Bezbednost podataka u finansijskim institucijama

Bezbednost informacionog sistema sa jedne, i potreba za uvođenjem novih servisa koji će se jednostavno koristiti s druge strane stavljaju pred menadžment banke sve ozbiljnije izazove. Da li se na te izazove može odgovoriti? Da, ali ne na stari način. Nešto mora da se menja.

06_Beybednost-podataka_ddosBrian Dye, stariji potpredsednik kompanije Symantec, početkom maja je izjavio da je antivirus mrtav. Izjavio i zadržao svoj posao. Šta je on u stvari mislio? Prošle godine je uloženo više od 20 milijardi dolara u povećanje IT bezbednosti u svetu. I pored toga, kriminalci i dalje (s lakoćom) kradu podatke i onemogućavaju normalno poslovanje.

Statistika incidenata

Verizon je 2008. godine objavio prvi DBIR (Data Breach Investigation Report) izveštaj koji predstavlja realnu statistiku na svetskom nivou o broju i prirodi bezbednosnih incidenata u prethodnoj godini. Ovogodišnji izveštaj otkriva nam zastrašujuće podatke, ali u isto vreme i pomaže da predvidimo nevolje i pripremimo se za njih.

Danas imamo posla s profesionalnim kriminalnim organizacijama koje zarađuju za lagodan život upadom u finansijske sisteme. Ono što prirodu tih napada čini još strašnijom jeste procenat koji govori o tome kako su otkriveni napadi (vertikala finansijskih institucija).

Uzmimo primer napada na Web aplikacije banke, tj. bilo koji incident gde je Web aplikacija bila vektor napada. Od ukupnog broja napada na finansijske institucije, 27% čine upravo ovi. Od brojnih načina da se otkrije problem/napad i njegova posledica, 88% izveštaja da nešto nije u redu došlo je upravo od korisnika koje sama institucija treba da štiti. Ostatak od 12 procenata je otkriven internim resursima institucije. Veoma loše za najvažniji faktor poslovanja u finansijama, a to je poverenje između klijenta i banke.

Promena načina razmišljanja

Ni bankama nije lako. Digitalna transformacija, promena u demografiji i zahtevima korišćenja usluga od nove generacije korisnika postavlja pred banku ozbiljne izazove. Na jednoj strani su otvorenost, lakoća korišćenja sa svih platformi, u bilo koje vreme, a na drugoj zahtev da celokupna komunikacija i svi servisi zadrže ono što korisnici očekuju – sigurnost. Na prvi pogled, ova dva zahteva su u koliziji i među njima nema pomirenja već samo kompromisa.

Stvari se pomeraju ka novoj paradigmi koja je izazvana različitim problemima. Stari način razmišljanja brine o „perimetru sigurnosti“: Hajde da napravimo veliki zid oko nas, a da iza zida budemo sigurni od spoljnog sveta. Primer takvog načina razmišljanja je poznata Mažino linija. Francuska vojska, naročito generali koji su slavu stekli u Prvom svetskom ratu, definisali su strategiju odbrane koja je podrazumevala izgradnju odbrambene linije od švajcarske do belgijske granice, sa utvrđenjima, kasarnama, fiksnim pozicijama i sopstvenom elektrificiranom prugom. Nemci su 1940. godine svojim brzim mehanizovanim jedinicama naprosto obišli Mažino liniju preko Belgije i Holandije i svojom Blitzkrieg taktikom pokazali kako moderan način razmišljanja može da slomi strahovito ulaganje u postojeću infrastrukturu odbrane.

Ključna pitanja i ključna rešenja

Koje informacije su mi bitne? Gde se nalaze? Ko im pristupa? Kako im se pristupa? Koji su kanali i s kojih uređaja? Koji je smer/putanja informacija? Odgovori na ova ključna pitanja sami za sebe neće pomoći u definisanju Security strategije. Neophodno je povezati ove odgovore sa biznis strategijom banke. Tako ćemo imati direktnu korelaciju i paralelan rad, ali tako da bezbednost postaje enabler, a ne problem. Da postane pomoć i omogući kreiranje novih servisa, a ne ograničenje u njihovoj realizaciji.

