Емельянников Михаил Юрьевич Управляющий партнер Консалтинговое агентство «Емельянников, Попова и партнеры» Безопасность электронного бизнеса: от пользователя.

Презентация:

Advertisements

Похожие презентации

Решение задач защиты информации в виртуализированных средах и приведения систем в соответствие с законодательством и мировыми стандартами Круглый стол.

Advertisements

Вероника Копейко Менеджер по организации обучения Консультационные онлайн услуги по продуктам и решениям компании «Код Безопасности»

VGate сертифицированная защита виртуальной инфраструктуры ТРЕТИЙ РОССИЙСКИЙ ПАРТНЕРСКИЙ ФОРУМ VMWARE МАРТА 2010, МОСКВА Менеджер по развитию продуктов.

Как выполнить требования регуляторов по защите среды виртуализации в государственных информационных системах и при обработке персональных данных ИНФОФОРУМ-2013.

Защита виртуальной среды Алексей Козловский Руководитель отдела системной интеграци РИТМ.

Управляющий партнер Консалтинговое агентство «Емельянников, Попова и партнеры» М.Ю.Емельянников Управляющий партнер Консалтинговое агентство «Емельянников,

Использование сертифицированных СЗИ от НСД для Linux при построении защищенных автоматизированных систем Инфофорум-2012 Юрий Ровенский Москва, 7 февраля.

Информационная безопасность виртуальных инфраструктур. Наш ответ на новые вызовы СЕМИНАР «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ 2010: РАБОТА НА ОПЕРЕЖЕНИЕ» 7 АПРЕЛЯ.

VGate R2 Конкурс продуктов VirtualizationSecurityGroup.Ru Лысенко Александр 24 июня 2011 года Ведущий эксперт по информационной безопасности.

Продуктовая линейка компании «Код Безопасности». О компании «Код Безопасности» Российский разработчик программных и аппаратных средств для защиты информации.

ОАО Инфотекс Использование сетевых средств защиты информации при создании АС информирования населения Дмитрий Гусев Заместитель генерального директора.

Специфика защиты информации в виртуальных инфраструктурах ИНФОФОРУМ-ЕВРАЗИЯ Лысенко Александр МОСКВА 9 июня 2011 Код Безопасности.

Типовые решения защиты персональных данных Симонов Павел инженер отдела информационной безопасности ООО «АВИТЕК-СЕРВИС»

Решения «Код Безопасности» для защиты информационных систем Семинар компании «Информзащита» Информационная безопасность 2010: работа на опережение 2 марта.

ВИРТУАЛИЗАЦИЯ: ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ CSO Summit 2010 Москва, Конгресс-центр МТУСИ, 23 МАРТА 2010 Генеральный директор ООО.

Представляем 1 KASPERSKY SECURITY ДЛЯ БИЗНЕСА Ренат Шафиков Региональный представитель по ПФО

Технология ViPNet Центр Технологий Безопасности ТУСУР, 2010.

Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.

система защиты рабочих станций и серверов на платформе Windows XP/2003/2008R2/Vista/7 модуль доверенной загрузки операционной системы Windows 2000/XP/2003/Vista/7/2008.

КОНЦЕПЦИЯ ДОВЕРЕННОЙ ВЫЧИСЛИТЕЛЬНОЙ СИСТЕМЫ: СОДС МАРШ!

Транксрипт:

Емельянников Михаил Юрьевич Управляющий партнер Консалтинговое агентство «Емельянников, Попова и партнеры» Безопасность электронного бизнеса: от пользователя до виртуальной инфраструктуры Москва, 7 июня 2012 года

Дистанционное банковское обслуживание 2 Предоставление банковских услуг на основании распоряжения, передаваемого клиентом по каналам связи (без физического присутствия в банке) с использованием: компьютера (личного или находящегося в общем пользовании) планшета, коммуникатора, смартфона телефона (голосом, путем ввода данных по меню или передачи СМС сообщения) банкомата, терминала, инфомата

Очевидные проблемы 3 Идентификация (взаимная!) Аутентификация (взаимная!) Авторизация Подтверждение подлинности действий клиента Защита от перехвата информации Противодействие навязыванию ложной информации (ложных запросов)

Объекты атаки 4 Информационная система банка Канал связи Средства доступа пользователя: o контролируемое (банкомат, платежный терминал, инфомат) o неконтролируемое (принадлежащее пользователю) o доверенное устройство в недоверенной среде

Атака на систему ДБО в банке 5 Снаружи атакуют от имени клиента преодолевают систему защиты Изнутри обычный пользователь- нарушитель или в сговоре с ним привилегированный пользователь администратор

Нейтрализация внешних атак 6 Межсетевое экранирование Системы обнаружения/ предупреждения вторжений Системы защиты от проникновения вредоносного контента Ловушки для нарушителей, использующих неизвестные способы и методы атак

Противодействие неизвестным атакам Security Studio Honeypot Manager 7

Имитация работы бизнес-приложений Регистрация попыток НСД к информации Уведомление о фактах НСД Отчеты об активности нарушителей Централизованное управление 8 Проактивное средство обнаружения хакерских вторжений и НСД к информации Ключевые возможности Security Studio Honeypot Manager

