Zarządzanie incydentami jako probierz dojrzałości organizacyjnej. MAREK DAMASZEK

Transkrypt

1 Zarządzanie incydentami jako probierz dojrzałości organizacyjnej. MAREK DAMASZEK

2 Kilka słów o sobie

3 Gdy pojawia się zdarzenie które wygląda na incydent Źródło: pixabay.com Kogo wezwiemy lub powiadomimy? Źródło: pixabay.com

4 Czy wezwiemy specjalistę od pożaru bo nie ma dymu bez ognia. Źródło: pixabay.com oraz czy on jest przygotowany na ten incydent? Źródło: pixabay.com

5 czy znamy przyczynę aby zapobiegać Źródło: pixabay.com

6 Przekaz Planując obronę przed cyberzagrożeniami nie wystarczy skupiać się na eliminowaniu podatności. Należy zakładać, że skuteczny atak się powiedzie i przygotować plan reakcji. Dojrzałe zarządzanie incydentami w tym ich wykrywanie oraz szybka reakcja mogą wpłynąć na ograniczenie zagrożenia.

7 Ustawa KSC Ustawa KSC USTAWA z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa ( Dz.U. z dnia 13 sierpnia 2018 r., Poz. 1560). Weszła w życie 28 sierpnia 2018r. Ustawa jest wdrożeniem tzw. Dyrektywy NIS tj. dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. W dalszej części prezentacji ustawa KSC nazywana jest krócej jako UKSC

8 Definicja incydentu w UKSC incydent zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo;

9 Definicje dot. incydentów w UKSC incydent krytyczny incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwy CSIRT; incydent poważny incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej; incydent istotny incydent, który ma istotny wpływ na świadczenie usługi cyfrowej; incydent w podmiocie publicznym incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny;

10 Obowiązek obsługi incydentów Operator usługi kluczowej zapewnia obsługę incydentu oraz zarządzanie incydentami; Podmiot publiczny zapewnia zarządzanie incydentem w podmiocie publicznym w tym zapewnia obsługę incydentu w podmiocie publicznym i incydentu krytycznego we współpracy z właściwym CSIRT; Dostawca usługi cyfrowej postępowanie w przypadku obsługi incydentu w systemie informacyjnym wykorzystywanym do jej świadczenia.

11 Obsługa incydentu a zarządzanie incydentem obsługa incydentu a zarządzanie incydentem

12 Obsługa incydentu wg UKSC obsługa incydentu to czynności umożliwiające: wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych ograniczenie skutków incydentu;

13 Elementy zarządzania incydentem wg UKSC Zarządzanie incydentem Obsługa incydentu Wyszukiwanie powiązań miedzy incydentami Usuwanie przyczyn wystąpienia incydentów Opracowywanie wniosków wynikających z obsługi incydentów

14 Jak zarządzać incydentem KSC COBIT (DSS02) ISO NIST SP Obsługa incydentu wykrywanie Przygotowanie Planowanie i przygotowanie Przygotowanie rejestrowanie analizowanie Identyfikacja Wykrywanie i zgłaszanie klasyfikacja Powstrzymywanie Wykrywanie i analiza priorytetyzację Ocena i decyzja podejmowanie działań naprawczych ograniczenie skutków incydentu Remediacja Odzyskiwanie Reagowanie Ograniczanie, eliminacja i Przywracanie Wyszukiwanie powiązań miedzy incydentami Usuwanie przyczyn wystąpienia incydentów Podsumowanie Wnioski Działania po incydencie Opracowywanie wniosków wynikających z obsługi incydentów

15 Zagrożenia typu APT Systemy największego na świecie producenta uzbrojenia Lockheed Martin i innych podmiotów związanych z obronnością USA zostały skompromitowane JAK? Najpierw złamano zabezpieczenia światowej firmy Zajmującej się zabezpieczeniami tj. RSA, gdzie dokonano włamania na ich serwery i wykradziono dane związane z tokenami SecurID zapewniającymi dwuskładnikowe uwierzytelnienie.

