Cyber Defence - obrona cyberprzestrzeni jako element kluczowych działań nowoczesnego państwa

Transkrypt

1 Cyber Defence - obrona cyberprzestrzeni jako element kluczowych działań nowoczesnego państwa ppłk k mgr inż.. Robert KOŚLA zastępca dyrektora ds. systemów w SIS i VIS - ISSE Secure

2 Główne tezy tej prezentacji - ISSE Secure

3 Główne tezy prezentacji (1/5) Zaawansowane systemy informatyczne wspomagają coraz więcej dziedzin gospodarki, administrację rządową i samorządową, naukę oraz bezpieczeństwo narodowe można z całą pewnością stwierdzić, że coraz bardziej uzależniamy się od dostępności narzędzi informatycznych Korzystanie z nowych narzędzi wspomagających funkcjonowanie społeczeństwa zawsze wiąże się z ryzykiem, zawsze powstaje pytanie z jakimi nowymi zagrożeniami będzie musiała się zmierzyć administracja publiczna? - ISSE Secure

4 Główne tezy prezentacji (2/5) W przypadku klasycznych zagrożeń, które mogłyby mieć wpływ na fizyczne bezpieczeństwo obywateli oraz nieprzerwane funkcjonowanie wszystkich elementów państwa i jego gospodarki wypracowane zostały scenariusze i metody postępowania zagrożenia dla systemów i sieci teleinformatycznych są mniej zrozumiałe, a przez to mniej wiemy o metodach zapobiegania i reagowania na zakłócenia w ich prawidłowej eksploatacji, w szczególności, gdy zakłócenia te są skutkiem zamierzonych działań o charakterze przestępczym Teleinformatyka stanowi obecnie jeden z głównych filarów krytycznej infrastruktury państwa tzw. krytyczną infrastrukturę teleinformatyczną (KITI) - ISSE Secure

5 Główne tezy prezentacji (3/5) Budowane obecnie w Unii Europejskiej systemy informacyjne obejmują swym zasięgiem wszystkie państwa członkowskie, a ich architektura przypomina naczynia połączone przykładami takich systemów są System Informacyjny Schengen oraz System Informacji Wizowej Zakłócenia w funkcjonowaniu tych systemów mogą mieć negatywny wpływ dla bezpieczeństwa wszystkich obywateli państw członkowskich UE widać tu wyraźnie transgraniczność systemów teleinformatycznych (złożonych z elementów informatycznych i telekomunikacyjnych) - ISSE Secure

6 Główne tezy prezentacji (4/5) Żadne z państw nie jest w stanie samodzielnie chronić infrastruktury teleinformatycznej, która ze względu na swoje główne funkcje związane z globalną wymianą informacji nie może mieć architektury zamkniętej, ograniczonej jedynie do granic danego państwa Dlatego tak istotne jest współdziałanie pomiędzy państwami, współdziałanie realizowane na wielu płaszczyznach administracji rządowej (w tym rządowych Zespołów Reagowania na incydenty bezpieczeństwa teleinformatycznego występujących pod różnymi nazwami CERT, CSIRT, CIRC), organów ścigania (policji i prokuratury) i sądów, operatorów telekomunikacyjnych, dostawców usług internetowych, środowisk akademickich - ISSE Secure

7 Główne tezy prezentacji (5/5) Podczas tegorocznej edycji Konferencji ISSE SECURE 2007 omawiane są wszystkie zagadnienia związane z ochroną informacji w systemach i sieciach teleinformatycznych oraz samej infrastruktury tych systemów i sieci Zagadnienia te obejmują aspekty prawne, organizacyjne oraz techniczne Przedstawiciele zespołów CERT dzielą się swoimi doświadczeniami na tym polu również Polska ma szereg doświadczeń i rozwiązań opracowanych przez funkcjonujący w strukturze NASK zespół CERT Polska wspierający bezpieczeństwo w polskiej domenie sieci Internet - ISSE Secure

8 Ataki w cyberprzestrzeni i relacje z terroryzmem - ISSE Secure

9 Obserwacje organów ścigania dotyczące ataków w cyberprzestrzeni (1/2) Obserwacje dotychczasowych ataków w cyberprzestrzeni prowadzonych przez ugrupowania wiązane z działaniami terrorystycznymi wskazują, że korzystają one z niezbyt wyrafinowanych metod polegających na bombardowaniu przeciwników politycznych wiadomościami poczty elektronicznej nieuprawnionej modyfikacji zawartości stron internetowych Zgodnie z przewidywaniami służb policyjnych techniczne możliwości grup terrorystycznych rosną oraz organizowana jest współpraca z grupami hakerskimi w celu przygotowania cyberataków, komplementarnych do konwencjonalnych ataków terrorystycznych - ISSE Secure

10 Obserwacje organów ścigania dotyczące ataków w cyberprzestrzeni (2/2) Przestępczość komputerowa jest obecnie jednym z głównych typów działań o charakterze kryminalnym coraz trudniej jest oddzielić przestępstwa komputerowe od podejrzanych działań terrorystycznych. Na przykład, w raportach Homeland Security Committee, przedstawiciele FBI wskazywali, że ekstremiści islamscy wykorzystywali kradzież tożsamości i oszustwa w kartach kredytowych do wsparcia działań komórek Al Kaidy Zamachy bombowe na Bali w 2002 roku były częściowo finansowane z przestępstw związanych z oszustwami z transakcji przy użyciu kart kredytowych Internet jest podstawowym narzędziem rekrutacji rebeliantów do Iraku Rebelianci stworzyli wiele stron internetowych w języku arabskim, które zawierają zakodowane plany nowych ataków. Niektóre ze stron zawierają instrukcje dotyczące produkcji broni i przekraczania granicznych punktów kontrolnych Nowa generacja terrorystów i ekstremistów, takich jak ci, którzy przeprowadzili w lipcu 2005 zamachy bombowe w Londynie, doskonali obecnie swoje umiejętności w celu unikania wykrycia przez organy ścigania korzystające z analitycznych narzędzi teleinformatycznych - ISSE Secure

