Terminal Security: La solución integral de seguridad
-
Upload
jesus-sosa -
Category
Technology
-
view
242 -
download
2
Transcript of Terminal Security: La solución integral de seguridad
Jesus Sosa Director Regional de Soluciones Bancarias Multitek e-mail: [email protected]
Terminal Security La solución integral de seguridad
© Wincor Nixdorf International GmbH
Agenda
Ataques comunes en ATMs/ Sistemas de auto-servicio
Portfolio de Seguridad
Seguridad Software para el terminal
1
2
3
Conclusiones 4
© Wincor Nixdorf International GmbH
Una vista rápida: Ataques comunes en ATMs / Sistemas de auto-servicio
© Wincor Nixdorf International GmbH
Clasificación de Ataques
Ataques de Alto-impacto
Físico
Ataques Lógicos
Ataques de Bajo-impacto
Físico
© Wincor Nixdorf International GmbH
Ataques de Alto-Impacto Fisico A
taq
ues
co
n e
xplo
sivo
s
Co
rtad
ore
s d
e P
lasm
a
Red
ad
as
„bajo nivel tecnológico“, ataques primitivos alto daño colateral costosas contramedidas
© Wincor Nixdorf International GmbH
Ataques de Bajo-Impacto Fisico D
isp
osi
tivo
s Sk
imm
ing
Tram
pa
s p
ara
efe
ctiv
o
Tram
pa
s p
ara
Tar
jeta
s
Bajo impacto para casos aislados Alto impacto como conjunto Daño irreparable a la imagen de la Entidad
© Wincor Nixdorf International GmbH
Ataques Lógicos 3
0C
3 C
on
fere
nci
a 2
01
3
Plo
utu
s 2
01
3
Bla
ck H
at
Co
nfe
ren
cia
20
10
Ataques basados en Software Muchos tipos de ataque y Muchos atacantes potenciales
© Wincor Nixdorf International GmbH
Tipos de ataques lógicos
Los más comunies • Malware personalizado / código falso • Ploetus • Jack Pot • Chupa Cabras • Troyanos • Man-in-the-middle • …
© Wincor Nixdorf International GmbH
Internos
¿Quienes? Empleados Outsourcing Transporte Admins Desarrolladores …
Externos
¿Cómo?
Ataques físicos Llaves perdidas/robadas
credenciales falsas …
Los Atacantes (Ataques Lógicos)
© Wincor Nixdorf International GmbH
Estatus Online
Uso indebido de accesos Elevación de derechos Explotación de errores/ debilidades
Estatus Offline
Reinicio externo
no solicitado
HDD conectado a otro PC
Dispensador conectado
a otro PC
Ataques Online vs. Offline
© Wincor Nixdorf International GmbH
Enfoque integral de Seguridad
Consultoría de Seguridad
Integración de Seguridad
Productos de Seguridad Software
Productos de seguridad Hardware
Servicios de Seguridad
© Wincor Nixdorf International GmbH
¿Qué elementos deberían estar protegidos?
Oficina bancaria -
Cajero
Conectividad comunicaciones externas
Protección perimetral Conectividad comunicaciones internas
- Procesamiento
Comunicaciones externas -
conectividad
Protección
perimetral
0110010010010001010011 011010110010010000100100100010111 0110
$
Conectividad
Comunicaciones
Transacciones
Transacciones
Datos financieros
Monitorización – Administración – Gestión – Infraestructura…
Pin
Pan
Tarjeta
Persona
Propiedad
Hardware
Software
Comunicaciones
Transacciones
Acceso
Conectividad
Comunicaciones
Transacciones Entrada / Salida
Comunicaciones
Entrada / Salida
Comunicaciones
© Wincor Nixdorf International GmbH
¿Por qué deberían estar protegidos estos elementos?
0110010010010001010011 011010110010010000100100100010111 0110
Transacciones espiadas
Transacciones modificadas
Los datos están siendo robados.
