VirtualBank Romnia Raport de analiz a riscurilor infrastructurii IT hardware i software

VirtualBank Romania

Infrastructura IT hardware i software

Raport de analiz a riscurilor

Evaluator:Andrei Ciorba, auditor securitate SecuriXTechnology CCNP, CCIP, FCNSP, CCAI SecuriX Romnia, Strada Imaginar, Nr.23, 100123 Bucureti

Data: 2011

VirtualBank Raport al analizei de risc IT

Ultima actualizare: 15/01/2011

Versiuni
Data
15 ianuarie 2011

Autor
Andrei Ciorba 1.0

Versiune

VirtualBank Raport al analizei de risc IT

Ultima actualizare: 15/01/2011

SUMAR VirtualBank este o banc universal de top pe piaa romneasc, oferind o gam complet de produse i servicii de calitate superioarpersoanelor fizice, IMM-urilor i corporaiilor mari, prin multiple canale de distribuie: uniti bancare (peste 800 n toat ara), reele de ATM i EPOS, phone-banking, mobile banking i internet banking. Compania SecuriX Technology a fost nsrcinat s conduc un proces de evaluare a riscurilor pentru infrastructura IT cu scopul certificrii i acreditrii VirtualBank. Acest raport de evaluare a riscurilor adreseaz modul de utilizare a resurselor pentru a elimina i/sau a gestiona vulnerabilitile exploatabile de ameninri interne sau externe VirtualBank. ncheierea cu succes a procesului de certificare i acreditare se va concretiza ntr-o declaraie formal de Autorizare de Operare pentru VirtualBank. Raportul de evaluare a riscurilor pentru VirtualBank a fost realizat n concordan cu medotodologia descris n publicaia 800-30 a Institutului Naional de Standarde i Tehnologii (NIST): Risk Management Guide for Information Technology Systems. Metodologia folosit pentru a formula acest raport de evaluare a riscurilor este pur calitativ i nu a fost realizat nicio ncercare de a determina cantitativ pierderile anuale estimate, proieciile de cost ale bunurilor sau randamentul costurilor recomandrilor de implementare a securitii. Raportul de evaluare a riscurilor pentru VirtualBank a identificat TODO vulnerabiliti n zonele de securitate a sistemelor tehnice. Vulnerabilitile reprezint zone parial sau neprotejate ale unui sistem ce pot fi exploatate de un anumit tip sau grup de ameninri. Vulnerabilitile pot fi diminuate TODO msuri de protecie. Msurile de protecie reprezint faciliti de securitate i control care, n momentul n care sunt incluse in mediul tehnologiei informaiei reduc riscurile asociate de operare la niveluri usor administrabile. TODO vulnerabiliti au fost evaluate ca avnd impact mic, TODO vulnerabiliti au fost evaluate ca avnd impact mediu i TODO vulnerabiliti au fost evaluate ca avnd impact mare. ncadrarea global a sistemelor de securitate pentru VirtualBank a fost evaluat ca fiind medie, conform FIPS (Federal Information Processing Standards) 199. Tabelul urmtor ofer o vedere de ansamblu asupra vulnerabilitilor si msurilor recomandate pentru VirtualBank. Vulnerabilitrile sunt listate pe baza nivelului de risc asociat. Matricea de risc pentru Virtual Bank Vulnerabilitate V-1. V-2. Nivel de risc (mic, mediu, mare) Low Moderate S-1. S-2. Msuri recomandate

n cazul n care msurile recomandate n acest raport al analizei de risc nu sunt implementate, rezultatul poate consta n modificarea sau distrugerea datelor, pierderea
ii

VirtualBank Raport al analizei de risc IT

Ultima actualizare: 15/01/2011

informaiilor confideniale ale companiei i ale clienilor si sau denial of service pentru utilizatorii care necesit acces la informaii .

iii

VirtualBank Raport al analizei de risc IT

Ultima actualizare: 15/01/2011

Cuprins
1 Introducere .................................................................................................................... 5
1.1 1.2 Scop ........................................................................................................................................5 Acoperire .............................................................................................................................. 5

ABORDAREA EVALURII RISCURILOR .................................................................... 5

2.1 Procesul de evaluare a riscurilor................................................................................... 6 2.1.1 Faza I Pre-evaluare ......................................................................................................................... 6 2.1.2 Faza II Evaluare ................................................................................................................................ 6 2.1.3 Faza III Post-evaluare .................................................................................................................... 9

Caracterizarea sistemului ........................................................................................ 11

3.1 Administratorii de sistem i entitile ce ofer autorizarea ............................... 11 3.2 Descrierea funcional .................................................................................................. 11 3.3 Servicii ................................................................................................................................ 12 3.3.1 Servicii interne i externe ............................................................................................................ 12 3.4 Elementele scanate ......................................................................................................... 15 3.5 Utilizatorii de sistem ...................................................................................................... 15 3.6 Confidenialitatea informaiilor ................................................................................. 16 3.6.1 Tipuri de informaii ......................................................................................................................... 17 3.6.2 Gradul de sensibilitate al datelor ............................................................................................. 17 3.6.3 Cerinele de protecie ..................................................................................................................... 18 3.6.4 Concluzii ale evalurii tipurilor de date ............................................................................... 18

raport al ameninrilor ............................................................................................ 19

4.1 4.2 Sumar.................................................................................................................................. 19 Vectori de ameninare pentru companie ................................................................. 19

Autentificarea i autorizarea utilizatorilor ca msur de securitate .......... 21

5.1 Sumar.................................................................................................................................. 21 5.2 Determinarea impactului potenial al erorilor de autentificare ....................... 21 5.2.1 Impactul potenial pentru inconveniene, efecte negative asupra statutului sau reputaiei ................................................................................................................................................................ 21 5.2.2 Impactul potenial asupra pierderilor financiare ............................................................ 21 5.2.3 Efecte negative asupra intereselor publice ......................................................................... 22 5.2.4 Impactul potenial al publicrii neautorizate a informaiilor confideniale ...... 22 5.2.5 Impactul potenial asupra securitii personale .............................................................. 22 5.2.6 Impactul potenial al nclcrii codului civil sau penal ................................................ 23 5.3 Analiza autentificrii utilizatorilor ............................................................................ 23

Sumar............................................................................................................................. 25

VirtualBank Raport al analizei de risc IT

Ultima actualizare: 15/01/2011

1 INTRODUCERE
1.1 Scop Scopul acestei analize de risc este de a evalua conformitatea securitii infrastructurii IT a VirtualBank. Raportul de fa ofer o analiz calitativ structrat a mediului operaional. Raportul adreseaz confidenialitatea, ameninrile interne i externe, vulnerabilitile, riscurile i msurile de prevenire. Raportul cuprinde recomandri pentru metode de prevenire optime din punctul de vedere al costului pentru a reduce efectul vulnerabilitior asociate. 1.2 Acoperire