Do pre deset godina, na našem tržištu je pojam elektronskog bankarstva predstavljan kao novitet. Sada je i sama činjenica da se mora sesti ispred računara i popuniti online uplatnica postala opterećujuća. Očekivanja korisnika pomerila su se ka mobilnom načinu plaćanja. A to je opet noćna mora za Security banke. Jedno od rešenja nudi IBM sa svojim Trusteer (Web Fraud Detection) servisom. Sistem analizira korisničku Web sesiju i testira je na maliciozni sadržaj, čiji je cilj pristup account‑u korisnika.

Naravno, prvi su e‑banking sistemi – Web sesija ka e‑banking‑u profiltrira se kroz Web Fraud Detection i ceo Web sadržaj koji se razmeni između servera i korisnika proverava se na bilo koji tip zlonamernog koda u okviru korisnikovog browser‑a.

Tipičan maliciozni sadržaj za e‑banking jeste krađa lozinke, ali ima i mnogo sofisticiranijih. Zamislimo da svako ko koristi e‑banking ima template za plaćanje infostana. Napadač može da izmeni samo broj računa u sačuvanim template‑ima, i da korisnik nekoliko narednih meseci uplaćuje na broj računa napadača. Statistika pokazuje da 1% sesija ima neki maliciozni kod u browser‑u korisnika.

Primer Wireless‑a u bankama još je očigledniji. Do sada je Wireless zamišljan kao servis preko kojeg ne bi smelo da se prilazi korporativnim resursima – ako i postoji u banci, tu je samo za goste i za direktan prilaz Internetu. S novim Identity rešenjima (Cisco ISE), omogućen je Wireless pristup s bilo kojeg uređaja, na način koji je čak i bezbedniji od klasičnog Wired pristupa (ukoliko se i na njega ne primeni Cisco ISE). Omogućeno je da se automatski prepoznaje korisnik, gost, uređaj s kojeg se pristupa, tako da se automatski primenjuje odgovarajuća polisa (čemu se može pristupiti, kako, kada i ko). Security rešenje koje se poklapa sa zahtevima o omni‑channel pristupu (sa bilo kog mesta, i bilo kada). Bez Security rešenja, bez novog načina razmišljanja, stari način (perimetar) definisao je bezbednost jednostavno – nema Wireless‑a, nema propusta. A to znači da nema ni servisa.

Smer toka informacija

Jedno od pomenutih ključnih pitanja: „Koji je smer/putanja informacija?“ predstavlja poseban izazov tokom poslednjih nekoliko godina. Porast broja zlonamernih zaposlenih i posledica njihovih akcija veći je iz godine u godinu. Trenutno je problem „curenja insajderskih informacija“ toliko postao akutan da je potreba za rešenjem značajno porasla. Treba se zamisliti nad podatkom da javnost sazna samo za 30 procenata bezbednosnih incidenata. Ta činjenica rađa novo pitanje za security banke: „Da li znate kuda odlaze osetljive informacije i kako“? (uopšte nije pitanje da li odlaze). Načini su razni, ponekad zbog slabosti u polisama i nedostatku kontrole ispravnosti rada zaposlenih, njihovih grešaka, a ponekad je u pitanju zlonamerna aktivnost tog zaposlenog.

Jedan od načina odbrane jeste i Data Loss Prevention rešenje. Kompanija Symantec se izdvojila kao svetski lider u toj oblasti, pokrivajući četiri vektora: E‑mail, Web, Endpoint i Storage. Sve se svodi na potrebu automatskog prepoznavanja osetljivih informacija na odgovarajućem vektoru i definisanje akcije koja se pokreće u tom slučaju. Na primer, ukoliko se na serveru ili e‑mail‑u pojavi broj kreditne kartice (što ne bi smelo da se desi), DLP će automatski sprečiti slanje mail‑a, obrisati fajl sa diska i generisati upozorenje korisniku i menadžmentu banke.

