Efektivní řízení rizik webových a portálových aplikací

Podobné dokumenty
2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Demilitarizovaná zóna (DMZ)

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

SCADA? Jasně, to slovo znám

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Bezpečnostní projekt Případová studie

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost?

HP JetAdvantage Management. Oficiální zpráva o zabezpečení

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Efektivní řízení rizik

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

Security. v českých firmách

Case study z analýzy dopadů a zavedení BCM v praxi. Aleš Kruczek ALD Automotive, člen Société Générale Martin Tobolka - AEC

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

TOP. Agenda. bezpečnostní témata pro Milan Chromý. Zavádíme a provozujeme užitečné informační technologie v organizacích.

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s.

Dell SonicWALL. Security tips & tricks. Jan Ježek business communication s.r.o.

BEZPEČNOST CLOUDOVÝCH SLUŽEB

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Způsob řízení architektury ve Skupině ČEZ

Katalog služeb a podmínky poskytování provozu

Zákon o kybernetické bezpečnosti: kdo je připraven?

AEC, spol. s r. o. Bezpečnostní incidenty v IT v ČR příklady z praxe firem. Tomáš Strýček Internet & Komunikace Modrá

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Bezpečnost ve vývoji webových aplikací

Bezpečná datová centra v praxi Josef Dvořák, ANECT a.s.

Řešení ochrany databázových dat

Metodika zajištění ochrany kritické infrastruktury v oblasti výroby, přenosu a distribuce elektrické energie

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Security. v českých firmách

Systém IZIP. internetový přístup ke zdravotním informacím pacienta. Elektronická zdravotní knížka. .:. Jiří Venclík.:.

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb

Zásady pro udělování a užívání značky Kraj Vysočina DOPORUČUJE PRO BEZPEČNÝ INTERNET verze červen 2012

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

KONVENČNÍ BEZPEČNOSTNÍ TESTY SCADA ČEZ ICT SERVICES

ANECT, SOCA a bezpečnost aplikací

Pravidla pro připojování zařízení a jejich užívání v sítích SCIENCE ČZU

Nejbezpečnější prostředí pro vaše data

Informatika / bezpečnost

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

IXPERTA BEZPEČNÝ INTERNET

Technické aspekty zákona o kybernetické bezpečnosti

Účinná ochrana sítí. Roman K. Onderka

VZOROVÝ STIPENDIJNÍ TEST Z INFORMAČNÍCH TECHNOLOGIÍ

Adware ENISA. Aktivní kybernetická obrana. Aktivum. Analýza hrozeb. Analýza počítačového viru. Antispamový filtr. Antivirový program

Vývoj Internetových Aplikací

I. POČTY A STAVY. počet uživatelů - studentů: studentů. počet uživatelů - zaměstnanců: (fyzický stav) - 88 (uživatelů s přístupem k PC)

Praktické zkušenosti s certifikací na ISO/IEC 20000

Zkušenosti z nasazení a provozu systémů SIEM

Bezpečnostní výzvy internetu věcí z pohledu praxe Marek Šottl, Karel Medek public -

ESET NEXT GENERATION. Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.

Úvod - Podniková informační bezpečnost PS1-2

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

PŘINÁŠÍME IT ŘEŠENÍ PRO FINANČNÍ ORGANIZACE. IT makes sense

NASAZENÍ KONTEXTOVÉHO DLP SYSTÉMU V RÁMCI ZAVÁDĚNÍ ISMS

Check Point Nový Proaktivní Systém Ochrany Informací Ochrana SCADA/ICS systémů

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

ICT bezpečnost a její praktická implementace v moderním prostředí

Nástroje IT manažera

Bezpečnostní projekty realizované ve společnosti OTE, a.s. - případová studie. OTE, a. s. AEC, spol. s r. o.