16 Jak przerwać łańcuch śmierci W 2011 r. Analitycy Lockheed Martin stworzyli Cyber Kill Chain na wojskowego łańcucha śmierci. Pomaga on w podejmowaniu decyzji w celu lepszego wykrywania i reagowania na incydenty. Stał się popularnym modelem obrony korporacyjnych sieci IT. 7 faz łańcucha śmierci zostało przedstawionych na matrycy działań z wykorzystaniem akcji wykrywania, blokowania, zakłócania, degradowania, mylenia i niszczenia z rozwiązaniami dla IT 1.Rekonesans 2.Uzbrojenie 3.Dostarczenie 4.Wykorzystanie 5.Instalacja 6.Kontrola 7.Działanie na obiekcie Więcej : martin/rms/documents/cyber/lm-white-paper-intel-driven- Defense.pdf Powstało wiele odmian Kill Chain, które różnią się słownictwem lub niektóre fazy podzielono na działania albo połączono fazy w etapy.

17 ICS Cyber Kill Chain W 2015 r. analitycy instytutu SANS opracowali ICS Cyber Kill Chain m.in. dodając Etap II - Przeprowadzenie ataku na automatykę przemysłową po udanej fazie działań na systemach IT. Etap I Przygotowanie Etap II - Przeprowadzenie ataku Faza Planowania -Rekonesans Faza uzbrojenia przygotowanie dedykowanych narzędzi Fazy włamania próby przejścia i osadzenie w systemie ofiary Faza zarządzania dostępem przejęcie kontroli Faza zagnieżdżenia - rozwój narzędzi do realizacji ataku i zacierania śladów Faza projektowania ataku projekt realnego ataku na bazie możliwych technik Faza testowania Testowanie scenariusza ataku Faza ataku na ICS dostarczenie, instalacja i uruchomienie narzędzi i metod ataku Na podstawie:

18 Model dojrzałości W zakresie cyberbezpieczeństwa istnieje kilka modeli dojrzałości w których skład wchodzi obsługa i zarządzanie incydentami. Dokonując własnej oceny stopnia spełnienia wymagań modelu można ocenić dojrzałość swojego podmiotu. Przykładowe modele: framework cyberbezpieczeństwa National Institute of Standards and Technology (NIST CSF) model dojrzałości zdolności cyberbezpieczeństwa (C2M2) opracowany przez Amerykański Departament Energii do użytku przez firmy energetyczne i przedsiębiorstwa użyteczności publicznej.

19 Przykład oceny dojrzałości obsługi incydentów - identyfikacja Na podstawie CMM v1.2 Dojrzałość Kategoria Początkowa (ang. Start-Up) Kształtująca (ang. Formative) Ukształtowana (ang. Established) Strategiczna (ang. Strategic) Dynamiczna (ang. Dynamic) Identyfikacja incydentów Brak katalogu występowania lub rodzajów incydentów na poziomie krajowym. Niektóre zdarzenia / zagrożenia cybernetyczne zostały skategoryzowane i zarejestrowane jako incydenty / wyzwania na poziomie krajowym. Działa centralny rejestr incydentów na poziomie krajowym. Tworzone są regularne i systematyczne aktualizacje rejestru incydentów oraz priorytetyzacji na poziomie krajowym. Istnieje możliwość do przydzielenia zasobów analitycznych przy reagowaniu na incydenty. Dokładność identyfikacji i analizy incydentów odpowiada zmianom otoczenia.