11 Kiedy cyberatak może być traktowany jako akt cyberterroryzmu? Część specjalistów uważa, że pojęcie cyberterroryzm jest niewłaściwe, ponieważ nawet cyberatak o znacznym zasięgu może jedynie powodować utrudnienia, a nie terroryzować, tak jak bomba lub inny typ broni chemicznej, biologicznej, radiologicznej lub nuklearnej Inni specjaliści uważają, że skutki rozprzestrzeniającego się ataku komputerowego mogą być nieprzewidywalne oraz mogą spowodować wystarczająco znaczące zakłócenia w funkcjonowaniu gospodarki, panikę, śmierć, aby zostać uznane jako akt terroryzmu. Stosowane są dwa podejścia do definiowania pojęcia cyberterroryzm : Na podstawie skutków: Cyberterroryzm występuje w przypadku kiedy ataki komputerowe mają na tyle destrukcyjny charakter, że skutkują powstaniem atmosfery strachu porównywalnego do tradycyjnych aktów terroru, nawet jeśli ataki te prowadzone są przez zwykłych przestępców Na podstawie celów: Cyberterroryzm występuje w przypadku prowadzania nielegalnych lub politycznie motywowanych ataków komputerowych w celu zastraszenia lub wymuszenia na rządzie lub społeczeństwie realizacji postulatów politycznych, lub w celu spowodowania poważnych strat ekonomicznych - ISSE Secure

12 Cele cyberataku (1/2) Zgodnie ze słowami Richarda Clarke a, byłego Doradcy ds. Bezpieczeństwa Narodowego, jeśli terroryści zamierzaliby przeprowadzić cyberatak na szeroką skalę przeciwko Stanom Zjednoczonym głównym celem stałaby się gospodarka, a przypadki spowodowania utraty życia lub bezpośrednich zniszczeń byłyby stratami drugorzędnymi Wielu ekspertów jest zdania, że cyberatak byłby najbardziej efektywny jeśli zostałby przeprowadzony w celu wzmocnienia konwencjonalnego ataku bombowego lub użycia broni chemicznej, biologicznej, radiologicznej lub nuklearnej Niektórzy eksperci twierdzą również, ze zmasowany, skoordynowany cyberatak byłby z technicznego punktu widzenia trudny do przeprowadzenia i byłby efektywny jedynie jako uzupełnienie celów terrorystów - ISSE Secure

13 Cele cyberataku (2/2) Fakt, że żaden z dotychczasowych cyberataków nie spowodował bezpośrednich zniszczeń fizycznych lub utraty życia nie jest żadnym dowodem, że grupy terrorystyczne nie były ich sprawcami. Niektórzy eksperci twierdzą, że ze względu na współzależności pomiędzy poszczególnymi sektorami infrastruktury przeprowadzenie cyberataku o wielkiej skali na jeden z sektorów może mieć blokujący, nieprzewidywalny i prawdopodobnie niszczący wpływ na inne sektory, a w rezultacie długotrwały wpływ na gospodarkę Większość ekspertów służb podkreśla, że Al Kaida i współpracujące z nią grupy terrorystyczne zdobywają coraz większą wiedzę, a lata poświecone na publikacje dotyczące bezpieczeństwa i podatności technologii teleinformatycznych uświadomiły im, że gospodarka (przede wszystkim Stanów Zjednoczonych) może być podatna na skoordynowany cyberatak - ISSE Secure

14 Podatność na ataki cyberterrorystyczne (1/4) Na konferencji Black Hat w Las Vegas, w lipcu 2005, omawiano m.in. eksploit, który stanowił bardzo poważne zagrożenie dla użytkowników wykorzystujących infrastrukturę internetową do wymiany informacji zademonstrowano jak łatwo można zaatakować element kluczowy dla wymiany informacji jakim jest ruter (i to jeden z typów najczęściej wykorzystywanych) Wykryta podatność mogłaby umożliwić atakującemu powodowanie zakłóceń w funkcjonowaniu wybranych fragmentów sieci Internet lub nawet zaatakować określone grupy instytucji bankowych i stacji zasilających - ISSE Secure

15 Podatność na ataki cyberterrorystyczne (2/4) Bruce Schneier, do niedawna krytyk idei cyberterroryzmu, zgodził się, że wykrytą podatność rutera można uznać za jedną z najpoważniejszych dla bezpieczeństwa sieci Internet, mogłaby ona umożliwić przestępcom kradzieże tożsamości lub inne typy ataków sieciowych Producent rutera już w kwietniu 2005 opracował poprawkę usuwającą tę podatność, ale przez kolejne 4 miesiące faktycznie nie powiadomił swoich klientów komercyjnych i agencji rządowych, w tym Departamentu Bezpieczeństwa Kraju (Department of Homeland Security DHS) Opublikowany w lutym 2005 r. raport prezydenta Information Technology Committee (PITAC) mówił o tym, że infrastruktura teleinformatyczna Stanów Zjednoczonych, która ma krytyczne znaczenie dla transportu, handlu i nadzoru nad fizyczną infrastrukturą jest bardzo podatna na ataki terrorystyczne i ataki sieciowe Raport ten dodatkowo wskazywał na bardzo poważną rolę sektora prywatnego w zapewnieniu bezpieczeństwa narodowego poprzez dostarczanie odpowiednio bezpiecznych wyrobów i stosowanie właściwych praktyk w zakresie zarządzania bezpieczeństwem - ISSE Secure

16 Podatność na ataki cyberterrorystyczne (3/4) Przeprowadzony w roku 2006 przegląd komputerów w 251 firmach amerykańskich wykazał, że jeden z najpoważniejszych pakietów poprawek do MS Windows XP SP2 został zainstalowany jedynie w 9% systemów i to pomimo kampanii prowadzonej przez Microsoft od co najmniej początku 2005 roku - pozostałe 91% systemów dalej stanowiło zagrożenie możliwością przejęcia przez przestępców Powstaje pytanie do jakiego momentu sektor prywatny będzie chronił się sam bez dodatkowych motywacji Kilka z ostatnio przeprowadzonych studiów z zakresu globalnego bezpieczeństwa teleinformatycznego wykazało, że najwięcej ataków jest kierowanych przeciwko elementom infrastruktury krytycznej, takim jak sieci rządowe, usługi finansowe i systemy zasilania Raporty te również pokazują, że Stany Zjednoczone były najczęstszym celem cyberataków statystycznie, systemy komputerowe w Stanach Zjednoczonych są atakowane 10-cio krotnie częściej aniżeli w drugim w rankingu kraju - Chinach - ISSE Secure

