Kurrens informatikai biztonsági problémák és megoldások

Átírás

1 Kurrens informatikai biztonsági problémák és megoldások Kiss Tibor ügyvezető igazgató ICTS Hungary

2 Előadás tartalma - Jobb a helyzet IT biztonsági fronton? - biztonsági kérdések és megoldások - Behatolás detektálás - A rendszergazdák felügyelete 2 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

3 Jobb a helyzet IT biztonsági fronton? - A rosszfiúk sokszor egy lépéssel előbb járnak - A rosszfiúk motiváltak 550 millió Ft jutalék egy amerikai spammernek Ellopott bankkártya számok, jelszavak, stb. fekete kereskedelme Rossz célokra használható kódok kereskedelme dollárért lehet komplett új vírusokat vásárolni vírus fejlesztői környezetek ra a cégek/szervezetek 40%-a célpontja lesz a gazdaságilag motivált cyber bűnözőknek Gartner 3 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

4 Biztonság 4 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

5 Spam trendek A napi átlagos spam növekedés A spam-ek havonta 18%- os ütemben növekednek Új spammer taktikák -- Kép link spam -- PDF spam -- XLS spam Number of Daily Anti-Spam Rules Spam Volume (BN) Átlagos napi spam havi bontásban: Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec Jan Feb Mar Apr May Jun Jul Aug Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

6 security céleszköz konszolidáló képessége Erősebb biztonság, nagyobb megbízhatóság, kisebb karbantartási költségek Hagyományos infrastruktúra Internet security céleszköz segítségével Internet Tűzfal Tűzfal Titkosítási Platform MTA DLP Scanner Anti-Spam Anti-Virus Biztonsági Szabályzat betartatása DLP Policy Manager biztonsági céleszköz Mail Routing Groupware Groupware Felhasználók Felhasználók 6 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

7 Architektúra: többszintű biztonság MENEDZSMENT ESZKÖZÖK SPAM VIRUS ADATSZIVÁRGÁS TITKOSÍTÁS AZ IRONPORT ASYNCOS PLATFORM 7 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

8 Az IronPort SenderBase Hálózat A globális hálózat nagy pontosságot eredményez 30 milliárd+ napi lekérdezés és Web paraméter 25%-a a világ hálózati forgalmának Cisco hálózati eszközök Az és Web forgalom figyelése a detektálást hatékonyságát rendkívüli mértékben segíti A spam-ek 80%-a URL hivatkozást tartalmaz Az kulcs disztribúciós médium a Web alapú malware-ek számára A malware kulcs a Spam zombi fertőzésekhez & Web forgalom analízis kombinálása IronPort Security Céleszközök IronPort SenderBase IronPort WEB Security Céleszközök 8 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

9 IronPort Spam védelmi módszer - többszintű / több-módszeres spam védelmi technikák célja: - A spam-ek gyors megállítása - A spam-ek pontos detektálása Reputáció A világ első és legjobb küldő alapú reputációs szolgáltatása - A spam-ek 80%-át blokkolja már az átjárónál - Nagyfokú pontosság Ki? Hogy? Mit? Hol? A világ vezető tartalom alapú spam detektálása - 98% detektálási ráta - világszínvonalú pontosság SenderBase reputáció érték IronPort Anti-Spam 9 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

10 Többszintű vírusvédelem MANAGEMENT TOOLS SPAM VIRUS ADATSZIVÁRGÁS TITKOSÍTÁS Biztonsági Céleszköz PLATFORM IronPort Virus Outbreak Filters : vírusok megfékezése a hagyományos szignatúrák megjelenése előtt 13 órával Két független antivírus gyártó használata: szignatúra alapú piacvezető megoldások 10 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

11 IronPort Virus Outbreak Filters A védelem első vonala Korai védelem az IronPort Virus Outbreak Filters segítségével 11 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

12 The IronPort Virus Outbreak Filters előnye Vírus neve Dátum Virus leírása Eltelt idő (óó:pp) Troj/Yar-A 5/24/07 Widely-spammed out teaser promising a trailer of the film "Pirates of the Caribbean 3. Downloads spyware onto infected computers. 3:20 Trojan.Dropper 5/10/07 Trojan that attempts to download malicious code. 10:40 W32.Virut!dr 4/12/07 Spammed that asks recipients to open attachments entitled document.txt.exe and video.zip. Downloads spyware onto infected computers. Troj/DwnLdr-GFN 3/4/07 Installs backdoor and communicates via HTTP, thus bypassing firewall filters. W32/WowPWS-AU 3/3/07 Mass mailing worm that sends s with the subject: "Chinese test missile obliterates satellite!. Asks users to open attached file that, when opened, installs spyware. Troj_Agent.JAW 1/14/07 Spammed message that contains a seemingly benign PDF attachment. Once attachment is opened, backdoor is installed for remote hackers to access the PC. 31:12 17:31 6:51 20:08 Átlagos védelem* 13 óra felett Blokkolt kitörések * 175 kitörés Teljes védettségi növekmény*. 94 nap *May 2006 June Calculated as publicly published signatures from the following vendors: Sophos, McAfee, Trend Micro, Computer Associates, F-Secure, Symantec and McAfee. If signature time is not available, first publicly published alert time is used. 12 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

