Embed Size (px)
Citation preview
Решения RSA Security по снижениюрисков ИБ
Александр Чигвинцев
RSA
2
Рождение компании …
Ronald L. Rivest
Adi Shamir
Leonard Adleman
RSA public-key algorithm invented
by MIT professors Rivest, Shamir,
and Adleman in 1977 “Digital
Signatures and Public Key
Cryptosystems"
3
Примерно три десятилетия в сфере идентификации и управления
доступом
Вошла в состав EMC Corp. В сентябре 2006
Более 25,000 клиентов с мировыми именами
• 90% из списка Fortune 100, 70% из списка Fortune 500
Ведущее положение на рынке средств жесткой двухфакторной
аутентификации
Более 1 млрд.продуктов и/или лицензий на основе технологий RSA Security продано в мире
Ключевые инициативы в индустрии безопасности принадлежат RSA Security, например, RSA Conference, RSA Laboratoriesand RSA Press
Лидерство в области информационнойбезопасности
4
Широкий спектр продуктов и услуг
5
Содержание
Почему обеспечение информационнойбезопасности столь затруднительно?
Систематический подход к «информационнымрискам»
В чём RSA и EMC могут помочь
6
Риск – критерий соответствия инвестицийзадачам
Рост оборота ComplianceСнижение затрат Непрерывность бизнесаCustomer Retention
СетьСетьДоступДоступ ПриложенияПриложения ХранениеХранениеFS/CMSFS/CMS
RiskRisk
События безопасностиСобытия безопасности
Основнаяинформация
ОсновнаяинформацияКакая
информация
важна для
нас?
Что плохого может
случиться?К чему это может
привести?
Какие риски мы готовы принять, а от каких нам необходимо
избавиться, чтобы выполнять
нашу работу успешно?
7
Почему обеспечение информационнойбезопасности столь затруднительно?
Файловый
сервер
ДоступДоступ ПриложенияПриложения ХранениеХранениеФайлыФайлыСетьСеть
Продуктивные данные
Хранилище
данных
DR
Архив
Офисы
Заказчики
Партнёры
Пользователи
WAN
WAN
WWW
VPN
Диски
Бэкапна
диски
Ленты
Аутсорсинговая
разработка
Корпоративная
почта
Бизнес-аналитика
Портал
Потому, что информация постоянно перемещается и изменяется
8
Почему обеспечение информационнойбезопасности столь затруднительно?
СетьСеть
Кража носителейКража носителейКража устройствКража устройств
МошенничествоМошенничество
ВмешательствоВмешательство
Файловый
сервер
ДоступДоступ ПриложенияПриложения ХранениеХранениеФайлыФайлы
Продуктивные данные
Data warehouse
DR
Архив
Офисы
Заказчики
WAN
WAN
WWW
VPN
Диски
Бэкапна
диски
Ленты
Аутсорсинговая
разработка
Копоративная
почта
Бизнес-аналитика
Портал
Утеря
носителя
Утеря
носителя
Неавторизованный
доступ
Неавторизованный
доступ
DOSDOS
ПовреждениеПовреждение
НедоступностьНедоступность
перехватперехват
Кража данныхКража данных
Пользователи
Партнёры
Потеря данныхПотеря данных
Утеря устройствУтеря устройств
Непреднамеренное
распространение
Непреднамеренное
распространение
Неавторизованный
доступ
Неавторизованный
доступ
UnauthorizedActivity
UnauthorizedActivity
Неавторизованные
действия
Неавторизованные
действия
ПоглощениеПоглощение
9
Основные элементы хорошей информационнойбезопасности – это …
Совершенная система аутентификации
• Точная идентификация пользователя, его прав и уровня доступа ксистемам
Система управления, гарантирующая целостность данных
• Аутентификация и шифрование
• Управление журналами безопасности
Предотвращение утери/утечки информации
• Технологии DLP (Data Loss Prevention) для• Обнаружение и мониторинга важной информации при её хранении,
перемещении и использовании
• Управления политиками и автоматического их применения
Системы протоколирования и выявления потенциальноопасных событий