17 Podatność na ataki cyberterrorystyczne (4/4) Agencje federalne były celem wielu krytycznych uwag za działania podejmowane przez ostatnie lata w zakresie bezpieczeństwa teleinformatycznego Co więcej, co rocznie publikowane raporty Government Accountability Office (GAO) wykazuja, że w związku z coraz większym wyrafinowaniem złośliwego oprogramowania wprowadzanego do sieci Internet ograniczeniu ulegają możliwości rządu federalnego do reagowania na zagrożenia cyberprzestrzeni - ISSE Secure

18 Uboczne efekty walki z klasycznym terroryzmem Raporty DHS wskazują, że ze względu na wprowadzanie coraz skuteczniejszych fizycznych zabezpieczeń i środków ochrony grupy terrorystyczne mogą podejmować próby korzystania z innych rodzajów ataków przeciwko Stanom Zjednoczonym Wielu ekspertów monitorujących sieć Internet twierdzi, że w związku z efektami intensywnej klasycznej walki z terroryzmem, ekstremiści islamscy skłaniają się ku Internetowi i odnoszą sukcesy w organizowaniu za pośrednictwem sieci działań, które nie udały się w świecie fizycznym. Grupy terrorystyczne coraz częściej korzystają z usług sieciowych do przykrytej korespondencji (m.in. z wykorzystaniem steganografii), anonimowych skrzynek poczty elektronicznej i szyfrowania Islamscy ekstremiści wezwali do utworzenia islamskiej armii hakerów, w celu planowania ataków przeciwko rządowi Stanów Zjednoczonych, a informacje zamieszczone na stronie biuletynu al-farooq, zawierały szczegółowe instrukcje do przeprowadzenia cyberataku oraz oprogramowanie szpiegujące do przechwytywania haseł w atakowanych systemach - ISSE Secure

19 Zmiany w charakterze cyberataków w latach (1/2) W następstwie ataków z 11 września uwaga publiczna została zwrócona również na zagrożenie możliwością przeprowadzenia cyberataku przez grupy terrorystyczne Początkowo, wsród ekspertów występowały rozbieżności czy cyberatak może spowodować poważne zakłócenia w funkcjonowaniu gospodarki Stanów Zjednoczonych Symulacje cyberataków, przeprowadzone przez US Naval War College w roku 2002, wykazały, że próby sparaliżowania infrastruktury telekomunikacyjnej nie powiodłyby się ze względu na redundancję, która zapobiega rozprzestrzenianiu się uszkodzeń Wielu ekspertów twierdzi na podstawie doświadczeń z naturalnych katastrof, że wiele systemów stanowiących elementy infrastruktury krytycznej, w tym bankowych, zasilania w energię, wodę i kontroli ruchu powietrznego zostałoby w bardzo krótkim czasie odtworzone po cyberataku - ISSE Secure

20 Zmiany w charakterze cyberataków w latach (2/2) Do chwili obecnej nie opublikowano żadnego raportu o skoordynowanym ataku przeprowadzonym przeciwko krytycznej infrastrukturze przez terrorystę lub grupę terrorystyczną Dennis McGrath z Institute of Security Technology Studies w Dartmouth College sformułował pogląd, że coraz mniej słyszymy o cyfrowym Pearl Harbor; cyberterroryzm nie jest na szczycie listy podejmowanych dyskusji W maju 2005 r., CIA przeprowadziła niejawną grę wojenną, nazwaną Silent Horizon, w celu przećwiczenia obrony przed symulowanym rozległym cyberatakiem wymierzonym przeciwko Stanom Zjednoczonym. - ISSE Secure

21 Techniczne możliwości terrorystów (1/2) Z informacji wywiadowczych wynika, że Al Kaida dysponuje dobrze wyszkolonymi inżynierami z różnych dziedzin Podczas ataku armii Stanów Zjednoczonych na Kabul w 2001 r. uciekający bojownicy Al Kaidy pozostawili wiele dokumentów i wrażliwych informacji, które potwierdziły wysokie kwalifikacje niektórych członków Al Kaidy w zakresie korzystania z systemów komputerowych Odnalezione skrypty techniczne w języku arabskim, angielskim, niemieckim oraz notatniki studentów w języku arabskim, tureckim, kurdyjskim i rosyjskim potwierdziły zainteresowanie głębokim poznaniem zagadnień inżynierskich z dziedziny chemii, fizyki atomowej, balistyki, teleinformatyki i łączności radiowej - ISSE Secure

22 Techniczne możliwości terrorystów (2/2) Iman Samudra, skazany za przeprowadzenie zamachów na kluby nocne na Bali w 2002 r. napisał książkę zatytułowaną Aku Mekawan Terroris!, w tłumaczeniu Mój stosunek do terroryzmu, w której: zachęca młodzież muzułmańską do rozwijania umiejętności hakerskich w celu ataku na sieci komputerowe Stanów Zjednoczonych. wymienia kilka stron w sieci Internet oraz grupy dyskusyjne jako źródła dla podnoszenia umiejętności hakerskich; dodatkowo zachęca młodych muzułmanów do przechwytywania numerów kart kredytowych i wykorzystywania ich do walki ze Stanami Zjednoczonymi i ich sojusznikami W lutym 2005 r., dyrektor FBI Robert Mueller, zeznając przed Senacką Komisją ds. Wywiadu stwierdził, że terroryści wykazują duże zrozumienie dla krytycznej roli teleinformatyki dla gospodarki Stanów Zjednoczonych i rozszerzyli procedury rekrutacji o osoby studiujące matematykę i informatykę - ISSE Secure

23 Powiązania terroryzmu z cyberprzestępczością (1/3) Powiązania pomiędzy grupami przestępczymi a terrorystami wpływają na rozwój struktury grup terrorystycznych, umożliwiając przeprowadzanie koordynowanych pomiędzy siatkami działającymi w różnych krajach ataków, dzięki wykorzystaniu zasobów grup przestępczych, w tym finansów i kanałów przerzutowych Przykład: Aftab Ansari, podejrzewany o prowadzenie działalności przestępczej w Dubaju i wparcie finansowe ataków 11 września 2001 r, pieniędzmi pochodzącymi z okupów - ISSE Secure

