Как обеспечить it-безопасность в компании? Просто о...
TRANSCRIPT
Дмитрий Пискарёв
Как обеспечить IT-безопасность в компании? Просто о главном.
Зачем нужна безопасность?
Зачем нужна безопасность?
41%
Зачем нужна безопасность?
58%компаний потерялиболее$50 000
11%более
$10 000 000
За 2014 год из-за нарушений безопасности
Зачем нужна безопасность?
Больше всего интеллектуальной собственности теряют отрасли:
НефтегазоваяАэрокосмическая и оборонная
ТехнологическаяТелекоммуникационная
От чего защищаться?
Большинство успешных атак проведено с помощью меньшинства известных инструментов.
Самое слабое звено
инцидентов происходитиз-за ошибки пользователей
● Соц. инженерия;● спам;● фишинг;● слабые пароли;● нерациональное
использованиересурсов;
● вирусы;● халатность;● нарушение правил
ИБ.
Netpeak принимает вызов!
Простые и действенные инструменты
● Генерация паролей и использование локальных хранилищ;
● учет использования внутренних ресурсов, получения доступов и т.д.;
● отслеживание установкинового ПО, конфигурации (железо) компьютеров.
Активы
После сотрудников, самым ценными активами для нас являются сетевые ресурсы и внутренние разработки.
Ограничение по портам
Все порты на серверах, кроме необходимых, должны быть закрыты.
Ограничение по IP
IP 1
IP 2
IP 3 IP 4
PROXY
Ограничение доступа к сетевым ресурсам:● Через IP офисов● Через выделенные
прокси
Безопасное соединение
TLS/SSL
Система сертификатов
На внутренние образовательные ресурсы доступ только по сертификатам.
У каждого пользователя индивидуальный
сертификат
Защита скриптов и внутренних разработок
Что мы используем?
Обфускация
Обфускация скриптов
● Последний рубеж защиты;● в случае завладения скриптом,
достаточно трудно понять логику работы;
● есть неплохие алгоритмы обфускации в открытом доступе;
● позволяет внедрять разработки на сайты клиентов с минимальным риском.
Что мы используем?
OpenID
OpenID
Сотрудник Скрипт на клиентском сайте
LOGIN
PASSWORD
● Существует ли сотрудник?
● Аутентифицирован?
ERP/CRM
Подтверждение аутентификации
Что используем мы?
Программные закладкии реестр загрузок
Реестр загрузок
● Единый центр загрузок.● Кто скачал скрипт?● Когда скачал?● Зачем скачал?
Программные закладки
Каждый экземпляр скрипта или программы уникален и позволяет идентифицировать, кто его загрузил и когда.
Что используем мы?
Шифрование критических данных
● личные данные сотрудников и клиентов;
● данные по заказам и услугам;
● зарплаты;● финансовые
операции;● прочее.
Что мы используем?
SSH — сетевой протокол, позволяющий получать удаленный доступ к компьютеру с большой степенью безопасности соединения.
SSH
Мастерключ
Ключ программиста 1
Ключ программиста 2
Ключ программиста 3
Все ключи связаны с мастер-ключом и могут быть одновременно заблокированы
Внедрение инструментов безопасности
В идеале, в компании есть отдел безопасности.
В реальности - защитой информации занимается IT отдел.
Расширенная база знаний программистов
● Криптографические алгоритмы и их применение;
● работа с сервером (LAMP);● расширенные знания Git;● cloud computing;● и т.д.
Подготовка и переподготовка кадров