Bezpieczeństwo pracy w sieciach informatycznych- Zabezpieczenie infrastruktury

DOTCOM Sp. z o.o. – www.dtcom.pl•Andrzej Zienkiewicz – Vice Prezes•Maciej Kulka – Opiekun Kluczowych Klientów•Jacek Gawrych – Inżynier Systemowy

•Bez papierowych kwestionariuszy•7 pytań – po 1 punkt za każde•Każdy dodaje swoje punkty w pamięci•Może być anonimowa

ANKIETA

START!

Zarządzam firmą.a.W dużym stopniu kieruję się zapewnieniem jej ciągłości niezakłóconego działania przez najbliższych kilka latb.Martwię się przede wszystkim o to, co jest teraz

3/43

PYTANIE NR 1

1 PUNKTb. Martwię się przede wszystkim o to, co jest teraz.

0 PUNKTÓWa. W dużym stopniu kieruję się zapewnieniem jej ciągłości niezakłóconego działania przez najbliższe kilka lat.

Nie mam ochoty płacić za zabezpieczenia sieci, jeśli prawdopodobnie nigdy nie zostanę zaatakowany. Jeśli mnie zaatakują, to się wtedy zabezpieczę.

PYTANIE NR 2

1 PUNKTNie mam ochoty płacić za zabezpieczenia sieci. Jeśli mnie zaatakują, to się zabezpieczę.

0 PUNKTÓWMam ochotę płacić za zabezpieczenia sieci.

4/43

W mojej firmie jest osoba odpowiedzialna za bezpieczeństwo informacji.

PYTANIE NR 3

1 PUNKTW mojej firmie nie ma osoby odpowiedzialnej za bezpieczeństwo informacji.

0 PUNKTÓWW mojej firmie jest osoba odpowiedzialna za bezpieczeństwo informacji.

5/43

To, że komuś ukradli dane, nie oznacza, że ja mogę zostać okradziony. Ten ktoś miał pecha a ja mam przecież szczęście. Inaczej nie byłbym tym, kim jestem.

PYTANIE NR 4

1 PUNKTTo, że komuś ukradli dane, nie oznacza, że ja mogę zostać okradziony.

0 PUNKTÓWTo, że komuś ukradli dane, oznacza, że ja mogę zostać okradziony.

6/43

W mojej firmie policzono, ile będzie kosztować nas kradzież mojego laptopa. Uwzględniono przy tym:•straty wynikające z dostania się poufnych informacji w ręce konkurencji•nieodwracalną stratę części informacji

PYTANIE NR 5

1 PUNKTW mojej firmie nie policzono strat.

0 PUNKTÓWW mojej firmie policzono straty.

7/43

W mojej firmie policzono, ile kosztuje nas utrata połączenia z Internetem na 1 dzień.

PYTANIE NR 6

1 PUNKTW mojej firmie nie policzono kosztów utraty połączenia z Internetem na 1 dzień.

0 PUNKTÓWW mojej firmie policzono koszty utraty połączenia z Internetem na 1 dzień.

8/43

Co ma bezpieczeństwo do CIA?

PYTANIE NR 7

1 PUNKTNie wiem (i inne).

0 PUNKTÓWBezpieczeństwo to zapewnienie:•Poufności (Confidentiality)•Integralności (Integrity)•Dostępności (Availability)

9/43

PODSUMOWANIE ANKIETY

•Im mniej tym lepiej•3 i więcej – zachęcamy do wzmożonej koncentracji•2 i mniej – GRATULUJEMY!

10/43

•Bezpieczeństwo a Business Continuity•Bezpieczeństwo a Zarządzanie Ryzykiem•Definicja Bezpieczeństwa•Bezpieczeństwo jako cykl•Ochrona reaktywna a pro aktywna•Sposoby zabezpieczenia infrastruktury teleinformatycznej

AGENDA

11/43

BEZPIECZEŃSTWOA BUSINESS CONTINUITY

12/43

BEZPIECZEŃSTWO CHRONI MISJĘ

13/43

BEZPIECZEŃSTWO POZWALA PRZYGOTOWAĆ SIĘ NA

NAJGORSZE

14/43

BEZPIECZEŃSTWO KOSZTUJE,ALE NALEŻY PATRZEĆ NA NIE JAK

NA ZYSK

ZYSKI STRATY

BEZPIECZEŃSTWO

15/43

ZA BEZPIECZEŃSTWO MUSI KTOŚ ODPOWIADAĆ –

INACZEJ GO NIE MA!

16/43

•Bezpieczeństwo chroni misję•Bezpieczeństwo pozwala przygotować się na najgorsze•Bezpieczeństwo kosztuje, ale należy patrzeć na nie jak na zysk•Za bezpieczeństwo musi ktoś odpowiadać – inaczej go nie ma

PODSUMOWUJĄC

17/43

BEZPIECZEŃSTWOA ZARZĄDZANIE RYZYKIEM

18/43

ZARZĄDZANIE RYZYKIEMUŚWIADAMIA, CO MOŻE SIĘ STAĆI ILE BY NAS TO KOSZTOWAŁO

19/43

ZARZĄDZANIE RYZYKIEMTO ZIMNA KALKULACJA – LICZĄ SIĘ LICZBY A NIE PRZECZUCIE

PRAWDOPODOBIEŃSTWO

STRATA

AKCEPTUJEMY?20/43

•Uświadamiamy sobie zagrożenia, o których wcześniej nawet nie myśleliśmy•Wiemy, co OPŁACA SIĘ zabezpieczać

KORZYŚCI Z ZARZĄDZANIARYZYKIEM

21/43

• ISO/IEC 27001 i 27002 (17799)nakazują wprowadzenie procesu zarządzania ryzykiem

