SYSNET 2009. All Rights Reserved. Confidential. Not For Distribution. Актуальные проблемы безопасности карточных технологий SYSNET 2009. All Rights Reserved.

Презентация:



Advertisements
Похожие презентации
Типичные недостатки в обеспечении безопасности систем ДБО Борис Симис Директор по развитию Positive Technologies.
Advertisements

1 / RBBY Внедрение стандарта безопасности данных индустрии платежных карт (PCI DSS) в «Приорбанк» ОАО Минск Ноябрь 2010 «Сражаясь с тем, кто.
Тест на проникновение в соответствии с PCI DSS Илья Медведовский Digital Security Директор, к.т.н.
Защита баз данных. Повестка дня Реалии сегодняшнего дня … Источники атак Уязвимости СУБД Что делать ? Кто поможет ? DbProtect – новое предлагаемое решение.
ЭЛЕКТРОННЫЕ ГОСУДАРСТВЕННЫЕ УСЛУГИ Взгляд со стороны злоумышленника.
Особенности проведения тестов на проникновение в организациях банковской сферы © , Digital Security Илья Медведовский, к.т.н. Директор Digital.
Практический опыт построения системы централизованного мониторинга ИБ в банковской организации на базе решений Oracle Информационная безопасность для компаний.
Политика безопасности компании I-TEAM IT-DEPARTMENT Подготовил: Загинайлов Константин Сергеевич.
П РИМЕНЕНИЕ СИСТЕМ МОНИТОРИНГА СОБЫТИЙ В ИНФОРМАЦИОННОЙ СИСТЕМЕ Выполнил: студент 5 курса Зенчик Николай Руководители: Воротницкий Ю. И. Позняков А. М.
Digital Security LifeCycle Management System Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ © 2008, Digital Security.
Интенсивное развитие компьютерных сетей делает особенно актуальной проблему анализа работы сетей. Трафик сети является одним из важнейших фактических.
Проведение мониторинга технического обеспечения и соблюдения норм информационной безопасности в региональных центрах обработки информации субъектов Российской.
Основные мифы безопасности бизнес-приложений Илья Медведовский, к.т.н., директор Digital Security.
ISM4 Управление рисками ИБ ПРЕДСТАВЛЕНИЕ ТЕХНОЛОГИИ КОНСАЛТИНГ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ISM4.
Проблемы и уязвимости в системах ДБО © , Digital Security Digital Security.
Информационная безопасность в медицине С чего начать?
© 2007 Cisco Systems, Inc. All rights reserved.SMBE v Cisco SMB University for Engineers Первоначальный аудит систем клиента.
W w w. a l a d d i n. r u Владимир Здор, Руководитель направления аутентификации и защиты информации Корпоративная система защиты конфиденциальной информации.
Системный аудит и оценка рисков информационной безопасности.
МОНИТОРИНГ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ: КЛЮЧЕВОЙ ИНСТРУМЕНТ В СФЕРЕ БЕЗОПАСНОСТИ, КОТОРЫМ ВЫ ЕЩЕ НЕ ПОЛЬЗУЕТЕСЬ Presented by.
Транксрипт:

SYSNET All Rights Reserved. Confidential. Not For Distribution. Актуальные проблемы безопасности карточных технологий SYSNET All Rights Reserved. Confidential. Not For Distribution.

Немного истории Американский писатель Эдвард Беллэми в фантастическом бестселлере «Глядя назад», опубликованном в 1888 году, написал о человеке, страдающем бессонницей, который мог засыпать лишь под гипнозом. Однажды герой книги, в очередной раз задремав таким образом, сумел проснуться лишь через сотню с лишним лет… в Бостоне 2000 года. При этом он очутился в абсолютно безденежном обществе, в котором вместо звонкой монеты гражданам выдавались… тонкие маленькие карточки. На этих чудо-карточках указывалась сумма предоставленного кредита, по которому их обладатели могли купить любой товар. Так за 60 лет до первой эмиссии платежных карт американский фантаст сумел предсказать их появление.

SYSNET All Rights Reserved. Confidential. Not For Distribution. Состояние дел Ежегодный ущерб от хищения денежных средств клиента с помощью платежных карт в международных платежных системах МаstеrCаrd International и Visa International достигает сотен миллионов долларов.

SYSNET All Rights Reserved. Confidential. Not For Distribution. Статистика Во всем мире наметилась устойчивая тенденция к росту карточных хищений. По данным Cards Business Review, список стран с высоким уровнем пластиковой преступности возглавляет Украина 19% всех случаев мошенничества, далее следуют Индонезия 18,3%, Югославия 17,8%, Турция 9% и Малайзия 5,9%. В Соединенных Штатах, где карточный оборот весьма велик, совершается лишь 1,7% всех преступлений.