Низкое количество ложных срабатываний Обнаружение атаки по небольшому количеству данных Обнаружение новых типов атак Возможность понять цели, методы и средства нарушителя Невысокие требования к обслуживанию 9 Security Studio Honeypot Manager Проактивное средство обнаружения хакерских вторжений и НСД к информации Достоинства систем данного класса

Единственное СОВ на основе имитации данных Высокая реалистичность имитации Возможность оценить реальный уровень угроз и эффективность применения средств защиты Возможность интеграции с системой безопасности Наличие сертификата ФСТЭК (ТУ, НДВ-4, 1Г, К1) 10 Security Studio Honeypot Manager Проактивное средство обнаружения хакерских вторжений и НСД к информации Уникальные особенности

11 Барьеры на пути нарушителя, проникшего в сеть Сегментация и изоляция Усиленная взаимная аутентификация пользователей и оборудования Мандатное управление доступом к защищаемым ресурсам Ограничение прав привилегированных и супер- пользователей

Безопасность виртуальной инфраструктуры – vGate R2/S-R Усиленная аутентификация администраторов виртуальной инфраструктуры и администраторов информационной безопасности Защита средств управления виртуальной инфраструктурой и ESX-серверов от НСД Мандатное управление доступом Контроль целостности и доверенная загрузка ESX-серверов, а также виртуальных машин Контроль целостности и защита от НСД компонентов СЗИ Контроль доступа администраторов ВИ к данным виртуальных машин Регистрация событий, связанных с информационной безопасностью Централизованное управление и мониторинг

Мандатное управление доступом 13

Приведение инфраструктуры в соответствие с требованиями и постоянный контроль соответствия VMware Security hardening Best Practice CIS VMware ESX Server 3.5 Benchmark PCI DSS СТО БР ИББС ФЗ-152 Приведение в соответствие

15 Распределенный межсетевой экран с централизованным управлением - сертифицированная защита сетевого доступа к информационным системам Сегментация и изоляция – TrustAccess

Централизованное управление Аутентификация Фильтрация сетевых соединений Контроль целостности Защита сетевых соединений Регистрация событий ИБ TrustAccess: основные функции 16

17 TrustAccess защищает от сетевых атак как со стороны внешних физических машин, так и со стороны виртуальных машин. Механизмы защиты TrustAccess не чувствительны к подмене MAC- или IP-адресов. Защита виртуальных машин

18 Аутентификация по протоколу Kerberos нечувствительна к угрозам Man in The Middle Аутентификация может происходить как на уровне отдельного пользователя, так и компьютера целиком Аутентификации подвергается не только субъект доступа, но и защищаемый объект (защита от подмены сервера) Осуществляется проверка правил доступа. Правила могут оперировать широким набором критериев (субъекты: компьютеры, пользователи, группы; параметры соединения: адреса, порты, протоколы т.п.). На результат проверки правила можно назначить реакцию: регистрация в журнале, сигнализация, Устанавливается защищенное соединение (IPSec AH). Контролируется аутентичность и целостность трафика без применения шифрования. Разграничение сетевого доступа

19 Защита канала связи АПКШ «Континент» + Защищенный планшет «Континент Т-10» (ОS Android) с интегрированными средствами безопасности.

ДБО + BYOD СКЗИ Континент АП для iOS: программный VPN клиент для устройств iPad СКЗИ Континент АП для Android: программный VPN клиент для устройств смартфонов, планшетов и коммуникаторов 20

Все сложное – чаще всего просто 21 Группа молодых хакеров, используя сначала вредоносную программу Hodprot, а с 2011 года Carberp, размещала их на различных сайтах для незаметного проникновения и установки в компьютерах пользователей. Всего были заражены минимум 1,6 млн. компьютеров.

Полтора миллиона клиентов банков не думали о безопасности. Своей. 22

Атаки на компьютер клиента – дешево, просто, сердито! 23 Компьютер клиента: Предотвращение НСД: пароль «123» (если есть вообще) Антивирус: Он же жутко тормозит! Персональный межсетевой экран: Чё? HIPS: Чё-чё???

Но и защита компьютера клиента – дешево, просто, сердито Security Studio Endpoint Protection Administration Center - централизованное развертывание и обновления Security Studio Endpoint Protection и контроль за безопасностью сети Персональный межсетевой экран Антивирус и антишпион Средство обнаружения вторжений (Модули "Детектор атак" и "Локальная безопасность») Веб-контроль за работой интерактивных элементов, встроенных в загружаемые веб-страницы Антиспам

Универсальных таблеток нет. Но есть эшелонированная оборона

26 Управляющий партнер Консалтинговое агентство «Емельянников, Попова и партнеры» М.Ю.Емельянников +7 (916) Компания «Код Безопасности» +7 (495) СПАСИБО ЗА ВНИМАНИЕ! ВОПРОСЫ? Москва, 7 июня 2012 года