1 Modelowanie bezpieczeństwa infrastruktury IT na bazie doświadczeń z włamań i wykrytych podatnościProwadzący: Specjalista do sp. Informatyki Śledczej Maciej Wiśniewski

2 Tytułem wstępu: Podatności i zagrożenia w sieciach komputerowych, w kontekście realiów polskich, Ryzyko wycieku tajnych informacji, Fakty i mity o systemach IPS, Ochrona danych i zasobów IT.

3 Stan faktyczny bezpieczeństwa w polskich przedsiębiorstwach- 1/3

4 może liczyć się z odpływem nawet 22,5 proc. swoich klientów.Stan faktyczny bezpieczeństwa w polskich przedsiębiorstwach- 2/3 Według danych pochodzących z firmy analitycznej Forrester Research, firma która w ciągu 72 godzin nie zlikwiduje awarii systemu informatycznego, może liczyć się z odpływem nawet 22,5 proc. swoich klientów.

5 Nie ma zwycięstwa bez troski,Stan faktyczny bezpieczeństwa w polskich przedsiębiorstwach- 3/3 Amat victoria curam. Nie ma zwycięstwa bez troski, bez trudu (kosztów).

6 Typy wycieku informacji:Ryzyko wycieku poufnych informacji - 1/10 Typy wycieku informacji:

7 Logiczne typy wycieku informacji:Ryzyko wycieku poufnych informacji - 2/10 Logiczne typy wycieku informacji:

8 Typy wycieku informacji:Ryzyko wycieku poufnych informacji - 3/10 Typy wycieku informacji:

9 Ryzyko wycieku poufnych informacji - 4/10Określenie puli dostępnych adresów Blokowanie wgrywania plików na serwer ==> PUT ==> STORE FTP- PROXY

10 Ryzyko wycieku poufnych informacji - 5/10Określenie puli dostępnych adresów Blokowanie kontentu Np. Np. „nasza klasa” DANSGUARDIAN, SQUID ; WATCH GUARD (free) (comercial)

11 Określenie puli dostępnych serwerów SMTPRyzyko wycieku poufnych informacji - 6/10 Określenie puli dostępnych serwerów SMTP Określenie polityki bezpieczeństwa Logowanie ruchu

12 Ryzyko wycieku poufnych informacji - 7/10Blokada portu 22 Wykrywanie ruchu SSH Określenie polityki bezpieczeństwa Logowanie ruchu

13 Określenie reguł działania protokołuRyzyko wycieku poufnych informacji - 8/10 Określenie reguł działania protokołu Określenie polityki bezpieczeństwa Logowanie ruchu

14 Zestawienie tunelu na porcie DNS 53 np. poprzez: iodine lub NSTXRyzyko wycieku poufnych informacji - 9/10 Zestawienie tunelu na porcie DNS 53 np. poprzez: iodine lub NSTX Określenie polityki bezpieczeństwa Monitorowanie DNS (np. DNS Proxy)

15 Blokada portu (nie zawsze możliwa)Ryzyko wycieku poufnych informacji - 10/10 Blokada portu (nie zawsze możliwa) Blokada hostów np.: Określenie polityki bezpieczeństwa „iptables -A OUTPUT -d j DROP”

16 Podział Heurystyczne SygnaturoweFakty i mity o bezpieczeństwie systemów chronionych przez IPS/IDS - 1/6 Czym jest IPS/IDS ? Podział NIDS HIDS MIDS Heurystyczne Sygnaturowe

17 Fakty i mity o bezpieczeństwie systemów chronionych przez IPS\IDS - 2/6VS.

18 Problemy z wykrywaniem włamań:Fakty i mity o bezpieczeństwie systemów chronionych przez IPS\IDS - 3/6 Problemy z wykrywaniem włamań: poprawne alarmy ( ang. true positives ) fałszywe alarmy ( ang. false positive ) - brak wykrycia ( ang. false negative )

19 Mity: IPS jest nową technologią, IPS jest skomplikowany,Fakty i mity o bezpieczeństwie systemów chronionych przez IPS\IDS - 4/6 Mity: IPS jest nową technologią, IPS jest skomplikowany, IPS wyeliminuje zapory ogniowe, IPS jest remedium na zero-day atacks, Systemy IPS muszą być drogie.

20 Fakty i mity o bezpieczeństwie systemów chronionych przez IPS\IDS - 5/6

21 „de facto standard for intrusion detection / prevention”Fakty i mity o bezpieczeństwie systemów chronionych przez IPS\IDS - 6/6 „de facto standard for intrusion detection / prevention” Typowy atak z ukierunkowaniem na konkretną podatność: TAK / NIE Czy atak był anonimowy ? TAK Czy atak pozostawił po sobie ślady ? TAK Czy była szansa udaremnienia ataku ? Czy istnieje możliwość zabezpieczenia dowodów ? TAK Czy istnieje możliwość szybkiego przywrócenia systemu? TAK / NIE

22 Nowoczesne audyty infrastruktury informatycznej - 1/4Tworząc konstrukcję sieci należy stosować zasadę KISS - “niech to będzie proste” - podział dużego problemu na mniejsze, łatwiejsze do utrzymania. Każda sieć jest inna i powstaje pod naciskiem różnych uwarunkowań (np. finansowych).

23 Nowoczesne audyty infrastruktury informatycznej - 1/4Bezpieczeństwo: Poza konstrukcją logiczną sieci należy zadbać też o dodatkowe elementy: ● redundancja (nadmiarowość) elementów: łącza do Internetu, routery, ● bezpieczeństwo w warstwach niższych niż 3 – zabezpieczenia fizyczne, sniffing, spoofing, ● redundancja przełączników, protokół STP (Spanning Tree Protocol), ● systemy IDS/IPS, ● system zarządzania, monitoringu i powiadamiania o zdarzeniach, ● systemy antywirusowe, ● bezpieczeństwo aplikacji – audyt, systemy proxy ● odpowiednią konfigurację systemów sieciowych, ● ciągłą aktualizację oprogramowania (również na urządzeniach sieciowych),

24 Nowoczesne audyty infrastruktury informatycznej - 2/4„Naszym wrogiem nie jest już ignorancja – jest nim brak czujności” Audyt bezpieczeństwa Teleinformatycznego Czy standardowe zabezpieczenia wystarczą ? Dlaczego BTC Sp. z o.o. ?

25 Nowoczesne audyty infrastruktury informatycznej - 3/4Przegląd naszych produktów i usług z zakresu audytów teleinformatycznych: Audyty bezpieczeństwa technologii sieciowych Audyty bezpieczeństwa sieci bezprzewodowych (WIFI) Audyty legalności oprogramowania Audyty polityki bezpieczeństwa System E-Audytor®

26 Zarządzanie licencjamiSystem e-Audytor® Zarządzanie licencjami Zdalne zarządzanie Inwentaryzacja

27 Pytania ???????