Jak zarządzić nieuniknionym? Czy można przygotować się na atak hackerski?

Transkrypt

1 Jak zarządzić nieuniknionym? Czy można przygotować się na atak hackerski? październik 2016 Roman Skrzypczyński Ekspert ds. cyberprzestępczości Polska

2 2

3 Tu i teraz nasza firma? 3

4 Incydenty bezpieczeństwa Polska i świat Atakowane sektory Finansowy Łączna liczba wykrytych incydentów 200 milionów Energetyczny 42.8 miliona Technologiczny 22.7 miliona 24.9 miliona 28.9 miliona Ochrony zdrowia i medyczny 3.4 miliona 9.4 miliona Wszystkie!!!

5 Polska 2015 Świat 2015 Główne źródła cyberataków 70% 67% 70% 41% 35% 34% 29% 19% firm nie prowadzi monitoringu zachowań pracowników pracownicy nieznany haker Przestępcy z grupy zorganizowanej Obecni dostawcy i wykonawcy pracownicy byli pracownicy Obecni dostawcy i wykonawcy 5

6 Kim jest cyberprzestępca? Źródła incydentów 70% nadużyć zostało popełnionych przez obecnych (często nieświadomie) lub byłych pracowników Pracownik to przede wszystkim medium dla przenoszenia złośliwego oprogramowania, obiekt ataku phishingowego i wykorzystującego socjotechnikę obecny pracownik 48% haker 30% były pracownik 22% Partnerzy biznesowi 22% Usługodawcy/konsultanci /wykonawcy 17% Konkurencja 9% Terroryści 4% Przestępczość zorganizowana 4% 6

7 Z kim się mierzymy? Przeciwnik Motywy Cele Wpływ Przestępcy Uzyskanie korzyści finansowej teraz lub w przyszłości Dane osobowe Dane kartowe Informacje wrażliwe zdrowie Systemy płatności (np. bankomaty) Dotkliwe kary regulacyjne Procesy sądowe i odszkodowania Utrata reputacji Haktywiści Wpływ na sytuację polityczną Wpływ na cele biznesowe Wpływ na politykę firmy Tajemnice firmowe Wrażliwe informacje biznesowe Informacje nt. kluczowych osób Zakłócenie działania biznesu Utrata przewagi konkurencyjnej Utrata zaufania klientów Państwa Uzyskanie przewagi ekonomicznej, politycznej i/lub militarnej Tajemnice handlowe Wrażliwe informacje biznesowe Nowe technologie Infrastruktura krytyczna Utrata przewagi konkurencyjnej Zakłócenie działania infrastruktury krytycznej a nawet Cyber Terroryści Użycie przemocy lub strachu w celu uzyskania wpływu na sytuację polityczną Widoczne cele użyteczności publicznej lub rządowej Media Destabilizacja i zniszczenie zasobów Straty finansowe Efekty prawne 7

8 Ile jest wart Twój kluczowy zasób? Ceny z Darknet Karty upominkowe, połowa ceny lub mniej, np $ kart upominkowych linii lotniczych dostępnych do 600 $ Szczegóły dotyczące usług strumieniowej transmisji wideo: Netflix za $ 1, Hulu za $ 2,50, HBO za 4 $ Paypal i rachunki bankowe ok. 10 procent wartości Dane osobowe, np. zeskanowane wyciągi bankowe, ok. 60 $ Rachunki lojalnościowe linii lotniczej 1 mln punktów ok. 300 $ Skradzione karty płatnicze 12 $ szt., (lepsza oferta jeśli kupuje karty w większej ilości) Sprzedaż pirackich materiałów, usług i hakerskiego oprogramowania. Nowy Microsoft Office z zero day exploit za 40 bitcoinów ok. 23k $ 8

9 Rozpoznanie: Struktury pracowniczej Danych osobowych Ról w firmie Powiązań Budowy systemu informatycznego Narzędzi zabezpieczających naszą sieć Przepływów finansowych 9

10 Ekologiczne Ekosystem biznesu to zarówno szanse jak i ryzyko Klienci Ekonomiczne Usługodawcy Konkurenci Dostawcy Architektura oparta na zaufaniu i współpracy Wzrost zależności od technologii FIRMA Powszechność informacji i danych Odbiorcy Partnerzy Współczesny hacker wykorzysta powyższe cechy Technologiczne 10

11 Możliwe konsekwencje cyberataku 11

12 Możliwe konsekwencje cyberataku # 1 Utrata danych firmy Utrata pieniędzy Utrata danych klientów/praco wników Przestój firmy Utrata wizerunku firmy 12

13 Możliwe konsekwencje cyberataku # 2 Przechowalnia danych obcych Zombie? Zniszczone Zła prasa oprogramowanie media i sprzęt Szantaż firmy!!! 13

14 Jak się zabezpieczyć? Jak zarządzić nieuniknionym? Czy można przygotować się na atak hackerski? czy? Jeśli chcesz pokoju, gotuj się do wojny

15 Model infrastruktury IT przedsiębiorstwa Monitorowanie bezpieczeństwa i zarządzanie ryzykiem TECHNOLOGIA (SIEM, System Obsługi Incydentów) Internet Bezpieczeństwo na styku sieci IIS IIS SQL LDAP Centrum przetwarzania danych Bezpieczeństwo CPD Partnerzy biznesowi Styk z sieciami zewnętrznymi SOC (Zespół, Procedury, Technologia) Oddziały Urządzenia mobilne Sieć firmowa Bezpieczeństwo oddziałów Bezpieczeństwo urządzeń mobilnych Bezpieczeństwo stacji PC 15

16 Koncepcja monitorowania bezpieczeństwa IT Struktury Zarządcze Standaryzacja mechanizmów bezpieczeństwa Moduł Raportowy (OnLine i OffLine) Sprawozdawczość zarządcza z obszaru bezpieczeństwa SIEM Security Operations Center (SOC) Technologia Incident handling Kompetencje SOC/Zespół Spójność płynny przepływ informacji pomiędzy wszystkimi obszarami organizacji, dający możliwość efektywnego zarządzania bezpieczeństwem Zdarzenia Reakcje Infrastruktura IT VPN FW IPS Web Gateway Antymalware MDM Dostęp uprzywilejowany DLP FW management WAF/DAM AV IDM Skaner podatności DNS DHCP Skalowalność funkcjonalność technologii umożliwia podłączanie źródeł zdarzeń standardowych jak i dedykowanych oraz połączenia obszarów bezpieczeństwa teleinformatycznego, środowiskowego i fizycznego Mierzalność możliwość kompleksowego pomiaru jakości działania całego procesu SYSTEMY IT (OS, DB, Aplikacje) 16

17 Zarządzanie kryzysowe Doskonalenie Przygotowanie Incydent Przywrócenie Identyfikacja Naprawienie Separacja Follow up Analiza Reakcja 17

18 Zarządzanie kryzysem (1/2) Przygotowanie 1 Identyfikacja 2 Separacja 3 Analiza (reakcja) 4 Ustanowienie listy kontaktów: Dział Prawny, Dział HR, Działem Komunikacji, Doradca Zastosowanie środków technicznych Weryfikacja i potwierdzenie istnienia incydentu. Identyfikacja incydentu: - Zgłoszeń wewnętrznych i zewnętrznych (zewnętrzne podmioty, klienci) Poinformować kierownictwo o charakterystyce zaistniałego incydentu (potencjalnej skali wycieku informacji) Przeprowadzenie analizy dostępnych nośników, stacji roboczych logów etc. Stworzenie binarnych kopii danych Potwierdzenie incydentu - analiza dostępnych informacji 18

19 Zarządzanie kryzysem (2/2) Przywrócenie (reakcja) Przywrócenie komponentów infrastruktury do pierwotnego stanu, usunięcie równocześnie luk pozwalających na ponowne zaistnienie incydentu 4 Doskonalenie (follow up) 5 Bazując na wnioskach z obsługi incydentu, przeprowadzić akcję uświadamiająca pośród pracowników w celu ograniczenia ryzyka ponownego wystąpienia incydentu Szkolić Zarząd i wszystkich pracowników Analizować, badać logi z narzędzi Wyznaczyć osobę i Zespół odpowiedzialny za kompleksowe badanie incydentu PR, IT, Compliance, Prawnik, Doradca Wysyłać dobre komunikaty do rynku i wewnętrzne Przeznaczać siły i środki, nie oszczędzać Być legalnym Określić zakres klejnotów koronnych 19

20 Dziękujemy!!! Roman Skrzypczyński tel This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, Polska sp. z o.o., its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it Polska sp. z o.o. All rights reserved. In this document, refers to Polska sp. z o.o. which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.