Kurrens informatikai biztonsági problémák és megoldások

Kurrens informatikai biztonsági problémák és megoldások Kiss Tibor ügyvezető igazgató kiss.tibor@ictshungary.hu ICTS Hungary

Előadás tartalma - Jobb a helyzet IT biztonsági fronton? - E-mail biztonsági kérdések és megoldások - Behatolás detektálás - A rendszergazdák felügyelete 2 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

Jobb a helyzet IT biztonsági fronton? - A rosszfiúk sokszor egy lépéssel előbb járnak - A rosszfiúk motiváltak 550 millió Ft jutalék egy amerikai spammernek Ellopott bankkártya számok, jelszavak, stb. fekete kereskedelme Rossz célokra használható kódok kereskedelme 50-100 dollárért lehet komplett új vírusokat vásárolni vírus fejlesztői környezetek - 2008-ra a cégek/szervezetek 40%-a célpontja lesz a gazdaságilag motivált cyber bűnözőknek Gartner 3 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

E-mail Biztonság 4 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

Spam trendek A napi átlagos spam növekedés A spam-ek havonta 18%- os ütemben növekednek Új spammer taktikák -- Kép link spam -- PDF spam -- XLS spam 250 000 200 000 150 000 100 000 50 000 0 Number of Daily Anti-Spam Rules 2005 2006 2007 Spam Volume (BN) 100 90 80 70 60 50 40 30 20 10 0 Átlagos napi spam havi bontásban: 2006-2007 Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec Jan Feb Mar Apr May Jun Jul Aug 2006 2007 5 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

E-mail security céleszköz konszolidáló képessége Erősebb biztonság, nagyobb megbízhatóság, kisebb karbantartási költségek Hagyományos infrastruktúra Internet E-mail security céleszköz segítségével Internet Tűzfal Tűzfal Titkosítási Platform MTA DLP Scanner Anti-Spam Anti-Virus Biztonsági Szabályzat betartatása DLP Policy Manager E-mail biztonsági céleszköz Mail Routing Groupware Groupware Felhasználók Felhasználók 6 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

Architektúra: többszintű e-mail biztonság MENEDZSMENT ESZKÖZÖK SPAM VIRUS ADATSZIVÁRGÁS EMAIL TITKOSÍTÁS AZ IRONPORT ASYNCOS EMAIL PLATFORM 7 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

Az IronPort SenderBase Hálózat A globális hálózat nagy pontosságot eredményez 30 milliárd+ napi lekérdezés 150+ Email és Web paraméter 25%-a a világ hálózati forgalmának Cisco hálózati eszközök Az e-mail és Web forgalom figyelése a detektálást hatékonyságát rendkívüli mértékben segíti A spam-ek 80%-a URL hivatkozást tartalmaz Az e-mail kulcs disztribúciós médium a Web alapú malware-ek számára A malware kulcs a Spam zombi fertőzésekhez Email & Web forgalom analízis kombinálása IronPort EMAIL Security Céleszközök IronPort SenderBase IronPort WEB Security Céleszközök 8 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

IronPort Spam védelmi módszer - többszintű / több-módszeres spam védelmi technikák célja: - A spam-ek gyors megállítása - A spam-ek pontos detektálása Reputáció A világ első és legjobb küldő alapú reputációs szolgáltatása - A spam-ek 80%-át blokkolja már az átjárónál - Nagyfokú pontosság Ki? Hogy? Mit? Hol? A világ vezető tartalom alapú spam detektálása - 98% detektálási ráta - világszínvonalú pontosság SenderBase reputáció érték IronPort Anti-Spam 9 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

Többszintű vírusvédelem MANAGEMENT TOOLS SPAM VIRUS ADATSZIVÁRGÁS EMAIL TITKOSÍTÁS EMAIL Biztonsági Céleszköz PLATFORM IronPort Virus Outbreak Filters : vírusok megfékezése a hagyományos szignatúrák megjelenése előtt 13 órával Két független antivírus gyártó használata: szignatúra alapú piacvezető megoldások 10 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

IronPort Virus Outbreak Filters A védelem első vonala Korai védelem az IronPort Virus Outbreak Filters segítségével 11 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

The IronPort Virus Outbreak Filters előnye Vírus neve Dátum Virus leírása Eltelt idő (óó:pp) Troj/Yar-A 5/24/07 Widely-spammed out email teaser promising a trailer of the film "Pirates of the Caribbean 3. Downloads spyware onto infected computers. 3:20 Trojan.Dropper 5/10/07 Trojan that attempts to download malicious code. 10:40 W32.Virut!dr 4/12/07 Spammed email that asks recipients to open attachments entitled document.txt.exe and video.zip. Downloads spyware onto infected computers. Troj/DwnLdr-GFN 3/4/07 Installs backdoor and communicates via HTTP, thus bypassing firewall filters. W32/WowPWS-AU 3/3/07 Mass mailing worm that sends emails with the subject: "Chinese test missile obliterates satellite!. Asks users to open attached file that, when opened, installs spyware. Troj_Agent.JAW 1/14/07 Spammed email message that contains a seemingly benign PDF attachment. Once attachment is opened, backdoor is installed for remote hackers to access the PC. 31:12 17:31 6:51 20:08 Átlagos védelem* 13 óra felett Blokkolt kitörések * 175 kitörés Teljes védettségi növekmény*. 94 nap *May 2006 June 2007. Calculated as publicly published signatures from the following vendors: Sophos, McAfee, Trend Micro, Computer Associates, F-Secure, Symantec and McAfee. If signature time is not available, first publicly published alert time is used. 12 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

IronPort adatszivárgás védelem Be/kimeneti szabályzás megfelelőség MENEDZSMENT ESZKÖZÖK SPAM VIRUS ADATSZIVÁRGÁS EMAIL TITKOSÍTÁS AZ IRONPORT ASYNCOS EMAIL PLATFORM Rugalmas Policy Engine az adatvagyon védelme érdekében, és a szabályzás betartatása érdekében Valós idejű policy orvoslást végez A céleszköz szintű titkosítás a privát és biztonságos kommunikáció érdekében 13 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

Adatszivárgás védelem - Törvényi megfelelőség HIPAA, GLBA, PCI, SOX szabályzások Érzékeny információk figyelése Biztonságos üzleti partneri kommunikáció - Elfogadható használat Támadó tartalom blokkolása Üzenetküldési szabályozások betartása (csatolmány mérete, stb.) Jogi felelősségkorlátozó üzenet hozzáadása a kimenő levelekhez - Adatvagyon védelme Bizalmas adatokat tartalmazó levelek blokkolása Versenytársakkal történő levelezés megakadályozása Email has become the de facto filing system for nearly all corporate information, making it even more critical to protect the outbound flow of messages. Brian Burke, Security Products Research Manager, IDC 14 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

E-mail titkosítás MENEDZSMENT ESZKÖZÖK SPAM VIRUS ADATSZIVÁRGÁS EMAIL TITKOSÍTÁS AZ IRONPORT ASYNCOS EMAIL PLATFORM 15 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

Felhasználói problémák - Adatvesztés védelmi szabályzat betartása - Érzékeny információk, jelszavak - Business Class Email képességek: - Biztonságos válaszadás - Garantált értesítés az olvasásról - Megbízható üzenet elavulás és rögzítés 16 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

IronPort PXE: Üzenet fogadása Zökkenőmentes felhasználói élmény 1. Csatolmány kinyitása 2. Jelszó beírása 3. Az üzenet megtekintése 17 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

Menedzsment megoldás a legnagyobb szervezeteknek is MENEDZSMENT ESZKÖZÖK SPAM VIRUS ADATVESZTÉS EMAIL TITKOSÍTÁS AZ IRONPORT ASYNCOS EMAIL PLATFORM IronPort Email Security Manager policy menedzsment IronPort Email Security Monitor riportoló megoldás Menedzsment felületek egyszerű integrálhatóság 18 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

Skálázható platform a mai és jövőbeli igények kiszolgálásához Támogatandó funkciók száma Az ellenőrzéshez szükséges számítástechnikai teljesítmény Átlagos méret és üzenetek mennyisége 2004 2007 2010 19 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

Behatolás-védelmi rendszerek (IPS) 20 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

0. napi sérülékenység Sérülékenység felfedezése Sérülékenység Ismertté válik SW Cég - idősík Fix/Patch elérhet rhető Sérülékenység ismertté válik Worm kibocsátása sa Hacker idősík 0. napi sérülékenység 21 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

Behatolás megelőzési rendszerek - IPS - Behatolás megelőzés/detektálás - A teljes céges hálózati forgalom vizsgálata - minden kommunikáció átmegy az IPS rendszereken - On-line vizsgálat Rosszindulatú támadások megakadályozása Biztonsági rések betömése megszokottól eltérő minták figyelése 22 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

Ki őrzi az őrzőket? A rendszergazdák felügyelete 23 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

Az ember sokszor a leggyengébb láncszem - A rendszergazda a vállalat egyik legszélesebb operatív jogkörrel rendelkező tagja minimális felelőséggel. - Tulajdonképp korlátlan jogosultságokkal rendelkezik a folyamatok és az adatok felett, beleértve a nyomok eltüntetésének lehetőségét is. 24 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

Van megoldás: Shell Control Box - Man-In-The-Middle technika - A beágyazott csatornák kézbentartása - vpn, port-forward, scp/sftp etc. (SSH) - Print-, disk- sharing (RDP) - Erős authentikáció és titkosítás kikényszerítése 25 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest 2

A teljes munkamenet archiválása - A teljes munkamenet rögzítése - Az audit fájlok tömörítése és titkosítása - A munkamenetek kereshető visszajátszása 26 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest 2

Kiss Tibor ügyvezető igazgató kiss.tibor@ictshungary.hu ICTS Hungary Köszönöm a figyelmet! 27 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest

Kiegészítő fóliák 29 Bull, 2008 Bull Szakmai Nap, 2008. szeptember 18., Budapest