Scribd Logo
Importer

Bienvenue sur Scribd !

  • 06 Home Banking Tendencias 2010

    Transféré par

    boster2010
    52 vues12 pages

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    52 vues12 pages

    06 Home Banking Tendencias 2010

    Transféré par

    boster2010

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 12

    Seguridad en Home

    Banking

    Tendencias de la Tecnología en Seguridad


    Informática – Argentina 2010

    1
    Agenda

    1. Proyecto Home Banking

    2. Confección de equipos de trabajo

    3. Arquitectura integral de seguridad

    4. Qué vemos hacia delante…?

    5. Consultas

    2
    1.- Proyecto Home Banking

    3
    Requerimientos

    4
    2.- Confección de los equipo de trabajos

    5
    3.- Arquitectura de Seguridad Integral

    Solución Home Banking Empresa


    Segregación de funciones y generación de roles
    Seguridad en la Configuración de la Aplicación
    Seguridad en el Desarrollo de la Aplicación
    Clustering del Servicio
    Seguridad de la Infraestructura y red
    Ethical Hacking (Test Intrusión)

    Adhesión al servicio CSIRT Banelco


    (Computer Security Incident Response
    Team)

    6
    3.- Seguridad en la Aplicación e Infraestructura

    • Durante el análisis de requerimientos y diseño del sistema:


    Reducción de Puntos de Ataque
    Ley del mínimo privilegio
    Segregación de funciones

    •En el desarrollo se tuvo en cuenta para evitar vulnerabilidades:


    Validación de datos de entrada y salida
    Prevención de Buffer Overflow
    DoS – Denegación de Servicio

    •Hardening Internet
    FireWall
    WAF DMZ
    WS

    Infraestructura Capa Presentación (S.O – App Web) BD


    WS
    Infraestructura Capa Aplicación (S.O – App Web)
    Infraestructura Capa Datos (S.O - BD) Base
    IPS Sesiones
    Externas

    •Se aplicó alta seguridad en la configuración del sistema: Red Interna

    Almacenamiento de contraseña de usuario con algoritmo BD

    Hash SHA-256. APS Base


    Sesiones
    Internas y Datos
    CBD
    Strings de conexión encriptados con algoritmo RSA. APS BD

    Autorización y administración basado en roles.


    Autenticación robusta y Teclado Virtual.
    Conexiones Seguras, protocolo https mediante certificado emitido por Verisign

    7
    3.- Resumen del Proyecto – Caso de Éxito

    • Equipo de trabajo:
    - Usuario con poder de decisión – Know how del negocio
    - Formación de un equipo de trabajo multidisciplinario
    - Armado de un equipo de testing
    - Administración de Versiones
    - Metodología de Desarrollo de Software
    - Selección de proveedores altamente calificados

    •Proyecto:
    - Se cumplió con la puesta en producción para el 1er Piloto
    - Gastos del proyecto fueron los esperados
    - Usuario Satisfecho
    - Metodología de Administración de proyecto

    8
    4.- Tendencias: Evolución de Transacciones

    Evolución de Consultas y Transacciones de Clientes

    En miles de trx

    9
    4.- Ataques Prevenidos

    WAF – Estadistica de Incidentes Top 10 Most Critical Web


    Command Injection Command injection attacks attempt to execute
    Application Security Risks
    system commands on the host server to discover data or compromise the 1221 39.8%
    server itself.

    File System File system attacks attempt to gain access to files that are not
    62 2.0%
    typically exposed through HTTP interface

    LDAP Injection LDAP injection attacks attempt to discover sensitive


    1 0.0%
    data from an LDAP directory connected to a web application.

    Restricted Characters Non-printable characters that are inadvertently or


    intentionally included in messages can compromise or overburden
    112 3.7%
    backend applications, and can be used in HTTP response splitting (CRLF
    injection) attacks.

    SQL Injection SQL injection attacks attempt to reveal, modify or destroy


    data in a database by sending requests containing standard or proprietary 61 2.0%
    SQL commands.

    Cross-Site Scripting (XSS) Cross-site scripting attacks attempt to


    redirect data from a legitimate web site to a malicious one by sending
    632 20.6%
    requests that are crafted to take advantage of normal web browser
    behavior to divert data.

    Credit Card Account Number Masking Detects and masks credit card
    978 31.9%
    numbers in messages.

    Total 3067 100%

    10
    4.- Que vemos hacia delante...?

    •Aumento de Incidentes de Seguridad


    - Registro de incidentes de seguridad
    - Formación de un equipo de respuesta ante incidentes
    - Definición de corresponsales en cada área
    - Único canal de ingreso
    - Procedimientos para los primeros pasos
    - Formación del Personal - Capacitación
    - Nuevas necesidades de Herramientas, Ambientes de pruebas

    11
    5.- Consultas

    Fabian Romero – Gerente de Seguridad de la información


    Fabian.Romero@supervielle.com.ar
    Fabian.Romero@hotmail.com.ar

    Gustavo Blanco – Líder de Infraestructura de seguridad


    Gustavo.Blanco@supervielle.com.ar

    Rodrigo Tissera – Analista Sr. Infraestructura de seguridad


    Rodrigo.Tissera@supervielle.com.ar

    12

    Vous aimerez peut-être aussi