FOSS Information Security Practices @OpenFest 07.11.2015Code Runners
Code Runners' CTO talking about the caveats of information security, how to secure assets better and how to code in a more sustainable fashion. Language: Bulgarian; English on demand: dimiter.shalvardjiev@code-runners.com
FOSS Information Security Practices @OpenFest 07.11.2015Code Runners
Code Runners' CTO talking about the caveats of information security, how to secure assets better and how to code in a more sustainable fashion. Language: Bulgarian; English on demand: dimiter.shalvardjiev@code-runners.com
В обществения сектор (или иначе казано - държавата) се създава много софтуер, от който зависят милиони левове и са концентрирани големи интереси. Наивно е да се смята, че просто защото нещо е електронно, то корупцията е елиминирана. Напротив, ако не бъде направен както трябва, софтуерът може включително да създаде нов вид, "електронна" корупция. Именно затова трябва да приложим няколко не толкова прости принципа и техники, за да получим аниткорупционен софтуер.
В обществения сектор (или иначе казано - държавата) се създава много софтуер, от който зависят милиони левове и са концентрирани големи интереси. Наивно е да се смята, че просто защото нещо е електронно, то корупцията е елиминирана. Напротив, ако не бъде направен както трябва, софтуерът може включително да създаде нов вид, "електронна" корупция. Именно затова трябва да приложим няколко не толкова прости принципа и техники, за да получим аниткорупционен софтуер.
3. Модели за доставка на облачни услуги и
видове облаци
O Публичен (Public)
O Частен (Private)
O Хибриден (Hybrid)
O Общностен, колективен (Community)
4. Ключови предизвикателства за
информацията
O Конфиденциалност, цялостност, наличност,
автентификация, автентичност, оторизация
O Физическото разполагане на информацията
O Смесване на информация от различни
класификационни нива
O Прозрачно резервиране и възстановяване на
информацията
5. Информационна сигурност на приложенията
O внедряване на „сигурни“ приложения
O тестове за уязвимости (vul tests)
O механизми за контрол
O логическа или физическа изолираност
O засилен контрол на вътрешния обмен на
информация
6. Управление на криптографски ключове
O Специално обособени сигурни хранилища
O Контролиран достъп до ключовете
O Надеждно архивиране и при нужда
възстановяване
O Управляван жизнен цикъл за всяка група
ключове
7. Сигурност на центъра за обработка на данни
O технологии и продукти на: IBM, Microsoft, VMWare, Citrix,
Cisco, Juniper, Symantec
O двойно резервирана система за електрическо
захранване, резервирано охлаждане, пожарогасене и
пожароизвестяване
O въоръжена физическа охрана
O система за контрол на достъпа с RFID идентификация
O мониторинг система, следяща за стойностите на
ресурсите
8. Управление на идентичността и
контрола на достъпа
O One-Time Passwords
O Биометрични данни
O Tokens
O Смарт карти
O Цифрови сертификати
O Kerberos
9. Заплахи в cloud computing
O Излагането на конфиденциална
информация пред неоторизиран достъп
O Изтичане на информация
O Загуба на информация
O Уязвимост към кибер атаки
O Прекъсване на операции
10. Проблеми:
O несигурни приложения
O DoS атаки
O “Man in the middle“ атаки
O Code injection
O Атаки срещу виртуалните машини
O Смесване на данни за клиенти
O Разкриването на поверителна информация
O Insider атака
11. Решения:
Механизми за:
O контрол на работата с външни страни
O одитиране
O проверка и съответствие
O управление на идентичности
O контрол на достъпа
O управление на инциденти
O защита от зловреден и мобилен код
O защита на данните
12. Решения при загуба или изтичане на
информация:
O класифициране на информацията
O идентификация на чувствителни данни
O контекстно сканиране на текст за
наличие на конфиденциални данни
13. Заплахи за уеб сигурността в облака
O Keyloggers O Вируси
O Malware O Фишинг
O Spyware O Загуба на данни
O Спам O Bot мрежи
14. Решения за справяне с проблемите:
O уеб филтриране
O програми за анализиране и блокиране на
Malware, Spyware и Bot Networks
O Phishing site blocker
O Програми: сканиращи Instant Messaging,
предотвратяващи загуба на данни и измами
през уеб, контролиращи достъпа до уеб
15. Заплахи за E-mail сигурността
O Malware
O Спам
O Фишинг
O Spyware
O E-mail address spoofing
O Intrusion
17. Проблеми при оценяването на
сигурността
O липса на непрекъснат мониторинг
O невъзможност да се докаже съответствието
с фирмените изисквания
O наличие на несигурни процеси
O липса на корелация на информацията
O незащитени, податливи на атака
конфигурации
O незащитени архитектури
18. Решения при оценяването на сигурността
O Създаване на политики за сигурност
O Управление на риска
O Тестване на възможностите за проникване
O Автоматизиран „auditing“ на конкретни
приложения
O Оценка на уязвимостта
O Intrusion detection
O Patch мениджмънт
O Intrusion prevention
O Защита от Malware
19. Intrusion мениджмънт
O Да се идентифицират нарушенията
O автоматично и ръчно преодоляване на
проблемите
O ъпдейти, адресиращи нови уязвимости
O Да се използва VM Image Repository
Monitoring, както и Integrity Monitoring
VMM/Hypervisor
20. Проблеми за Security information & Event
Management
O Споделени технологии
O Вътрешна заплаха
O Account hijacking
O Service hijacking
O Измама (най-вече във финансовия сектор)
O Загуба на информация
O Изтичане на информация
O Несигурни интерфейси и приложения
21. Решения:
O Създаване на логове в реално време
(събиране, нормализиране, агрегиране
на събития (events) и визуализиране в
реално време)
O Нормализиране на логовете
O Корелация на събития в реално време
(Real-time event correlation)
O Откриване на E-mail аномалии
23. Мрежова сигурност
O контрол на достъпа и автентикацията
O Server Tier Firewall
O File Integrity Monitoring
O Anti-virus, Anti-spam
O мониторинг на мрежовия трафик
O интеграция със слоя на хипервайзора
O защита от DoS
O да се използват firewalls, VPN
O да се имплементира DNSSEC
24. Използвана литература
O Димитров, Велиян. Облачен компютинг - метаморфози на
периметровата сигурност, CIO 12/2012 и CIO 1/2013
O CSA. Security Guidance for critical areas of focus of cloud
computing v.3.0, 2011.
O CSA, The Notorious Nine Cloud Computing Top Threats in 2013,
February 2013.
O Димитров, Людмил. Сигурност на облака – 2011, stonedoit
O Mather, Tim, Kumarasaswamy, Subra, Latif, Shahed. Cloud
Security and Privacy – An enterprise perspective on risks and
compliance, O`Reilly.
O McGrath, Michael P.. Understanding PaaS, O`Reilly, 2012.
O http://newhorizons.bg/blog/