Дмитрий Пискарёв

Как обеспечить IT-безопасность в компании? Просто о главном.

Зачем нужна безопасность?

Зачем нужна безопасность?

41%

Зачем нужна безопасность?

58%компаний потерялиболее$50 000

11%более

$10 000 000

За 2014 год из-за нарушений безопасности

Зачем нужна безопасность?

Больше всего интеллектуальной собственности теряют отрасли:

НефтегазоваяАэрокосмическая и оборонная

ТехнологическаяТелекоммуникационная

От чего защищаться?

Большинство успешных атак проведено с помощью меньшинства известных инструментов.

Самое слабое звено

инцидентов происходитиз-за ошибки пользователей

● Соц. инженерия;● спам;● фишинг;● слабые пароли;● нерациональное

использованиересурсов;

● вирусы;● халатность;● нарушение правил

ИБ.

Netpeak принимает вызов!

Простые и действенные инструменты

● Генерация паролей и использование локальных хранилищ;

● учет использования внутренних ресурсов, получения доступов и т.д.;

● отслеживание установкинового ПО, конфигурации (железо) компьютеров.

Активы

После сотрудников, самым ценными активами для нас являются сетевые ресурсы и внутренние разработки.

Ограничение по портам

Все порты на серверах, кроме необходимых, должны быть закрыты.

Ограничение по IP

IP 1

IP 2

IP 3 IP 4

PROXY

Ограничение доступа к сетевым ресурсам:● Через IP офисов● Через выделенные

прокси

Безопасное соединение

TLS/SSL

Система сертификатов

На внутренние образовательные ресурсы доступ только по сертификатам.

У каждого пользователя индивидуальный

сертификат

Защита скриптов и внутренних разработок

Что мы используем?

Обфускация

Обфускация скриптов

● Последний рубеж защиты;● в случае завладения скриптом,

достаточно трудно понять логику работы;

● есть неплохие алгоритмы обфускации в открытом доступе;

● позволяет внедрять разработки на сайты клиентов с минимальным риском.

Что мы используем?

OpenID

OpenID

Сотрудник Скрипт на клиентском сайте

LOGIN

PASSWORD

● Существует ли сотрудник?

● Аутентифицирован?

ERP/CRM

Подтверждение аутентификации

Что используем мы?

Программные закладкии реестр загрузок

Реестр загрузок

● Единый центр загрузок.● Кто скачал скрипт?● Когда скачал?● Зачем скачал?

Программные закладки

Каждый экземпляр скрипта или программы уникален и позволяет идентифицировать, кто его загрузил и когда.

Что используем мы?

Шифрование критических данных

● личные данные сотрудников и клиентов;

● данные по заказам и услугам;

● зарплаты;● финансовые

операции;● прочее.

Что мы используем?

SSH — сетевой протокол, позволяющий получать удаленный доступ к компьютеру с большой степенью безопасности соединения.

SSH

Мастерключ

Ключ программиста 1

Ключ программиста 2

Ключ программиста 3

Все ключи связаны с мастер-ключом и могут быть одновременно заблокированы

Внедрение инструментов безопасности

В идеале, в компании есть отдел безопасности.

В реальности - защитой информации занимается IT отдел.

Расширенная база знаний программистов

● Криптографические алгоритмы и их применение;

● работа с сервером (LAMP);● расширенные знания Git;● cloud computing;● и т.д.

Подготовка и переподготовка кадров