Kierunki rozwoju zagrożeń bezpieczeństwa cyberprzestrzeni

Transkrypt

1 Kierunki rozwoju zagrożeń bezpieczeństwa cyberprzestrzeni Michał Pilc Dział Bezpieczeństwa ICT, PCSS Warszawa, Konferencja Kongres Bezpieczeństwa Sieci

2 Agenda PCSS i bezpieczeństwo teleinformatyczne Kierunki rozwoju sieci teleinformatycznych Centra danych i chmury obliczeniowe Sieci Internetu Rzeczy Audyty bezpieczeństwa Pytania, dyskusja 2

3 PCSS Rok założenia 1993 Operator sieci PIONIER oraz POZMAN Uczestnik europejskich i krajowych projektów naukowo-badawczych Realizacja prac B+R z nauką, administracją oraz biznesem Główne obszary zainteresowań Sieci nowej generacji (NGN) Nowe architektury przetwarzania danych Zaawansowane aplikacje Usługi Internetu Rzeczy Bezpieczeństwo sieci i systemów 3

4 Podstawowe obszary działania w zakresie bezpieczeństwa IT Nadzór nad infrastrukturą ( Praca operacyjna ) Zadania bezpieczeństwa w projektach naukowo-badawczych Realizacja misji szkoleniowej Współpraca z jednostkami zewnętrznymi Badania własne w dziedzinie bezpieczeństwa IT 4

5 Trendy w rozwoju sieci teleinformatycznych 5G, Bluetooth LE, IoT (M2M, V2V, IoE), Cloud Computing Wszędobylska sieć, duża liczba urządzeń małej mocy Rozproszenie, fragmentacja, mnogość standardów Wirtualizacja (centra danych, chmury obliczeniowe) Integracja z technologiami przyszłości (komputery kwantowe, lekka kryptografia, bezpieczeństwo warstwy fizycznej) 5

6 Centra danych i chmury obliczeniowe Bezpieczeństwo danych użytkowników i sieci szpital Urząd Miasta małe firmy Wyzwania osoby fizyczne Bezpieczne współdzielenie zasobów Bezpieczny dostęp zdalny Dostępność infrastruktury ochrona przed atakami DDoS (ang. Distributed Denial of Service) środki ochrony fizycznej (np. chłodzenie, kontrola dostępu, systemy ppoż.) ochrona danych (RAID, kopie zapasowe, ochrona dostępu do danych) 6

7 Rodzaje chmur obliczeniowych Ze względu na rodzaj usług i model użycia 1) Ze względu na rodzaj świadczonych usług: IaaS (ang. Infrastructure as a Service) PaaS (ang. Platform as a Service) SaaS (ang. Software as a Service) 2) Ze względu na model użycia: publiczne prywatne wspólnotowe mieszane (hybrydowe) 7

8 Zagrożenia bezpieczeństwa Centra danych i chmury obliczeniowe 1. Bezpieczeństwo danych 2. Interfejs zarządzania chmurą 3. Pracownicy dostawcy centrum danych 4. Nieznany profil ryzyka 5. Utrudnione wykrycie przestępstw komputerowych 6. Współdzielenie zasobów przez wielu klientów 8

9 Ochrona danych w chmurach obliczeniowych Szyfrowanie Szyfrowanie danych: - w spoczynku - przy transporcie - w użyciu SaaS Miejsce szyfrowania danych PaaS IaaS konsument operator trzecia strona aplikacja infrastruktura chmury obliczeniowej pojemnościowe plikowe na poziomie aplikacji 9

10 Szyfrowanie w chmurach obliczeniowych Wyzwania 1. Mechanizmy autoryzacji (np. ABAC) 2. Dostępność zaszyfrowanych danych Integralność zaszyfrowanych danych 4. Zapewnienie bezpiecznych mechanizmów wymiany informacji 5. Zgodność z prawem i standardami 6. Zarządzanie kluczami 7. Przeszukiwanie i sortowanie zaszyfrowanych danych 10