20 Przykład ocena dojrzałości obsługi incydentów - organizacja Na podstawie CMM v1.2 Dojrzałość Kategoria Początkowa (Start-Up) Kształtująca (Formative) Ukształtowana (Established) Strategiczna(Strategic) Dynamiczna (Dynamic) Organizacja Istnieje niewiele organizacji reagujących na incydenty krajowe lub nie ma ich wcale. Ewentualne odpowiedzi są reaktywne i ad hoc. Zidentyfikowano organizacje sektora prywatnego kluczowe dla krajowego bezpieczeństwa cybernetycznego i skontaktowano się z nimi, ale nie istnieją formalne mechanizmy koordynacji i wymiany informacji między sektorem publicznym i prywatnym. Wyznaczono organ centralny do gromadzenia, wykrywania i reagowania na informacje o zagrożeniach, ale szczególny mandat dla krajowej agencji ds. reagowania cybernetycznego nie został jeszcze uzgodniony. Istnieje rutynowa, skoordynowana relacja między sektorem publicznym i prywatnym w zakresie reagowania na incydenty na szczeblu krajowym. Zakres takiej koordynacji jest w dużej mierze ograniczony do ustanowionego rejestru incydentów. Narzędzia i procedury zwalczania incydentów na szczeblu krajowym są nadal w dużej mierze reaktywne. Zdolność do reagowania w sytuacjach kryzysowych jest wyraźnie określona i rozdzielona dzięki finansowaniu ramowemu. Ustalono odrębne i formalne role i obowiązki w zakresie bezpieczeństwa, obejmujące rząd, infrastrukturę krytyczną, przedsiębiorstwa i poszczególne systemy. Cele organizacji odpowiedzialnej za reagowanie na incydenty są zgodne z celami krajowego centrum cyberobrony, jeśli takie istnieje. Zasoby przeznaczone na reagowanie kryzysowe są odpowiednie dla środowiska zagrożenia cybernetycznego. Zdolność reagowania na incydenty krajowe jest w pełni zrównoważona finansowo. Zdolność wczesnego ostrzegania jest włączona do misji organizacji reagowania kryzysowego, która stara się kształtować krajobraz zagrożeń i zarządzać nim, zanim zareaguje na określone zagrożenia / wyzwania. Narzędzia do wczesnego wykrywania, identyfikacji, zapobiegania, reagowania i łagodzenia podatności typu 0-day znajdują się w podmiotach reagowania kryzysowego.

21 Przykład oceny dojrzałości dla obsługi incydentów - koordynacja Na podstawie CMM v1.2 Dojrzałość Kategoria Koordynacja Początkowa (Start-Up) Odpowiedzialność mogła zostać przydzielona nieformalnie uznanemu członkowi personelu w ramach każdej agencji reagowania na incydenty związane z nią / ministerstwem. Kształtująca (Formative) Na szczeblu krajowym oficjalna agencja / ministerstwo wyznacza i publikuje informacje o incydentach. Jednak kanały komunikacji między tymi potencjalnymi klientami pozostają ad hoc / niespójne. Ukształtowana (Established) Skoordynowane reagowanie na incydenty krajowe jest ustanawiane i publikowane, w ramach jasnych procesów, ról i obowiązków oraz zdefiniowanymi kanałami komunikacyjnymi przygotowanymi na czas kryzysu. Strategiczna(Strategic) Ustanowiono organizacje reagujące na incydenty na szczeblu niższym niż krajowy / sektorowy. Główne kanały koordynacji niezbędne do reagowania na incydenty zostały ustanowione, a zasoby przydzielono proporcjonalnie. Ten mechanizm koordynacji jest rozpoznawany i rozumiany przez wszystkie zainteresowane strony. Możliwości techniczne wykraczają teraz poza koordynację reakcji i obejmują koncentrację zasobów strategicznych w skoordynowanej analizie i wsparciu obsługi incydentów oraz zarządzaniu zagrożeniami w oparciu o efektywną ocenę możliwości Dynamiczna (Dynamic) Reakcja na incydent ma możliwość dostosowania metod koordynacji w zależności od środowiska zagrożeń. Wielopoziomowa koordynacja krajowa między wszystkimi poziomami i sektorami ma kluczowe znaczenie dla reagowania na incydenty. Istnieje koordynacja między regionalnymi i międzynarodowymi organizacjami reagującymi na incydenty.

22 Ciągłość działania i plany awaryjne Akcja ratownicza w Norsk Hydro po cyberataku

23 Od passive security do active defence Zapewnienie cyberbezpieczeństwa w tym przeciwdziałanie incydentom nie powinno ograniczać się do działań reaktywnych i eliminowaniu podatności. Dojrzałe organizacje stosują aktywną obronę przed cyberzagrożeniami poprzez zaplanowanie zarządzania incydentami w dowolnej fazie ataku tym ich wykrywanie oraz szybką reakcję, które przyczynią się do ograniczenia samego zagrożenia.

24 Dziękuję za uwagę Zapraszam do kontaktu