Cuprinsul acestui raport de evaluare riscurilor include gradul de utilizare a resurselor si a modalitilor de control (deja implementate sau n stadiul de proiect) create cu scopul de a gestiona vulnerabilitile exploatabile de ctre ameninrile interne sau externe VirtualBank. n cazul n care aceste vulnerabiliti ar fi exploatate, ele ar rezulta n: pierderi neautorizate de date modificri neautorizate asupra sistemului, a datelor stocate sa u a ambelor denial of service (DoS), acces la date confideniale sau ambele, pentru utilizatorii neautorizai

Acest raportul de evaluare a riscurilor evalueaz confidenialitatea (protejarea mpotriva furnizrii neautorizate a datelor interne ale companiei), integritatea (protejarea mpotriva modificrii neautorizate a informaiilor) i disponibilitatea (pierderea accesului la sisteme). Msurile de securitate recomandate vor permite staff-ului de management s evalueze o serie de decizii care, odata implementate, vor adresa problemele de securitate identificate.

2 ABORDAREA EVALURII RISCURILOR

Aceast metodologie de evaluare a riscurilor respect abordarea i recomandrile descrise n NIST SP 800-30, Risk Management Guide for Information Technology Systems. Aria de aplicabilitate a raportului este larg i evalueaz vulnerabilitile de securitate ce afecteaz confidenialitatea, integritatea i disponibilitatea serviciilor bncii. Metodologia adreseaz urmtoarele arii:

Management:Funcia de management a sistemului de securitate IT i managementul abordrii metodelor de reducere a riscurilor. Operaional:Metode de securitate concentrate n special pe mecanismele implementate i executate de persoane inerne sau externe companiei. Technic:Securitatea la nivel hardware i software implementat n moduri automatizate

VirtualBank Raport al analizei de risc IT

Ultima actualizare: 15/01/2011

2.1

Procesul de evaluare a riscurilor

Aceast seciune detaliaz procesul de evaluare a riscurilor. Procesul este mprit n trei faze: pre-evaluare, evaluare si post-evaluare. Procesul de evaluare este complet repetabil i se recomand reefectuarea periodic a analizei de riscuri n special n situaii de schimbri majore, ca: extinderea sau restructurarea infrastructurii IT adoptarea de tehnologii noi sau nlocuirea unora vechi modificri software majo re, upgrade-uri, update-uri apariia unor incidente nedorite, eventual ce nu au putut fi preconizate cu informaiile disponibile nainte de incident

2.1.1 Faza I Pre-evaluare Pasul 1: Definirea naturii analizei de risc Raportul de analiz de risc ofer o viziune independent asupra vulnerabilitilor de securitate ale VirtualBank, analizeaz i evalueaz ntreaga arie a domeniului riscurilor de securitate. Evaluarea cuprinde identificarea evenimentelor nedorite i clasificarea lor din punctul de vedere al sever itii efectelor preconizate i ale probabilitilor de apariie. Pasul 2: Colectarea datelor Faza iniial de colectare a datelor se concetreaz asupra interaciunilor cu personalul companiei si o parte din clienii si, la nivel de interviu. De asemenea, n aceast faz se evalueaz i se clasific documentaia deja existent, inclusiv documentaia disponibil de la audit-urile de securitate precedente, dac exist. n plus, dac este posibil, se vor evalua n mod automat i documentele tehnice care descriu msurile de securitate deja implementate. 2.1.2 Faza II Evaluare Pasul1: Analiza documentelor Faza de evaluare din procesul de analiza a riscurilor este iniiat de analiza documentaiei furnizate de membrii echipei de administrare a sistemelor VirtualBank. Interviurile detaliate cu angajaii VirtualBank au permis completarea chestionarelor oferite i identificarea unor ameninri specifice. Pasul2: Caracterizarea sistemului La acest pas, analistul de securitate a identificat zona de acoperire a sistemului IT, mpreuna cu resursele ce l constituie, gradul sau de conectivitate intern i cu exteriorul, tipul de conexiuni prin care acesta comunic cu exteriorul i orice alte elemente necesare pentru a descrie sistemul. Dependenele cu alte sisteme partenere au fost evaluate. Gradul de confidenialitate al datelor din sistem a fost evaluat n ultima seciune a caracterizrii. Pasul3: Identificarea ameninrilor Echipa de evaluare a riscurilor a folosit NIST SP 800-30 ca baz pentru identificarea ameninrilor. De asemenea, n cursul procesului de intervievare, a identificat si o serie

VirtualBank Raport al analizei de risc IT

Ultima actualizare: 15/01/2011

de ameninri extrem de probabile (dei nc neconfirmate) localizabile pn la nivel de sistem. Pasul4: Identificarea vulnerabilitilor In this step, the risk assessment team developed a list of system vulnerabilities (flaws or weaknesses) that could be exploited by the potential threat vectors. The NIST SP 800-53, Revision 2, Security Baseline Worksheet (Appendix B of the Risk Assessment Report) documents vulnerabilities extracted from interviews and documents, and lists them by category. Pasul5: Determinarea riscurilor La acest pas, echipa de evaluare a riscurilor a determinat gradul de risc al sistemului. In unele cazuri, mai multe vulnerabiliti combinate creeaz un singur risc. In alte cazuri, o singura vulnerabilitate creeaz un risc unic si specific. Determinarea riscului pentru un anumit tip de ameninare a fost exprimat n funcie de urmtorii factori:

Determinarea probabilitii:Urmtorii factori majori au fost luai n vedere la calculul probabilitii ca o potenial vulnerabilitate s fie exploatat n contextul ameninrii corespunztoare:
Motivaia din spatele sursei ameninrii i capabilitatea sa Natura vulnerabilitii Existen i eficiena msurilor curente de control al riscurilor

Urmtorul tabel definete gradele de probabilitate determinate: Determinarea probabilitii Nivel Major Definirea probabilitilor Sursa ameninrii este extrem de motivat i suficient de capabil. De asemenea, sistemele de control ce ar trebui s evite exploatarea vulnerabilitii sunt ineficiente i insuficiente. Sursa ameninrii este motivat i suficient de capabil, dar sistemele de control instalate reuesc ntr-o msur suficient s minimizeze efectul exploatrii vulnerabilitii. Sursa ameninrii nu este motivat i nici nu area capabilitatea necesar pentru a exploata vulnerabilitatea, iar sistemele de control instalate pot preveni sau cel putin mpiedica suficient de mult exploatarea vulnerabilitii.

Moderat

Minor

Analiza impactului:Reprezint urmtorul pas major n msurarea impactului advers ce rezult din exploatarea cu succes a unei vulnerabiliti. Impactul nedorit al unui eveniment de penetrare a sistemului de securitate poate fi descris ca o degradare sau o combinaie a oricruia dintre urmtoarele obiective de securitate: Pierderea confidenialitii Impactul publicrii neautorizate a informaiilor confideniale

VirtualBank Raport al analizei de risc IT

Ultima actualizare: 15/01/2011

Pierderea integritii Impactul coruperii sau invalidrii sistemului sau datelor prin permiterea schimbrilor neautorizate de a fi efectuate asupra datelor sau sistemului. De asemenea, pierderea integritii poate avea ca rezultat i introducerea n interiorul bazelor de date ale companiei de date false, acestea putnd cu greu fi identificate ulterior. Pierderea disponibilitii Impactul asupra eficienei funcionalitii sistemului i operativitii sale. Coeficientul de impact Magnitudinea impactului Major Descrierea impactului Exploatarea vulnerabilitii (1) poate rezulta n pierderi de mare valoare a bunurilor sau resurselor; (2) poate afecta n mod negativ misiunea, interesul sau reputaia companiei; sau (3) poate rezulta in efecte fizice nedorite asupa angajailor (moarte, rnire, incapacitare fizic sau mental). Exploatarea vulnerabilitii (1) poate rezulta n pierderi recuperabile a bunurilor sau resurselor; (2) poate afecta n mod negativ misiunea, interesul sau reputaia companiei; sau (3) poate rezulta in efecte fizice nedorite asupa angajailor. Exploatarea vulnerabilitii (1) poate rezulta n pierderi nesemnificative a bunurilor sau resurselor; (2) poate afecta n mic msur negativ misiunea, interesul sau reputaia companiei.

Moderat

Minor

Determinarea riscului:Urmtorii factori au fost folosii pentru a estima nivelul de risk al sistemelor IT: Probabilitatea ca o anumit surs de ameninare s ncerce s exploateze o anumit vulnerabilitate. Magnitudinea impactului n cazul n care sursa unei ameninri reuete cu succes s exploateze vulnerabilitatea. Natura i gradul de optimizare i eficacitate al sistemelor de securitate deja existente pentru a reduce sau a elimina riscul.

Urmtorul tabel ofer o definire sumar a nivelurilor de risc. Aceste niveluri reprezint gradul de risc la care un sistem IT, o companie sau o pro cedur pote fi expus n cazul n care o vulnerabilitate anume este exploatat.

VirtualBank Raport al analizei de risc IT

Ultima actualizare: 15/01/2011

Definirea nivelurilor de risc Nivel Major Descrierea nivelului de risc Exist o nevoie stringent de msuri corectoare. Un sistem deja existent poate continua s opereze, dar un plan urmat de o actiune major de securizare trebuie puse n practic ct mai curnd posibil. Msurile corectoare i planul de securizare trebuie dezvoltate ntr -o perioada rezonabil de timp. Managementul companiei trebuie s decid dac aceste aciuni corectoare sunt necesare sau riscul este acceptabil n forma sa actual.

Moderat Minor

Pasul6: Recomandrile pentru reducerea riscurilor n cadrul acestui pas al procesului, metode ce pot fi implementate pentru a reduce sau a elimina complet riscurile identificate, corespunztoare modului de funcionare al companiei, au fost oferite. Scopul soluiilor oferite este de a reduce nivelul de risc asupra sistemului IT i datelor sale la un nivel acceptabil. Echipa de evaluare a riscurilor a luat n considerare urmtorii factori nainte de a recomanda soluii alternative pentru a minimiza sau a elimina riscurile identificate:

Gradul de confidenialitate al datelor i al sistemului Eficiena soluiilor recomandate Legea n vigoare Politica organizaiei Impactul asupra operativitii angajailor i firmei, n general Sigurana i stabilitatea

Aceste recomandri au fost rezultatul unui proces de evaluare a riscurilor i ofer bazele prin care managementul poate evalua i prioritiza metodele de control a r iscurilor. 2.1.3 Faza III Post-evaluare Step 1: Minimizarea riscurilor Din cauz c, de cele mai multe ori, eliminarea complet a riscurilor reprezint o opiune nepractic din punctul de vedere al desfurrii operaiunilor specifice firmei VirtualBank, manag ementul trebuie s evalueze recomandrile de securitate, s determine nivelul acceptabil de risc rezidual i s implementeze soluiile finale. Step 2: Monitorizarea ulterioar Implementarea soluiilor de securitate va trebui monitorizat ndeaproape de ct re experii tehnici ai companiei, sub autorizarea managementului. Acetia trebuie s

VirtualBank Raport al analizei de risc IT

Ultima actualizare: 15/01/2011

stabileasc deadline-uri pentru implementarea fiecrei etape i intervale de test ce asigura buna funcionare a acestor soluii.

10

VirtualBank Raport al analizei de risc IT

Ultima actualizare: 15/01/2011

3 CARACTERIZAREA SISTEMULUI
3.1 Administratorii de sistem i entitile ce ofer autorizarea Scopul urmtorului tabel este de a rezuma persoanele responsabile pentru modificrile asupra sistemului IT din cadrul VirtualBank Romania.

Reprezentat business Nume Funcie Adres Telefon E-mail 3.2 Liviu Maria General Manager Brailei, 185, Bl. B2, Ap. 51, Bucureti +4 0722 990132

Reprezentant securitate Horea Costic Chief Technology Officer Navelor, 8, Bucureti +4 0745 226554

Autoritatea ce ofer autorizarea management management management management management

mliviu@virtualbank.ro chorea@virtualbank.ro

Descrierea funcional

Sediul central al VirtualBank funcioneaz ca un nod central de reea pentru toate celelalte sucursale, pentru traficul interbancar, traficul de tranzacii cu POS-urile i ATMurile din ar i pentru accesul securizat la internetul public i la extranetul bncilor partenere. Reeaua este construit ntr-o schem ce asigur redundana att la nivel de legtur ct i la nivel de echipament. Accesul la internet se face, de asemenea, prin legturi redundante. VirtualBank beneficiaz prin providerii de internet de conexiuni MPLS VPN ce asigur trafic securizat ntre sediul central i celelalte sucursale. De asemenea, sediul central ofera un concentrator de legturi pentru conexiuni overlay VPN ce asigur conexiuni securizate temporare pentru utilizatorii aflai la distan i partenerii de afaceri. Reeaua VirtualBank trebuie sa ofere servicii 24/24 n special datorit tranzaciilor de tip internet banking sau POS ce pot avea loc la orice or. De asemenea, serverele companiei trebuie s asigure confidenialitatea clienilor si i o segregare complet ntre privilegiile diferitelor poziii pe care le dein angajaii si. Banca trebuie s evite scurgerea de informaii i atacurile asupra reelei ce pot incapacita serverele i cauza denial of service. Pentru buna desfurare a activitii companiei, accesul la serverele de aplicaii interne i la reeaua de stocare de date (SAN) trebuie asigurat non-stop i securizat att mpotriva atacurilor cu scop destructiv ct i a pierderii/furtului de informaii.

