©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals Решения Check Point по защите банкоматов Александр Рапп Консультант по информационной безопасности RRC

2 2©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | План 1 1 Обзор рынка Уязвимости банкоматов 2 2 Решения Check Point по защите АТМ 3 3 Примеры внедрения 4 4

3 3©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | Хронология появления банкоматов /681969/731974/7880` & 90` ATM predecessor installed 1967 First cash dispenser installation 1968 Card-eating machine 1969 First use of ATM magstripe cards 1971 First true bank ATMs 1973 Proliferation begins 1974 Online ATMs introduced 1978 The first IBM-compatible Diebold machine 2011 The number approaches 1.8 million WW

4 4©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | Эволюция банкоматов Банкомат позволяет проводить банковские операции почти из каждой точки мира Количество банкоматов в мире растет с каждым годом Банкоматы все больше и больше могут быть найдены во многих удаленно-расположенных местах таких как магазины, аэропорты, заправочные станции, аэропорты, вокзалы, магазины и т.д. где открыть отделения банка не представляется возможным Рост банковского дохода

5 5©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | Общая структура банкоматов Процессор Магнитная карта Магнитный и/или чиповый карт-ридер Контактная клавиатура для ввода PIN кода Безопасный криптопроцессор Экран и/или сенсорный экран Принтер чеков Хранилище Модем

6 6©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | ATM – не только выдача наличных Платежи рутинных счетов, налогов и сборов Печать банковских договоров Приобретение почтовых марок, билетов, и т.д. Быстрые кредиты Пожертвования на благотворительные цели Пополнение мобильных телефонов Перевод денег между счетами

7 7©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | План 1 1 Обзор рынка Уязвимости банкоматов 2 2 Решения Check Point по защите АТМ 3 3 Примеры внедрения 4 4

8 8©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | Преступления связанные с банкоматами Значительный рост числа преступлений связанных с банкоматами в отчетах По разным оценкам в 2005 в США около 3 миллионов пользователей стали жертвами мошенничества с банкоматами, потери составили $2.75 млрд. В Европе в 2008 общие потери достигли млн. За большинством этих атак скрывается организованная преступность Индустрия банкоматов считает одним из главных приоритетов – безопасность пользователей и защиту от краж!

9 9©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | Уязвимости банкоматов Взлом банкомата Инфицирование/ Заражение backdoor в приложениях Взлом банкомата Инфицирование/ Заражение backdoor в приложениях Вредоносные действия Увоз банкомата Потеря не только денег! Изъятие жесткого диска Увоз банкомата Потеря не только денег! Изъятие жесткого диска Физическая кража Публичный Интернет Скомпрометирован ная безопасность Публичный Интернет Скомпрометирован ная безопасность Удаленное управление

10 ©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | Общая схема безопасности сети ATM MPLS может предложить шифрование, но не End-to- End Офис банка Сервера приложений банка MPLS Нет контроля и/или аудита LAN Банкомат имеет те же уязвимости что и обычный ПК Чувствительная информация не шифруется Банкомат имеет те же уязвимости что и обычный ПК Чувствительная информация не шифруется УЖЕ НЕ ДОСТАТОЧНО!!!

11 ©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | MPLS уязвимости Конфиденциальность/Целостность: Без вовлечения End-to-End шифрования информация с банкоматов может быть модифицирована и скомпрометирована. Possibility to capture information into the back-to-back connection (ATM- Router) Possibility to extract the ATMs HDD and use it in other device to have access into the Bank resources (no Hardware Hash) Неавторизированный доступ к внутренней сети банка Lack of Strong Authentication mechanisms Lack of Security Zones Definition Lack of Application Control Lack of Location Awareness Отсутствие контроля и аудита: Virus/Malware External Devices like non-authorized: HDD, USB Pendrives and Modem 3G

12 ©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | Agenda 1 1 Обзор рынка Уязвимости банкоматов 2 2 Решения Check Point по защите АТМ 3 3 Case Study 4 4

13 ©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | Check Point Endpoint Security UTM-1 Edge N Series UTM-1 Edge Industrial

14 ©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | Решения Check Point по защите АТМ UTM-1 Edge Встроенный ADSL модем Express card 3G модем Поддержка стандарта n Встроенный ADSL модем Express card 3G модем Поддержка стандарта n Endpoint Security Безопасный удаленный доступ Защита от вредоносного ПО Шифрование всего диска Безопасный удаленный доступ Защита от вредоносного ПО Шифрование всего диска Единое Управление и Консоль Унифицированная Сервер Управления Безопасностью

15 ©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | Единый Клиент Защита ценной информации банкомата

16 ©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | Две опции Endpoint Security Безопасный Удаленный Доступ и Комплексная Безопасность в Едином Клиенте E75.20 Endpoint Security VPN E80.20 Endpoint Security Suite Устанавливается и работает как сервис (без GUI) Полностью родной CLI и API Заменяет SecureClient NGX Desktop firewall Проверка на соответствие SCV Устанавливается и работает как сервис (без GUI) Полностью родной CLI и API Заменяет SecureClient NGX Desktop firewall Проверка на соответствие SCV Всегда на связи, включая роуминг Поддержка второго коннекта Поддержка Windows 7 64-bit CAPI регистрация через CLI Автоматическое обновление сертификатов Всегда на связи, включая роуминг Поддержка второго коннекта Поддержка Windows 7 64-bit CAPI регистрация через CLI Автоматическое обновление сертификатов Remote Access WebCheck Firewall/ Compliance Check Anti-Malware/ Program Control Full Disk Encryption Media Encryption

17 ©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | Решения Check Point по защите АТМ UTM-1 Edge N Series Встроенный ADSL модем Express card 3G модем Поддержка стандарта n Встроенный ADSL модем Express card 3G модем Поддержка стандарта n Endpoint Security Безопасный удаленный доступ Защита от вредоносного ПО Шифрование дисков Безопасный удаленный доступ Защита от вредоносного ПО Шифрование дисков

18 ©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | UTM-1 Edge N Расширенные возможности подключения –Robust 3G connectivity N-Серия ADSL* –Встроенный ADSL модем –ExpressCard 3G модем Интернет Соотношение Цена/Производительность – менее чем $1/Mbps

19 ©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | UTM-1 Edge N – Безопасность Stateful Inspection firewall Remote access client software Application Intelligence (IPS) Gateway antivirus Network Access Control (802.1x)

20 ©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | Интернет или другая сеть Кластер из высокопроизводит ельных устройств Check Point Схема

21 ©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | Концепция управления на основе профилей безопасности Определение профилей файерволов Конфигурирование безопасности и VPN политики для профилей До нескольких тысяч устройств Создание объектов и ассоциирование их с профилями Файеволы вытягивают настройки политик и конфигураций Обновление политик/конфигураций профилей (применятся на всех файерволах, которые ассоциированны с ними) Файерволы вытягивают обновленные политики/настройки

22 ©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | SmartProvisioning Эффективное управление крупномасштабными инсталляциями в распределенных сетевых средах Высокий уровень безопасности Быстрое развертывание сетевых устройств Центральная консоль для развертывания, поддержки и восстановления устройств безопасности

23 ©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | План 1 1 Обзор рынка Уязвимости банкоматов Решения Check Point по защите АТМ 3 3 Примеры внедрения

24 ©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | HSBC ATM Environment HSBC & Check Point ATM Environment

25 ©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | Французский Банк 5000 банкоматов

26 ©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals | Check Point Endpoint Security Единое Управление и Консоль UTM-1 Edge N Series

©2011 Check Point Software Technologies Ltd. | [Restricted] ONLY for designated groups and individuals Вопросы Александр Рапп Консультант по информационной безопасности RRC