Bezpieczeństwo pracy w sieciach informatycznych - Zabezpieczenie infrastruktury DOTCOM Sp. z o.o. – www.dtcom.pl •Andrzej Zienkiewicz – Vice Prezes •Maciej Kulka – Opiekun Kluczowych Klientów •Jacek Gawrych – Inżynier Systemowy ANKIETA •Bez papierowych kwestionariuszy •7 pytań – po 1 punkt za każde •Każdy dodaje swoje punkty w pamięci •Może być anonimowa START! PYTANIE NR 1 1Zarządzam PUNKT firmą. b. sięstopniu przedekieruję wszystkim o to, co jest a. Martwię W dużym się zapewnieniem teraz. jej ciągłości niezakłóconego działania przez najbliższych kilka lat 0b.PUNKTÓW Martwię się przede wszystkim o to, co jest a. Wteraz dużym stopniu kieruję się zapewnieniem jej ciągłości niezakłóconego działania przez najbliższe kilka lat. 3/43 PYTANIE NR 2 1Nie PUNKT mam ochoty płacić za zabezpieczenia sieci, Nie ochoty płacićnigdy za zabezpieczenia jeślimam prawdopodobnie nie zostanę sieci. Jeśli mnie zaatakują, to się zabezpieczę. zaatakowany. Jeśli mnie zaatakują, to się wtedy zabezpieczę. 0 PUNKTÓW Mam ochotę płacić za zabezpieczenia sieci. 4/43 PYTANIE NR 3 1WPUNKT mojej firmie jest osoba odpowiedzialna za W mojej firmie nie ma osoby odpowiedzialnej bezpieczeństwo informacji. za bezpieczeństwo informacji. 0 PUNKTÓW W mojej firmie jest osoba odpowiedzialna za bezpieczeństwo informacji. 5/43 PYTANIE NR 4 1To, PUNKT że komuś ukradli dane, nie oznacza, że ja To, że komuś dane,Ten niektoś oznacza, że ja a mogę zostać ukradli okradziony. miał pecha mogę zostać okradziony. ja mam przecież szczęście. Inaczej nie byłbym tym, kim jestem. 0 PUNKTÓW To, że komuś ukradli dane, oznacza, że ja mogę zostać okradziony. 6/43 PYTANIE NR 5 PUNKT W1mojej firmie policzono, ile będzie kosztować nas W mojej firmie laptopa. nie policzono strat. kradzież mojego Uwzględniono przy tym: •straty wynikające z dostania się poufnych 0 PUNKTÓW informacji w ręce konkurencji W mojej firmiestratę policzono •nieodwracalną częścistraty. informacji 7/43 PYTANIE NR 6 1WPUNKT mojej firmie policzono, ile kosztuje nas utrata W mojej firmie nie policzono połączenia z Internetem na 1kosztów dzień. utraty połączenia z Internetem na 1 dzień. 0 PUNKTÓW W mojej firmie policzono koszty utraty połączenia z Internetem na 1 dzień. 8/43 PYTANIE NR 7 1Co PUNKT ma bezpieczeństwo do CIA? Nie wiem (i inne). 0 PUNKTÓW Bezpieczeństwo to zapewnienie: •Poufności (Confidentiality) •Integralności (Integrity) •Dostępności (Availability) 9/43 PODSUMOWANIE ANKIETY •Im mniej tym lepiej •3 i więcej – zachęcamy do wzmożonej koncentracji •2 i mniej – GRATULUJEMY! 10/43 AGENDA •Bezpieczeństwo a Business Continuity •Bezpieczeństwo a Zarządzanie Ryzykiem •Definicja Bezpieczeństwa •Bezpieczeństwo jako cykl •Ochrona reaktywna a pro aktywna •Sposoby zabezpieczenia infrastruktury teleinformatycznej 11/43 BEZPIECZEŃSTWO A BUSINESS CONTINUITY MISJA 12/43 BEZPIECZEŃSTWO CHRONI MISJĘ MISJA 13/43 BEZPIECZEŃSTWO POZWALA PRZYGOTOWAĆ SIĘ NA NAJGORSZE 14/43 BEZPIECZEŃSTWO KOSZTUJE, ALE NALEŻY PATRZEĆ NA NIE JAK NA ZYSK ZYSKI STRATY BEZPIECZEŃSTWO 15/43 ZA BEZPIECZEŃSTWO MUSI KTOŚ ODPOWIADAĆ – INACZEJ GO NIE MA! 16/43 PODSUMOWUJĄC •Bezpieczeństwo chroni misję •Bezpieczeństwo pozwala przygotować się na najgorsze •Bezpieczeństwo kosztuje, ale należy patrzeć na nie jak na zysk •Za bezpieczeństwo musi ktoś odpowiadać – inaczej go nie ma 17/43 BEZPIECZEŃSTWO A ZARZĄDZANIE RYZYKIEM 18/43 ZARZĄDZANIE RYZYKIEM UŚWIADAMIA, CO MOŻE SIĘ STAĆ I ILE BY NAS TO KOSZTOWAŁO 19/43 ZARZĄDZANIE RYZYKIEM TO ZIMNA KALKULACJA – LICZĄ SIĘ LICZBY A NIE PRZECZUCIE PRAWDOPODOBIEŃSTWO STRATA AKCEPTUJEMY? 