Documente Academic
Documente Profesional
Documente Cultură
Andrei Ciorba - Risk Assessment
Andrei Ciorba - Risk Assessment
VirtualBank Romania
Data: 2011
VirtualBank – Raport al analizei de risc IT Ultima actualizare: 15/01/2011
Versiuni
i
VirtualBank – Raport al analizei de risc IT Ultima actualizare: 15/01/2011
SUMAR
VirtualBank este o bancă universală de top pe piața românească, oferind o gamă completă
de produse și servicii de calitate superioarăpersoanelor fizice, IMM-urilor și corporațiilor
mari, prin multiple canale de distribuție: unități bancare (peste 800 în toată țara), rețele de
ATM și EPOS, phone-banking, mobile banking și internet banking.
Compania SecuriX Technology a fost însărcinată să conducă un proces de evaluare a
riscurilor pentru infrastructura IT cu scopul certificării și acreditării VirtualBank. Acest
raport de evaluare a riscurilor adresează modul de utilizare a resurselor pentru a elimina
și/sau a gestiona vulnerabilitățile exploatabile de amenințări interne sau externe
VirtualBank. Încheierea cu succes a procesului de certificare și acreditare se va
concretiza într-o declarație formală de Autorizare de Operare pentru VirtualBank.
Raportul de evaluare a riscurilor pentru VirtualBank a fost realizat în concordanță cu
medotodologia descrisă în publicația 800-30 a Institutului Național de Standarde și
Tehnologii (NIST): Risk Management Guide for Information Technology Systems.
Metodologia folosită pentru a formula acest raport de evaluare a riscurilor este pur
calitativă și nu a fost realizată nicio încercare de a determina cantitativ pierderile anuale
estimate, proiecțiile de cost ale bunurilor sau randamentul costurilor recomandărilor de
implementare a securității.
Raportul de evaluare a riscurilor pentru VirtualBank a identificat TODO vulnerabilități în
zonele de securitate a sistemelor tehnice. Vulnerabilitățile reprezintă zone parțial sau
neprotejate ale unui sistem ce pot fi exploatate de un anumit tip sau grup de amenințări.
Vulnerabilitățile pot fi diminuate TODO măsuri de protecție. Măsurile de protecție
reprezintă facilități de securitate și control care, în momentul în care sunt incluse in
mediul tehnologiei informației reduc riscurile asociate de operare la niveluri usor
administrabile. TODO vulnerabilități au fost evaluate ca având impact mic, TODO
vulnerabilități au fost evaluate ca având impact mediu și TODO vulnerabilități au fost
evaluate ca având impact mare.
Încadrarea globală a sistemelor de securitate pentru VirtualBank a fost evaluată ca fiind
medie, conform FIPS (Federal Information Processing Standards) 199.
Tabelul următor oferă o vedere de ansamblu asupra vulnerabilităților si măsurilor
recomandate pentru VirtualBank. Vulnerabilitările sunt listate pe baza nivelului de risc
asociat.
Matricea de risc pentru Virtual Bank
ii
VirtualBank – Raport al analizei de risc IT Ultima actualizare: 15/01/2011
informațiilor confidențiale ale companiei și ale clienților săi sau denial of service pentru
utilizatorii care necesită acces la informații .
iii
VirtualBank – Raport al analizei de risc IT Ultima actualizare: 15/01/2011
Cuprins
1 Introducere .................................................................................................................... 5
1.1 Scop ........................................................................................................................................5
1.2 Acoperire .............................................................................................................................. 5
2 ABORDAREA EVALUĂRII RISCURILOR .................................................................... 5
2.1 Procesul de evaluare a riscurilor................................................................................... 6
2.1.1 Faza I – Pre-evaluare ......................................................................................................................... 6
2.1.2 Faza II – Evaluare ................................................................................................................................ 6
2.1.3 Faza III – Post-evaluare .................................................................................................................... 9
3 Caracterizarea sistemului ........................................................................................ 11
3.1 Administratorii de sistem și entitățile ce oferă autorizarea ............................... 11
3.2 Descrierea funcțională .................................................................................................. 11
3.3 Servicii ................................................................................................................................ 12
3.3.1 Servicii interne și externe ............................................................................................................ 12
3.4 Elementele scanate ......................................................................................................... 15
3.5 Utilizatorii de sistem ...................................................................................................... 15
3.6 Confidențialitatea informațiilor ................................................................................. 16
3.6.1 Tipuri de informații ......................................................................................................................... 17
3.6.2 Gradul de sensibilitate al datelor ............................................................................................. 17
3.6.3 Cerințele de protecție ..................................................................................................................... 18
3.6.4 Concluzii ale evaluării tipurilor de date ............................................................................... 18
4 raport al amenințărilor ............................................................................................ 19
4.1 Sumar.................................................................................................................................. 19
4.2 Vectori de amenințare pentru companie ................................................................. 19
5 Autentificarea și autorizarea utilizatorilor ca măsură de securitate .......... 21
5.1 Sumar.................................................................................................................................. 21
5.2 Determinarea impactului potențial al erorilor de autentificare ....................... 21
5.2.1 Impactul potențial pentru inconveniențe, efecte negative asupra statutului sau
reputației ................................................................................................................................................................ 21
5.2.2 Impactul potențial asupra pierderilor financiare ............................................................ 21
5.2.3 Efecte negative asupra intereselor publice ......................................................................... 22
5.2.4 Impactul potențial al publicării neautorizate a informațiilor confidențiale ...... 22
5.2.5 Impactul potențial asupra securității personale .............................................................. 22
5.2.6 Impactul potențial al încălcării codului civil sau penal ................................................ 23
5.3 Analiza autentificării utilizatorilor ............................................................................ 23
6 Sumar............................................................................................................................. 25
4
VirtualBank – Raport al analizei de risc IT Ultima actualizare: 15/01/2011
1 INTRODUCERE
1.1 Scop
Scopul acestei analize de risc este de a evalua conformitatea securității infrastructurii IT a
VirtualBank. Raportul de față oferă o analiză calitativă structrată a mediului operațional.
Raportul adresează confidențialitatea, amenințările interne și externe, vulnerabilitățile,
riscurile și măsurile de prevenire. Raportul cuprinde recomandări pentru metode de
prevenire optime din punctul de vedere al costului pentru a reduce efectul
vulnerabilitățior asociate.
1.2 Acoperire
Cuprinsul acestui raport de evaluare riscurilor include gradul de utilizare a resurselor si a
modalităților de control (deja implementate sau în stadiul de proiect) create cu scopul de
a gestiona vulnerabilitățile exploatabile de către amenințările interne sau externe
VirtualBank. În cazul în care aceste vulnerabilități ar fi exploatate, ele ar rezulta în:
- pierderi neautorizate de date
- modificări neautorizate asupra sistemului, a datelor stocate sau a ambelor
- denial of service (DoS), acces la date confidențiale sau ambele, pentru utilizatorii
neautorizați
Acest raportul de evaluare a riscurilor evaluează confidențialitatea (protejarea împotriva
furnizării neautorizate a datelor interne ale companiei), integritatea (protejarea împotriva
modificării neautorizate a informațiilor) și disponibilitatea (pierderea accesului la
sisteme). Măsurile de securitate recomandate vor permite staff-ului de management să
evalueze o serie de decizii care, odata implementate, vor adresa problemele de securitate
identificate.
5
VirtualBank – Raport al analizei de risc IT Ultima actualizare: 15/01/2011
6
VirtualBank – Raport al analizei de risc IT Ultima actualizare: 15/01/2011
7
VirtualBank – Raport al analizei de risc IT Ultima actualizare: 15/01/2011
Următorul tabel oferă o definire sumară a nivelurilor de risc. Aceste niveluri reprezintă
gradul de risc la care un sistem IT, o companie sau o procedură pote fi expusă în cazul în
care o vulnerabilitate anume este exploatată.
8
VirtualBank – Raport al analizei de risc IT Ultima actualizare: 15/01/2011
9
VirtualBank – Raport al analizei de risc IT Ultima actualizare: 15/01/2011
10
VirtualBank – Raport al analizei de risc IT Ultima actualizare: 15/01/2011
3 CARACTERIZAREA SISTEMULUI
3.1 Administratorii de sistem și entitățile ce oferă autorizarea
Scopul următorului tabel este de a rezuma persoanele responsabile pentru modificările
asupra sistemului IT din cadrul VirtualBank Romania.
Autoritatea ce oferă
Reprezentat business Reprezentant securitate
autorizarea
Nume Liviu Maria Horea Costică management
11
VirtualBank – Raport al analizei de risc IT Ultima actualizare: 15/01/2011
3.3 Servicii
Rețeaua VirtualBank este reprezentată de un sistem global de tip client/server, în care
toate serviciile și aplicațiile interne sunt centrate într-un datacenter aflat în proximitatea
serdiului central. Toate celelalte sucursale folosesc rețeaua MPLS VPN pentru a accesa
datele și aplicațiile din datacenter. Una dintre cele mai importante priorități pentru
VirtualBank este asigurarea conectivității între toat sucursalele sale și sediul central.
12
VirtualBank – Raport al analizei de risc IT Ultima actualizare: 15/01/2011
13
VirtualBank – Raport al analizei de risc IT Ultima actualizare: 15/01/2011
14
VirtualBank – Raport al analizei de risc IT U
15
VirtualBank – Raport al analizei de risc IT U
16
VirtualBank – Raport al analizei de risc IT U
17
VirtualBank – Raport al analizei de risc IT U
18
VirtualBank – Raport al analizei de risc IT U
4 RAPORT AL AMENINȚĂRILOR
4.1 Sumar
NIST SP 800-30 descrie identificarea punctuală a amenințării, sursa amenințări și
acțiunea necesară pentru a fi folosite în procesul de evaluare. Următoarele itemuri descriu
aceste noțiuni:
19
VirtualBank – Raport al analizei de risc IT U
20
VirtualBank – Raport al analizei de risc IT U
21
VirtualBank – Raport al analizei de risc IT U
22
VirtualBank – Raport al analizei de risc IT U
23
VirtualBank – Raport al analizei de risc IT U
24
VirtualBank – Raport al analizei de risc IT Ultima actualizare: 15/01/2011
6 SUMAR
Următorul tabel oferă o viziune de ansamblu asupra vulnerabilităților identificate:
informaționale
Bunuri
suspectate
cunoscute sau
Amenințări
suspectate
cunoscute sau
Vulnerabiităti
integr, disp)
primare (conf,
Aspecte
de aparitie
Probabilitatea
impact
Nivelul de
risc
Nivelul brut de
riscului
împotriva
implementate
Metode
riscului
de identificare a
Imposibilitatea
detectat
Nivelul de risc
risc
Nivelul total de
Comentarii
Acces direct la
Configurații incomplete
internet, configurare Baza de date nu ar trebui să fie
Hacking C+I 2 4 8 pe firewall-uri, politici de 3 24
defectuoasă a accesibilă direct din internet
acces interne
firewall-urilor
Degradarea Baza de date ar trebui să fie
Baza de date a informațiilor implementată într-un model
Informații corupte I+D 1 4 4 Backup-uri periodice 2 8 12
clienților din baza de distribuit, minimizând astfel riscul
date coruperii datelor
Angajații pot oferi
Politica companiei trebuie
Social acces altor persoane
C 1 4 1 Politica companiei 4 4 menținută la zi și implementată
engineering împotriva politicilor
împreună cu măsurile punitive.
companiei
VulnerabilitățI
cunoscute în Network security
Server aplicații versiunile actuale ce C+I+ controls; system security Serverele de web si aplicații
Hacking 2 3 6 1 6 8.6
interne permit execuția D controls; data security trebuie actualizate
codului cu drepturi controls
administrative
25
VirtualBank – Raport al analizei de risc IT Ultima actualizare: 15/01/2011
Nu există o schemă
Distrugerile cauzate de factori
de disaster recovery;
Catastrofe externi pot fi evitate doar prin
întregul datacenter I+D 1 4 4 Inexistent 1 4
naturale asigurarea redudantei datelor în
se află într-o singură
cel puțin doua locații diferite.
locație
Accesul la fișierele
din SAN, deși
Autentificarea
autentificat, se face Interceptarea traficului din zona
Sniffing C 1 3 3 utilizatorilor ce 4 12
necriptat, iar datele SAN se face dificil, dar e posibil.
accesează SAN-ul 6.6
pot fi interceptate în
tranzit
SAN Imposibilitaea
desfășurării
Pierderea
activității pentru Accesul la SAN reprezintă o
conectivității Legături redundante
branch-uri în cazul în D 1 4 4 1 4 condiție pentru funcționarea
pentru pentru unele branch-uri
care legăturile spre tuturor sucursalelor.
branch-uri
SAN devin
nefuncționale
Baza de date antispam trebuie
Filtrul antispam nu
actualizată periodic. Există soluții
folosește o bază de
Spam I+D 3 1 3 Filtru antispam 1 3 open-source publice ce pot realiza
date actualizată și
acest lucru, dacă costurile
adaptivă
Server e-mail 15 reprezintă o problemă.
Nu există o metodă Serverul de e-mail trebuie sa
de blacklisting a analizeze frecvența mesajelor și a
Flooding D 3 3 9 Inexistent 3 27
senderilor în cazul expeditorilor pentru a filtra flood-
unui flood. urile.
26
VirtualBank – Raport al analizei de risc IT Ultima actualizare: 15/01/2011
Nu există o
aplicație, un serviciu Configurațiile trebuie păstrate și
Pierderea
sau cel puțin o Backup doar pentru actualizate la fiecare modificare
configurațiilor
politică internă de D 1 2 2 date, nu și pentru 2 4 pentru a nu cauza o situație în care
echipamentel
backup a configurații întreaga rețea trebuie
or
configurațiilor reconfigurată și resecurizată.
