Bezpieczeństwo danych firmowych w świecie Cyber Crime

Bezpieczeństwo danych firmowych w świecie Cyber Crime

Bezpieczeństwo danych firmowych
w świecie Cyber Crime
Grzegorz Dlugajczyk
Warszawa, 27 styczeń 2016r.
Które „strony” popełniały najwięcej naruszeń w ostatnich 10 latach?
Źródło: http://www.verizonenterprise.com/DBIR/2015/
Wprowadzenie – styk organizacji z siecią zewnętrzna (*ECAP)
Sieć zewnętrzna
INTERNET
*ECAP – External Connection Aggregation Point
Source: http://www.bing.com
Sieć wewnętrzna
Główne zadania ECAP
 Bezpieczeństwo
 Wydajność
 Skalowalność
 Niezawodność i wysoka dostępność
 Ochrona przed zagrożeniami zewnętrznymi
 Zapewnienie dostępu uwierzytelnionym użytkownikom do
sieci wewnętrznej
 Udostępnianie serwisów i usługi na zewnątrz
Podstawowe zagrożenia dla danych firmowych
Source: http://www.bing.com
INTERNET
Ryzyka związane ze stykiem sieci ECAP - według źródeł pochodzenia
Integrujące lub
przetwarzające dane
wewnętrzne z
zewnętrznymi
Wykorzystujące
„zaufane” dostępy
do wewnątrz
organizacji
Mające źródło
bezpośrednio ze
styku sieci
publicznej
Ryzyko - według źródła pochodzenia (1)
Wykorzystujące „zaufane” dostępy do wewnątrz organizacji
Klienci / Partnerzy
Wsparcie zdalne
Pracownicy
1
Ryzyko - według źródła pochodzenia (2)
Integrujące lub przetwarzające dane wewnętrzne z zewnętrznymi
Dostawcy / Wsparcie
Serwisy trzecie
Zdalny dostęp
2
Ryzyko - według źródła pochodzenia (3)
Mające źródło bezpośrednio ze styku sieci publicznej
DDoS
(APT)
Malware & Botnet
3
Zagrożenia….
…zabezpieczenia
Zagrożenie typu DDoS
DDoS – (ang. Distributed Denial of Service) – atak na system komputerowy lub usługę
sieciową, przeprowadzany równocześnie z wielu komputerów lub miejsc w sieci
internet.
Rodzaje ataków DDoS
Wolumetryczny
Protokół
TCP, UDP
IP, ICMP,ARP
802.3 & 802.5
Przykładowe ataki
SYN Flood
ICMP Flooding
MAC Flooding
Aplikacyjny
Protokół
FTP, HTTP
POP3, SMTP, DNS
Telnet / SSH
Przykładowe ataki
http GET/POST
login, submite feedback
SSL/TLS renegotiation
Podejście do ochrony przed atakiem DDoS
TIER „1”
Chmura publiczna (tzw. scrabbing )
 Ochrona DNS
TIER „2”
Internet Service Provider
 Wielu różnych operatorów
 Ochrona DDOS operatora
 Active Monitoring
TIER „3”
Niezawodna infrastruktura IT firmy
 Load balancer/WAF/SEM
 DDOS protector
 NO SPoF/ HA
Zagrożenie typu APT
APT – (ang. Advanced Persistent Threats) jest złożonymi długotrwałym i wielostopniowym
działaniem kierowanym przeciwko konkretnym osobom, organizacjom lub firmom
Wybór celu
Inżynieria
społeczna
Analiza
firmy
Wyszukanie
luk w
systemach i
ludziach
Kierunkowy
atak
Malware & Botnet
Malware –
rodzaj złośliwego oprogramowania, zawierający wirusa, oprogramowanie
szpiegowskie (spyware) lub szyfrujące dane (ransomware), najczęściej
powstały w celu realizacji niedozwolonych działań, bez wiedzy właściciela.
Botnet – grupa komputerów zainfekowanych złośliwym oprogramowaniem (malware), które
daje swojemu zarządcy (Command&Control) określony (lub całkowity) poziom
kontroli nad zainfekowanym komputerem ofiary.
Podejście do ochrony przed atakiem typu APT
REGULARNY program uświadamiający – szkolenia
PROCES
Wielopoziomowa ochrona:
-
filtrowanie / klasyfikacja w zakresie URL i poczty
-
segmentacja sieci
-
regularne pathowanie, skanowanie VS
-
DLP, IPS/IDS, AMP, WAF, NAC, itd
-
wirtualne desktopy dla środowisk krytycznych np. CDW
-
kontrola ruchu aplikacji IN/OUT (usługi, porty)
-
zabezpieczenia niesygnaturowe np. sandbox
-
ograniczenie praw ADMIN oraz konfiguracja wzorcowa TCSM
Holistic Monitoring
-
Threat modeling / korelacja zdarzeń
-
SIEM (sieć, serwery, stacje końcowe)
-
reagowanie na incydenty / detekcja zagrożeń
Jasno określone zasady dla:
BYOD, urządzeń mobilnych, WiFi, Cloud, Social Media, itd
Cykliczne przeglądy planów i zabezpieczeń przed APT
Okresowe poszukiwanie śladów występowania ataków APT
Zaufany dostęp do wewnątrz organizacji – na co zwrócić uwagę?
Strona operacyjna
Strona techniczna
Każdy zdalny dostęp powinien być:






zidentyfikowany i utrzymywany w rejestrze
potwierdzony przez właściciela (certyfikacja)
monitorowany (np. rejestracja sesji i SEM)
być zgodny z potrzebą biznesową (umowa)
podlegać regularnym przeglądom (audyt)
odpowiednio zarządzany (zamykanie)
Użytkownik:
Typ urządzenia:
Lokalizacja:
Czas:
Metoda dostępu:
Zasób
Zabezpieczenia vs. apetyt na ryzyko
BEZPIECZEŃSTWO INFORMACJI
Dostosowanie do poziomu ryzyka, jaką organizacja jest skłonna podjąć realizując zaplanowane
cele biznesowe, przy zachowaniu pełnej zgodności z prawem, wymogami regulacyjnymi i
uwzględnieniem wewnętrznych standardów organizacyjnych
Prewencja
Detekcja
Reakcja
Co warto zapamiętać?
Kiedyś:
 w interesie hakera było pokazanie swoich umiejętności
Obecnie:
 w interesie hakera jest, aby przestępstwo NIGDY nie zostało wykryte
Source: http://www.bing.com
DZIĘKUJĘ
Grzegorz Długajczyk | Manager
Departament Zarządzania Ryzykiem Operacyjnym
ING BANK
ul. Sokolska 34, 40-090 Katowice
[email protected]