SYSNET All Rights Reserved. Confidential. Not For Distribution. Ответ МПС Несколько лет назад международные платежные системы EuropayMasterCard и Visa объявили о желательности быстрого перехода на микрочиповые технологии. О благотворном влиянии чипа на снижение уровня мошенничества свидетельствует, например, опыт Франции. После перехода этой страны на микропроцессорную технологию объем мошеннических операций с карточками в 1989 году резко упал.

SYSNET All Rights Reserved. Confidential. Not For Distribution. Резюме Исторический опыт показывает: любое усовершенствование технологии защиты ведет к адекватному ответу со стороны криминального мира. Тем не менее в этой гонке отечественным банкирам нельзя отставать, поскольку в противном случае именно платежные карты украинцев станут наиболее легкой желанной добычей для кардеров.

SYSNET All Rights Reserved. Confidential. Not For Distribution. PCI DSS Payment Card Industry Data Security Standard

SYSNET All Rights Reserved. Confidential. Not For Distribution. Цель Целью аудита на соответствие PCI DSS по большому счету является создание зрелой системы менеджмента ИБ карточного бизнеса, интегрирующей в процессы обеспечения ИБ как ИТ-подразделения, подразделения информационной безопасности, внутреннего контроля, так и бизнес-подразделения, включая их топ - менеджмент

SYSNET All Rights Reserved. Confidential. Not For Distribution. Обзор основных проблем при внедрении PCI DSS 1. Необходимые для обеспечения бизнес-процессов сетевые протоколы и политики межсетевого экранирования незадокументированы. 2. Авторизационные данные хранятся в журналах транзакций ATM, POS-терминалов и т.д. практика гарантированного уничтожения чувствительных данных мало распространена 3. Внутреннее сканирование уязвимостей сетевых устройств не проводится до достижения требуемого по Стандарту результата. Внутренние тесты на проникновение вызывают непонимание.

SYSNET All Rights Reserved. Confidential. Not For Distribution. продолжение 4. Не определена политика хранения данных, т. е. нет четкой установки, где и какие данные платежных карт хранить и когда и каким образом их нужно удалять. 5. Должным образом не обеспечивается контроль целостности приложений и операционных систем серверов. 6. Не стандартизированы настройки операционных систем и приложений, в том числе с точки зрения обеспечения безопасности.

SYSNET All Rights Reserved. Confidential. Not For Distribution. продолжение 7. Не устанавливаются вообще или устанавливаются несвоевременно обновления безопасности на сервера процессинга, так как для их установки необходимо перезагружать сервера и останавливать работу. 8. В случае использования ПО собственной разработки последнее ничем не регламентировано, и разработчики всегда поддерживают разрабатываемые системы самостоятельно, как наиболее компетентные специалисты. Перечень тестов и проверок как правило отсутствует.

SYSNET All Rights Reserved. Confidential. Not For Distribution. хранение каждого элемента данных SYSNET All Rights Reserved. Confidential. Not For Distribution. продолжение 9. Парольная политика применяется в основном только в доменах Windows. На Unix-серверах, в базах данных и к приложениям парольная политика применяется крайне редко, как правило, она там просто отсутствует. 10. Регистрация событий не рассматривается как источник информации для мониторинга уровня безопасности и расследования инцидентов. Часто не проводится никакой разницы между понятиями аудита и мониторинга

SYSNET All Rights Reserved. Confidential. Not For Distribution. 11. Обучение рядовых сотрудников в части информационной безопасности обычно ограничивается единственным инструктажем при приеме на работу. Требование ежегодного ознакомления с правилами и процедурами безопасности пока ново, но зафиксировано всего три случая наличия подобной расписки продолжение

SYSNET All Rights Reserved. Confidential. Not For Distribution. Один из основных недостатков – это отсутствие «Плана реагирования на инциденты», что по сути есть невыполнение требований стандарта ISO/IEC 18044:2004 (Управление инцидентами ИБ). При этом отсутствует само понимание инцидента

SYSNET All Rights Reserved. Confidential. Not For Distribution. Типовые проблемы и решения

SYSNET All Rights Reserved. Confidential. Not For Distribution. Ошибки Недостаточно оцениваются проблемы наличия внутренних угроз

SYSNET All Rights Reserved. Confidential. Not For Distribution. Внутренние угрозы Среди внутренних угроз можно выделить несколько наиболее распространенных способов нанесения ущерба: неавторизованный доступ в систему (ПК, сервер, БД); неавторизованный поиск/просмотр конфиденциальных данных; неавторизованное изменение, уничтожение, манипуляции или отказ доступа к информации, принадлежащей компьютерной системе; сохранение или обработка конфиденциальной информации в системе, не предназначенной для этого; попытки обойти или взломать систему безопасности или аудита без авторизации системного администратора (кроме случаев тестирования системы безопасности или подобного исследования); другие нарушения правил и процедур внутренней безопасности сети. SYSNET All Rights Reserved. Confidential. Not For Distribution.