24 Powiązania terroryzmu z cyberprzestępczością (2/3) Przedstawiciele Agencji Antynarkotykowej (Drug Enforcement Agency - DEA), informowali w 2003 r., że 14 z 36 grup umieszczonych na liście zagranicznych organizacji terrorystycznych, prowadzonej przez Departament Stanu, było powiązanych z przemytem narkotyków DEA dowodzi, że wojna antynarkotykowa i wojna antyterrorystyczna powinny być prowadzone w ścisłej koordynacji - ISSE Secure

25 Powiązania terroryzmu z cyberprzestępczością (3/3) Kraje Europy Zachodniej i Ameryki Północnej pozostają regionami, w których funkcjonują wielkie rynki narkotykowe, optymalna infrastruktura i otwarte powiązania handlowe, które są w coraz większym stopniu wykorzystywane do przemytu narkotyków dla potrzeb grup przestępczych i terrorystycznych Przemytnicy narkotyków znajdują się w największej grupie użytkowników wykorzystujących pocztę elektroniczną i szyfrowanie, a bardzo często dysponują środkami finansowymi umożliwiającymi wynajęcie specjalistów korzystających ze steganografii. Dostęp do wysokiej klasy specjalistów umożliwia organizacjom terrorystycznym przekraczanie granic i działalność międzynarodową bez narażenia na wykrycie Wielu wysokiej klasy specjalistów oferuje swoje usługi w krajach byłego Związku Radzieckiego i w Indiach. Niektórzy z nich nie są świadomi, że pracują dla organizacji terrorystycznych ich pracodawcy mogą ukrywać rzeczywiste polityczne cele swojej działalności. Inni, zgadzają się na współpracę ze względu na aspekt finansowy wysokie zarobki w regionach o dużym stopniu bezrobocia - ISSE Secure

26 Państwowi sponsorzy terrorystów (1/2) Największy niepokój budzi działalność krajów wspierających działalność terrorystyczną i cyberterrorystyczną W marcu 2005 r., raport DHS wskazał, że z listy 6 krajów sponsorujących terroryzm prowadzonej przez Departament Stanu, 5 krajów Korea Północna, Sudan, Syria, Libia i Kuba zostało uznane za zmniejszające zainteresowanie działalnością terrorystyczną - tylko Iran jest wciąż wymieniany jako kraj, który może w przyszłości motywację do wspierania grup terrorystycznych kierujących ataki na terytorium Stanów Zjednoczonych - ISSE Secure

27 Państwowi sponsorzy terrorystów (2/2) Chiny są często wymieniane jako kraj utrzymujący wsparcie rządowe dla rozwoju grup hakerskich W 1999 r. opublikowany został dokument opracowany przez dwóch dwóch pułkowników armii chińskiej, który omawia potrzeby Chin w zakresie położenia nacisku na opracowanie nowych metod ataków na rynki finansowe, sieci energetyczne i teleinformatyczne przeciwnika, w tym wykorzystanie wirusów komputerowych i włamań sieciowych - ISSE Secure

28 Miejsce cyberterroryzmu w klasyfikacji incydentów bezpieczeństwa a b c d e f g Narzędzie Atak fizyczny W ymiana informacji Polecenie użytkownika Skrypt lub program Samodzielny agent Zestaw narzędziowy Narzędzie rozproszone Podsłuch danych S łabość Luka w projekcie Luka w implementacji Luka w konfiguracji Działanie Próbkowanie Skanowanie Przepełnienie Uwierzytelnianie Obejście Podszywanie się Odczyt Kopiowanie incydent atak(i) zdarzenie Atakujący Hakerzy Szpiedzy Terroryści Pracownicy Zawodowi przestępcy W andale Podglądacz a b c d e f g h a b c a b c d e f g h a b c d e f g Cel Konto Proces Dane Składnik Komputer Sieć Sieć sieci a b c d e Rezultat Zwiększony poziom dostępu Ujawnienie informacji Sfałszowanie informacji Blokowanie działania Kradzież zasobów a b c d Przyczyna Prestiż Korzyść polityczna Korzyść finansowa Zniszczenie i j k Kradzież Modyfikacja Usunięcie - ISSE Secure

29 Ochrona cyberprzestrzeni za wielką wodą - ISSE Secure

30 Cyber Defence w Departamencie Obrony USA Robert LENTZ Dyrektor Information Assurance (1/2) Zauważalne są zmiany na liście zagrożeń jeszcze kilka lat temu najgroźniejsze były ataki blokowania usług Wymiana i współdzielenie informacji o zagrożeniach i metodach ochrony zasługuje obecnie jedynie na ocenę 2 lub co najwyżej 3- dużą przeszkodą są kwestie poufności informacji - ISSE Secure

31 Cyber Defence w Departamencie Obrony USA Robert LENTZ Dyrektor Information Assurance (2/2) Tak naprawdę wszystkie zainteresowane strony (rządy) dysponują dużą wiedzą, ale rozproszoną dlatego niezbędne jest współdzielenie informacji i współdzielenie informacji sojuszniczych W strukturze DoD funkcjonuje pracowników odpowiedzialnych za ochronę zasobów sieciowych ( Cyber Wariors Cybernetyczni Wojownicy ) każdy z niech musiał zostać przeszkolony i certyfikowany szkolenia prowadzone są w ośrodkach komercyjnych, na kursach szkoleniowych autoryzowanych przez DoD poza szkoleniem Cybernetycznych Wojowników bardzo istotne jest szkolenie szefów zespołów, kreujących i realizujących systematyczne działania w zakresie utrzymania zdefiniowanego poziomu ryzyka (bezpieczeństwa) - ISSE Secure

32 Bezpieczne zarządzanie konfiguracją w systemie Vista działania National Security Agency (1/2) Vulnerability Analysis and Operations Group - VAO odpowiada w NSA za identyfikację i charakterystykę wpływu na środowisko operacyjne podatności wykrywanych w technologiach informatycznych Według VAO idealny proces zarządzania podatnościami polega na: unikatowej i konsekwentnej identyfikacji podatności wypracowywaniu przez ekspertów wspólnych praktyk zabezpieczających implementacji narzędzi, które umożliwiają pomiary i zarządzanie zautomatyzowanym raportowaniu, które jest łatwo definiowalne i stosowalne - ISSE Secure