11

VirtualBank Raport al analizei de risc IT

Ultima actualizare: 15/01/2011

3.3

Servicii

Reeaua VirtualBank este reprezentat de un sistem global de tip client/server, n care toate serviciile i aplicaiile interne sunt centrate ntr-un datacenter aflat n proximitatea serdiului central. Toate celelalte sucursale folosesc reeaua MPLS VPN pentru a accesa datele i aplicaiile din datacenter. Una dintre cele mai importante prioriti pentru VirtualBank este asigurarea conectivitii ntre toat sucursalele sale i sediul central. 3.3.1 Servicii interne i externe Principalele servicii prezente n sediul central i disponibile intern companiei i extern clienilor (n funcie de natura serviciului) sunt: E-mail - Serverul de e-mail ruleaza Microsoft Exchange Server 2003 pe un server HP Proliant DL380G7 Aplicaie intern de banking realizeaz tranzaciile, confirm plile, menine conexiunile cu celelalte bnci Aplicaie extern de banking proceseaz cererile clienilor de la ATM-uri i Internet banking, le valideaz i le trimite mai departe aplicaiei interne de banking. Backup o reea SAN dedicat are ca scop realizarea de backup-uri la perioade predefinite de timp (zilnice, saptamnale, lunare). Backup-ul zilnic reprezint momentan majoritatea volumului de trafic din companie. SQL Aplicaiile de banking folosesc o baz de date SQL pentru stocarea datelor clienilor i a istoricului tranzaciilor. Baza SQL beneficiaz de backup -uri zilnice. Remote-access VPN Angajaii beneficiaz de acces la reeaua companiei prin conexiuni securizate VPN. Nu exista o separare ntre privilegiile acestor utilizatori. Storage Stocarea documentelor, arhivelor, copiilor de rezerv, contractelor, faxurilor, etc se face pe o reea SAN dedicat aflat n acelai datacenter. Acest SAN beneficiaz de backup-uri lunare. Web server Site-ul companiei, precum i toate informaiile disponibile prin acest site sunt stocate sau accesate prin serverul web din datacenter. Application server Aplicaiile interne ale bncii sunt rulate pe un server Citrix din interiorul datacenterului. Network management Serviciul SNMP este activ si ruleaz pe toate echipamentele, dar nu exist momentan un sistem centralizat de analiz i raportare SNMP. Syslog Exist un syslog server ce analizeaz log-urile echipamentelor de reea i ale serverelor, dar nu exist un mecanism de analiz coerent i raportare a acestor loguri. Wireless In toate sediile VirtualBank exist o reea wireless ce ofer prin autentificare acces difereniat la internet (pentru guests) sau la internet i serviciile interne ale companiei (pentru angajai).

12

VirtualBank Raport al analizei de risc IT

Ultima actualizare: 15/01/2011

Figura 1. Topologia reelei VirtualBank Mai jos este descris diagrama simplificat a re elei din HQ, din care ar trebui sa reias n primul rnd separarea clar a funciilor n module dedicate, precum i ierarhizarea modulelor de datacenter i acces la Internet.

13

VirtualBank Raport al analizei de risc IT

Ultima actualizare: 15/01/2011

Tabelul de mai jos listeaz caracterizeaz componentele reelei VirtualBank: Componentele la nivel de server ale VirtualBank Host Name webserv-int-1 webserv-ext-2 Locaie HQ HQ Stare Operaional Operaional Adresa IP 10.12.1.1/30 188.12.9.129/29 Platform Linux Slackware Linux Slackware Cisco IOS Cisco IOS Cisco IOS Cisco IOS Cisco IOS Cisco IOS Cisco IOS Software Apache 2.0 Apache 2.0 Comentarii Web server intern Web server extern (siteul public, autentificarea pentru Internet banking) Firewall i access internet Firewall i acces internet Firewall & VPN Firewall & VPN Switch layer 3 core Switch layer 3 core Routere de WAN, realizeaz tunelul MPLS VPN, cte unul pentru fiecare sucursal

hq-fw1 hq-fw2 wan-fw1 wan-fw2 core-hq1 core-hq2 wan-rem-x

HQ HQ HQ HQ HQ HQ Sucursale

Operaional Operaional Operaional Operaional Operaional Operaional Operaional

188.12.9.130/29 18812.9.131/29 10.2.1.10/20 10.2.1.20/20 10.1.1.99/24 10.1.1.199/24 188.12.1.x/24

12.3 12.3 12.3 12.3 12.2 12.2 12.3

mailserv-hq-1

HQ

Operational

10.0.0.120

Windows Server 2003

Windows Server 2003 + Server e-mail intern Exchange Server 2003

14

VirtualBank Raport al analizei de risc IT

3.4

Elementele scanate

Echipamentele verificate au fost: Switch-urile centrale Switch-urile din centrul de date Switch-urile de acces Routerele externe Un router WAN de la o sucursal aleas aleator

Analiza s-a bazat pe urmtoarele elemente:

Inspecia fizic Analiza diagramelor logice ale reelei Verificarea configuraiei echipamentelor Interviuri cu personalul din departamentul tehnic Debugging i analiza log-urilor

Referinele folosite au fost:

Arhitectura standard dezvoltat de Cisco (www.cisco.com.go/srnd) Documentaia standard Cisco (www.cisco.com/univercd) Practicile de securitate recomandate de NIST (checklists.nist.gov)

3.5

Utilizatorii de sistem

Reeaua VirtualBank acomodeaz att utilizatori interni (angajai i clieni) ct i utilizatori externi. Utilizatorii sistemului VirtualBank

15

VirtualBank Raport al analizei de risc IT

Categorie utilizator Management

Nivel de acces Nivel complet de acces citire, acces restricionat la scriere la informaiile companiei si conturile proprii. Drepturi de citire la documentele interne ale companiei i la informaiile publice. Fr drepturi de scriere n baza de date. Pot emite cereri spre management pentru acordarea de drepturi temporare. Drepturi depline pentru administrarea tuturor echipamentelor si software-ului. Trebuie s poat dovedi prin acordul managementului orice modificare survenit n reea, la nivelul oricrui sistem. Drepturi de citire depline, drepturi de scriere limitate la drepturile asignate prin aplicaia de banking intern. Drepturi de citire i de scriere doar asupra conturilor proprii. Drepturi de citire asupra informaiilor publice, fr drepturi de scriere. Drepturi de citire asupra informaiilor proprii, conform alocrii aplicaiilor i drepturilor de acces la bazele de date din datacenter. Drepturi de scriere n propriile aplicaii.

Numr (estimat) 4

Vnzri

30

Suport tehnic

10

Operatori

100

Clieni Non-clieni Parteneri

13000 ? 15

3.6

Confidenialitatea informaiilor

Aceast seciune ofer o descriere a tipurilor de date deinute i prelucrate de ctre VirtualBank i o analiz a gradului de confidenialitate al lor. Aceste metrici ofer o msur pentru valoarea global a sistemului informatic i este unul dintre factorii major i ce sunt luai n considerare n evaluarea riscurilor unei companii. FIPS 199 definete trei nivele poteniale de impact (minor, moderat i major) pentru fiecare dintre obiectivele de securitate (confidenialitate, integritate i disponibilitate). Nivelur ile de impact se concetreaz asupra magnitudinii unui poteniale bree de securitate ce poate duce la pierderea confidenialitii, integritii sau disponibilitii. FIPS suport faptul c un sistem informatic poate deine mai mult de un singur fel de dat e (informaii financiare, informaii personale, informaii istorice, etc), fiecare dintre acestea fiind supuse unei ncadrri n categorii de securitate, n funcie de valoarea lor.

16

VirtualBank Raport al analizei de risc IT

3.6.1 Tipuri de informaii Categoriile de informaie ale unui sistem informatic care proceseaz, stocheaz sau transmite multiple tipuri de informaii ar trebui s reprezinte cel puin nivelul cel mai nalt de impact ce a fost determinat pentru fiecare tip de informaie. Tipuri de informaii Tip informaie Conturi clieni Tranzacii Contracte clieni Informaii financiare interne Informaii publice Arhiv documente Forecast-uri i analize financiare E-mail-uri angajai Informaii partajate de parteneri Confidenialitate Major Major Major Major Minor Moderat Major Major Major Integritate Major Major Major Major Moderat Moderat Moderat Major Major Disponibilitate Major Moderat Minor Major Minor Moderat Minor Moderat Moderat

3.6.2 Gradul de sensibilitate al datelor Definirea confidenialitii, integritii i disponibilitii

Obiectivul de securitate Confidenialitate
Pstrarea restriciilor autorizate asupra accesului la informaii i la publicarea sa, inclusiv modaliti de protejare a identitii personale i informaiilor proprietare.

Minor
Expunerea neautorizat a informaii este de ateptat s aib un efect advers limitat aspra funcionrii companiei, bunurilor sau angajailor si.

Moderat
Expunerea neautorizat a informaii este de ateptat s aib un efect advers considerabil aspra funcionrii companiei, bunurilor sau angajailor si.

Major
Expunerea neautorizat a informaii este de ateptat s aib un efect advers catastrofal aspra funcionrii companiei, bunurilor sau angajailor si.

Integritate
Protecia mpotriva modificrilor neautorizate a informatiilor, distrugerea

Modificarea sau distrugerea informaiilor este de ateptat s aib un efect advers limitat asupra funcionrii companiei,

Modificarea sau distrugerea informaiilor este de ateptat s aib un efect advers considerabil asupra funcionrii

Modificarea sau distrugerea informaiilor este de ateptat s aib un efect advers catastrofal asupra funcionrii companiei, bunurilor i

17

VirtualBank Raport al analizei de risc IT

lor, inclusiv imposibilitatea de repudiere i autenticitate.

bunurilor i angajailor si.

companiei, bunurilor i angajailor si.

angajailor si.

Disponibilitate
Asigurarea accesului n condiii de siguran i livrarea la timp a informaiilor.

ntreruperea accesului la informaiile sau la serviciile unui sistem poate avea un efect advers limitat asupra bunei funcionri a companiei, bunurilor i angajailor si.

ntreruperea accesului la informaiile sau la serviciile unui sistem poate avea un efect advers considerabil asupra bunei funcionri a companiei, bunurilor i angajailor si.

ntreruperea accesului la informaiile sau la serviciile unui sistem poate avea un efect advers catastrofal asupra bunei funcionri a companiei, bunurilor i angajailor si.

3.6.3 Cerinele de protecie Att informatii ct i sistemele informatice au cicluri de via distincte. Este important evaluarea gradului necesar de confidenialitate al informaiilor, msura n care acestora trebuie s li se asigure integritatea i gradul la care serviciile companiei ce furnizeaz aceste date trebuie s fie disponibile o perioad ct mai lung de timp. Confidenialitatea se concentreaz asupra impactului pierderilor de date ctre personalul neautorizat. Integritatea adreseaz impactul preconizat n cazul modificrii sau distrugerii datelo r. Disponibilitatea se refer la impactul pe care lipsa temporar a unui serviciu furnizat l are asupra companiei. 3.6.4 Concluzii ale evalurii tipurilor de date Confidenialitate:VirtualBank deine informaii confideniale ce pot identifica clienii i partenerii si. Aceste date necesit protecie mpotriva publicrii neautorizate. Dac informaiile deinute de VirtualBank ar fi oferite publicului larg, aceast aciune ar putea rezulta ntr-o pierdere a credibilitii companiei i a unui numr considerabil de clieni. n consecin, dezvluirea de informaii confideniale poate avea un efect sever asupra bunei funcionri a companiei. Msurile de protecie mpotriva acestui tip de risc au o importan major. Integritate:VirtualBank deine i proceseaz informaiile financiare a mii de clieni. Deoarece bunul mers al bncii depinde de corectitudinea acestor date i corespondena absolut ntre datele stocate i realitate, modificarea neautorizat a acestor rezultate se preconizeaz a avea un efect negativ major. De asemenea, msurile de protecie mpotriva acestui tip de risc au o importan major. Disponibilitate:Dac serviciile VirtualBank nu ar fi disponibile chiar i pentru o perioad scurt de timp (cteva ore), efectul ar fi imediat iar impactul negativ asupra imaginii i stabilitii companiei ar avea de suferit n momentele imediat urmtoare. De aceea, acest tip de risc prezint o importan major, la fel i implementarea metodelor de evitare a acestui tip de risc.