• Мониторинг транзакций и SIEM
Способность предоставить отчёты и доказательства дляразбирательств
10
Основные элементы хорошей информационнойбезопасности – это …
Совершенная система аутентификации
• Точная идентификация пользователя, его прав и уровня доступа ксистемам
Система управления, гарантирующая целостность данных
• Аутентификация и шифрование
• Управление журналами безопасности
Предотвращение утери/утечки информации
• Технологии DLP (Data Loss Prevention) для• Обнаружение и мониторинга важной информации при её хранении,
перемещении и использовании
• Управления политиками и автоматического их применения
Системы протоколирования и выявления потенциальноопасных событий
• Мониторинг транзакций и SIEM
Способность предоставить отчёты и доказательства дляразбирательств
11
Продукты и услугидля обеспечения идентификации
Интеллектуальная упреждающая защита от угрозPrevent credential theft / Intelligence on emerging threats / Reporting
RSA FraudAction
Интеллектуальная проверка личности и действийMonitor Identity Activity / Mitigate misuse and abuse / Share suspicious information
RSA Transaction Monitoring / RSA Identity Verifica tion
RSA SecurIDRSA Adaptive Authentication
RSA Identity VerificationRSA Certificate Manager
Аутентификация
Multi-FactorAuthentication
Authenticate users with a broad choice of authenticators via hosted,
appliance, or on-premise applications
Контекстная
авторизация
RSA Access ManagerRSA Federated Identity Mgr
Enforcement
Manage access and federate identities, enforcing policy across web resources,
portals, and applications
Управление
учётными
записями
Management and Policy
Define ID policy and manage the lifecycle of credentials
RSA Authentication ManagerRSA Credential Manager
12
Аутентификацияосновная часть электронной безопасности
Аутентификация:• Устанавливает доверие, подтверждая
личности пользователя
Без знания, с высоким уровнем уверенности, скем Вы имеете дело:
• Невозможно правильно установить правадоступа
• Нет оснований доверять цифровойподписи
Во многих случаях не имеет смысла шифроватьинформацию, если неизвестно кто на другомконце линии
- В интернете никто незнает, что ты собака…
13
Варианты АутентификацииОтносительный уровень безопасности
Single factorSingle factor Two factorTwo factor Three factorThree factor
PASSWORD POLICY
PIN
+
+
+PIN
+PIN
Более слабый Более сильный
14
Защита и управление идентификацией –RSA SecurID
Trusted Identity
ИнфраструктураИнструментыадминистрирования иорганизации процессовИнтеграция схранилищами данныхМасштабируемость, Надёжность, производительность
Market-leading OTPTokens, USBs, on PDAs, on cell phones
Цифровые сертификаты ирешения на базе смарт-чипов
15
RSA SecurID® - безопасный доступ к корпоративнымданным
Federated Identity Management
Web SSO
RSA Authentication
Manager
Web Access
VPN Gateway
Citrix
Desktop/Laptop Security
WAP/802.11Wireless
Enterprise SSO
Web Host Citrix
Windows Java
Microsoft Windows Login
Loca
l aut
hent
icat
ion,
Wire
less
, VP
N
RSA SecurID for Microsoft
Windows
Administrative Access
OS/Network Devices
RSA CertificateManager
OR
16
RSA SecurID Устройства аутентификации
Большое разнообразие видов устройств
• Key fob (Токены)
• Карты
• Pin Pad
• PC
• КПК Palm
• Мобильные телефоны
• Смарт-карты/USB
Аутентификация Zero-footprint• Не требуется инсталляции программного
обеспечения (только токены)
Просты в использовании и при обучении
Наиболее широко применяемое решениедля аутентификации
17