33 Bezpieczne zarządzanie konfiguracją w systemie Vista działania National Security Agency (2/2) NSA zaproponowała połączenie wysiłków w zakresie bezpieczeństwa systemów i sieci z NIST (Narodowych Instytutem Standardów i Technologii) oraz prywatnym SANS Institute, prowadzącym badania w dziedzinie bezpieczeństwa informacji w systemach i sieciach efektem wspólnych działań jest zbiór zaleceń opublikowanych na stronie internetowej Najnowsze inicjatywy dotyczące zarządzania podatnościami standaryzacja urządzeń i oprogramowania w Siłach Powietrznych USA koordynacja działań w zakresie bezpieczeństwa systemów i sieci w Departamencie Obrony USA (DoD) Security Content Automation Program - SCAP Program Automatyzacji Parametrów Zabezpieczeń (NIST, NSA, DISA) wytyczne Biura Zarządzania i Budżetu (Office of Management and Budget) - ISSE Secure

34 Przykład zmasowanych ataków w w cyberprzestrzeni Estonia maj ISSE Secure

35 Przeprowadzone cyberataki na elementy infrastruktury teleinformatycznej w Estonii Zalewanie root DNS w Estonii blokada strony Skoordynowane ataki rozproszone na witryny Valitsus.ee, politsei.ee, riik.ee Ataki na media (postimees.ee) Niektóre z ataków miały charakter destrukcyjny Ataki charakteryzowały się zwiększaniem intensywności - ISSE Secure

36 Środki ochronne zastosowane podczas cyberataków na Estonię Niepodejmowanie ataków odwetowych Upraszczanie zawartości witryn (politsei.ee) Wprowadzenie mechanizmu Blacklist Blokowanie dostępu międzynarodowego Zwiększanie przepustowości Dodawanie serwerów Lokalizacja i blokowanie elementów botnetów - ISSE Secure

37 Cyber Defence w NATO - ISSE Secure

38 Cyber Defense ochrona cyberprzestrzeni w NATO Ochrona cyberprzestrzeni (Cyber Defence) jest jednym z najważniejszych celów strategicznych NATO od roku 2002 decyzję o zdefiniowanie tego celu podjęto na Szczycie NATO w Pradze Budowa NATO Computer Incident Response Capability umożliwia przeciwdziałanie atakom cyberterrorystycznym na infrastrukturę teleinformatyczną NATO i państw członkowskich, tak krytyczną dla realizacji celów Sojuszu Za realizację celu strategicznego Cyber Defence w NATO odpowiada NATO Communication and Information Systems Services Agency (NCSA), która jest pierwszą liną obrony przed atakami w cyberprzestrzeni W strukturze NCSA powołano NATO Information Security Technical Centre (NITC) odpowiedzialne za techniczną koordynację działań w ramach NCIRC - ISSE Secure

39 Realizacja celów NATO Computer Incident Response Capability (CIRC) Osiągnięcie celów NATO CIRC umożliwi: a) udzielenie pomocy zaatakowanym elementom struktur cywilnych i wojskowych NATO w bezpiecznym, szybkim i efektywnym usuwaniu skutków incydentów w zakresie zabezpieczeń b) minimalizowanie wpływu z powodu utraty lub kradzieży informacji (jawnych i niejawnych) lub zakłóceń w usługach i zasobach krytycznych systemów na skutek wystąpienia incydentu c) systematyczne reagowanie na podstawie sprawdzonych procedur co spowoduje obniżenie ryzyka związanego z możliwością ponownego wystąpienia incydentu - ISSE Secure

40 Koncepcja funkcjonowania NATO CIRC 1/2 W koncepcji funkcjonowania NATO CIRC przyjęto 3-warstową strukturę zarządzania, wykorzystując w maksymalnym stopniu obecne zasoby i strukturę organizacyjną: Warstwa 1 - Centrum Koordynacyjne NATO CIRC (NATO Computer Incident Response Capability Co-ordination Centre) stanowi je Biuro Bezpieczeństwa NATO (NATO Office of Security -NOS) w połączeniu z Pionami Bezpieczeństwa Teleinformatycznego Sztabów Konsultacji, Dowodzenia i Kontroli Kwatery Głównej NATO (INFOSEC Branch NATO HQ C3 Staffs) w celu uwzględnienia odpowiedzialności Komitetu Bezpieczeństwa NATO (NATO Security Committee - NSC) i Rady Konsultacji, Dowodzenia i Kontroli NATO (NATO Consultation Command Control Body NC3B) - ISSE Secure

41 Koncepcja funkcjonowania NATO CIRC 2/2 Warstwa 2 Centrum Wsparcia Technicznego NATO CIRC (NATO CIRC Technical Support Centre), wykonujące funkcje CERT - jest to personel techniczny udzielający na żądanie lub w razie potrzeby bezpośredniej pomocy technicznej personel wywodzi się ze struktury bezpieczeństwa teleinformatycznego Agencji Eksploatacji i Serwisowania Systemów Teleinformatycznych NATO (INFOSEC Command NACOSA obecnie NCSA) z dodatkowym wsparciem technicznym ze strony Agencji Konsultacji Dowodzenia i Kontroli NATO (NATO C3 Agency NC3A) Warstwa 3 podmioty odpowiedzialne w cywilnej i wojskowej strukturze NATO za bieżącą eksploatację oraz administrowanie systemami i sieciami TI - ISSE Secure

42 Schemat struktury zarządzania NATO CIRC Warstwa 1 NATO Security Committee NATO CIS Security Accreditation Board (SAB) NOS SHAPE Intel SACLANT CIS Other SABs (e.g., BICES, ACCS, BRASS) NATO COMPUTER INCIDENT RESPONSE CO-ORDINATION CENTRE NATO Office of Security (NOS) C3 Staffs INFOSEC Branch NATO C3 Board CI and Law Enforcement CERTs Forum of Incident Response & Security Teams (FIRST) Warstwa 2 NATO CIRC TECHNICAL SUPPORT CENTRE (NCERT) Sub-element of INFOSEC Command / NACOSA (plus scientific support element) SECAN Other CERTs National Govt. Non-Govt. Commercial Warstwa 3 NACOSA NATO CIS operating authority - for assigned CIS NATO Civil & Military Bodies CIS Operating Authorities - ISSE Secure