• Brak procesu zarządzania ryzykiem = brak szansy na certyfikację

• Proces zarządzania ryzykiem -> norma ISO/IEC 27005

ZARZĄDZANIE RYZYKIEMW ŚWIATOWYCH NORMACH

22/43

Zagrożenie 1

Zagrożenie 2

Incydent 1

Incydent 2

Incydent 3

Wartość zasobu – Podatność– Zagrożenie – Incydent

23/43

Haker

Robak internetowy

Haker wykonuje atak SQL Injection

Haker wykonuje atak XSS

Robak odgaduje hasło admina i przejmuje kontrolę nad systemem

PRZYKŁAD

24/43

• Wartość zasobu• Poziom podatności• Poziom zagrożenia• Prawdopodobieństwo wystąpienia incydentu

AUDYT BEZPIECZEŃSTWA IT ZNAJDUJE PODATNOŚCII OKREŚLA ICH POZIOMY!

SKŁADOWE RYZYKA

25/43

•Zarządzanie ryzykiem uświadamia, co może się stać i ile to będzie kosztować•Zarządzanie ryzykiem to kalkulacja•Zarządzanie ryzykiem wskazuje, co opłaca się zabezpieczać•Zarządzanie ryzykiem w światowych normach

PODSUMOWUJĄC

26/43

•Poufność (Confidentiality)•Integralność (Integrity)•Dostępność (Availability)

Definicja bezpieczeństwa systemów IT:Zapewnienie poufności, integralności i dostępności w systemach IT.

DEFINICJA BEZPIECZEŃSTWA

CIA

27/43

BEZPIECZEŃSTWO JAKO CYKL

ISO/IEC 27001

PLAN

DO

CHECK

ACT

28/43

•Ochrona reaktywna•Wracamy od kochanki pachnąc jej perfumami – gdy żona się orientuje, kupujemy jej kwiaty•Haker ukradł nam cenne dane i sprzedał je naszej konkurencji – kupujemy system ochrony przed hakerami

•Ochrona pro aktywna•Przed powrotem od kochanki bierzemy prysznic•Regularnie audytujemy nasz system IT i w porę usuwamy podatności

OCHRONA REAKTYWNAA PRO AKTYWNA

29/43

•Definicja bezpieczeństwa•Poufność•Integralność•Dostępność

•Bezpieczeństwo jest cyklem•Należy świadomie zdecydować, czy chcemy się bronić reaktywnie, czy pro aktywnie

PODSUMOWUJĄC

30/43

SPOSOBY ZABEZPIECZANIAINFRASTRUKTURY

TELEINFORMATYCZNEJ

31/43

•Blokowanie ruchu przychodzącego z zewnątrz•Szkodliwe oprogramowanie, którego przyczyną są użytkownicy sieci•Szyfrowanie•AAA•Audyt sieci•Zabezpieczanie sieci bezprzewodowych•Backup•Silne hasła

TECHNOLOGIE

32/43

•Firewalle•Filtry pakietów•Filtry protokołów

•Intrusion Prevention Systems (IPS)•Przeciwko hakerom i robakom•Network IPS (NIPS)/Host IPS (HIPS)•Wykrywające anomalie/nadużycia

•Anti-Spam

Blokowanie ruchu z zewnątrz

33/43

•Anti-Virus•Anti-Spyware•Content Filter

•Web Filter•Anti-P2P•Anti-IM•Anti-VoIP•Anti-Game

•Network Admission Control (NAC)

Szkodliwe oprogramowanie

34/43

•Szyfrowanie plików, dysków, e-maili•Public Key Infrastructure (PKI)

•Certyfikaty X.509, Trusted Third Party•Pretty Good Privacy (PGP)

•Web of Trust•Szyfry symetryczne (DES, Triple DES, AES)

•Szyfrowanie ruchu sieciowego•Virtual Private Network – VPN (SSL i IPSec)•HTTPS (SSL/TLS)

Szyfrowanie

35/43

•Authentication, Authorization, Accounting•RADIUS

•Sieci bezprzewodowe (WiFi/WLAN)•TACACS+

AAA

36/43

•Ochrona pro aktywna•Wykonany przez człowieka•Wykonany przez komputer

•Oprogramowanie•Gotowe urządzenie

Audyt sieci

– SecPoint Penetrator

37/43

•Szyfrowanie (WEP, WPA, WPA2) – silny klucz!•AAA (RADIUS)•Audyt•NAC

Sieci bezprzewodowe

38/43

•Idealny backup:•Wszystkie dane można w każdej chwili odzyskać – w kilku ostatnich wersjach•Niewidoczny z punktu widzenia użytkownika

•Idealne hasła•Brak•Ale…

•Muszą być jak najdłuższe•Muszą być ciągami losowych znaków

Backup i silne hasła

39/43

•Unified Threat Management•Zintegrowane Zarządzanie Bezpieczeństwem•Jak najwięcej bezpieczeństwa w jednym urządzeniu•Przykład – SecPoint Protector

UTM

40/43

•IPS•Anti-Spam•Anti-Virus/Anti-Spyware•Content Filter

•Web Filter•Anti-P2P•Anti-IM•Anti-VoIP•Anti-Game

SecPoint Protector

41/43

•Blokowanie ruchu przychodzącego z zewnątrz•Szkodliwe oprogramowanie, którego przyczyną są użytkownicy sieci•Szyfrowanie•AAA•Audyt sieci•Zabezpieczanie sieci bezprzewodowych•Backup i silne hasła•UTM – SecPoint Protector

PODSUMOWUJĄC

42/43

PYTANIA