Configurație echipamentelor
infrastructură Rețeaua internă nu 13.2
LAN și WAN este separată în
Scurgerea de Separarea între VLAN-uri, cel puțin
VLAN-uri, ceea ce
informații la nivel de departament,
face ca toate C+I 3 4 12 Inexistent 4 48
între reprezintă o condiție de bază
sistemele din rețea
departamente pentru securizarea rețelei.
să aiba acces direct
unele la altele.
Pierderea
Serverele pot funcționa în lipsa
conexiunii
Serverele DHCP si de serverelor de autentificare și
spre serverele Inexistent, dar serverele
autentificare nu sunt D 1 3 3 1 3 DHCP, dar stațiile utilizatorilor nu
de au adrese IP statice
redundante vor mai putea folosi serviciile din
autentificare
rețea.
și DHCP;
27
VirtualBank – Raport al analizei de risc IT Ultima actualizare: 15/01/2011
imposibilitate
a autentificării
utilizatorilor
Multe echipamente
de rețea rulează în O mulțime de servicii sunt active în
Atacuri
mod implicit o serie mod implicit pe majoritatea
asupra Servici de impact foarte
de servicii ce nu sunt C 2 1 2 3 6 echipamentelor de rețea, ce
serviciilor scăzut.
folosite și expun consumă resurse software și pot
inutile
vulnerabilități expune vulnerabilități nedorite.
suplimentare
Cablarea este
Atacuri fizice structurată dar nu
Legăturile de rețea nu sunt
asupra este protejată sub I+D 1 4 4 Cablare structurată 1 4
protejate.
linkurilor nicio formă de
atacurile fizice
Accesul în
datacenter este slab
Atacuri fizice
securizat; odată
asupra Accesul în datacenter e slab
ajuns în interior se I+D 1 4 4 Cablare structurată 1 4
echipamentel securizat.
dobândește acces la
or
toate
echipamentele
CDP activ pe toate
porturile, inclusiv
CDP este activ pe toate porturile
Dezvăluirea cele de acces – orice
echipamentelor Cisco în mod
topologiei calculator conectat C 1 1 1 Inexistent 3 3
Informații implicit și transmite detalii ale
rețelei interne la rețea poate
legate de echipamentelor din rețea.
descoperi structura 19.5
network rețelei
management
SNMPv1
Atacuri de implementat – C+I+ Autentificare clear-text SNMPv1 și v2c trimit community
3 3 9 4 36
recunoaștere string-uri clear-text D SNMPv1 string-un în text clar.
ușor de ghicit
28
VirtualBank – Raport al analizei de risc IT Ultima actualizare: 15/01/2011
29
VirtualBank – Raport al analizei de risc IT Ultima actualizare: 15/01/2011
În lipsa VLAN-urilor,
cei ce sunt
autentificați ca
Echipamentele de rețea nu sunt
guest pot realiza
Sniffing C+D 3 4 12 Inexistent 3 36 configurate pentru a recunoaște
atacuri man-in-the-
astfel de atacuri.
middle pentru a
obține informații
confidențiale
Traficul angajaților
Traficul care iese din rețeaua
nu este analizat
Trafic intern locală trebuie inspectat, pornind
pentru a se filtra
ilegal și I+D 4 3 12 Inexistent 3 36 de la URL filtering, scanarea
conținutul
dăunător atasamentelor, blocarea serviciilor
neadecvat, ilegal și
de webmai, chat, etc.
Firewall-uri dăunător.
42
internet Nu există sisteme de Tot traficul trebuie scanat înainte
Pierderi de protecție împotriva de a părăsi rețeaua. Traficul criptat
date prin furtului de date prin trebuie blocat sau interceptat cu
C 4 4 16 Inexistent 3 48
webmail, file internet direct de pe certificate proprii pentru a fi
sharing, etc calculatoarele verificat împotriva transmiterii de
angajaților informații confidențiale.
Intruziuni în Acces nediferențiat Conturile de acces VPN trebuie
rețeaua al utilizatorilor prin Autentificarea împărțite în grupuri care să
VPN C 2 3 6 2 12 12
internă prin VPN – toți au acces utilizatorilor prin VPN corespundă drepturilor de acces
VPN la rețeaua internă ale utilizatorilor din sediul central
Pierderea de Nu există sisteme Stațiile angajaților pot fi
date prin de protecție configurate să nu permită acces
Terminale
stick-uri USB, împotriva furtului de C 3 3 9 Inexistent 4 36 36 utilizatorilor fără drepturi de
angajați
CD-uri, DVD- date prin stick-uri administrare la periferice de tipul
uri USB sau discuri. USB sau CD/DVD.
30