18

VirtualBank Raport al analizei de risc IT

4 RAPORT AL AMENINRILOR
4.1 Sumar NIST SP 800-30 descrie identificarea punctual a ameninrii, sursa ameninri i aciunea necesar pentru a fi folosite n procesul de evaluare. Urmtoarele itemuri descriu aceste noiuni: Ameninare Potenialul pentru o anumit surs de ameninare de a exploata cu succes o anumit vulnerabilitate.(O vulnerabilitate reprezint o slbiciune ce poate fi exploatat involuntar sau intenionat) Sursa ameninrii Orice circumstan sau eveniment cu potenialul de a cauza daune sistemului IT. Sursele cele mai comune de ameninri sunt naturale, umane sau de mediu. Aciunea ameninrii Metoda prin intermediul creia un atac poate s decurc cu succes. Vectori de ameninare pentru companie Fenomene naturale. Cutremure, ploaie, vnt, ghea, etc., ce amenin infrastructura, sistemele, personalul, bunurile s i funcionarea companiei. Accidente de mediu. Foc, scurgeri chimice si nucleare, evenimente biologice, instabilitate structuralce amenin infrastructura, sistemele, personalul, bunurile si funcionarea companiei. Pot aprea ca rezultat al fenomenelor naturale, defeciuni ale echipamentelor de control al mediului, erori umane i/sau acte de violen sau vandalism. Defeciuni indirecte.Defeciunea unui sistem sau a unui serviciu ce se afl n afra controlului direct al bncii i care afecteaz n mod negativ capacitatea acesteia de a funciona. Exemplele pot include erori ale utilajelor, erori ale unor tere persoane sau companii, desfiinarea unor posturi cu responsabiliti de securitate. Defeciuni de sistem.Defectarea unui calculator, dispozitiv, aplica ie, serviciu de comunicare de date sau a unui sistem de meninere a condiiilor de mediu care afecteaza activitatea bncii. Exemplele pot include erori hardware, erori software i coruperea datelor. Acte de violen i/sau vandalism. Atacurile fizice sau ameninarea atacurilor la nivel naional, regional sau local ce afecteaz n mod direct funcionarea serviciilor bncii i performana angajailor si. Erori si omisiuni. Aciunile accidentale sau insuficient informate ale personalului (de regula intern, al bncii) ce rezult n efecte nedorite asupra sistemelor i/sau expunerea de date confideniale. Atacuri interne. Aciuni pentru care sunt responsabili angajaii interni ai companiei, cu scopul de a afecta ntr-un mod negativ ceilali angajai, datele si confidenialitatea lor sau bunurile materiale. Exemplele pot include compromiterea sistemelor,

4.2

19

VirtualBank Raport al analizei de risc IT

escalarea privilegiilor, sniffing, spargerea parolelor, denial of service si social engineering. Abuzuri interne i acte neautorizate. Actele din interior, ilegale, necorespunztoare i ilegale, ce cauzeaz blocaje n activitatea companiei. Dei aceste aciuni sunt intenionate, de regul resursele IT sunt folosite ca o unealt n desfurarea abuzurilor i sunt rareori n sine inta lor. Exemplele pot include partajarea de informaii aflate sub legea copyright -ului, invadarea intimitii personale a altor angajai, folosirea resurselor IT pentru hruire i ignorarea politicilor de securitate. Atacuri externe. Aciuni conduse de tere persoane sau grupuri, cu scopul de afecta bunul mers al companiei, angajaii si, sistemele sale de securitate sau credibilitatea companiei. Exemplele pot include compromiterea sistemelor de calcul, obinerea conturilor de utilizator, spargerea parolelor, denial of service si social engineering. Sisteme autonome i programe duntoare. Aciuni automate ce sunt conduse de ctre programe sau sisteme strine infiltrare n reeaua companiei, ce au drept scop distrugerea sau furtul de informaii. Exemplele pot include virusuri, vieri i programe de inteligen artificial pentru controlul unor alte sisteme. Intruziuni fizice i furturi. Compromiterea perimetrului companei i furtul resurselor (date, tiprituri, laptopuri, chei de acces, parole, etc) ce pot rezulta n efecte destructive directe sau indirecte asupra companiei. Aciuni juridice i administrative. Aciuni efectuate de ctre forele de ordine, administrative sau alte tere entiti, ca rezultat al actelor ilegale efectuate sau permise de angajaii companiei. Exemplele pot include amenzi i alte pedepse penale.

20

VirtualBank Raport al analizei de risc IT

5 AUTENTIFICARE A I AUTORIZAREA UTILIZATORILOR CA MSUR DE SECURITATE

5.1

Sumar Inconveniene, efecte negative asupra statutului sau reputaiei Pierderi financiare Efecte negative asupra intereselor publice Publicarea neautorizat a informaiilor confideniale Afectarea siguranei personale Inclcarea codului civil sau penal

NIST SP 800-63 descrie categoriile daunelor:

Nivelele de siguran al tranzaciilor electronice sunt determinate prin evaluarea impactului potenial al fiecreia dintre categoriile de mai sus folosind valorile poteniale de impact descrise in FIPS 199, Standards for Security Categorization of Federal Information and Information Systems. Cele trei valori poteniale de impact sunt : Impact minor Impact moderat Impact major

Urmtoare seciune defineste impactul potenial pentru fiecare categorie. Not: dac erorile de autentificare nu cauzeaz consecine cuantifiabile pentru o categorie, se consider c nu exist impact. 5.2 Determinarea impactului potenial al erorilor de autentificare 5.2.1 Impactul potenial pentru inconveniene, efecte negative asupra statutului sau reputaiei Minor n cazul cel mai defavorabil, limitate la inconveniene de termen scurt, deranjamente sau uoara afectare a imaginii publice. Moderat n cazul cel mai defavorabil, limitate la inconveniene considerabile, de termen lung, deranjamente i afectarea dificil de reparat a imaginii publice. Major inconveniene majore de termen lung, ce cauzeaza afectarea ireversibila a reputaiei i imaginii publice (situaie rezervat pentru cazurile cu efecte extrem de severe i care afecteaz o mas mare de indifvizi). Minor ncazul cel mai defavorabil, pierderi financiare nesemnificative i inconsecvente, dar irecuperabile. Moderat n cazul cel mai defavorabil, pierderi financiare semnificative, irecuperabile.

5.2.2 Impactul potenial asupra pierderilor financiare

21

VirtualBank Raport al analizei de risc IT

Major pierderi catastrofale i irecuperabile finanaciare, ce pot duce la falimentarea companiei. Minor n cazul cel mai defavorabil, un efect avers limitat asupra bunei funcionri a companiei, bunurilor sale i a intereselor publice. Exemple de efecte adverse limitate: (i) degradarea capac itii de a urmri misiunea companiei pn n punctul n care compania este capabil de a-i relua funciile sale primare eventual cu o eficien puin redus sau (ii) efecte negative minore asupra bunurilor organizaionale sau intereselor publice. Moderat n cazul cel mai defavorabil, un efect avers considerabil asupra bunei funcionri a companiei, bunurilor sale i a intereselor publice. Exemple de efecte adverse: (i) degradarea capacitii de a urmri misiunea companiei cu efecte permanente de degradare aeficienei i credibilitii (ii) efecte negative considerabile asupra bunurilor organizaionale sau intereselor publice. Major efecte adverse catastrofale asupra bunurilor companiei sau intereselor publice. Exemple de efecte catastrofale: (1) degradar ea complet a capabilitii de a urmri misiunea companiei pn la punctul n care compania nu va mai putea activa n domeniul su de activitate sau (ii) efecte negative majore asupra bunurilor organizatiei i intereselor sale publice.

5.2.3 Efecte negative asupra intereselor publice

5.2.4 Impactul potenial al publicrii neautorizate a informaiilor confideniale Minor n cazul cel mai defavorabil, scurgerea limitat a informaiilor confideniale ale personalului sau a informaiilor comerciale ctre tere entiti neautorizate, rezultnd ntr-o pierdere de confidenialitate cu un impact minor, conform definiiei din FIPS PUB 199. Moderat n cazul cel mai defavorabil, scurgerea considerabil a informaiilor confideniale ale personalului sau a informaiilor comerciale ctre tere entiti neautorizate, rezultnd ntr-o pierdere de confidenialitate cu un impact moderat , conform definiiei din FIPS PUB 199. Major n cazul cel mai defavorabil, scurgerea major a informaiilor confideniale ale personalului sau a informaiilor comerciale ctre tere entiti neautorizate, rezultnd ntr-o pierdere de confidenialitate cu un impact catastrofal, conform definiiei din FIPS PUB 199. Minor n cazul cel mai defavorabil, rni minore ce nu necesit tratament medical. Moderat n cazul cel mai defavorabil, un risc moderat de rni minore sau risc limitat de rnire ce necesit tratement medical. Major un risc major de rnire sau moarte.

5.2.5 Impactul potenial asupra securitii personale

22

VirtualBank Raport al analizei de risc IT

5.2.6 Impactul potenial al nclcrii codului civil sau penal 5.3 Minor n cazul cel mai defavorabil, o nclcare a legii ce nu este, n mod normal, supus interveniei forelor de ordine. Moderat n cazul cel mai defavorabil, o nclcare a legii ce poate fi supus interveniei forelor de ordine. Major o nclcare a legii ce necesit intervenia special din partea forelor de ordine Analiza autentificrii utilizatorilor

1:Accesul VPN nu respect normele de securitate din punctul de vedere al asignrii drepturilor corespunztoare nivelului de acces
Vector de atac Inconveniene, efecte negative asupra statutului sau reputaiei Pierderi financiare Efecte negative asupra intereselor publice Publicarea neautorizat a informaiilor confideniale Afectarea siguranei personale Inclcarea codului civil sau penal Nivelul global de risc Probabilitate Minor Minor Moderat Major Minor Moderat Impact Major Moderat Moderat Major Minor Minor Risc Moderat Minor Moderat Major Minor Moderat Moderat

2: Posibilitatea escaladrii privilegiilor din partea utilizatorilor ce nu dein drepturi de administrare.

Vector de atac Inconveniene, efecte negative asupra statutului sau reputaiei Pierderi financiare Efecte negative asupra intereselor publice Probabilitate Moderat Moderat Moderat Impact Major Major Moderat Risc Major Major Moderat

23

VirtualBank Raport al analizei de risc IT

Publicarea neautorizat a informaiilor confideniale Afectarea siguranei personale Inclcarea codului civil sau penal Nivelul global de risc

Major Minor Major

Major Minor Major

Major Minor Major Major

24

VirtualBank Raport al analizei de risc IT

Ultima actualizare: 15/01/2011

6 SUMAR
Urmtorul tabel ofer o viziune de ansamblu asupra vulnerabilitilor identificate:

Bunuri informaionale

Ameninri cunoscute sau suspectate

Hacking

Acces direct la internet, configurare defectuoas a firewall-urilor

Vulnerabiitti cunoscute sau suspectate

Aspecte primare (conf, integr, disp)

Probabilitatea de aparitie

Nivelul de impact

Nivelul brut de risc

C+I

Configuraii incomplete pe firewall-uri, politici de acces interne

Metode implementate mpotriva riscului

Imposibilitatea de identificare a riscului

Nivelul de risc detectat

Nivelul total de risc

Comentarii

24

Baza de date nu ar trebui s fie accesibil direct din internet Baza de date ar trebui s fie implementat ntr-un model distribuit, minimiznd astfel riscul coruperii datelor Politica companiei trebuie meninut la zi i implementat mpreun cu msurile punitive.

Baza de date a clienilor

Degradarea informaiilor din baza de date Social engineering

Informaii corupte

I+D

Backup-uri periodice

12

Angajaii pot oferi acces altor persoane mpotriva politicilor companiei VulnerabilitI cunoscute n versiunile actuale ce permit execuia codului cu drepturi administrative

Politica companiei

Server aplicaii interne

Hacking

C+I+ D

Network security controls; system security controls; data security controls

8.6

Serverele de web si aplicaii trebuie actualizate

25

VirtualBank Raport al analizei de risc IT

Ultima actualizare: 15/01/2011

Pierderea conectivitii

Lipsa redundanei la nivel de server de aplicaii

Inexistent

Fr redundan, o defeciune a serverului cauzeaz imposibilitatea utilizrii aplicaiilor de pe el Orice entitate la care angajaii interni au acces poate deveni o int pentru social engineering Distrugerile cauzate de factori externi pot fi evitate doar prin asigurarea redudantei datelor n cel puin doua locaii diferite.

Social engineering

Lipsa contientizrii pericolului Nu exist o schem de disaster recovery; ntregul datacenter se afl ntr-o singur locaie Accesul la fiierele din SAN, dei autentificat, se face necriptat, iar datele pot fi interceptate n tranzit Imposibilitaea desfurrii activitii pentru branch-uri n cazul n care legturile spre SAN devin nefuncionale Filtrul antispam nu folosete o baz de date actualizat i adaptiv Nu exist o metod de blacklisting a senderilor n cazul unui flood.

Politicile companiei, sisteme de control i supraveghere

16

Catastrofe naturale

I+D

Inexistent

Sniffing

Autentificarea utilizatorilor ce acceseaz SAN-ul

12 6.6

Interceptarea traficului din zona SAN se face dificil, dar e posibil.

SAN Pierderea conectivitii pentru branch-uri

Legturi redundante pentru unele branch-uri

Accesul la SAN reprezint o condiie pentru funcionarea tuturor sucursalelor.

Spam Server e-mail Flooding

I+D

Filtru antispam

3 15

Baza de date antispam trebuie actualizat periodic. Exist soluii open-source publice ce pot realiza acest lucru, dac costurile reprezint o problem. Serverul de e-mail trebuie sa analizeze frecvena mesajelor i a expeditorilor pentru a filtra floodurile.

