Transcript Title
IBM Global Technology Services ISS Koncept řízení bezpečnosti, Ethical Hacking Jan Vaněk © Copyright IBM Corporation 2007 IBM Global Technology Services Internet Security Systems Založena v r.1994, ústředí USA Atlanta, akvizice ISS v roce 2006 Orientována čistě na bezpečnost, průkopník a vedoucí společnost na trhu IDS/IPS zařízení a vulnerability managementu Vlastní výzkumný a vývojový team X-Force Přes 1200 zaměstnanců, zastoupení v 25 zemích, provozuje celosvětově, 8 Security Operation Center Příjmy 330 MIO USD za r.2005, přes 11 tisíc Korporátních zákazníků 2 © Copyright IBM Corporation 2007 IBM Global Technology Services X-Force výzkumný a vývojový team IBM Internet Security Systems X-Force® R&D tým: Přední světová bezpečnostní organizace, Založena v roce 1997 Nejstarší a nejznámější komerční výzkumná skupina zaměřená na detekci zranitelností a vyhledávání bezpečnostních slabin X-Force stojí za objevením více než 50% všech významných slabin v OS a aplikacích. Vydává X-Press update, kterými jsou aktualizovány ISS produkty 3 © Copyright IBM Corporation 2007 IBM Global Technology Services Ochrana od Perimetru až po Desktop Preventivní hloubková ochrana 4 © Copyright IBM Corporation 2007 IBM Global Technology Services ISS - Koncept řízení bezpečnosti The Proventia® ESP – a framework for ISS’ products and services 5 © Copyright IBM Corporation 2007 IBM Global Technology Services Vulnerability Scannery o Identifikace a klasifikace zranitelností uvnitř sítě o Možnost plánování automatizovaných skenů a pravidelného reportingu o Vizualizace prostřednictvím centrální správy o Možnost nastavení workflow pro odstranění zranitelnosti o ES1500 umožňuje skenovat až 5 segmentů sítě současně s různou politikou o Existuje v SW variantě „Internet Scanner“ i jako specializovaná appliance„EnterpriseScanner“ 6 © Copyright IBM Corporation 2007 IBM Global Technology Services Metody detekce škodlivých kódů/útoků 7 © Copyright IBM Corporation 2007 IBM Global Technology Services Proventia Network IPS o Zařízení, které umožňuje ochranu před útokem a škodlivými kody, které nejsou odhalitelné standardními bezpečnostními mechanismy o Další vrstva ochrany vedle firewallu a antivirových systémů o V závislosti na typu zapojení funguje buď v IDS modu /detekce útoků a obsluha rozhodu o následné akci/ nebo IPS modu – dochází automaticky k zablokování útoku o Široká škála modelů, které se liší propustností, počtem portů, latencí, redundancí. o Možnost dékodovat přes 200 protokolů a datových formátů o Virtuální patching, (ochrana zranitelných – neopatchovaných systémů) využívá XPress updaty o Ochrana před známými i neznámými útoky. Reakce na útok: Block, Quarantine, Ignore, Log Evidence, Email SNMP, User-Specified o Jednotný management použitelný nejen pro síťové IPS, ale i vulnerability skenery, host IPS pro servery a desktopy a další ISS produkty. 8 © Copyright IBM Corporation 2007 IBM Global Technology Services Proventia Network IPS Continuum: The Most Complete Portfolio Available How a customer benefits from an integrated portfolio: Better Protection • Protect each segment of the network • Consistent Naming for Attacks • Simple Reporting – 1 System • Automated Updates – XPU’s 4 9 Lower Cost EZ Implementation • Fewer Resources for a Single Management System to handle all devices • Automation (Updates, Trust X-Force) • Single Reporting System • Single process to manage security alerts • • • • • Same GUI throughout Single System to Manage Deployment Services Managed Security Services Certified Technical Support © Copyright IBM Corporation 2007 IBM Global Technology Services Odolnost proti výpadku, možnosti zapojení Zařízení jsou odolná proti výpadkům: o Výpadek hardware o Výpadek napájení o Software failure Možnosti zapojení: o Inline Prevention Mode o Inline Simulation Mode o Passive mode (IDS) 10 © Copyright IBM Corporation 2007 IBM Global Technology Services Proventia Web Application Security SQL (Structured Query Language) Injection XSS (Cross-site scripting) PHP (Hypertext Preprocessor) fileincludes CSRF (Cross-site request forgery) Path Traversal HTTP