11 Internet Rzeczy (ang. Internet of Things, IoT) Definicja, historia Sieci inteligentne (inteligentny dom, kampus, miasto) Sieci sensorów i urządzeń oraz aplikacji sterujących (ang. wireless sensor and actuator networks, WSAN) Sieci łączące: - urządzenia (ang. device-to-device, D2D), - maszyny (ang. machine-to-machine, M2M), - samochody (ang. vehicle-to-vehicle,v2v) Automatyka przemysłowa, sieci SCADA 14,4 biliony USD rynek IoT do 2022 r. 11

12 Główne czynniki eskalacji problemu bezpieczeństwa w IoT Brak standardyzacji, bardzo duża fragmentacja rozwiązań Konieczność nagłej adaptacji znanych strategii bezpieczeństwa do IoT Bardzo trudna dystrybucja poprawek bezpieczeństwa Ograniczone zasoby obliczeniowe w wielu urządzeniach Wielu użytkowników, korzystających z bardzo różnych rozwiązań 12

13 Przykłady z życia wzięte Zagrożenia, podatności, luki bezpieczeństwa Botnet Mirai październik 2016r. atak DDoS w USA Włamanie do inteligentnej lodówki ujawnienie haseł dostępu do poczty w komputerze domowym (2014) Urządzenie DVR, obsługa rejestratorów kamer przy siódmej próbie zalogowania jako użytkownik admin aplikacja Web daje dostęp do panelu zarządzającego potencjalnie umożliwia włamanie do sieci komputerowej 13

14 Co w takim razie możemy zrobić? Producent urządzeń IoT Myśleć o bezpieczeństwie produktu od samego początku Użytkownik sieci IoT Mieć świadomość zagrożeń oraz właściwie oszacować ryzyko Właściwie skonstruować cykl życia systemu (Secure Development Life Cycle) Wdrożyć odpowiednie mechanizmy uwierzytelniania, kontroli dostępu, Być przygotowanym na właściwą reakcję po staniu się ofiarą ataku 14

15 Nasze badania nad bezpieczeństwem IoT Projekt symbiote Symbiosis of smart objects across IoT environments ( ) Cel: budowa interoperacyjnej platformy dla integracji aktualnych i przyszłych środowisk IoT PCSS działa na kilku obszarach badawczych, m.in. bezpieczeństwa Detekcja anomalii Zapewnienie bezpieczeństwa tworzonych rozwiązań Działania w ramach AIOTI WG 4 15

16 Audyt bezpieczeństwa infrastruktury IT Lepiej zapobiegać, niż leczyć Profilaktyka Znajdowanie słabych punktów przed incydentem bezpieczeństwa Audyt: weryfikacja zgodności stanu istniejącego ze stanem pożądanym działanie zmierzające do wspomagania biorcy audytu Audyt wewnętrzny a zewnętrzny Dlaczego warto przeprowadzić audyt zewnętrzny? niezależna ocena stanu bezpieczeństwa rekomendacje dotyczące przyszłych wdrożeń systemów IT weryfikacja pracy własnych pracowników symulacja ataku i sprawdzenie reakcji personelu 16

17 Obszary merytoryczne audytu Bezpieczeństwo fizyczne Koszty Analiza ciągłości działania Bezpieczeństwo sieci Opłacalność Bezpieczeństwo prawne Audyt teleinformatyczny Bezpieczeństwo dostępu zdalnego Bezpieczeństwo osobowe Bezpieczeństwo stacji roboczych Bezpieczeństwo serwerów

18 Współpraca zewnętrzna w zakresie bezpieczeństwa IT Usługi audytorskie Kompleksowe audyty teleinformatyczne Testy penetracyjne Przeglądy kodu źródłowego i binarnego Testy odporności na ataki DoS/DDoS Usługi doradcze i wdrożeniowe Usługi świadczone w modelu ciągłym Usługi uzupełniające m.in. szkolenia z zakresu bezpieczeństwa Więcej: 18

19 Pytania? 19

20 Dane kontaktowe Autor prezentacji Dział Bezpieczeństwa ICT PCSS PCSS 20

21 Poznańskie Centrum Superkomputerowo - Sieciowe afiliowane przy Instytucie Chemii Bioorganicznej PAN, ul. Noskowskiego 12/14, Poznań, tel : (+48 61) , fax: (+48 61) , office@man.poznan.pl,