Operator telco na pierwszej linii ognia. Obywatele, biznes a cyberbezpieczeństwo

Transkrypt

1 Operator telco na pierwszej linii ognia Kraków, 19 maja 2016 Obywatele, biznes a cyberbezpieczeństwo 1 Orange Restricted Tomasz Matuła, dyrektor Infrastruktury ICT i Cyberbezpieczeństwa Orange Polska

2 Czy to tylko ewolucja biurka? 2 Orange Restricted Lata 80 Spadające litery, Kropkojad, Piątek 13 Lata 00 Iloveyou Lata 10 Conficker

3 Cyberbezpieczeństwo w sieci Orange w liczbach Trendy 2015 Blisko 6 mld zdarzeń miesięcznie Ponad 150 tys. alarmów miesięcznie 6 tys. alertów DDoS Prawie 1,7 tys. incydentów miesięcznie Kilkadziesiąt udaremnionych kampanii malware DDoS średnie szczytowe nateżenie ruchu 1.1 Gbps max szczytowe natężenie ruchu 46 Gbps Wzrost próbek mobilnego złośliwego oprogramowania 60% Wzrost próbek oprogramowania ransomware 300% Ataki phishingowe Wyłudzanie dostępu do bankowości elektronicznej 3 Orange Restricted

4 Cyberbezpieczeństwo w sieci Orange w liczbach Trendy I Q 2016 Wzrost próbek mobilnego złośliwego oprogramowania 136% Wzrost próbek oprogramowania ransomware 75% Ataki phishingowe Program 500+ Bankowość elektroniczna SamSam ransomware atakujący służbę zdrowia njrat Centrum dowodzenia... Twoim komputerem Ataki na bankomaty wzrost o 546% 4 Orange Restricted

5 Case 2016 I kwartał 2016: ransomware w fałszywym powiadomieniu Pozyskanie informacji o kampanii phishingowej od Klientów. Wiadomość podszywała się pod powiadomienie od Poczty Polskiej i zawierała link do oprogramowania Cryptolocker (rodzaj ransomware) Okup za odszyfrowanie danych 1299 PLN przez krótki okres, a później 2399 PLN. 5 Orange Restricted

6 Case 2016 I kwartał 2016: ransomware w fałszywym powiadomieniu Pozyskanie informacji o kampanii phishingowej od Klientów. Wiadomość podszywała się pod powiadomienie od Poczty Polskiej i zawierała link do oprogramowania Cryptolocker (rodzaj ransomware) Okup za odszyfrowanie danych 1299 PLN przez krótki okres, a później 2399 PLN. Co zrobiliśmy? Poddaliśmy analizie składniki kampanii (maile, strony, domeny, próbki oprogramowania) Blokowaliśmy ruch do stron ze złośliwym oprogramowaniem (wszyscy użytkownicy sieci Orange Polska ), co uniemożliwiło zaszyfrowanie danych na komputerach ofiar Zablokowana liczba odwołań ok.10 tys. Ostrzeżenia i porady na stronach CERT.Orange.pl oraz blog.orange.pl Skuteczna ochrona klientów Orange Polska 6 Orange Restricted

7 Case maj 2016 W ostatnich dniach dwa największe pod względem użytkowników internetowych polskie banki padły ofiarami ataków DDoS. Był wśród nich Klient naszej usługi DDoS Protection. Jeden z banków otrzymał żądanie okupu (20 bitcoinów, czyli ok. 35 tys. PLN) Atak na bank chroniony naszą usługą DDoS Protection miał miejsce na początku maja i trwał ok. 1 godziny; średni wolumen ataku ok. 3Gbps (giga bitów na sekundę), a maksymalna wartość osiągnęła 7Gbps. 7 Orange Restricted

8 Case maj 2016 W ostatnich dniach dwa największe pod względem użytkowników internetowych polskie banki padły ofiarami ataków DDoS. Był wśród nich Klient naszej usługi DDoS Protection. Jeden z banków otrzymał żądanie okupu (20 bitcoinów, czyli ok. 35 tys. PLN) Atak na bank chroniony naszą usługą DDoS Protection miał miejsce na początku maja i trwał ok. 1 godziny; średni wolumen ataku ok. 3Gbps (giga bitów na sekundę), a maksymalna wartość osiągnęła 7Gbps. Co zrobiliśmy? Bank został przez nas skutecznie obroniony przed atakiem, jego klienci nie zauważyli niedostępności systemu bankowości elektronicznej Ataki z ostatnich dni na dwa największe banki spowodowały podniesienie poziomu gotowości innych instytucji finansowych, które proszą nas o zachowanie szczególnej czujności. Skuteczna ochrona Klientów Orange Polska 8 Orange Restricted

9 Case 2016 Kampanie phishingowe Program Rodzina 500+ (podszywające się pod portale umożliwiające złożenie wniosku) Subskrybcja usług Premium SMS 9 Orange Restricted