43 Funkcjonalność NCIRC Personel Personel NCIRC NCIRC Zarządzanie incydentami & Help Help Desk Desk (Magic) Użytkownicy Użytkownicy w NATO w NATO Dane Dane o zagrożeniach zagrożeniach i i podatnościach podatnościach i i biuletyny biuletyny (Oracle) (Oracle) Korelacja danych Monitoring zdarzeń (NeuSecure) IDS, IDS, zapory zapory sieciowe sieciowe AV AV itd.. itd.. Użytkownicy Użytkownicy w NATO w NATO Producenci/ Producenci/ zespoły zespoły CERT CERT - ISSE Secure

44 - ISSE Secure

45 Współdziałanie w ramach NATO Computer Incident Response Capability - NCIRC Współpraca narodowych zespołów CERT z NCIRC może odbywać się na dwóch poziomach koordynacji uzgadnianie wspólnych polityk i standardów ochrony infrastruktury TI i reagowania na incydenty wsparcia technicznego wymiana doświadczeń i informacji w zakresie zagrożeń, podatności i zalecanych środków ochrony kontakty robocze pomiędzy zespołami CERT - ISSE Secure

46 Jedno z zadań NCIRC Technical Center - opracowanie ustawień bezpieczeństwa dla systemów w operacyjnych - ISSE Secure

47 Rola ustawień bezpieczeństwa systemu operacyjnego wg NCIRC Technical Center (1/7) Czy ustawienia bezpieczeństwa są mitem? wymuszają świadomą politykę zarządzania kontami użytkowników ustawienia chronią przed samodzielnym zwiększaniem uprawnień ograniczają ryzyko ataków sieciowych umożliwiają izolację serwera i domeny oraz stosowanie zasady wiedzy uzasadnionej umożliwiają szyfrowanie danych w systemie plików z wykorzystaniem EFS ochrona zawartości nośników danych -BitLocker - ISSE Secure

48 Rola ustawień bezpieczeństwa systemu operacyjnego wg NCIRC Technical Center (2/7) Filozofia przygotowania ustawień bezpieczeństwa: implementacja polityki bezpieczeństwa NATO minimalizacja uprawnień, zasada wiedzy uzasadnionej, ochrona wielopoziomowa zapewnienie kompatybilności na poziomie aplikacyjnym (niektóre z aplikacji wymagają dostępu do określonych usług) i sieciowym (m.in. zapewnienie wsparcia dla wcześniejszych protokołów) - ISSE Secure

49 Rola ustawień bezpieczeństwa systemu operacyjnego wg NCIRC Technical Center (3/7) Historia ustawień cd. Windows NT ponad 200 ustawień musiały być wprowadzane ręcznie Windows 2000 ustawienia zebrane w szablony dla stacji roboczych, serwerów i kontrolerów domen, mogły być wprowadzane jedynie w momencie instalacji systemu Windows XP szablony ustawień (podstawowe i dedykowane dla poszczególnych aplikacji) możliwość zarządzania centralnego - ISSE Secure

50 Rola ustawień bezpieczeństwa systemu operacyjnego wg NCIRC Technical Center (4/7) Historia ustawień cd. Windows 2003 szablony ustawień (podstawowe i dedykowane dla poszczególnych ról) możliwość zarządzania centralnego ryzyko związane z rolą i funkcją systemu specyficzne szablony delta dla określonych aplikacji dostępnych w serwerze Windows Vista 3 podstawowe zestawy: Intranet, Internet, urządzenie przenośne możliwość zarządzania centralnego ryzyko związane ze schematem połączeń systemu (różnych dla każdej sieci NATO) zbliżone do ustawień MS Specialized Security Limited Functionality zgodne z koncepcją MS Vista Security Guide - ISSE Secure

51 Rola ustawień bezpieczeństwa systemu operacyjnego wg NCIRC Technical Center (5/7) Historia ustawień cd. Windows Longhorn wspólne prace NATO i Microsoft już na etapie rozwoju systemu celem jest wypracowanie wspólnej pierwotnej, koncepcji ustawień całkowicie zbieżnych z ustawieniami MS Ustawienia bezpieczeństwa dla poziomu aplikacyjnego - ISSE Secure

52 Rola ustawień bezpieczeństwa systemu operacyjnego wg NCIRC Technical Center (6/7) Planowane działania NATO CIRC Technical Center Developers Guide zalecenia dla projektantów aplikacji (w szczególności ukierunkowane na zdefiniowanie miejsca przechowywania danych, uruchamiania w trybie użytkownika) Testing Guide zalecenia dotyczące procedur testowania Zakończenie prac nad ustawieniami dla Windows Vista - ISSE Secure

53 Rola ustawień bezpieczeństwa systemu operacyjnego wg NCIRC Technical Center (7/7) Wyzwania NATO w kontekście bezpieczeństwa systemów kontrola konfiguracji systemów i sieci NATO uwzględnienie bezpieczeństwa w procesie projektowania systemów i sieci uwzględnienie bezpieczeństwa w procesie zapewnienia jakości konsolidacja serwerów/centrów danych wirtualizacja systemu nadążanie za zmianami stała aktualizacja wiedzy niezbędnej dla specjalistów odpowiedzialnych za bezpieczeństwo BitLocker a analiza śladów (Forensics) bezpieczeństwo wielopoziomowe mobilność użytkowników zgodność ustawień użytkowników zdalnych ochrona danych tymczasowych, generowanych podczas każdej sesji zdalne zarządzanie systemami, czy nie jest to omijanie zabezpieczeń fizycznych? - ISSE Secure

54 Dotychczasowe działania ania administracji rządowej w zakresie budowy Krajowego Systemu Ochrony Krytycznej Infrastruktury Teleinformatycznej (KSOKITI) - ISSE Secure

55 Zespół ds. krytycznej infrastruktury teleinformatycznej 1/5 Zespół do spraw krytycznej infrastruktury teleinformatycznej (Zespół ds. KITI) został powołany w dniu 9 listopada 2004 r. decyzją Przewodniczącego Kolegium ds. Służb Specjalnych Zespół ds. KITI zakończył pracę w maju 2005 roku W skład Zespołu ds. KITI wchodzili przedstawiciele: Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Ministerstwa Finansów, Ministerstwa Infrastruktury, Ministerstwa Nauki i Informatyzacji, Ministerstwa Spraw Wewnętrznych i Administracji, Sztabu Generalnego Wojska Polskiego, Urzędu Regulacji Telekomunikacji i Poczty, Wojskowych Służb Informacyjnych - ISSE Secure

56 Zespół ds. krytycznej infrastruktury teleinformatycznej 2/5 Głównymi zadaniami Zespołu ds. KITI było: inwentaryzacja krytycznych systemów i sieci teleinformatycznych administracji rządowej określenie architektury, klauzuli tajności przetwarzanych informacji, wymagań w zakresie utrzymania ciągłości działania sformułowanie potrzeb (usług) w zakresie elektronicznej wymiany informacji w administracji rządowej w szczególności w zakresie działań związanych z zarządzaniem kryzysowym i dostępem do rejestrów państwowych wykorzystanie efektów prac Zespołu ds. STAP analiza aktualnych przepisów w zakresie budowy, eksploatacji oraz ochrony systemów i sieci teleinformatycznych w administracji rządowej, a także przygotowanie propozycji zmian lub nowych przepisów - ISSE Secure

57 Zespół ds. krytycznej infrastruktury teleinformatycznej 3/5 Podczas prac Zespołu przyjęto definicje: Food, Utilities Government & Transport Public Safety Information Communications & Energy Technology Finance infrastruktura krytyczna -urządzenia i usługi, powiązane ze sobą węzłami funkcjonalnymi, kluczowe dla bezpieczeństwa obywateli i bezpieczeństwa państwa oraz zapewnienia sprawnego funkcjonowania organów władzy i administracji publicznej, a także instytucji i przedsiębiorców. Infrastruktura Krytyczna obejmuje w szczególności systemy: zaopatrzenia w energię i paliwa, & teleinformatyczne, bankowe i finansowe, Health & zaopatrzenia w żywność, wodę oraz opieki zdrowotnej, transportowe i komunikacyjne, ratownicze oraz zapewniające funkcjonowanie organów władzy administracji publicznej, Emergency Services krytyczna infrastruktura teleinformatyczna (KITI) - systemy i sieci teleinformatyczne, których nieprawidłowe funkcjonowanie lub uszkodzenie, niezależnie od przyczyn i zakresu, może spowodować istotne zagrożenie dla życia lub zdrowia ludzi, interesów obronności oraz bezpieczeństwa państwa i obywateli albo narazić te interesy na co najmniej znaczną szkodę. - ISSE Secure

58 Zespół ds. krytycznej infrastruktury teleinformatycznej 4/5 Sformułowano wstępne kryteria klasyfikacji infrastruktury teleinformatycznej jako krytycznej: niezbędność funkcjonowania elementu infrastruktury (kluczowe elementy), powiązania głównych elementów infrastruktury, współzależność elementów infrastruktury, geograficzne położenie elementów infrastruktury (obszar szczególnej ochrony), koszt utrzymania elementu infrastruktury w przypadku ataku na ten element Przykłady: systemy i sieci niezbędne do wykonywania statutowych zadań organów administracji rządowej oraz wymiany informacji w siłach zbrojnych, a także rejestry państwowe - APLIKACJE sieci telekomunikacyjne (w dyspozycji operatorów telekomunikacyjnych) wykorzystywane przez administrację publiczną (rządową i samorządową) i siły zbrojne PODKŁAD TELETRANSMISYJNY - ISSE Secure

59 Zespół ds. krytycznej infrastruktury teleinformatycznej 5/5 Członkowie Zespołu ds. KITI uwzględniając wnioski z raportu MNiI dotyczącego stanu informatyzacji urzędów administracji publicznej, który wykazał, że: Internet jest już powszechnie stosowanym narzędziem komunikacji w polskich urzędach - korzysta z niego 99,4% badanych instytucji, prawie wszystkie urzędy stosowały ochronę antywirusową jako jedyny system zabezpieczający zapory sieciowe nie jest jeszcze popularnym narzędziem ochrony, tylko 10% wszystkich urzędów korzystało z elektronicznego obiegu dokumentów, ale aż 75% urzędów nie posiadających takiego udogodnienia zamierza je wprowadzi w najbliższym czasie. Prawie wszystkie urzędy posiadają swoją stronę internetową spośród urzędów, które posiadają strony internetowe, 94,6% oferuje jedynie dostęp do określonych informacji. Ponad połowa daje także możliwość pobierania formularzy przez Internet. Inne usługi i udogodnienia dostępne dla obywateli, a także instytucji oferowane są bardzo rzadko, a prawie 75% stron internetowych w ogóle ich nie posiada. poparli projekt pilotażowej implementacji systemu wczesnego ostrzegania przed atakami z sieci Internet - ARAKIS - ISSE Secure

60 System wczesnego ostrzegania - ARAKIS Opracowany i administrowany przez NASK system ARAKIS pełni rolę systemu wczesnego ostrzegania o zagrożeniach sieciowych w oparciu o monitorowany ruch w sieci oraz o informacje ze źródeł zewnętrznych Wynikiem prac nad systemem jest opracowanie metod automatycznego wykrywania i opisywania w formie sygnatury nowego zagrożenia, zapewniając w ten sposób środek ochronny, który może być wykorzystany w systemach wykrywania włamań (ang. IDS - Intrusion Detection System) i zaporach sieciowych - ISSE Secure

61 ARAKIS Zakres analiz udostępnianych przez system (1/2) Funkcjonalność podstawowa jednostki centralnej i sond: Obraz ruchu na portach TCP/UDP związanego z propagacją zagrożeń w dwóch różnych profilach: systemów zapór sieciowych i systemów honeypot Automatyczna analiza trendów związanych ze wzrostem i spadkiem aktywności na portach Analiza rozkładu źródeł ataków pod kątem prefiksów IP, systemów autonomicznych, źródeł geograficznych oraz typów systemów operacyjnych Wykrywanie nowych zagrożeń cechujących się skanowaniem jako metodą wyboru celu Wykrywanie najdłuższych wspólnych podciągów połączeń na systemy honeypot Klasyfikacja wykrywanych wspólnych podciągów Prezentacje listy wspólnych podejrzanych podciągów mogących służyć do wykrywania zagrożenia Opis zagrożeń na bazie sekwencji zapytań na porty Prezentacje statystyk systemów antywirusowych - ISSE Secure