El acceso no está siendo gestionado correctamente
Monitorización – Administración – Gestión – Infraestructura…
Tarjetas “skimmed”
Pines robados
ATMs manipulados
ATMs afectados por malware
Transacciones espiadas
Transacciones modificadas
Criminales están ganando acceso a las redes internas vía perímetro
Protecciones perimetrales vulneradas
$
Oficina bancaria -
Cajero
Conectividad comunicaciones externas
Protección perimetral Conectividad comunicaciones internas
- Procesamiento
Comunicaciones externas -
conectividad
Protección
perimetral
© Wincor Nixdorf International GmbH
Enfoque en capas de la Seguridad Software
Encriptación de Disco
Hardening del sistema
Bloqueo del sistema
© Wincor Nixdorf International GmbH
Portafolio de Seguridad Software para el terminal
Suite de Terminal Security, especialmente diseñada para el entorno self-service
© Wincor Nixdorf International GmbH 21
Una solución software especialmente diseñada para la protección contra el uso fraudulento de aplicaciones y recursos a terminales autoservicio.
Terminal Security – Intrusion Protection
© Wincor Nixdorf International GmbH 22
Características más importantes de Intrusion Protection.
Terminal Security – Intrusion Protection
Protocolos de seguridad prefabricados y expansibles
Cumplimiento PCI – DSS
Bajo mantenimiento y costo total de propiedad
Comunicaciones no autorizadas (Internas + Externas)
Instalaciones no autorizadas - actualización de software
Uso no autorizado de recursos del sistema y de dispositivos
© Wincor Nixdorf International GmbH 23
Disk Protection
Access Protection
The Terminal Security solution suite. specifically designed, developed for self-service environment
Protección contra todas las formas de Malware como Virus, Troyanos, Spyware, ataques DoS (Denial of Service), Escaneos de red, etc.
Protección contra el uso no autorizado de dispositivos: USB Sticks, hard-disks,
Memory cards etc.
Protección contra el uso no autorizado de recursos del sistema: memoria, registro, sistema de archivos, etc.
Protección sin necesidad de constantes actualizaciones de software o archivos de firmas.
Aplicación del principio Least Privilege Confinement/Control (NO tienes acceso a lo que NO necesitas)
Intrusion Protection
Terminal Security – Intrusion Protection
© Wincor Nixdorf International GmbH 25
Una solución software no solo para securizar sistemas operativos Microsoft, sino para hacerlos compatibles con entornos self-service.
Terminal Security – Access Protection
© Wincor Nixdorf International GmbH 26
Una solución software con 2 elementos
Editor de políticas de seguridad
1
IT Center
Runtime en el ATM (llamado
“Applicator”)
2
Access Protection Security policy (archivo)
Sistema de Gestión de Información: ProView, IBM Tivoli, OpenCenter
etc.
Red
Terminal Security – Access Protection
© Wincor Nixdorf International GmbH 27
Características clave de Access Protection
Terminal Security – Access Protection
Solución Software y políticas de seguridad predefinidas Política de gobierno de
seguridad
Basado en las mejores prácticas de seguridad
Cumplimiento PCI – DSS
Hardening del sistema operativo
Cumplimiento de Microsoft Sistema Operativo para auto-servicio
© Wincor Nixdorf International GmbH 28
Hardening del Sistema Operativo
Los sistemas operativos estándar de Microsoft están diseñados para uso de oficina y doméstico.
Contienen servicios y componentes como Mailing, Fax and Scan, media player, calendar etc., que no son en absolutos necesarios en un entorno de self-service
Access Protection elimina o deshabilita todos los componentes innecesarios.
Terminal Security – Access Protection
»
© Wincor Nixdorf International GmbH 29
Una solución software para el cifrado de disco de terminales self-service que permite la securización de toda su información.
Terminal Security – Hard Disk Encryption
© Wincor Nixdorf International GmbH 30
Características clave de Hard Disk Encryption
Cumplimiento PCI – DSS
Total Transparencia
Protección de datos en reposo y durante proceso de arranque
Cumplimiento Ambientes de auto-servicio
Terminal Security – Hard Disk Encryption
© Wincor Nixdorf International GmbH 31
Protección de datos mientras el cajero no está en operación.
Por defecto, todos los datos almacenados en un disco duro son accesibles y están desprotegidos.
Aplicaciones y servicios del sistema operativo no pueden proteger los datos del robo o uso fraudulento cuando no están operativos.
Cuando el cajero está arrancando o parando, información confidencial está desprotegida.
Si te haces con el disco, te haces con la información confidencial.
Hard Disk Encryption, como su propio nombre indica, cifra el disco duro por completo, haciendo ilegible la información que contiene y por lo tanto evitando su uso fraudulento.