10 Case 2016 Kampanie phishingowe Program Rodzina 500+ (podszywające się pod portale umożliwiające złożenie wniosku) Subskrybcja usług Premium SMS Podjęte działania: Zablokowanie wszystkim Klientom Orange Polska dostępu do stron phishingowych Komunikacja awarness owa do użytkowników odwołujących się do podstawionych stron Współpraca z firmami hostingowymi usunięcie z serwerów złośliwej zawartości wystawionej przez atakujących 10 Orange Restricted

11 Case 2016 Kampanie phishingowe podszywające się pod bankowość elektroniczną Wyłudzanie danych umożliwiających wykonanie operacji w systemach bankowości elektronicznej lub wyłudzanie danych z kart płatniczych 11 Orange Restricted

12 Case 2016 Kampanie phishingowe podszywające się pod bankowość elektroniczną Wyłudzanie danych umożliwiających wykonanie operacji w systemach bankowości elektronicznej lub wyłudzanie danych z kart płatniczych Podjęte działania: Zablokowanie wszystkim Klientom Orange Polska dostępu do stron phishingowych Komunikacja awarness owa do użytkowników odwołujących się do podstawionych stron Współpraca z firmami hostingowymi usunięcie z serwerów złośliwej zawartości wystawionej przez 12 Orange Restricted atakujących

13 Cyberbezpieczeństwo jak to robi Orange Polska Incydenty obsługiwane przez SOC OPL Średnie, miesięczne dane 15 Zdarzenia Przeanalizowane alarmy Incydenty Ciągła edukacja i Podnoszenie 13 Orange Restricted świadomości Współpraca i wymiana informacji Security by Design 0-daymalware detection Security in Depth SOC/ CERT 24h/7/365 Kompetencje

14 Cyberbezpieczeństwo jak to robi Orange Polska 30+ Klientów usługi DDoS Protection 80+ Specjalistów i ekspertów Dostęp do rozwiązań bezpieczeństwa ITN na etapie R&D, partnerstwo ze światowymi liderami (McAfee, SourceFire/Cisco, Crossbeam/BlueCoat) Współpraca operacyjna z jednostkami CSIRT w Polsce i za granicą (CERT, CERT EU, Abuse Forum, FIRST, Terena Trusted Introducer) 14 Orange Restricted Ok. 100 Certyfikatów w różnych obszarach IT i sieci, z naciskiem na bezpieczeństwo (m.in. CISA, CISM, CISSP, SABSA, ITIL, ISO, CISCO, Juniper, Sourcefire, ArcSight) 19 lat Lat doświadczenia i dostosowywania procesów procedur i standardów operacyjnych zagrożeń objętych CyberTarczą Laboratorium dedykowane dla testów hardware i software używanego i dostarczanego przez OPL, testowanie kodów źródłowych krytycznych aplikacji, platform usługowych i sieci

15 Cybertarcza chroni wszystkich Klientów Orange Polska Użytkownik może na bieżąco sprawdzić, czy jego komputer nie jest zagrożony Ochrona przed wyciekiem wrażliwych danych, w tym haseł do kont bankowych, portali społecznościowych, poczty , Ochrona przed wykorzystaniem zainfekowanych komputerów do działań przestępczych (m.in. ataki DDoS, spam) Minimalizacja zagrożeń związanych ze złośliwym oprogramowaniem niewykrywanym jeszcze przez antywirusy Platforma komunikacyjna dla zagrożonych użytkowników Pasywna ochrona dla użytkowników całej sieci Orange 15 Orange Restricted

16 CyberTarcza Orange Trendy 2015/ IQ 2016 Liczba klientów Neostrady poinformowana o infekcji i dodana do kwarantanny % rezygnacji z CyberTarczy w 2015 w I Q 2016 w 2015 w I Q ,5 tys. 48 tys. 0,1 0,03! Stała edukacja przynosi efekty 16 Orange Restricted

17 Usługi cyberbezpieczeństwa dla biznesu DDoS Protection Secure DNS Audyt kodu Analizy malware SOC as a Service Malware protection Web Application Protection Audyt polityki bezpieczeństwa Skanowanie podatności Testy wydajnościowe Stopphishing Testy penetracyjne 17 Orange Restricted

18 Operator sieci na pierwszej linii Skuteczne strategie ochrony i obrony Permanentna, stała i konsekwentna edukacja wszystkich! Security by design Bezpieczeństwo obecne na każdym etapie cyklu projektowego SOC Monitoring, identyfikacja zagrożeń i ich jak najszybsza minimalizacja Dane i informacje Co ważne? Regulacje, standardy Zarządzanie uprawnieniami Defense in depth Wielowarstwowa ochrona zasobów 0-daymalware detection Tradycyjne metody to za mało

19 Dziękuję 19 Orange Restricted Tomasz Matuła, dyrektor Infrastruktury ICT i Cyberbezpieczeństwa Orange Polska

20 Co może nas czekać w 2016? Masowe ataki phishingowe oraz spamowe Częstsze ataki wykorzystujące ransomware Utrzymanie trendu rosnącego ataków na urządzenia mobilne Ataki DDoS utrzymanie trendu; częste występowanie, coraz większa siła ataków Wzrost liczby ataków związanych z Internetem Rzeczy Spektakularne ataki ukierunkowane na organizacje i organy administracji publicznej Ataki wielowektorowe 20 Orange Restricted