1

Tendencias de la Tecnología en Seguridad Inform ática – Argentina 2010

Seguridad en Home Banking

Seguridad en Home Banking

2

Agenda

1. Proyecto Home Banking 2. Confección de equipos de trabajo

3. Arquitectura integral de seguridad 4. Qué vemos hacia delante…?

5. Consultas

3

1.- Proyecto Home Banking

4

Requerimientos

5

2.- Confección de los equipo de trabajos

6

3.- Arquitectura de Seguridad Integral

Ethical Hacking (Test Intrusión)

Seguridad de la Infraestructura y red

Clustering del Servicio

Seguridad en el Desarrollo de la Aplicación

Seguridad en la Configuración de la Aplicación

Segregación de funciones y generación de roles

Solución Home Banking Empresa

Adhesión al servicio CSIRT Banelco (Computer Security Incident Response Team)

7

3.- Seguridad en la Aplicación e Infraestructura

•En el desarrollo se tuvo en cuenta para evitar vuln erabilidades: Validación de datos de entrada y salida Prevención de Buffer Overflow DoS – Denegación de Servicio

•Se aplicó alta seguridad en la configuración del si stema: Almacenamiento de contraseña de usuario con algoritmo Hash SHA-256. Strings de conexión encriptados con algoritmo RSA. Autorización y administración basado en roles. Autenticación robusta y Teclado Virtual. Conexiones Seguras, protocolo https mediante certificado emitido por Verisign

• Durante el análisis de requerimientos y diseño del sistema: Reducción de Puntos de Ataque Ley del mínimo privilegio Segregación de funciones

FireWall

WAF

IPS

Internet

DMZ

Red Interna

APS

APS

CBDBD

BD

BD

WS

WS

Base

Sesiones

Externas

Base

Sesiones

Internas y Datos

•Hardening Infraestructura Capa Presentación (S.O – App Web) Infraestructura Capa Aplicación (S.O – App Web) Infraestructura Capa Datos (S.O - BD)

8

3.- Resumen del Proyecto – Caso de Éxito

• Equipo de trabajo:

- Usuario con poder de decisión – Know how del negocio - Formación de un equipo de trabajo multidisciplinario - Armado de un equipo de testing - Administración de Versiones - Metodología de Desarrollo de Software - Selección de proveedores altamente calificados

•Proyecto:

- Se cumplió con la puesta en producción para el 1er Piloto - Gastos del proyecto fueron los esperados - Usuario Satisfecho - Metodología de Administración de proyecto

9

4.- Tendencias: Evolución de Transacciones

Evolución de Consultas y Transacciones de Clientes

En miles de trx

10

4.- Ataques Prevenidos

Command Injection Command injection attacks attempt to execute system commands on the host server to discover data or compromise the server itself.

1221 39.8%

File System File system attacks attempt to gain access to files that are not typically exposed through HTTP interface

62 2.0%

LDAP Injection LDAP injection attacks attempt to discover sensitive data from an LDAP directory connected to a web application.

1 0.0%

Restricted Characters Non-printable characters that are inadvertently or intentionally included in messages can compromise or overburden backend applications, and can be used in HTTP response splitting (CRLF injection) attacks.

112 3.7%

SQL Injection SQL injection attacks attempt to reveal, modify or destroy data in a database by sending requests containing standard or proprietary SQL commands.

61 2.0%

Cross-Site Scripting (XSS) Cross-site scripting attacks attempt to redirect data from a legitimate web site to a malicious one by sending requests that are crafted to take advantage of normal web browser behavior to divert data.

632 20.6%

Credit Card Account Number Masking Detects and masks credit card numbers in messages.

978 31.9%

Total 3067 100%

Top 10 Most Critical Web Application Security Risks

WAF – Estadistica de Incidentes

11

4.- Que vemos hacia delante...?

•Aumento de Incidentes de Seguridad - Registro de incidentes de seguridad - Formación de un equipo de respuesta ante incidentes - Definición de corresponsales en cada área - Único canal de ingreso - Procedimientos para los primeros pasos - Formación del Personal - Capacitación - Nuevas necesidades de Herramientas, Ambientes de pruebas

12

5.- Consultas

Fabian Romero – Gerente de Seguridad de la información Fabian.Romero@supervielle.com.ar Fabian.Romero@hotmail.com.ar

Gustavo Blanco – Líder de Infraestructura de seguridad

Gustavo.Blanco@supervielle.com.ar

Rodrigo Tissera – Analista Sr. Infraestructura de seguridad

Rodrigo.Tissera@supervielle.com.ar