Terminal Security – Hard Disk Encryption
»
© Wincor Nixdorf International GmbH 32
Card Reader
Dispenser Deposit
Printer
EPP Barcode
ATM Disk
Protection
En la instalación, Hard Disk Encryption evalúa los dispositivos USB del terminal self-service: Pin Pad, Card Reader etc.
Esta información se usa para cifrar el disco duro.
Posteriormente, en cada la fase de arranque, los dispositivos son validados ante la información original.
Compatible con entornos self-service
Seguridad configurable en función de la combinación de dispositivos necesaria: todos los dispositivos originales se usan para crear la clave un subconjunto de los mismos: 4 de 6 o 3 de 6 por ejemplo
Terminal Security – Hard Disk Encryption
© Wincor Nixdorf International GmbH 33
Bios MBR (Master Boot Record)
Operating System
System Files
User Data
Proceso de arranque estándar System Files Data
Hard disk
Bios MBR (Master Boot Record)
Operating System
System Files
User Data
Terminal Security – Hard Disk Protection
PBA (Pre-Boot Authentic)
Authentication (Environment)
MBR (Master Boot Record)
Hard disk
= Decryption Key (DEK)
Bios MBR (Master Boot Record)
Operating System
System Files
User Data
Proceso de arranque con cifrado de disco estándar con clave introducida por usuario
Authentication (User – Password –
Token)
Hard disk
Disk Encryption – Pre-Boot Authentication.
Terminal Security – Hard Disk Encryption
© Wincor Nixdorf International GmbH
Terminal Security, una solución integral
Especialmente construido para self-service y no para entornos de escritorio o uso doméstico
Operación dentro de un sistema desatendido y de gestión remota: ProView, Tivoli, OpenCenter etc.
Certificado para terminales multi-vendor: NCR, Diebold, Nautilus Hyosung’s etc.
Puede ser instalado local y remotamente en terminales ya corriendo en el parque de cajeros.
Compatibilidad de fábrica con Microsoft XP y 7.
© Wincor Nixdorf International GmbH
PC/E Terminal Security: Optical Security Guard
Utiliza las cámaras del cajero para protegerse a sí mismo, al cliente y a sus datos
Permite intervención activa
Identifica el tipo de manipulación al cajero: skimmer, lazos, etc.
Construido específicamente para terminales desatendidos como Cajeros automáticos, puntos de venta, terminales de pago, etc.
Vigilancia y seguimiento en el cajero, terminal, sucursal o centro a través de circuito cerrado de televisión
Optical Security Guard
© Wincor Nixdorf International GmbH
PC/E Terminal Security: Optical Security Guard
37
cash slot camera
card reader throat camera
© Wincor Nixdorf International GmbH
PC/E Terminal Security: Optical Security Guard
38
USB - camera
Auto exposure
High-resolution approx. 2 million pixels
Very small dimension
© Wincor Nixdorf International GmbH
PC/E Terminal Security: Optical Security Guard
39
card reader throat camera
© Wincor Nixdorf International GmbH
PC/E Terminal Security: Optical Security Guard
40
Adaptación dinámica a condiciones ambientales
Sunlight Rain Snow
© Wincor Nixdorf International GmbH
PC/E Terminal Security: Optical Security Guard
41
Visión artificial por “edge recognition”
Normal Manipulado
© Wincor Nixdorf International GmbH
PC/E Terminal Security: Optical Security Guard
42
Innovative and reliable picture analysis (view cash slot camera)
normal keypad falso
© Wincor Nixdorf International GmbH
PC/E Terminal Security: Optical Security Guard
43
Ataques cash-trapping Manipulación EPP
Cambios en la Fascia
Teclados falsos superpuestos Camaras espía
Card-trapping
Skimmers
Solución completa para la detección de manipulaciones en ATM
© Wincor Nixdorf International GmbH
Terminal Security, una solución integral
45
Si el cumplimiento de PCI (Payment Card Industry) es un requerimiento importante en el país-región
¿Cuáles son los factores del mercado?
Hard Disk Encryption
Access Protection
Intrusion Protection
© Wincor Nixdorf International GmbH
Terminal Security, una solución integral
46
Si sus clientes están considerando migrar a - Windows 7. - Actualización de Hardware y/o software.
¿Cuáles son los factores del mercado?
Hard Disk Encryption
Access Protection
Intrusion Protection