Bezpečný kyberprostor potřebuje (nejen) silnou autentizaci. Ing. Petr Slaba ASKON International s.r.o

Bezpečný kyberprostor potřebuje (nejen) silnou autentizaci Ing. Petr Slaba ASKON International s.r.o.

ASKON International – představení firmy 1992

založení firmy v Praze – orientace na oblast IT bezpečnosti a ochrany dat

1993

zahájení spolupráce s Rainbow Technologies (USA)

1999

rozšíření nabídky o USB tokeny – zaměření na autentizaci, HSM a PKI

2004

zastoupení (Authorized Gold Partner) společnosti SafeNet (USA) v ČR a SR

2010

zastoupení společnosti OpenTrust (Francie)

2011

zastoupení společnosti Ceedo (Izrael) Bezpečnost kyberprostoru

29. 5. 2012

Agenda 1. Proč se vůbec zabývat IT bezpečností? 2. Ochrana přístupu k IS – silná vícefaktorová autentizace 3. Ochrana dat – šifrování 4. Ochrana transakcí a klíčů – HSM

Bezpečnost kyberprostoru

29. 5. 2012

Bezpečnost?

Kyberprostoru???

Dobré odpoledne, já Vás vítám u dalších zpráv ... Bezpečnost kyberprostoru

29. 5. 2012


29. 5. 2012


29. 5. 2012

3. Možné zneužití schránky Přijímání a posílání dokumentů skrz datové schránky má velkou právní sílu. Pomocí schránky jde totiž provádět úkony, které přísluší do kompetence statutárních zástupců firmy, jako jsou především jednatelé. Firmy si tedy musí dát velký pozor na ochranu přihlašovacích údajů. Proto není možné je mít poznamenané na kousku papírku přilepeném na okraji monitoru. Další a nejspíš i závažnější zneužití přístupových jmen a hesel hrozí od počítačových pirátů. Pokud se dostanou ke vstupním kódům například pomocí viru, mohou dovést firmu až do likvidace, například kdyby pod jejím jménem jednali s úřady. Bezpečnost kyberprostoru

29. 5. 2012


29. 5. 2012

„Soukromí je přežitek 20. století” Bezpečnost kyberprostoru

29. 5. 2012

Expect us ... Bezpečnost kyberprostoru

29. 5. 2012



29. 5. 2012

Autentizace = ověření proklamované identity • Nutnost prokazování identity osob není nic nového • Jedná se o požadavek plynoucí až z používání IT? Rozhodně ne! • Ověření identity v reálném světě • Identifikační průkaz • Ověření identity v kyberprostoru • Jméno a heslo • Technologie založené na „sdíleném tajemství“ – např. OTP • Digitální certifikát • Digitální certifikát uložený v bezpečném úložišti – USB token, čipová karta Bezpečnost kyberprostoru

29. 5. 2012

Co je digitální certifikát • Digitální certifikát je elektronický dokument • Vydává jej certifikační autorita (CA) • V certifikátu je uvedena řada údajů: • Jméno majitele certifikátu • e-mailová adresa majitele • Platnost certifikátu od … do … • Veřejný klíč majitele podepsaný CA • Jméno CA, která certifikát vystavila • Sériové číslo certifikátu • Další volitelné položky (název organizace apod.) • CA svým digitálním podpisem ubezpečuje, že informace uvedené v certifikátu jsou pravdivé • Slouží k důvěryhodnému předání veřejného klíče Bezpečnost kyberprostoru

29. 5. 2012

Hardwarová úložiště pro digitální identitu Jednofaktorové tokeny - svou identitu prokazuji vlastnictvím tokenu • Např. Touch Memory čipy (Dallas), bezkontaktní karty • Pohodlnější pro uživatele • Nízká úroveň bezpečnosti srovnatelná s používáním hesla Dvoufaktorové tokeny 1. faktor – něco mám (token) 2. faktor – něco znám (PIN, heslo tokenu) • Výrazně bezpečnější • Široké možnosti využití Třífaktorové tokeny 3. faktor – někým jsem (biometrické prvky) • Dvoufaktorové tokeny je možné doplnit např. kontrolou otisku prstu, snímku oční duhovky či sítnice apod. Bezpečnost kyberprostoru

29. 5. 2012

Hardwarové OTP tokeny OTP tokeny (autentizační kalkulátory) • Využívají metodu jednorázových hesel (One Time Password) • Jednoduchá obsluha, není potřeba klientský sw, nezávislost na HW • Nové heslo je obvykle platné po velmi krátkou dobu • Token umí pouze generovat přístupový kód, nelze do něj ukládat certifikáty, hesla apod. • Životnost baterie až 7 let


29. 5. 2012

Příklad využití OTP tokenu Bezpečnostní klíč pro datovou schránku


29. 5. 2012

SAM – jednotná správa autentizačních řešení SAM (SafeNet Authentication Management) • Umožňuje centralizovanou správu všech používaných autentizačních metod z jednoho systému • Řízení životního cyklu všech autentizačních prostředků • Samoobslužný portál pro uživatele, Service Desk, Rescue Portal • Pokročilé nástroje auditu a reportingu • Integrace na systémy správy identity (LDAP, AD, IdM systémy ...) • Jednotná platforma podporující i nové trendy (cloudové služby, přístup z mobilních zařízení ...) • Podporuje všechny typy tokenů SafeNet

SAM express (dříve Safeword 2008) • Jednoduchá implementace, pouze pro OTP autentizaci • Zaměřen na SMB trh


29. 5. 2012

Nové trendy v oblasti autentizace Softwarové autentizátory • SW OTP tokeny pro mobilní zařízení • Virtuální tokeny • Uložení certifikátu v zašifrovaném souboru chráněném PIN • Virtuální token je svázán s konkrétním úložištěm

Autentizace přístupu z mobilních zařízení • iPhone, iPod, Android • SAM umožňuje administrovat certifikáty na zařízeních

Autentizace formou služby • Akvizice společnosti Cryptocard • Autentizační server BlackShield • Funkcionalita poskytována formou webových služeb


29. 5. 2012

Gartner Magic Quadrant pro oblast autentizace  Společnost SafeNet získala nejlepší hodnocení na trhu (z celkem 22 hodnocených).  Společnost Cryptocard získala nejlepší hodnocení Visionaries' kvadrantu  Dne 12. 3. 2012 oznámila společnost SafeNet převzetí společnosti Cryptocard Bezpečnost kyberprostoru

29. 5. 2012 20



29. 5. 2012

Proč chránit data šifrováním? • Jediný způsob jak zajistit 100% bezpečnou ochranu dat před neoprávněným přístupem je použití dostatečně silné šifry • Dalším nezbytným předpokladem je bezpečná správa životního cyklu klíčů – viz dále • Klasický přístup: Bezpečnostní perimetr • Perimetr sice ještě existuje, ale dochází k narušování jeho hranic – VPN, portál, data z internetových zdrojů, BYOD ... • V prostředí cloudu pojem perimetr zcela ztrácí význam • Většinu incidentů spojených s únikem dat mají na svědomí vlastní zaměstnanci • Potřeba oddělení odpovědností (administrace IS a bezpečnosti) • „Post Breach Era“ – nejde o to zda dojde k incidentu ale kdy se tak stane. S možným incidentem je nutno dopředu počítat.


29. 5. 2012

Tradiční způsob nasazení šifrovacích technologií Ostrůvky chráněných dat

Dopady na bezpečnost

• Fileservery • Archivační média

• Nasazení nesourodých kryptografických řešení

• Email

• Fragmentovaná správa klíčů

• Notebooky

• Rozdrobené a nejednotné uplatňování bezpečnostních politik

• Přenosná média • Databáze • Aplikace

• Problém s logováním, auditem a reportingem

DŮSLEDKY: • Zajištění bezpečnosti je velmi provozně nákladné • Neefektivní řešení s bezpečnostními mezerami • Omezené možnosti pro další rozvoj Bezpečnost kyberprostoru

29. 5. 2012

Šifrovací platforma DataSecure

ICAPI LKM

ProtectDB ProtectApp

Tokenization Manager

KMIP/ APIs

ProtectFile ProtectZ

StorageSecure

ProtectV

Database Servers

Mainframes

File Shares

Proprietary Systems

Storage

Web/Application Servers

Cloud/Virtualization

 SNMP, NTP, SYSLOG

DataSecure appliance provádí vlastní šifrování a správu klíčů


29. 5. 2012

Problém ochrany dat v cloudu • Data v prostředí cloudu

Virtuální instance • • •

–

Servery, aplikace, databáze ve virtualizovaném prostředí Nezabezpečené kontejnery citlivých dat Mohou být libovolně kopírovány

–

–

Izolace dat: Prostředky cloudu jsou sdíleny mnoha různými zákazníky Vlastnictví dat: Kopírování a replikace bez kontroly vlastníka dat (např. backup, load balancing), legální předání vyšetřovatelům v důsledku aktivit jiného zákazníka cloudu Privilegovaní uživatelé: Možnost přístupu administrátorů cloudu

Virtuální storage • • •


Riziko úniku dat v důsledku logického či fyzického narušení Jsou přístupné administrátorům cloudu Riziko úniku dat chybou v konfiguraci nebo neočekávanou změnou bezpečnostních politik

29. 5. 2012

ProtectV – ochrana virtuálních instancí a úložišť Šifrované Volumes Šifrované VMs

ProtectV Client

ProtectV Manager On Premise KeySecure FIPS 140-2 L3

Šifrovaná instance—AES 256 Pre-launch autentizace Centralizované politiky a správa klíčů APIs pro integraci s jimými cloud mgmt systémy


29. 5. 2012

StorageSecure – šifrátor NAS úložišť StorageSecure KeySecure

Síťová appliance pro šifrování úložišť souborů Centralizovaná správa šifrovacích klíčů v HW

Aplikace, webové služby ... KeySecure web

app

db

Mobilní uživatelé

StorageSecure Firemní centrála

• NAS Filers • Fileservery

Storage Arrays

Archiv (Disk a pásky)


29. 5. 2012



29. 5. 2012

HSM = Hardware Security Module • Pokud používáme asymetrickou kryptografii „pouze“ pro silnou autentizaci, můžeme ukládat privátní klíče v tokenech • Pokud používáme elektronický podpis a šifrování, je nutno s privátními klíči nakládat v podstatně robustnějším prostředí • Hlavní funkce HSM • Generování a uložení klíčů v bezpečném HW prostředí • Správa klíčů v celém jejich životním cyklu • Provádění některých kryptografických operací • HSM moduly jsou zpravidla velmi silně zabezpečeny před neoprávněnou manipulací (Tamper Protection) • Fyzické a logické oddělení klíčů od dat a aplikací • Mohou být provozovány v redundantní konfiguraci • Ochrana klíčů nejen před zneužitím, ale i před ztrátou • Některé citlivé operace mohou vyžadovat autentizaci několika osobami Bezpečnost kyberprostoru

29. 5. 2012

Možné přístupy ke správě klíčů • Tradiční způsob

• HSM


29. 5. 2012

Problémy tradičního přístupu ...

Zdroj: Oasis Bezpečnost kyberprostoru

29. 5. 2012

... řeší nasazení HSM

Zdroj: Oasis Bezpečnost kyberprostoru

29. 5. 2012

HSM jako PCI karta v aplikačním serveru Aplikace

Aplikační server

Hardware Security Module

Služby využívající klíče

PKCS #11 CAPI / CNG Java CSP OpenSSL XML-DIGSIG

Kryptografické algoritmy

Služby správy klíčů

Úložiště klíčů Odolnost proti mechanickému narušení Oddělení odpovědností Autentizace vybraných transakcí více osobami FIPS 140-2 Level 3


29. 5. 2012

Backup/Restore Řízení exportu klíčů EKM Interface Politiky

HSM jako síťová appliance Aplikační servery

Aplikace

PKCS #11 CAPI / CNG Java CSP OpenSSL XML-DIGSIG

Služby využívající klíče

Možnost členění na Partitions

Kryptografické algoritmy Úložiště klíčů Odolnost proti mechanickému narušení Oddělení odpovědností Autentizace vybraných transakcí více osobami

Vysoká dostupnost Load Balancing

FIPS 140-2 Level 3

Common Criteria EAL4+


29. 5. 2012

Služby správy klíčů Backup/Restore Řízení exportu klíčů EKM Interface Politiky

Proč ukládat klíče do HW? Proč klíče

• Místo uložení klíčů je přesně definováno a vždy přesně známo. Totéž platí o fyzických zálohách HSM. • Pokud jsou klíče uloženy v SW, útočníkovi stačí získat libovolnou záložní kopii.

do HW?

• Elektronická data chráněná fyzicky v HW prostředí a fyzické zálohy umožňují použití bezpečnostních mechanismů „fyzického světa“ pro ochranu klíčů. • Aplikace využívají klíče uložené v HSM prostřednictvím klienta. Klíče proto nemusí opustit Co umožní uložení HSM. klíčů do HW?

Jak jsou klíče chráněny?

• Aby získal přístup ke klíčům, útočník by musel: • Získat fyzický přístup do místnosti kde je HSM zařízení uloženo. • Lokalizovat a fyzicky ukrást HSM zařízení (typicky je uloženo v trezoru nebo odolném racku). • Rozebrat zařízení bez poškození uložených klíčů (překonat aktivní ochranné mechanismy, které zničí klíče při detekci narušení) • Metodami reverzního inženýrství zjistit strukturu a formát uložení klíčů v čipech.


29. 5. 2012

Děkuji za pozornost. Dotazy? [email protected]


29. 5. 2012

Bezpečný kyberprostor potřebuje (nejen) silnou autentizaci. Ing. Petr Slaba ASKON International s.r.o

Recommend Documents