20/43 KORZYŚCI Z ZARZĄDZANIA RYZYKIEM •Uświadamiamy sobie zagrożenia, o których wcześniej nawet nie myśleliśmy •Wiemy, co OPŁACA SIĘ zabezpieczać 21/43 ZARZĄDZANIE RYZYKIEM W ŚWIATOWYCH NORMACH • ISO/IEC 27001 i 27002 (17799) nakazują wprowadzenie procesu zarządzania ryzykiem • Brak procesu zarządzania ryzykiem = brak szansy na certyfikację • Proces zarządzania ryzykiem -> norma ISO/IEC 27005 22/43 Wartość zasobu – Podatność – Zagrożenie – Incydent Zagrożenie 2 Incydent 1 Podatność 1 Zagrożenie 1 Podatność 2 System IT wartość 3.000.000PLN Podatność 3 Incydent 3 Podatność 4 Incydent 2 23/43 PRZYKŁAD Haker wykonuje atak SQL Injection Haker Haker wykonuje atak XSS Robak internetowy Możliwość ataku SQL Injection Login: admin Hasło: admin Serwer WWW sklep Internet Możliwość ataku XSS Niszczenie się pod wpływem kurzu Robak odgaduje hasło admina i przejmuje kontrolę nad systemem 24/43 SKŁADOWE RYZYKA • • • • Wartość zasobu Poziom podatności Poziom zagrożenia Prawdopodobieństwo wystąpienia incydentu AUDYT BEZPIECZEŃSTWA IT ZNAJDUJE PODATNOŚCI I OKREŚLA ICH POZIOMY! 25/43 PODSUMOWUJĄC •Zarządzanie ryzykiem uświadamia, co może się stać i ile to będzie kosztować •Zarządzanie ryzykiem to kalkulacja •Zarządzanie ryzykiem wskazuje, co opłaca się zabezpieczać •Zarządzanie ryzykiem w światowych normach 26/43 DEFINICJA BEZPIECZEŃSTWA •Poufność (Confidentiality) •Integralność (Integrity) •Dostępność (Availability) CIA Definicja bezpieczeństwa systemów IT: Zapewnienie poufności, integralności i dostępności w systemach IT. 27/43 BEZPIECZEŃSTWO JAKO CYKL PLAN ACT DO CHECK ISO/IEC 27001 28/43 OCHRONA REAKTYWNA A PRO AKTYWNA •Ochrona reaktywna •Wracamy od kochanki pachnąc jej perfumami – gdy żona się orientuje, kupujemy jej kwiaty •Haker ukradł nam cenne dane i sprzedał je naszej konkurencji – kupujemy system ochrony przed hakerami •Ochrona pro aktywna •Przed powrotem od kochanki bierzemy prysznic •Regularnie audytujemy nasz system IT i w porę usuwamy podatności 29/43 PODSUMOWUJĄC •Definicja bezpieczeństwa •Poufność •Integralność •Dostępność •Bezpieczeństwo jest cyklem •Należy świadomie zdecydować, czy chcemy się bronić reaktywnie, czy pro aktywnie 30/43 SPOSOBY ZABEZPIECZANIA INFRASTRUKTURY TELEINFORMATYCZNEJ 31/43 TECHNOLOGIE •Blokowanie ruchu przychodzącego z zewnątrz •Szkodliwe oprogramowanie, którego przyczyną są użytkownicy sieci •Szyfrowanie •AAA •Audyt sieci •Zabezpieczanie sieci bezprzewodowych •Backup 32/43 •Silne hasła Blokowanie ruchu z zewnątrz •Firewalle •Filtry pakietów •Filtry protokołów •Intrusion Prevention Systems (IPS) •Przeciwko hakerom i robakom •Network IPS (NIPS)/Host IPS (HIPS) •Wykrywające anomalie/nadużycia •Anti-Spam 33/43 Szkodliwe oprogramowanie •Anti-Virus •Anti-Spyware •Content Filter •Web Filter •Anti-P2P •Anti-IM •Anti-VoIP •Anti-Game •Network Admission Control (NAC) 34/43 Szyfrowanie •Szyfrowanie plików, dysków, e-maili •Public Key Infrastructure (PKI) •Certyfikaty X.509, Trusted Third Party •Pretty Good Privacy (PGP) •Web of Trust •Szyfry symetryczne (DES, Triple DES, AES) •Szyfrowanie ruchu sieciowego •Virtual Private Network – VPN (SSL i IPSec) 35/43 •HTTPS (SSL/TLS) AAA •Authentication, Authorization, Accounting •RADIUS •Sieci bezprzewodowe (WiFi/WLAN) •TACACS+ 36/43 Audyt sieci •Ochrona pro aktywna •Wykonany przez człowieka •Wykonany przez komputer •Oprogramowanie •Gotowe urządzenie – SecPoint Penetrator 37/43 Sieci bezprzewodowe •Szyfrowanie (WEP, WPA, WPA2) – silny klucz! •AAA (RADIUS) •Audyt •NAC 38/43 Backup i silne hasła •Idealny backup: •Wszystkie dane można w każdej chwili odzyskać – w kilku ostatnich wersjach •Niewidoczny z punktu widzenia użytkownika •Idealne hasła •Brak •Ale… •Muszą być jak najdłuższe •Muszą być ciągami losowych znaków 39/43 UTM •Unified Threat Management •Zintegrowane Zarządzanie Bezpieczeństwem •Jak najwięcej bezpieczeństwa w jednym urządzeniu •Przykład – SecPoint Protector 40/43 SecPoint Protector •IPS •Anti-Spam •Anti-Virus/Anti-Spyware •Content Filter •Web Filter •Anti-P2P •Anti-IM •Anti-VoIP •Anti-Game 41/43 PODSUMOWUJĄC •Blokowanie ruchu przychodzącego z zewnątrz •Szkodliwe oprogramowanie, którego przyczyną są użytkownicy sieci •Szyfrowanie •AAA •Audyt sieci •Zabezpieczanie sieci bezprzewodowych •Backup i silne hasła 42/43 •UTM – SecPoint Protector PYTANIA