Praktyczna współpraca i zamierzenia w zakresie cyberbezpieczeństwa / założenia pracy energetycznego ISAC-PL

Transkrypt

1 Praktyczna współpraca i zamierzenia w zakresie cyberbezpieczeństwa / założenia pracy energetycznego ISAC-PL Jarosław Sordyl jaroslaw.sordyl@pse.pl Zastępca Dyrektora ds. Cyberbezpieczeństwa PSE S.A. SIwE 18 Wisła listopada 2018 r.

2 Dlaczego warto współpracować? 2

3 KSE: Zespół naczyń połączonych 1. Poziom fizyczny: duża awaria u jednego dystrybutora wpływa na funkcjonowanie całego KSE 2. Poziom teleinformatyczny: atak na jednego dystrybutora może oznaczać rychły atak na pozostałych 3

4 Ataki na Ukrainę w 2015 roku Kilku dystrybutorów i jeden OSP dostają te same wiadomości phishingowe Infekcja wirusem następuje w kilku firmach na kilka miesięcy przed atakiem Zmasowany atak następuje w jednym momencie, powodując poważną awarię 4

5 Współpraca przy awariach Ministerstwo Energii, OSP oraz OSD zauważyli potrzebę współpracy przy usuwaniu skutków awarii sieci elektroenergetycznej 8 sierpnia porozumienie o współpracy Cel: przyspieszenie przywracania dostaw energii elektrycznej Jak szybko jesteśmy się w stanie odbudować po ataku w cyberprzestrzeni? sami? współpracując? 5

6 Dobre praktyki USA E-ISAC EE-ISAC Europa Japonia JE-ISAC 6

7 Rekomendacja SANS po PolEx 2018 Pursue E-ISAC like structure and capability 7

8 Założenia współpracy 8

9 3 filary Reakcja na incydenty Regularne spotkania Wymiana informacji i analiza 9

10 Reakcja na incydenty 1. Analiza ataków W razie ataku organizacja zbiera próbki i przesyła do analizy partnerom Partnerzy analizują jakie dodatkowe cechy ma atak i dzielą się IoC 2. Koordynacja działań współpraca z organami państwowymi (CERTy, służby, organy ścigania itp.) Cel: szybkie usuwanie skutków ataku i zapobieganie propagacji = ratownictwo 10

11 Wymiana informacji i analiza 1. Analiza informacji Przekazywanie istotnych informacji z otwartych (OSINT) i zamkniętych źródeł Dzielenie się IoC od partnerów zagranicznych Kalendarz konferencji i szkoleń 2. Analiza podatności Organizacja pyta o podatności produktów partnerów Partnerzy informują o swoim stanie wiedzy, mogą (w miarę możliwości) przeprowadzić testy Cel: przygotowanie organizacji na nadchodzące ataki = uodpornianie 11

12 Regularne spotkania 1. Spotkania na poziomie menadżerskim omówienie zagrożeń i kierunków pracy eliminowanie problemów z komunikacją 2. Grupy robocze wymiana doświadczeń (m. in. PoC, opinie o szkoleniach i konferencjach) ustalenie aspektów technicznych współpracy Cel: utrzymanie spójnego stanu wiedzy o cyberbezpieczeństwie = profilaktyka 12

13 Aspekty techniczne i organizacyjne 13

14 E-ISAC-PL Elektroenergetyczne Centrum Analityczno-Informacyjne ISAC = ang. Information Sharing and Analysis Centre wzorowane na amerykańskim E-ISAC i europejskim EE-ISAC zadania: zbieranie i współdzielenie informacji o zagrożeniach bezpieczeństwa sieci IT i OT prowadzenie badań nad nowymi zagrożeniami wspieranie i koordynacja prac zespołów bezpieczeństwa w spółkach elektroenergetycznych dostęp do zasobów na równych zasadach (partnerstwo) współpraca na poziomie organizacyjnym (umowy) i technicznym (narzędzia) 14

15 MISP MISP = ang. Malware Information Sharing Platform platforma open-source struktura rozproszona obsługa STIX, OpenIoC, JSON, XML i CSV rozbudowana kolaboracja współpraca z IDS i SIEM dostęp przez UI i API 15

16 MISP zastosowanie Organizacja A znajduje złośliwy plik o skrócie N pod adresem xyz.com Organizacja B znajduje złośliwy plik o skrócie N pod adresem abc.com Organizacje A i B blokują adresy xyz.com i abc.com oraz skrót N 16

17 Harmonogram E-ISAC-PL Rozszerzenie (aneksowanie) umów o współpracy 2H 2018 Uruchomienie instancji testowej MISP listopad 2018 próbne podłączenie instancji współpracujących Definiowanie wymagań platformy współpracy grudzień 2018 / styczeń 2019 testowanie platformy TheHive + Cortex dodanie (zakup) źródeł zasilających Cortex rozszerzenie TheHive o dodatkowe moduły (forum?) Wybór i testowanie wspólnej piaskownicy 1Q 2018 dostęp online zasilanie danymi TheHive/Cortex 17

18 Wymiana informacji cotygodniowe biuletyny: OSINT, podatności, IoC kanały informacyjne: WWW, Twitter 18

19 Regularne spotkania Spotkania kwartalne Wspólne ćwiczenia sztabowe (table-top) blue team vs. red team Szkolenia ICS 19

20 Jarosław Sordyl Zastępca Dyrektora ds. Cyberbezpieczeństwa PSE S.A.