Uklapanje DLP rešenja sa Data Classification rešenjem predstavlja još bolji način zaštite. Automatska klasifikacija svih elektronskih dokumenata u banci sa odgovarajućim labelama (oznakama) koja se mogu podešavati u skladu sa internim procedurama same banke (poverljivo, javno, strogo poveljivo i slično), pomaže DLP rešenju da na osnovu same labele dokumenta reaguje u skladu s definisanom akcijom. Tako je moguće sprečiti da fajl Budžet.xmlx bude poslat na pogrešnu adresu.

Novi pravci napada

Sofisticirane i dobro organizovane grupe ljudi koje prepoznaju mogućnosti da IT iskoriste na zlonameran način predstavljaju danas najveću pretnju. Takvi napadi definisani su skraćenicom APT (Advanced Persistent Threat) – sofisticirani mrežni napad u kojem neautorizovano lice dobija pristup mreži i ostaje nedetektovano duži period. Inače, kompaniji je u proseku potrebno 278 dana da otkrije neautorizovan upad u svoj sistem (malware, gubitak podataka, curenje informacija itd).

Danas je moguće iznajmiti i servise od pomenutih kriminalnih organizacija, koje će iskoristiti svoje znanje i resurse kako bi upale i prouzrokovale štetu na sistemima. Denail of Service (DoS) napadi su jedan od primera, a malware‑i nove generacije postaju vektor pretnje koji će u budućnosti preuzeti primat od tradicionalnijih metoda napada. Jednom instaliran na sistem, poveže se sa svojim Comand&Control (CC) centrom kojem šalje odgovarajuće informacije o vašem sistemu (ukradeni password, print screen, remote kontrola računara, keylogger koji prati ono što otkucate) Jedna od karakteristika modernih malware‑a jeste polimorfnost – uz veoma malu promenu, moguće je od poznatog napraviti potpuno nepoznat malware, čime se tradicionalni načini odbrane, na osnovu prepoznavanja/signature malware‑a, lako zaobilaze.

Potrebni su novi sistemi odbrane koji se ne oslanjaju na stari način razmišljanja i staru tehnologiju. Jednu od njih nudi i kompanija FireEye, koja je još 2012. godine dobila nagradu Wall Street Journal‑a za najinovativniju kompaniju. Njihov način odbrane je jedinstven – provera ponašanja malware‑a, a ne potpisa. Inspekcijom e‑mail i Web saobraćaja, tako što se saobraćaj propušta kroz više od sto posebnih virtuelnih mašina tako da zlonameran kod „pomisli“ da je na korisničkom računaru; prati ponašanje koda (menja se sistemsko vreme, stanje memorije, pozivi koje malware obavlja itd), tako da otkriva da li je kod zlonameran ili je u pitanju regularan saobraćaj. Na ovaj način mogu se izbeći i otkriti i zero‑day malware‑i (oni za koje antivirus i drugi sistemi i dalje nemaju signature) sa fascinantih 97 procenata uspešnosti. Ukoliko se zna da je uspešnost antivirus softvera između 25 i 40 procenata, onda je jasna izjava potpredsednika Symantec‑a da je klasičan antivirus mrtav.

Holistički pogled na security

Sama primena tehnologije, instaliranje sistema bez reda i strategije, nije dovoljna garancija i zaštita od modernih napada. Uspostavljanje svesti o opasnosti među zaposlenima (i korisnicima), o značaju Security‑ja, integracija Security i biznis potreba, kao i njihovo definisanje poštovanjem standarda za finansijske institucije (PCI DSS, ISO 27001:2013), pred IT i menadžment banke postavljaju sve veće izazove. Da li se na izazove može odgovoriti? Da, ali ne na stari način. Nešto treba menjati.

