICH POZIOMY!
25/43
PODSUMOWUJĄC
•Zarządzanie ryzykiem uświadamia, co
może się stać i ile to będzie kosztować
•Zarządzanie ryzykiem to kalkulacja
•Zarządzanie ryzykiem wskazuje, co
opłaca się zabezpieczać
•Zarządzanie ryzykiem w światowych
normach
26/43
DEFINICJA BEZPIECZEŃSTWA
•Poufność (Confidentiality)
•Integralność (Integrity)
•Dostępność (Availability)
CIA
Definicja bezpieczeństwa systemów IT:
Zapewnienie poufności, integralności i
dostępności w systemach IT.
27/43
BEZPIECZEŃSTWO JAKO CYKL
PLAN
ACT
DO
CHECK
ISO/IEC 27001
28/43
OCHRONA REAKTYWNA
A PRO AKTYWNA
•Ochrona reaktywna
•Wracamy od kochanki pachnąc jej perfumami –
gdy żona się orientuje, kupujemy jej kwiaty
•Haker ukradł nam cenne dane i sprzedał je naszej
konkurencji – kupujemy system ochrony przed
hakerami
•Ochrona pro aktywna
•Przed powrotem od kochanki bierzemy prysznic
•Regularnie audytujemy nasz system IT i w porę
usuwamy podatności
29/43
PODSUMOWUJĄC
•Definicja bezpieczeństwa
•Poufność
•Integralność
•Dostępność
•Bezpieczeństwo jest cyklem
•Należy świadomie zdecydować, czy
chcemy się bronić reaktywnie, czy pro
aktywnie
30/43
SPOSOBY ZABEZPIECZANIA
INFRASTRUKTURY
TELEINFORMATYCZNEJ
31/43
TECHNOLOGIE
•Blokowanie ruchu przychodzącego z zewnątrz
•Szkodliwe oprogramowanie, którego przyczyną
są użytkownicy sieci
•Szyfrowanie
•AAA
•Audyt sieci
•Zabezpieczanie sieci bezprzewodowych
•Backup
32/43
•Silne hasła
Blokowanie ruchu z zewnątrz
•Firewalle
•Filtry pakietów
•Filtry protokołów
•Intrusion Prevention Systems (IPS)
•Przeciwko hakerom i robakom
•Network IPS (NIPS)/Host IPS (HIPS)
•Wykrywające anomalie/nadużycia
•Anti-Spam
33/43
Szkodliwe oprogramowanie
•Anti-Virus
•Anti-Spyware
•Content Filter
•Web Filter
•Anti-P2P
•Anti-IM
•Anti-VoIP
•Anti-Game
•Network Admission Control (NAC)
34/43
Szyfrowanie
•Szyfrowanie plików, dysków, e-maili
•Public Key Infrastructure (PKI)
•Certyfikaty X.509, Trusted Third Party
•Pretty Good Privacy (PGP)
•Web of Trust
•Szyfry symetryczne (DES, Triple DES, AES)
•Szyfrowanie ruchu sieciowego
•Virtual Private Network – VPN (SSL i IPSec)
35/43
•HTTPS (SSL/TLS)
AAA
•Authentication, Authorization, Accounting
•RADIUS
•Sieci bezprzewodowe (WiFi/WLAN)
•TACACS+
36/43
Audyt sieci
•Ochrona pro aktywna
•Wykonany przez człowieka
•Wykonany przez komputer
•Oprogramowanie
•Gotowe urządzenie – SecPoint Penetrator
37/43
Sieci bezprzewodowe
•Szyfrowanie (WEP, WPA, WPA2) – silny klucz!
•AAA (RADIUS)
•Audyt
•NAC
38/43
Backup i silne hasła
•Idealny backup:
•Wszystkie dane można w każdej chwili
odzyskać – w kilku ostatnich wersjach
•Niewidoczny z punktu widzenia użytkownika
•Idealne hasła
•Brak
•Ale…
•Muszą być jak najdłuższe
•Muszą być ciągami losowych znaków
39/43
UTM
•Unified Threat Management
•Zintegrowane Zarządzanie Bezpieczeństwem
•Jak najwięcej bezpieczeństwa w jednym
urządzeniu
•Przykład – SecPoint Protector
40/43
SecPoint Protector
•IPS
•Anti-Spam
•Anti-Virus/Anti-Spyware
•Content Filter
•Web Filter
•Anti-P2P
•Anti-IM
•Anti-VoIP
•Anti-Game
41/43
PODSUMOWUJĄC
•Blokowanie ruchu przychodzącego z zewnątrz
•Szkodliwe oprogramowanie, którego przyczyną
są użytkownicy sieci
•Szyfrowanie
•AAA
•Audyt sieci
•Zabezpieczanie sieci bezprzewodowych
•Backup i silne hasła
42/43
•UTM – SecPoint Protector
PYTANIA
Download