62 ARAKIS Zakres analiz udostępnianych przez system (2/2) Funkcjonalność rozszerzona jednostki centralnej i sond: Obraz ruchu na portach TCP/UDP związanego z propagacją zagrożeń na bazie informacji z systemów darknet Monitoring systemów antywirusowych pod kątem szybkości uaktualnień bądź braku uaktualnień wzorców antywirusowych Korelacje wyników trendów umożliwiające otrzymanie sekwencji zapytań ze strony zagrożeń w postaci logów tcpdump Możliwość wyszukiwania podejrzanych IP z danych przechowywanych przez system Wykrywanie zainfekowanych hostów u klientów systemu na bazie informacji od pozostałych klientów Wskazanie różnic pomiędzy obrazem sieci z poziomu jednego klienta w stosunku do obrazu globalnej sytuacji Korelacja obserwacji zdarzeń sieciowych z zewnętrznymi bazami wiedzy na poziomie: portów, wykorzystywanych luk/exploitów, sygnatur, hostów sterujących - ISSE Secure

63 Pierwotna strona ARAKIS w CERT Polska - ISSE Secure

64 Aktualna strona ARAKIS w CERT Polska - ISSE Secure

65 BKMonitor-PL narzędzie do monitorowania zmian zawartości witryn internetowych administracji publicznej - ISSE Secure

66 BKMonitor-PL weryfikacja integralności witryn internetowych administracji publicznej (1/2) Adres URL Ostatnia zmiana Tytuł Skrót Rozmiar Status Opcje :53:40 OK OK OK włączony więcej :26:34 OK OK OK włączony więcej warszawa.um.gov.pl :43:08 OK zmiana OK włączony więcej :34:38 OK OK OK włączony więcej pozytek.gov.pl :42:26 OK OK OK włączony więcej :41:41 OK OK OK włączony więcej :04:43 OK OK OK włączony więcej :04:44 OK OK OK włączony więcej :04:44 OK OK OK włączony więcej :01:37 OK OK OK włączony więcej :01:37 OK OK OK włączony więcej mars.eocs.eu :34:29 OK OK OK włączony więcej :43:17 OK zmiana zmiana włączony więcej :43:17 OK zmiana OK włączony więcej :41:01 OK OK OK włączony więcej :43:20 OK zmiana OK włączony więcej :42:15 OK OK OK włączony więcej :47:33 OK OK OK włączony więcej :29:39 OK OK OK włączony więcej :38:53 OK OK OK włączony więcej - ISSE Secure

67 BKMonitor-PL weryfikacja integralności witryn internetowych administracji publicznej (2/2) Utworzono :59:02 URL Ostatnia wykryta zmiana: :01:37 Obecny tytul strony: Poprzedni widziany tytul: Obecny rozmiar strony: Poprzedni rozmiar strony: Obecny hash strony: Poprzedni hash strony: Status: C320F1DBC BB8F56986D36467C C320F1DBC BB8F56986D36467C DZAJ - ISSE Secure

68 Czas na podsumowanie - ISSE Secure

69 Podsumowanie (1/3) Wciąż stoimy w Polsce przed problemem organizacji zespołu CERT dedykowanego dla administracji rządowej, zespołu, który powinien korzystać z dorobku CERT Polska i ściśle z nim współpracować Zespół taki powinien współpracować ze swoimi rządowymi odpowiednikami w innych krajach (m.in. GOVCERT NL, CERTA, CERT Bund, US CERT) oraz organizacjach międzynarodowych (NATO CIRC) Rządowy CERT w Polsce, podlegając ministrowi spraw wewnętrznych i administracji, odpowiedzialnemu za budowę i utrzymanie rządowej infrastruktury teleinformatycznej (w tym rejestry państwowe), ochronę krytycznej infrastruktury państwa, zarządzanie kryzysowe, a także właściwemu ds. informatyzacji administracji rządowej powinien wspierać procesy informatyzacji, uzupełniać je o elementy bezpieczeństwa informacji systemów i sieci Spełnienie idei społeczeństwa informacyjnego i standardów zinformatyzowanego państwa wymaga zdefiniowania i ochrony krytycznej infrastruktury teleinformatycznej będącej szkieletem jego funkcjonowania - ISSE Secure

70 Podsumowanie (2/3) Opracowany przez NASK system wczesnego ostrzegania przed atakami z sieci Internet ARAKIS został z powodzeniem wdrożony pilotażowo w kilkudziesięciu instytucjach administracji rządowej (wdrożenie pilotażowe przeprowadzone przez DBTI ABW pod nazwą ARAKIS-GOV) MSWiA realizując projekty Elektronicznej Platformy Usług Administracji Publicznej (e-puap) oraz Sieci Teleinformatycznej Administracji Rządowej (STAP) wdroży wspólnie z NASK mechanizmy systemu ARAKIS na stykach zewnętrznych i wewnętrznych e-puap i STAP, wykorzystując doświadczenia z pilotażowego wersji ARAKIS-GOV - ISSE Secure

71 Podsumowanie (3/3) MSWiA wspólnie z NASK będzie prowadziło analizy zaleceń w zakresie konfiguracji systemów operacyjnych MS Windows (XP, 2003 Server, Vista, a w przyszłości Longhorn Server) celem jest przygotowanie (wzorem NATO) wersji narodowej, która będzie mogła być stosowana w systemach administracji publicznej (UWAGA: nie oznacza to w żadnym stopniu wprowadzenia obligatoryjności stosowania oprogramowania firmy Microsoft w administracji) - ISSE Secure

72 Cyber Defence obrona cyberprzestrzeni jako element kluczowych działań nowoczesnego państwa Dziękuję Czy mają Państwo pytania? Kontakt z autorem: Robert KOŚLA tel fax robert.kosla.dbti@abw.gov.pl - ISSE Secure