Дополнительные возможности –аутентификация по запросу - On-demand Authentication
Новый метод аутентификации• Появился в последней версии
серверной компоненты SecurID -RSA Authentication Manager 7.1
Не требует аппаратных ипрограммных устройстваутентификации• Передает одноразовый пароль
(One Time Password – OTP) через SMS или по электроннойпочте
• Легитимный пользователь можетсам инициализировать запрос нагенерацию OTP
18
On-demand Authentication: Принцип работы
Authentication Manager 7.1
EmployeeEmployee
Пользователь
запрашивает
генерацию OTP
Authentication Manager
аутентифицирует
пользователя
Auth Mgr посылаетSMS содержащую
OTT
Теперь OTT можетбыть использован
для аутентификации
пользователя через
VPN
Сценарий: Удаленному пользователю нужен
доступ с корпоративным приложениям через VPN
Сценарий: Удаленному пользователю нужен
доступ с корпоративным приложениям через VPN
OK
Home Office
InternetSMS Gateway Provider
Telecom Network
Secure HTTPSSMS Internet
19
RSA Authentication Manager
Функции AM сервер• Выдать аутентификаторы
доверенным лицам
• Установить и внедритьпредписания политикибезопасности, защищаядоступ к корпоративнойсети, файлам иприложениям
• Контроль ипротоколированиерегистрациипользователей
• Наиболее универсальное(всестороннее) решениена рынке аутентификации
20
Защита публичных порталов –особый случай риска
RSA FraudAction ServiceRSA’s Anti-Fraud
Command Center (AFCC)RSA eFraudNetwork
RSA Identity Verification from Verid
RSA Transaction MonitoringRSA Adaptive
Authentication for eCommerce
RSA Adaptive AuthenticationRSA SecurID
21
Отлаженные схемы мошенничества
“Mule”(часточасточасточасто нененене догадываютсядогадываютсядогадываютсядогадываются оооо криминальнойкриминальнойкриминальнойкриминальной
сторонесторонесторонестороне деятельностидеятельностидеятельностидеятельности)
Drop
Tools Hosting Delivery
ВредоносноеВредоносноеВредоносноеВредоносное пппп.оооо.:средствасредствасредствасредства длядлядлядляфишингафишингафишингафишингаТрояныТрояныТрояныТрояны
“ ЗомбированныеЗомбированныеЗомбированныеЗомбированные ”сетисетисетисети:Botnets, Fast Flux
СервисыСервисыСервисыСервисырассылкирассылкирассылкирассылки спамаспамаспамаспамаСервисыСервисыСервисыСервисы“ инфицированияинфицированияинфицированияинфицирования”
CredentialsHarvester
Cash OutProvider
“СборщикиСборщикиСборщикиСборщики”паролейпаролейпаролейпаролей ииии прочпрочпрочпроч.персональныхперсональныхперсональныхперсональныхданныхданныхданныхданныхМеждународныеМеждународныеМеждународныеМеждународныесвязисвязисвязисвязи
МестныеМестныеМестныеМестные криминальныекриминальныекриминальныекриминальныесетисетисетисети длядлядлядля сборасборасборасбора наличныхналичныхналичныхналичных
“Индустриальный подход”
Международные преступные сообщества
Разделение полномочий\обязаностей между группами мошенников
22
Основные выводы
Повсеместное внедрение открытой аутентификациипривело к ‘Гонке Вооружений’• Matrix Cards =>Phishing/Trojans + социальная
инженерия
• Tokens => MITM (Man In The Middle)
• Trx signing => MITB (Man In The Browser)
Скрытая аутентификации базируется на адаптивныхалгоритмах
• Чрезвычайно гибкая, многоуровневая имногопараметрическая система
Стратегия защиты : комбинирование видимой (sense of security) и скрытой (actual security) аутентификаций
23
Адаптивная аутентификация RSA
Баланс между безопасностью и удобствомпользования
Широкий выбор вторичных методов аутентификации:• SecurID, challenge questions, email, SMS, phone, etc.