Inexistent

27

26

VirtualBank Raport al analizei de risc IT

Ultima actualizare: 15/01/2011

Hacking, dobndirea de acces neautorizat Server web extern Denial of service

Vulnerabilitti n versiunea curent a serverului Lipsa unui mecanism de protecie antiDoS Lipsa redundanei la nivel de server de aplicaii O serie de aplicaii interne transmit datele nesecurizat Nu exist o aplicaie, un serviciu sau cel puin o politic intern de backup a configuraiilor echipamentelor Reeaua intern nu este separat n VLAN-uri, ceea ce face ca toate sistemele din reea s aiba acces direct unele la altele. Serverele DHCP si de autentificare nu sunt redundante

C+I+ D

Inexistent

32

Serverele web trebuie actualizate cu cele mai noi update-uri de securitate i/sau izolate ntr-o reea DMZ. 16.6 Serverul web nu filtreaz cererile ce vin cu o frecven asemntoare ce se potrivete amprentei unui flood. Exist un singur server web pentru public defecarea acestuia cauzeaz imposibilitatea clienilor de a accsa site-urile companiei. Datele interne sunt disponibile prin sniffing i altor departamente crora nu le sunt destinate. Configuraiile trebuie pstrate i actualizate la fiecare modificare pentru a nu cauza o situaie n care ntreaga reea trebuie reconfigurat i resecurizat. 13.2

Inexistent

16

Pierderea conectivittii

I+D

Inexistent

Furturi de date

Inexistent

24

Pierderea configuraiilor echipamentel or Configuraie infrastructur LAN i WAN

Backup doar pentru date, nu i pentru configuraii

Scurgerea de informaii ntre departamente Pierderea conexiunii spre serverele de autentificare i DHCP;

C+I

12

Inexistent

48

Separarea ntre VLAN-uri, cel puin la nivel de departament, reprezint o condiie de baz pentru securizarea reelei.

Inexistent, dar serverele au adrese IP statice

Serverele pot funciona n lipsa serverelor de autentificare i DHCP, dar staiile utilizatorilor nu vor mai putea folosi serviciile din reea.

27

VirtualBank Raport al analizei de risc IT

Ultima actualizare: 15/01/2011

imposibilitate a autentificrii utilizatorilor Multe echipamente de reea ruleaz n mod implicit o serie de servicii ce nu sunt folosite i expun vulnerabiliti suplimentare Cablarea este structurat dar nu este protejat sub nicio form de atacurile fizice Accesul n datacenter este slab securizat; odat ajuns n interior se dobndete acces la toate echipamentele CDP activ pe toate porturile, inclusiv cele de acces orice calculator conectat la reea poate descoperi structura reelei SNMPv1 implementat string-uri clear-text uor de ghicit

Atacuri asupra serviciilor inutile

Servici de impact foarte sczut.

O mulime de servicii sunt active n mod implicit pe majoritatea echipamentelor de reea, ce consum resurse software i pot expune vulnerabiliti nedorite.

Atacuri fizice asupra linkurilor

I+D

Cablare structurat

Legturile de reea nu sunt protejate.

Atacuri fizice asupra echipamentel or

I+D

Cablare structurat

Accesul n datacenter e slab securizat.

Informaii legate de network management

Dezvluirea topologiei reelei interne

Inexistent

3 19.5

CDP este activ pe toate porturile echipamentelor Cisco n mod implicit i transmite detalii ale echipamentelor din reea.

Atacuri de recunoatere

C+I+ D

Autentificare clear-text SNMPv1

36

SNMPv1 i v2c trimit community string-un n text clar.

28

VirtualBank Raport al analizei de risc IT

Ultima actualizare: 15/01/2011

Furt de date, sniffing

Sisteme de operare angajai

Virusi

Sabotaj

Atacuri de recunoatere

Acces guest

Denial of service

Trafic suprancrcat

Angajaii pot rula atacuri man-in-themiddle n interiorul companiei i primi informaii confideniale Politica companiei nu impune actualizarea antiviruilor instalai pe calculatoarele angajailor Angajaii pot descrca oricnd toate datele companiei la care au acces volumul de trafic nu cauzeaz alerte Accesul la nivel de guest permite descoperirea reelei interne i scanarea de porturi Utilizatorii autentificai ca guests pot realiza un Denial of Service direct din reeaua companiei Semnalul reelei guest se ntinde n cldirile din mprejurimi, oferind acces la Internet oricrui utilizator

C+D

Inexistent

12

Dispozitivele de reea nu sunt configurate s recunoasc astfel de atacuri interne.

C+I

12

Antivirui, dar fr politic de update

24

22.6

Antiviruii neactualizai creeaz bree de securitate.

C+D

Inexistent

32

Trebuie s existe alerte pentru a evidenia utilizatorii care ncearc s extrag un volum prea mare de informaii din baza de date a bncii. ICMP-ul trebuie, n general, blocat, n afara cazurilor n care este folosit cu scopuri administrative sau pentru path MTU discovery.

16

Inexistent

64

12

Reeaua wireless guest permite doar un volum limitat de trafic

24

35

Atacul trebuie restricionat la reeaua guest.

Reeaua wireless guest permite doar un volum limitat de trafic

16

Semnalul access point-urilor poate fi configurat la valoarea optim pentru a acoperi doar zona necesar din interiorul firmei.

29

VirtualBank Raport al analizei de risc IT

Ultima actualizare: 15/01/2011

Sniffing

Trafic intern ilegal i duntor Firewall-uri internet Pierderi de date prin webmail, file sharing, etc Intruziuni n reeaua intern prin VPN Pierderea de date prin stick-uri USB, CD-uri, DVDuri

n lipsa VLAN-urilor, cei ce sunt autentificai ca guest pot realiza atacuri man-in-themiddle pentru a obine informaii confideniale Traficul angajailor nu este analizat pentru a se filtra coninutul neadecvat, ilegal i duntor. Nu exist sisteme de protecie mpotriva furtului de date prin internet direct de pe calculatoarele angajailor Acces nedifereniat al utilizatorilor prin VPN toi au acces la reeaua intern Nu exist sisteme de protecie mpotriva furtului de date prin stick-uri USB sau discuri.

C+D

12

Inexistent

36

Echipamentele de reea nu sunt configurate pentru a recunoate astfel de atacuri.

I+D

12

Inexistent

36

Traficul care iese din reeaua local trebuie inspectat, pornind de la URL filtering, scanarea atasamentelor, blocarea serviciilor de webmai, chat, etc. 42 Tot traficul trebuie scanat nainte de a prsi reeaua. Traficul criptat trebuie blocat sau interceptat cu certificate proprii pentru a fi verificat mpotriva transmiterii de informaii confideniale. Conturile de acces VPN trebuie mprite n grupuri care s corespund drepturilor de acces ale utilizatorilor din sediul central Staiile angajailor pot fi configurate s nu permit acces utilizatorilor fr drepturi de administrare la periferice de tipul USB sau CD/DVD.

16

Inexistent

48

VPN

Autentificarea utilizatorilor prin VPN

12

12

Terminale angajai

Inexistent

36

36

30