Response Splitting Forceful Browsing Expands security capabilities to meet both compliance requirements and threat evolution 11 © Copyright IBM Corporation 2007 IBM Global Technology Services ISS Proventia IPS for Crossbeam o IDS/IPS řešení pro bezpečnostní platformu Crossbeam – Chassis-based, Crossbeam je bezpečnostní platforma pro zabezpečení perimetru, integrovatelná s bezpečnostnímu produkty 3. stran CheckPoint, IBM ISS, TrendMicro – Vyvinuto za účelem dosažení vysoké propustnosti (až 20 Gbps v rámci jednoho chassi) a vysoké dostupnosti služby (99,999999%) 12 © Copyright IBM Corporation 2007 IBM Global Technology Services Proventia Multifunction Security System – MX řada Komplexní zabezpečení perimetru: - Firewall a VPN - Intrusion Prevention IDS/IPS MX5110 (1000 signatur) - Antivir a Antispyware (signaturový) Ports - Web Filtering (62 kategorií) - Antispam (98%) Performance Aktuálně 6 modelů od 50 do 3000 uživatelů (Full Inspection) Target Deployment 13 10 600 Mbps MX3006 6 200 Mbps Enterprise Medium 3000 uživatelů 500 uživatelů © Copyright IBM Corporation 2007 IBM Global Technology Services Serverová ochrana - 3 produktové řady o Proventia Server for Windows o Proventia Server for Windows o RealSecure Server Sensor Široká podpora platforem: Windows, Linux, Unix platforms (AIX, HP-UX and Solaris) Ochrana serveru před známými i neznámými útoky o Možnost kotroly šifrovaného SSL spojení o Ochrana před Buffer overflow útoky o Řízení přístupu k serveru dle nastavené politiky, možnost vynucení politiky o Personální firewall o Kontrola integrity registrů, souborů, auditování OS o Logování podezřelých aktivit a kontrola shody s nastavenou politikou 14 © Copyright IBM Corporation 2007 IBM Global Technology Services Proventia Desktop – Vícevrstvá ochrana 80 115 135 445 1025 ?? 15 © Copyright IBM Corporation 2007 IBM Global Technology Services SiteProtector centrální správa 16 © Copyright IBM Corporation 2007 IBM Global Technology Services SiteProtector SP 1001 Appliance Připraveno k nasazení do stávající infrastruktury, bez nutnosti pořizovat další HW,SW HW specifikace: 2U rack, CPU Dual Xeon 2.8 GHz, RAM 4 GB, Disk Space Dual 74 GB Windows Server 2003, Database SQL Server 2005, Quarterly OS Security Updates, Server protection Proventia Server for Windows Umožňuje zpracování až 1mil. Událostí za den 17 © Copyright IBM Corporation 2007 IBM Global Technology Services SiteProtector verze 18 © Copyright IBM Corporation 2007 IBM Global Technology Services Managed Security Services & the Virtual-SOC Customer Sites IBM Internet Security Systems Global Security Operations Center Meta data (logs, events) Security Operations Center SOC Atlanta - Detroit BackBone Management Monitoring Alerting Reporting IT-Security Manager SOC Brussels SOC Tokyo Value of Managed Security Services • služby 24x7 • Quality SLA’s • Security specialisté • Alerting a eskalace incidentů • 7 let archivace 19 SOC Brisbane • Včasné varování • Security výzkum • Garantovaná ochrana 50k USD • Minimalizace rizik © Copyright IBM Corporation 2007 IBM Global Technology Services NetFlow NetFlow je v současnosti nejrozšířenější průmyslový standard pro měření a monitorování počítačových sítí na základě IP toků. 20 © Copyright IBM Corporation 2007 IBM Global Technology Services IBM Proventia Network ADS IBM Proventia® Network Anomaly Detection System (ADS) is a two-tier, appliance-based system that: Delivers industry-leading network behavior analysis to support network protection, regulatory compliance and network management Incorporates global research to facilitate up-to-date network protection and analysis with Active Threat Feed and ATLAS global threat portal Complements existing security and network protection strategies by integrating with the IBM Internet Security Systems™ protection platform Works with the IBM Proventia Management SiteProtector™ system, which helps streamline network management through centralized command and control 21 © Copyright IBM Corporation 2007 IBM Global Technology Services Hlavní přínosy anomaly detection systému Bezpečnostní přínosy o Detekce Botnetů, Zero-day síťových červů armies and phishing o Ochrana před útoky z řad interních uživatelů – detekce nezvyklých aktivit o Možnost korelace s událostmi z dalších bezpečnostních komponent o Vysledování nevhodného využívání zdrojů (Skype, YouTube atp.) Další přínosy o Monitoring využívání zdrojů o Kapacitní plánování (trendování, historické statistiky využítí aplikací) o Forenzní – (vysledování příčin chyb, identifikace nedostatečného výkonu atp.) 22 © Copyright IBM Corporation 2007 IBM Global Technology Services Customizovatelný Reporting 23 © Copyright IBM Corporation 2007 IBM Global Technology Services Penetrační testování – Ethical Hacking 24 © Copyright IBM Corporation 2007 IBM Global Technology Services Motivy hackerů o Peníze a zisk – citlivé finanční systémy o Využití počítačového vybavení - jakýkoliv systém – Schopnost uploadování zlomyslných kódů – vysoká propustnost, vysoká úložná kapacita – Použití systému jako Hacking Base – jakýkoliv systém – Použití systému jako „DDOS attack soldier“ – velký počet systémů, vysoká dostupnost o Politický boj o Zlomyslnost, Msta, Konkurence o Sláva a pověst – systémy s velkou publicitou o Rozptýlení a zábava 25 © Copyright IBM Corporation 2007 IBM Global Technology Services Dopad Hackingu na obchodní aktivity o Konkurenční trh – ztráta pozice o Finanční ztráta – hmotné vs. nehmotné ztráty o Cena značky – poškození dobrého jména o Právní následky – zákonné povinnosti o Důvěra zákazníků 26 © Copyright IBM Corporation 2007 IBM Global Technology Services Co je Ethical Hacking? o Způsob provádění bezpečnostních testů o Simulace chování potencionálního vetřelce o Odraz toho, co se může stát v případě opravdového útoku o Proces zajištující kontrolu shody směrnic se skutečností 27 © Copyright IBM Corporation 2007 IBM Global Technology Services Zadávací podmínky testů o Směr vedení testu o Předmět testování o Black box vs. White box testing o Destruktivní nedestruktivní o Skrytý vs. Kooperativní o Časové vymezení testů 28 © Copyright IBM Corporation 2007 IBM Global Technology Services IBM a Ethical Hacking o Pravidla pro provádění Ethical Hackingu IBM pracuje vždy na základě „Pověřovacího dopisu“ nebo „Specifikace rozsahu práce“ IBM respektuje vymezené hranice IBM vždy upozorní klienta na provedené bezpečnostní průniky IBM neposkytuje přístup ke klientským systémům osobám mimo vymezený tým IBM neprovádí akce, které mohou poškodit nebo zničit data klienta IBM vždy respektuje přání klienta 29 © Copyright IBM Corporation 2007 IBM Global Technology Services Postup provádění Ethical Hackingu Úvodní schůzka Ethical Hacking Výsledná zpráva Analýz a o Standardní zahájení projektu o Vytvoření plánu útoku o Analýza finálních výsledků o Seznámení s plánem útoků o Vyjednání a podepsání o potvrzení “Get-out-ofJail-Free” : písemné potvrzení ke svolení s o provedením hackingu („Pověřovací dopis“, „Specifikace rozsahu práce“) o Sběr užitečných informací o o Automatická (as much as possible) analýza, scanování a snifování v síti Ohodnocení nalezených zranitelností Vysvětlení nalezených a použitých zranitelností o Vyvození možných o doporučení a opatření o Vytvoření finálního reportu Diskuse ohledně implementace potenciálních opatření 30 Manuální průzkum aplikací a OS © Copyright IBM Corporation 2007 IBM Global Technology Services Výsledky a závěrečná zpráva 31 © Copyright IBM Corporation 2007 IBM Global Technology Services Často se vyskytující nálezy o Špatně volená uživatelská hesla o Neaplikované opravy známých bezpečnostních chyb o Chyby v kódu aplikací • SQL injection • XSS o Testovací prostředí a aplikace • Nedůslednost • Defaultní nastavení o Testovací přístupy • „Admin backdoors“ 32 © Copyright IBM Corporation 2007 IBM Global Technology Services Přínosy realizace testů o Zjištění zranitelných míst a následně doporučení na jejich odstranění o Ověření bezpečnosti vyvíjených internetových aplikací o Prověření činnosti externího dodavatele služeb o Kontrola souladu s interní politikou o Prověření bezpečnostního povědomí zaměstnanců a administrátorů o Zvýraznění role bezpečnosti pro vyšší management 33 © Copyright IBM Corporation 2007