Поддержка как первоначальной регистрации, так ипостоянного доступа
24
Некоторые финансовые учреждения, использующие технологию Adaptive Authentication
Monex (Japan)
25
Управление информацией о безопасностии событиях
УстройстваУстройствадоступадоступа ПриложенияПриложения ХранениеХранение
Единая платформа: информацияо событиях безопасности и журналирование
Управление
журналами
Эффективный сбор и
хранение журналов
аудита с любых IP устройств
RSA enVision
Отчётность
по соответствию
Подготовка отчётов о
соответствии нормативам
и внутренним политикам
RSA enVision
Управление
безопасностью
Получение, рассылка и
анализ в реальном
времени событий
безопасности и
детальный судебный
анализ
RSA enVision
СетиСетиСети FS/CMSFS/CMSFS/CMS
26
Корпоративная инфраструктура сегодня:Огромные объемы журналов и огромноеколичество источников событий
Router logs
IDS/IDP logs
VPN logs
Firewall logs
Switch logs
Windows logs
Client & file server logs
Wireless access logs
Windows domain logins
Oracle Financial Logs
San File Access Logs
VLAN Access & Control
logs
DHCP logs
Linux, Unix, Windows OS logs
Mainframe logs
Database Logs
Web server activity logs
Content management logs
Web cache & proxy logs
VA Scan logs
Контроль измененийнастроек\конфиграций
Управление доступом и мониторингпривилегированных пользователей
Детектирование вредоносного кода(Spyware)
Мониторинг в реальномвремени для
выявления неполадок
Выявлениенесанкционированныхсервисов и “утечки”информации через IP
каналы
Уменьшение количества ложныхсрабатываний
системы безопасности
Мониторингпользователей
МониторингСоглашения о
Качествеобслуживания
SLA
Как собрать и защитить все данныенеобходимые для построения
системы безопасности, мониторингаИТ операций и compliance
Как анализировать и управлятьэтими данными для получения
значимой оперативной информации
27
RSA enVision : Platform for Compliance, Security, and IT & Network Operations Success
Platform for Compliance, Security, and IT & Network Operations
Возможность сбора, управления и анализа всехданных
Единое представлениеинформации
Поддержка всехвозможных источниковсобытий
Все данные
Простая установка
Высокая доступность
Масштабируемость безперерыва обслуживания
Производительность
Низкие затраты наобслуживания
Требования к Log Management Platform
Все время
28
RSA enVision и LogSmart IPDBзапись всех данных с высокой производительностью
Relational DatabaseDat
a Exp
losion
Data Loss • Непредсказуемый объембазы
Ограничения традиционных
Реляционных БД
• Плохо подходят длянеструктурированных данных (log)
• Требуют дополнительнойобработки (filter, normalize, parse)
• Неэффективное хранения: indexes & структурнаяинформация (может увеличитьобъем хранения в 10 раз)
• Потенциальная опасностьпотери информации: ограничение
производительности системы, нормализация
LogSmart IPDB
Encrypted
Compressed
Parallel analysis
Authenticated
Unpredictable Alerts
29
RSA enVision & The LogSmart IPDB
0
50
100
150
200
250GBs Per Day
1000 EPS 5000 EPS 10,000 EPS
Events Per Second (EPS)
Эффективность хранения
данных в enVision
(технология LogSmart IPDB)
RDBMS LogSmart IPDB
0
1,000
2,000
3,000
4,000
5,000
6,000
7,000
8,000
9,000
10,000
(EPS)
System Performance
Эффективность записи событий
RDBMS LogSmart IPDB
30
Архитектура enVision позволяют формироватьгеографически распределенный конфигурации
A-SRV: Analysis ServerD-SRV: Data ServerLC: Local CollectorRC: Remote Collector
MumbaiRemote Office
NAS
ChicagoWW SecurityOperations
LC
D-SRV
A-SRV
NAS
LondonEuropean
Headquarters
D-SRV
LC
NAS
New YorkWW Compliance
Operations
A-SRV
D-SRV D-SRV
LC LC
31
>1100 reports forregulatory compliance,
security, and IT & network operations
Dashboards
RSA enVisionУдобный, настраиваемый графический интерфейс
32