Недостаточно внимания уделяется сбору и хранению лог файлов критичных систем Ошибки

SYSNET All Rights Reserved. Confidential. Not For Distribution. Типичная хакерская атака Типичная хакерская атака подразумевает чистку лог файлов после осуществления атаки, вне зависимости от ее успеха Основные способы избежать обнаружения после осуществления атаки: Подмена системных файлов (установка руткитов) Подчистка журналов

SYSNET All Rights Reserved. Confidential. Not For Distribution. Пример: атака на Heartland Payment Systems

SYSNET All Rights Reserved. Confidential. Not For Distribution. Сценарий Хакеры, изучив компании из «Top 500», обнаружили уязвимости класса SQL Injection на Web-серверах трех из них С помощью SQL-инъекции получили контроль над несколькими серверами, установили руткиты Получили доступ к ключевым компонентам инфраструктуры, установили сниферы Арендовали Web-серверы в 6 регионах, на которые автоматически закачивались данные магнитной полосы и PIN-блоки Схема действовала с октября 2006 г. по май 2008 г. Было скомпрометировано 130,000,000 карт. Несмотря на предупреждения о возможном фроде, HPS признала утечку и оповестила клиентов только в январе 2009 Это самая масштабная утечка, по ее итогам HPS была «задним числом» признана не соответствующей PCI DSS

SYSNET All Rights Reserved. Confidential. Not For Distribution. Имеющиеся проблемы -Сетевые устройства -Серверы -Приложения -Базы Данных -Самописное ПО -Объм -Хранение -Полезность -Безопасность

SYSNET All Rights Reserved. Confidential. Not For Distribution. ArcSight Enterprise Security Manager Обеспечивает: Сбор событий устройств и приложений Нормализацию и категоризация событий Приоритизацию событий Мониторинг в реальном времени Корреляцию в реальном времени Гибкая отчетность Масштабирование без замены решения Гибкость внедрения и эксплуатации Управление инцидентами

SYSNET All Rights Reserved. Confidential. Not For Distribution. Усиление информационной безопасности Поддержка ключевых аспектов управления ИБ

SYSNET All Rights Reserved. Confidential. Not For Distribution. Обнаружение инцидентов Основные элементы

SYSNET All Rights Reserved. Confidential. Not For Distribution. Как система помогает отделам ИБ Анализ журналов событий помогает подразделениям ИБ: –Производить мониторинг всей инфраструктуры из «одного окна» –Оптимизировать сетевую производительность путем определения источников сбоев и оповещения о проблемах –Осуществлять контроль изменения конфигураций оборудования и ПО –Понимать, что происходит в сети –Получить картину поведения пользователей или групп пользователей

SYSNET All Rights Reserved. Confidential. Not For Distribution. Универсальность решения

SYSNET All Rights Reserved. Confidential. Not For Distribution. Преимущества Превращает данные логов в полезную информацию Дает целостную картину происходящего в сети Экономит время на построение отчетов по требованиям регуляторов / лучших практик Организует процесс управления инцидентами Снижает операционные затраты

SYSNET All Rights Reserved. Confidential. Not For Distribution. Gartner MQ

SYSNET All Rights Reserved. Confidential. Not For Distribution. Сборщик лог-файлов

SYSNET All Rights Reserved. Confidential. Not For Distribution. Области применимости

SYSNET All Rights Reserved. Confidential. Not For Distribution. 32 Наши партнеры и клиенты

SYSNET All Rights Reserved. Confidential. Not For Distribution. Наши партнеры и клиенты

SYSNET All Rights Reserved. Confidential. Not For Distribution. Наши партнеры и клиенты

SYSNET All Rights Reserved. Confidential. Not For Distribution. SYSNET All Rights Reserved. Confidential. Not For Distribution.35 Клиенты и партнеры Наши партнеры и клиенты

SYSNET All Rights Reserved. Confidential. Not For Distribution. 36 Задавайте, пожалуйста, вопросы! Sysnet "Vendor Independent Security Consultants Алексей Гребенюк, QSA Tel: Web: