Ochrona systemów informatycznych przed atakami

Transkrypt

1 Ochrona systemów informatycznych przed atakami Paweł Nogowicz Prezes zarządu Evercom Master ASE, CCSE, NCIE, Audytor ISO/IEC 27001

2 Evercom Dostawca i integrator kompleksowych rozwiązań informatycznych Obszary działania: infrastruktura przetwarzająca Data Center, pamięci masowe, sieci teleinformatyczne, systemy zarządzania infrastrukturą, danymi, aplikacjami i usługami bezpieczeństwo systemów teleinformatycznych i ochrona informacji informatyzacja procesów organizacyjnych i biznesowych usługi: audyty, projekty, wdrożenia, szkolenia, wsparcie techniczne, outsourcing Oferta skierowana do sektora publicznego i dużych podmiotów gospodarczych, realizacja projektów niejawnych Aktywność w sferze ochrony cyberprzestrzeni RP i działania niekomercyjne. 20 lat doświadczenia i unikalne kompetencje

3 Tango down Ataki na systemy: Gmail, Lockheed Martin, RSA, SONY, US Army,. Ataki na systemy informatyczne dostępne w sieci Internet w Polsce (strony ważnych instytucji i strony kojarzone) Rodzaje ataków odmowa usług podmiana treści przejęcie kontroli kradzież danych

4 Przyczyny techniczne Przyczyny informatyczne brak narzędzi do wykrywania i zarządzania podatnościami lekceważenie podatności brak nowoczesnych zabezpieczeń sieciowych w warstwie aplikacyjnej niska siła mechanizmów uwierzytelniających użytkownicy o uprawnieniach niezgodnych z polityką bezpieczeństwa brak systemów monitorowania i kontroli polis bezpieczeństwa brak systemów monitorowania bezpieczeństwa posiadanych systemów (niedostępnych dla pracowników utrzymujących systemy informatyczne) brak ochrony urządzeń i nośników mobilnych nieuzasadnione wykorzystywanie mediów społecznościowych szczątkowe stosowanie systemów DLP niewłaściwa i / lub nieaktualna konfiguracja brak użytecznej polityki bezpieczeństwa wraz z procedurami niestosowanie dobrych praktyk ISO xxxxx brak mechanizmów wysokiej dostępności usług i odtwarzania danych (DR) Pomijanie w trakcie inwestycji zakupu planu awaryjnego

5 Przyczyny organizacyjno-prawne Przyczyny organizacyjne niedostateczny poziom wyszkolenia kadr panika decyzyjna w kontaktach z służbami technicznymi (brak wiedzy wśród decydentów) Przyczyny prawne i funkcjonalne infrastruktura krytyczna brak adekwatnych uwarunkowań prawnych służących obronie cyberprzestrzeni brak zdefiniowanych zasad współpracy i koordynacji brak zasad i mechanizmów informowania społeczeństwa Brak motywacji do inwestycji w bezpieczeństwo

6 Przypadków kilka Kompromitacja systemu producenta zabezpieczeń Ciekawy audyt systemu bezpieczeństwa baza danych z SID, podatności Przychodzi kontroler do firmy Uwierzytelnianie interaktywne, blokowanie dostępu Udostępnienie pliku na serwerze rządowym

7 Podatność w praktyce Podatność publicznie znana publicznie nieznana Exploit Zero Day pojawia się przed ujawnieniem podatności Okno podatności - okres pomiędzy zaistnieniem podatności a pojawieniem się poprawki Poprawka kod programowy metoda rekonfiguracji blokowanie funkcji zmiany organizacyjne, proceduralne A jeśli poprawka jest niedostępna lub nie można jej zastosować?

8 Zapobieganie Identyfikacja i analiza podatności użytkownicy / elementy infrastruktury informacje procedury Wdrażanie zabezpieczeń w kluczowych obszarach, chroniących przed skutkami podatności, wspierających przestrzeganie reguł i blokujących ich naruszanie np.: ochrona środowisk wirtualnych ochrona FW / IPS przed atakami w warstwie aplikacyjnej ochrona ruchu szyfrowanego silne uwierzytelnianie automatyzacja, monitorowanie, analiza zarządzania systemami bezpieczeństwa i ich ochrona Implementowanie narzędzi monitorujących i blokujących działania niezgodne z przyjętymi regułami (wykrywanie nadużyć) Wdrażanie planów awaryjnych

9 Ochrona sieciowa przed atakiem Zunifikowana platforma, nie urządzenie sieciowe Pełna transparentność, In-line o bezpiecznej architekturze filtrowania Wydajna (przepustowość, opóźnienie, sesje, sposoby pomiaru, rodzaj ruchu) Głębokie i wielowarstwowe zarządzanie Odporna na awarie wewnętrznie i sieciowo Chroniąca przed atakami rozproszonymi (reputacja) Filtrowanie ruchu szyfrowanego Praca w warstwie aplikacyjnej z mechanizmami blokowania podatności Nie powodująca fałszywych alarmów (pozytywnych i negatywnych)

10 Platforma uwierzytelniająca Najszersze spektrum metod uwierzytelniania z pudełka, łatwa zmiana przy kompromitacji Mieszanie metod (i / lub), dodawanie narządzi zewnętrznych Menu metod Niski koszt urządzeń Centralna polisa (kto, kiedy, skąd, do czego, po co) Samoobsługa, narzędzia edukujące Monitorowanie nadużyć (Fraud Detection) Mobile Mobile Out-of-Band Machine/ Device Auth Knowledge- Based Grid Scratch Pad Digital Certificates OTP Tokens IP-Geolocation Username & Password Versatile Authentication Platform Smartcards & USB Tokens Mutual Auth

11 Plan awaryjny Jednoznaczne definicje zdarzeń Jasne procedury reakcji na zdarzenia oraz dedykowane siły i środki Automatyczne powiadamianie osób w łańcuchu eskalacji Uruchomienie wielopoziomowej kontroli merytorycznej osób odpowiedzialnych za ochronę w trakcie reagowania Badania aktualizacyjne podatności w świetle specyfiki ataku / zdarzenia Analiza i ocena wewnętrzna Analiza / audyt / dochodzenie zewnętrzne po wydarzeniu

12 Plan awaryjny wsparcie zewnętrzne Wsparcie eksperckie w czasie ataku (7x24, natychmiastowe zdalne, on-site) Dostęp do szerszej bazy wiedzy Wypożyczenie systemu przed / podczas ataku zmiana jakościowa Wypożyczenie systemu przed / podczas ataku zmiana ilościowa Badania podatności Testy i audyty bezpieczeństwa

13 Dziękuję za uwagę Pytania?