Один из лучших продуктов на рынкеhttp://russia.emc.com/about/news/press/2008/20080512-02.htm
B-2
33
Управление информационными рискамистратегия защиты наиболее ценных активов
Фокус на информации
Определение бизнес-контекста и
потенциальных уязвимостей
Анализ рисков
Определение чётких приоритетов
для инвестиций в безопасность
Повторяемость
Основана на отработанных
стандартных методиках и схемах
внедренияEndpoint Network Apps/DB FS/CMS Storage
RiskRisk
Чёткое определение: где инвестировать, зачем, и как инвестиции в безопасность
соответствуют основным требованиям и задачам бизнеса
34
Information-centric Security
35
Задачи
Обнаружить аномалии в системебезопасности и потенциальныеугрозы
Обеспечить проверкусоответствия нормативнымтребованиям и политикамбезопасности
Предложения RSAСбор и управление журналами
Отчётность по соответствиютребованиям
Управление событиямибезопасности
Внедрение управления информационными рисками: Отчётность и Аудит
PolicyPolicy
36
Управление информационными рискамиПроцесс
Обнаружение и классификация
Обнаружить все источники важнойинформации в инфраструктуре
Определить политики
Как важная информация должнабыть защищена: данные, люди, инфраструктура
Применить управление
Реализовать структуру управления иприменения политик: управлениеданными и правами доступа
Контроль и аудит
Ревизия окружения для обеспеченияи документирования соответствияполитикам
PolicyPolicy
37
Задача
Обнаружить и классифицироватьважные информационные активыи элементы инфраструктуры, согласно политикам
Решения RSAУслуги по обнаружению иклассификации информации
Инструменты для обнаруженияприложений и создания картыинфраструктуры
Решения и инструменты дляавтоматизированного анализаинфраструктуры
Внедрение управления информационными рисками:Обнаружение и классификация информации
PolicyPolicy
38
Задача
Защитить критичные данные, структурированные инеструктурированные, где бы онине находились
Решения RSAРешения по предотвращениюутери данных (DLP - Data Loss Prevention)
Шифрование и управлениеключами
Управление правами доступа кинформации (Information Rights Mgmt)
Внедрение управления информационными рисками:Управление данными
PolicyPolicy
39
Система обеспечения безопасности данных
RSA DLP EndpointRSA DLP Network
RSA DLP Datacenter
Управление данными
в процессе использования, перемещения
и хранения
на устройствах доступа, в сети, на серверах
и системах хранения
Набор для
предотвращения
утери данных
Набор для
управления
доступом
EMC Documentum Information Rights
Management
Постоянная защита
и контроль прав доступа
к документам, электронной почте и т.п.
Набор
для
шифрования
Шифрование важных
данных во многих
точках инфраструктуры
и управление
жизненным циклом ключей
в масштабах предприятия
RSA App Encryption ClientRSA File Security Mgr.
RSA Key Manager
40
ЗадачаЗащитить доступ к корпоративнымресурсам, при этом обеспечиваявзаимодействие с сотрудниками, заказчиками и партнёрами
Решения RSAУправление учётными записями
Аутентификация
Контекстная авторизация
Интегрированное интеллектуальноеуправление
Внедрение управления информационными рисками: Управление правами доступа
PolicyPolicy
41
Полное решение: Профессиональные услуги
ПоддержкаУправление
Постоянное управление проектами, обучение
БизнесПроцесс
Анализинформационных
рисков
Приложения
Анализ рисков
Классификацияданных
Хранение
Анализбезопасности
хранения
Политики
Анализ/разработкаполитик
Поддержкапродуктов
Услуги поразработке ивнедрению
ВнедрениеПланирование
PolicyPolicy Бизнес-перспектива
Экспертиза в
безопасности
Измеряемые
результаты
Сервисы, способствующие
ускорению принятия
и внедрения решений
по управлению
информационной
безопасностью
42
СетиСетиДоступДоступ App / DBApp / DB ХранениеХранениеFS/CMSFS/CMS
Итак, Решения RSA для управленияинформационными рисками
Business Initiatives
RSA предлагаетПрофессиональные сервисы
Проверенные решения
Лучшие технологии
Обеспечение идентификации
Безопасность данных
Обеспечение идентификации
Безопасность данных
Обнаружение и классификацияинформации
Обнаружение и классификацияинформации
Управление событиями и информацией о безопасностиУправление событиями и информацией о безопасности
Поли
тики
Поли
тики
4343
Understanding Your PCI Compliance and Preparing for an Audit
Card Data Discovery PCI Cardholder Data Discovery Service
PCI Pre-Assessment and Gap Analysis PCI Pre-Assessment and Gap Analysis Service
Addressing PCI DSS Requirements
Req. 1: Install and maintain a firewall EMC Smarts, EMC VoyenceControl
reporting: RSA enVision
Req. 2: Do not use default passwords EMC Smarts, EMC VoyenceControl
reporting: RSA enVision
Req. 3: Protect stored card data RSA Key Manager, RSA File Security Manager, RSA DLP Suite, Partners (e.g., Cisco)
reporting: RSA enVision
Req. 4: Encrypt card data in transit RSA Key Manager, Partners: CipherOptics, EMC VoyenceControl
reporting : RSA enVision
Req. 5: Use and update anti-virus reporting: RSA enVision, EMC Smarts, EMC VoyenceControl
Req. 6: Develop secure systems and applications
Application Security Design and Assessment Service
reporting: EMC VoyenceControl
Req. 7: Restrict access to card data RSA Access Manager, RSA File Security Manager
reporting : RSA enVision
Req. 8: Assign a unique ID RSA SecurID, RSA Digital Certificates
reporting : RSA enVision
Req. 9: Restrict physical access EMC Physical Security Solution, RSA Card Manager
Req. 10: Track and monitor access RSA enVision, EMC Symmetrix, EMC CLARiiON, EMC Centera, EMC Celera, EMC Smarts, EMC VoyenceControl
Req. 11: Test security systems, processes EMC Smarts, EMC VoyenceControl
Partners: Accuvant (U.S.), Ezenta (EMEA), Integralis (EMEA, U.S.), Mnemonic (EMEA), Remington (U.S.)
Req. 12: Maintain an information security policy PCI Information Security Policy Service
Соответствие требований PCI ипродуктов\технологий RSA/EMC
4444
Understanding Your PCI Compliance and Preparing for an Audit
Card Data Discovery PCI Cardholder Data Discovery Service
PCI Pre-Assessment and Gap Analysis PCI Pre-Assessment and Gap Analysis Service
Addressing PCI DSS Requirements
Req. 1: Install and maintain a firewall EMC Smarts, EMC VoyenceControl
reporting: RSA enVision
Req. 2: Do not use default passwords EMC Smarts, EMC VoyenceControl
reporting: RSA enVision
Req. 3: Protect stored card data RSA Key Manager, RSA File Security Manager, RSA DLP Suite, Partners (e.g., Cisco)
reporting: RSA enVision
Req. 4: Encrypt card data in transit RSA Key Manager, Partners: CipherOptics, EMC VoyenceControl
reporting : RSA enVision
Req. 5: Use and update anti-virus reporting : RSA enVision , EMC Smarts, EMC VoyenceControl
Req. 6: Develop secure systems and applications
Application Security Design and Assessment Service
reporting: EMC VoyenceControl
Req. 7: Restrict access to card data RSA Access Manager, RSA File Security Manager
reporting : RSA enVision
Req. 8: Assign a unique ID RSA SecurID, RSA Digital Certificates
reporting : RSA enVision
Req. 9: Restrict physical access EMC Physical Security Solution, RSA Card Manager
Req. 10: Track and monitor access RSA enVision , EMC Symmetrix, EMC CLARiiON, EMC Centera, EMC Celera, EMC Smarts, EMC VoyenceControl
Req. 11: Test security systems, processes EMC Smarts, EMC VoyenceControl
Partners: Accuvant (U.S.), Ezenta (EMEA), Integralis (EMEA, U.S.), Mnemonic (EMEA), Remington (U.S.)
Req. 12: Maintain an information security policy PCI Information Security Policy Service
Соответствие требований PCI ипродуктов\технологий RSA/EMC