13 IronPort adatszivárgás védelem Be/kimeneti szabályzás megfelelőség MENEDZSMENT ESZKÖZÖK SPAM VIRUS ADATSZIVÁRGÁS TITKOSÍTÁS AZ IRONPORT ASYNCOS PLATFORM Rugalmas Policy Engine az adatvagyon védelme érdekében, és a szabályzás betartatása érdekében Valós idejű policy orvoslást végez A céleszköz szintű titkosítás a privát és biztonságos kommunikáció érdekében 13 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

14 Adatszivárgás védelem - Törvényi megfelelőség HIPAA, GLBA, PCI, SOX szabályzások Érzékeny információk figyelése Biztonságos üzleti partneri kommunikáció - Elfogadható használat Támadó tartalom blokkolása Üzenetküldési szabályozások betartása (csatolmány mérete, stb.) Jogi felelősségkorlátozó üzenet hozzáadása a kimenő levelekhez - Adatvagyon védelme Bizalmas adatokat tartalmazó levelek blokkolása Versenytársakkal történő levelezés megakadályozása has become the de facto filing system for nearly all corporate information, making it even more critical to protect the outbound flow of messages. Brian Burke, Security Products Research Manager, IDC 14 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

15 titkosítás MENEDZSMENT ESZKÖZÖK SPAM VIRUS ADATSZIVÁRGÁS TITKOSÍTÁS AZ IRONPORT ASYNCOS PLATFORM 15 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

16 Felhasználói problémák - Adatvesztés védelmi szabályzat betartása - Érzékeny információk, jelszavak - Business Class képességek: - Biztonságos válaszadás - Garantált értesítés az olvasásról - Megbízható üzenet elavulás és rögzítés 16 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

17 IronPort PXE: Üzenet fogadása Zökkenőmentes felhasználói élmény 1. Csatolmány kinyitása 2. Jelszó beírása 3. Az üzenet megtekintése 17 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

18 Menedzsment megoldás a legnagyobb szervezeteknek is MENEDZSMENT ESZKÖZÖK SPAM VIRUS ADATVESZTÉS TITKOSÍTÁS AZ IRONPORT ASYNCOS PLATFORM IronPort Security Manager policy menedzsment IronPort Security Monitor riportoló megoldás Menedzsment felületek egyszerű integrálhatóság 18 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

19 Skálázható platform a mai és jövőbeli igények kiszolgálásához Támogatandó funkciók száma Az ellenőrzéshez szükséges számítástechnikai teljesítmény Átlagos méret és üzenetek mennyisége Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

20 Behatolás-védelmi rendszerek (IPS) 20 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

21 0. napi sérülékenység Sérülékenység felfedezése Sérülékenység Ismertté válik SW Cég - idősík Fix/Patch elérhet rhető Sérülékenység ismertté válik Worm kibocsátása sa Hacker idősík 0. napi sérülékenység 21 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

22 Behatolás megelőzési rendszerek - IPS - Behatolás megelőzés/detektálás - A teljes céges hálózati forgalom vizsgálata - minden kommunikáció átmegy az IPS rendszereken - On-line vizsgálat Rosszindulatú támadások megakadályozása Biztonsági rések betömése megszokottól eltérő minták figyelése 22 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

23 Ki őrzi az őrzőket? A rendszergazdák felügyelete 23 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

24 Az ember sokszor a leggyengébb láncszem - A rendszergazda a vállalat egyik legszélesebb operatív jogkörrel rendelkező tagja minimális felelőséggel. - Tulajdonképp korlátlan jogosultságokkal rendelkezik a folyamatok és az adatok felett, beleértve a nyomok eltüntetésének lehetőségét is. 24 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

25 Van megoldás: Shell Control Box - Man-In-The-Middle technika - A beágyazott csatornák kézbentartása - vpn, port-forward, scp/sftp etc. (SSH) - Print-, disk- sharing (RDP) - Erős authentikáció és titkosítás kikényszerítése 25 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest 2

26 A teljes munkamenet archiválása - A teljes munkamenet rögzítése - Az audit fájlok tömörítése és titkosítása - A munkamenetek kereshető visszajátszása 26 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest 2

27 Kiss Tibor ügyvezető igazgató ICTS Hungary Köszönöm a figyelmet! 27 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest

28

29 Kiegészítő fóliák 29 Bull, 2008 Bull Szakmai Nap, szeptember 18., Budapest