Saga, www.saga.rs

Vladimir Petrović

(Objavljeno u časopisu PC#212)

Analizom do bezbednosti

U svakoj firmi, a najviše u finansijskim institucijama, sigurnost podataka je od najveće važnosti. A što više uređaja korisnici donose (smartfone, tablete, laptope…), to je veći sigurnosni rizik i opterećenje mreže.

analysisKoncepti kao što su BYOD i MDM nisu novi, ali svakodnevno donose nove stvari i omogućavaju da korisnici imaju bolje iskustvo, a da s druge strane administratori budu spokojniji da će uređaji biti sigurniji.

BYOD i MDM sistemi nalaze se na tržištu već neko vreme i svi veći proizvođači mrežne opreme imaju svoja BYOD rešenja, koja se integrišu sa MDM rešenjima. Tako, na primer, Cisco ima NAM, uz komplementarnu aplikaciju Application Visibility and Control, ali nažalost nije dovoljno samo upravljati uređajima i njihovim sadržajima. Samo u 2013. godini broj pametnih telefona je dostigao 1,9 milijardi, dok je broj preuzetih aplikacija premašio 100 milijardi. S obzirom na broj uređaja i aplikacija koje koristimo, sve je važnije da znamo koji korisnici, kada, koliko i na koji način koriste koje mrežne servise.

image1
Slika 1

Ne tako davno, kompanijske mreže su koršićene za povezivanje zaposlenih, korisnika, studenata, gostiju, pacijenata na internet i lokalne resurse (lokalne aplikacije, printere itd.).  Najviše su korišćene relativno jednostavne aplikacije: pretraživači interneta, Word, PowerPoint, e‑mail, kao i druge, lokalne aplikacije. Računarska mreža je bila značajna, ali ne koliko,  recimo, telefonski sistem.

Gubitak veze ka mreži jeste bio velika neprijatnost, ali nije zaustavljao rad kompanije pošto su korisnici i dalje mogli  pomoću lokalnih aplikacija da urade većinu posla na svojim laptop i desktop računarima. U današnje vreme performanse i integritet mreže mogu  mnogo da pomognu ili čak unište kompanije i korisnike kojima služe. Kao što smo rekli, kompanije više nisu limitirane žicama, poslovnim desktop i laptop računarima, lokacijama, vremenom ili državnim granicama. Današnjim kompanijskim mrežama sve češće se prilazi preko WiFi‑ja, a najčešće putem većeg broja privatnih korisničkih uređaja (manjih laptopova, tableta i pametnih telefona). Korisnici, takođe, sve više preuzimaju i koriste aplikacije, kao i stotine miliona web sajtova i cloud‑based servisa s multimedijalnim glasovnim, data i video sadržajima.  Oni preuzimaju i šalju ogromne količine podataka različitih sadržina na udaljene servere u cloud i iz njega velikim brzinama. U nekim slučajevima nove aplikacije preko noći postaju izuzetno značajne za poslovanje.

Slika 2
Slika 2

Imajući sve ovo u vidu, pored bezbednosti mreža i mobilnih uređaja, sve je značajnije imati uvid u to šta, kako i koliko korisnici rade. Slika 1 prikazuje kako korisnici vide svoje uređaje i aplikacije, a kako ih vidi većina mreža današnjice.

Kao što vidimo, poimanja se veoma razlikuju. Svičevi i uređaji na mreži ne mogu nam dati informacije koje su od značaja za svakodnevni rad.

Ako još jednom bolje pogledamo kako tradicionalni svičevi i mreže vide aplikacije, kako ćemo odgovoriti na pitanja kako preduzeće može efektivno da:

  • Analizira investicije u aplikacije i ROI?
  • Analizira korišćenje mreže i aplikacija i njihove trendove?
  • Pretvori mrežno znanje u dodatni prihod ili kompetitivnu prednost?
  • Planira kapacitete i budžet?
  • Prati korišćenje aplikacija da bi se video best practice?
  • Ako to nije dovoljno, razmislimo kako IT tim može efektivno da:
  • Pronalazi problem u mreži? Gde početi: aplikacija, mreža, server?
  • Proaktivno poboljša performanse aplikacija kako bi poboljšali produktivnost?
  • Optimizuje mrežnu i serversku arhitekturu kako bi podržale aplikacije koje koriste puno mrežnih resursa?
  • Identifikuje nedozvoljene aplikacije na mreži?
  • Odluči da li je potrebno zameniti aplikacije novim, skupljim, možda boljim?
  • Planira kada se mogu izvršavati radovi na mrežama/operacijama koje moraju biti dostupne 24×7?

Nažalost, odgovor se ne nalazi ni u BYOD ni u MDM rešenjima. Postoje rešenja na tržištu koja mogu da zagrebu površinu odgovora na ova pitanja.

Iskorišćenost propusnog opsega po tipu aplikacije
Iskorišćenost propusnog opsega po tipu aplikacije

Zamislite kada biste samo jednim klikom miša dobili informacije koje su vam preko potrebne: koje aplikacije se koriste, koliko svaka ponaosob zauzima propusnog opsega (po korisniku, ukupno po mreži), koji su sve korisnici na mreži (s detaljima tipa korisničkog imena, tipa uređaja, operativnog sistema i mnogih drugih), kakve su performanse vaše mreže i aplikacija. A zamislite da to sve možete da vidite za celu vašu mrežu, a ne samo na izlazu ka internetu, kao što daju NAC i Firewall uređaji.  Sada na to dodajte da možete da sami pravite definicije aplikacija, a da imate  više od 13.000 predefinisanih, i naravno da napravite izveštaje, grafikone, pie chart‑ove i sve ostalo što vam je neophodno (Slika 2, Slika 3). Kada sve to zamislite, dolazite do jedne jedine aplikacije na tržištu koja omogućava sve to: Extreme Networks PurView. Kada imate sve informacije dostupne na jednom mestu i nadohvat ruke, pitanja o kojima smo pričali dobijaju jednostavne odgovore.

PurView aplikacija omogućava sve navedeno i još mnogo više od toga. S obzirom na to da radi na bilo kojoj mreži, bilo kog proizvođača, i da se može nalaziti bilo gde u mreži, ne predstavljajući usko grlo (kao druge aplikacije tipa NAC ili Firewall), postaje jasno zbog čega je ova aplikacija pravi izbor za sve kompanije kojima je važno da mogu da urade biznis‑analizu i olakšaju sebi odlučivanje, da iskoriste nepoznate i nepovezane informacije u značajna i kritična saznanja o načinu korišćenja i iskorišćenju kompanijskih resursa. Pored toga, optimizacija mreže postaje mnogo jednostavnija, nalaženje i rešavanje problema mnogo efikasnije, što samim tim dovodi do optimizacije korisničkog iskustva i većeg zadovoljstva korisnika aplikacijama i uslugama koje koriste u svakodnevnom poslovanju.

nes f

Naravno, sve bi ovo bilo nedovoljno da ovakva vidljivost i kontrola ne donose nove vidove zaštite, koji su potpuno komplementarni s drugim rešenjima. Pored PurView rešenja, koje sve informacije šalje u jedinstvenu Extreme aplikaciju NetSight koja omogućava i jednoobrazni nadzor i konfiguraciju Wi‑Fi i žičnih rešenja, Extreme Mobile IAM rešenje je potpuno integrabilno sa MDM rešenjima. Svaka od ovih aplikacija donosi nov nivo iskorišćenosti i bezbednosti u mobilnim mrežama, ali samo Extreme PurView daje mogućnost da sve to sagledate s jednog mesta i na jedinstven i smislen način, bez obzira koje NAC, Firewall, MDM ili bilo koje drugo mrežno rešenje koristite.

Autor: Nikola Knežević, CEO kompanije NES Communications

Nikola Knežević se bavi mrežnim tehnologijama više od 15 godina, a poseduje i ekspertski status za Siemens Voice i Data platforme. Takođe je sertifikovan Cisco Data i Voice inženjer.

Više o Extreme rešenjima:

 Objavljeno u časopisu connect broj 42