SAFETICA 7 DATA LOSS PREVENTION

Jakým otázkám dnes čelí CIO? Otakar Školoud Chief Information Officer, ALTRON GROUP

KASPERSKY SECURITY FOR BUSINESS KATALOG PRODUKTŮ

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Bezpečnost webových aplikací blok A. Petr Závodský

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Cloud Security. Dušan Mondek. Security Specialist IBM Security Office IBM Corporation

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Bezpečnostní monitoring v praxi. Watson solution market

Flow monitoring a NBA

CCNA Network Upgrade

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

Důvěryhodná dlouhodobá a garantovaná archivace (požadavky z pohledu legislativy).

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Kybernetické hrozby - existuje komplexní řešení?

PENETRAČNÍ TESTY CYBER SECURITY

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY

Dodávka UTM zařízení FIREWALL zadávací dokumentace

Management informační bezpečnosti

Důvěryhodná výpočetní základna -DVZ

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s.

Jan Slezák, Zdeněk Dutý Oracle Day. Využití SW a HW technologií Oracle v projektu ISZR a potenciál pro egoverment

Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz

Trask solutions Jan Koudela Životopis

Bezpečnostní projekt podle BSI-Standardu 100

Síťová bezpečnost I. Základní popis zabezpečení 1. Úvod

STŘEDNÍ ŠKOLA PELHŘIMOV Friedova 1469, Pelhřimov ICT PLÁN ŠKOLY

IT které pomáhá a chrání. Kybernetická bezpečnost a povinnosti z ní vyplývající

Integrovaná strategie rozvoje regionu Krkonoše

14 bezpečnostních předpovědí pro rok 2014

Normy ISO/IEC Aplikační bezpečnost

Nástroje IT manažera

Transkript:

Efektivní řízení rizik webových a portálových aplikací CLEVERLANCE Enterprise Solutions a.s. Ing. Jan Guzanič, CISA, Senior IT Security Consultant Mob.: +420 602 566 693 Email: jan.guzanic@cleverlance.com 18.2.2009

Naše kompetence z oblasti IT security Podporujeme strategický růst svých klientů pomocí inovací a netradičních přístupů k řešení problémů v oblastech bankovnictví, pojišťovnictví, telekomunikací a státní správy. Analýzy rizik IS, zavedení procesu řízení inform. rizik Vlastní antivirové a antispamové řešení Návrhy systémů v oblasti IT security (FW, DLP, IPS, PKI) Bezpečnost při vývoji aplikací Penetrační testy, prověrky frontendových aplikací Školení a kurzy (hacking, bezpečnost ICT) Návrh a implementace Fraud Detection Systémů AEC, spol. s r.o. security divize Cleverlance

Hrozby elektronickému podnikání Zisk

Ekonomika útočníků Služby a zboží Cena Nástroje Cena Detaily o bankovních účtech 10-1000 USD Botnet 150-300 USD Kreditní karty s CVV2 0.5-12 USD Autorooter 40-100 USD Kreditní karty 0.10-25 USD SQL Injection 15-150 USD Plné identity 0.90-25 USD Shopadmin 20-45 USD Služby výběru peněz 8% - 50% RFI, LFI,XSS scanner 5-100 USD Zdroj: Symantec ISTR, 24.11.2008 Nikoliv Mafie, ale ekonomické zákonitosti jsou driverem útoků na nichž se podílí: Spammer, autor malware, majitel Botnetu Překupníci, Cashieři de facto určují poptávku Hackeří Senioři vedou business Black hat komunita dodává know-how

Životní cyklus aplikace a bezpečnost Stanovení požadavků Business požadavky Požadavky na bezpečnost Vývoj Testování Provoz Metodiky Zdrojového kódu Bezpečná infrastruktura Bezpečný vývoj Aplikace Bezpečný provoz, testování Bezpečnost budovaná od počátku je levnější Vyřazení Bezpečné vyřazení Bezpečnost archivních záloh

Kontinuální zlepšování bezpečnosti a význam přístupu analýzy rizik PLAN vybudování bezpečnosti ACT udržování a zlepšování Řízení IT 5 Interní audit 4 3 2 1 0 Fyzické zabezpečení 1.kvartil 2.kvartil 3.kvartil 4.kvartil Zákazník Vývoj systémů Bezpečnost IS/IT DO implementace a provoz CHECK monitorování a přehodnocení Řízení změn Kontinuita podnikání Hlavní cíl analýzy rizik : Určit priority co a jak chránit. Jde o to netrávit čas chráněním něčeho, co nemá pro organizaci cenu.

Bezpečnost vývoje aplikací - Metodiky Důraz Vypracování metodik, nástroje pro revizi kódu. Školení vývojářů. Identifikace bezpečnostních Požadavků Identifikace zranitelných míst Výběr vhodných nástrojů pro testování. Odstranění bezpečnostních chyb dříve než je SW uveden do provozu. Metodiky Tvorba bezpečnostních metodik, příruček Analýza kódu ISO/IEC 15408 - Common Criteria. OWASP, WASC, IATF Metodiky založené na vlastních Školení vývojářů Vývojář Vyvíjený SW Audit dle normy praktických zkušenostech vývoje SW.

Způsoby testování bezpečnosti Vnější penetrační testy Laptop Sociální inženýrství IDS/IPS Intranet WS OS na stanicích WS WS Vnitřní penetrační testy IPS Firewallu síťových prvků User Laptop Internet Router Firewall Router Switch Router síťových prvků Prověrka nastavení aplikací Application server FTP, App. OS na serverech SQL PRINT FILE 3 U Array Firewall Firewallu síťových prvků Remote Office zálohování Switch Switch HTTP proxy Router SQL OS na serverech VPN, FILE WS WS OS na stanicích DMZ SMTP OS na serverech

Prověrky bezpečnosti frontendových (webových) aplikací U prověřování sofistikovaných IS na vícevrstvé architektuře selhávají klasické metody. Proto jsme vyvinuli novou metodiku testování. Těžiště zranitelnosti se posunulo k aplikačním zranitelnostem: Cross Site Scripting Injection Flaws Malicious File Execution Insecure Direct Object Reference Cross Site Request Forgery Zdroj: OWASP Top Ten 2007 Aplikace na různém framework (.NET, PHP, ) Implementace SSL a protokol HTTPS Pochopení logiky aplikace Složitost systémů

Hlavní bolesti při útoku Symptomy: Málo informací v prvotních fázích útoku Nárůst počtu incidentů v čase Prodleva při organizaci ad-hoc reakce Prodleva při hledání, vývoji a nasazení adhoc protiopatření Absence interních a externích zdrojů Schopnost reagovat na rozsáhlá epidemie a případně DoS Příčina: Přetížení role bezpečnostního správce - Znalosti potřebné pro řešení útoku jsou vždy jiné - Každý typ útoku vyžaduje odlišné kompetence,informační zdroje, procesy, scénáře a zdroje

Aplikační firewall nový trend Chrání datový a nikoliv jen síťový provoz! Velmi vhodné pro aplikace: Jejichž bezpečnost je obtížné či nemožné řešit klasicky Zabezpečení obzvláště citlivých aplikací Efektivní zajištění provozní bezpečnosti více aplikací

Účinná reakce Být připraven havarovat bezpečně! Havarijní plánování Využití scénářů Využití předem zajištěných zdrojů a partnerství Plány obnovy Plány komunikace Interní, se zákazníky a médii Informovat včas a korektně Dát praktické informace Vyhodnotit útok/událost Následné kroky a poučení se Údržba, testování, aktualizace, školení Implementace opatření vyplývajících z plánů 6 7 Tvorba plánů 5 Ustanovení procesu BCM 1 Řízení kontinuity činností organizace 4 2 Analýza dopadů 3 Analýza rizik Tvorba strategie obnovy

V krátkém období se zaměřujte na boj s aktuálními riziky V dlouhém období se zaměřte na budování komplexního řešení Efektivní řízení rizik webových a portálových aplikací Děkuji za pozornost a přeji příjemný zbytek dne Ing. Jan Guzanič, CISA, Senior IT Security Consultant Cleverlance Enterprise Solutions a. s. Mob.: +420 602 566 693 Email: jan.guzanic@cleverlance.com 18.2.2009

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář