Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne
Nadużycia związane z bezpieczeństwem systemów teleinformatycznych oraz awarie stają się coraz powszechniejsze a ich rezultatem mogą być ogromne straty finansowe, utrata reputacji, wysokie koszty naprawy, a nawet upadłość firmy. Inteligentne sieci elektroenergetyczne nie są wyjątkiem.
Bezpieczeństwo informacji Poufność Zapewnienie, że informacja jest dostępna jedynie upoważnionym osobom Integralność Zapewnienie dokładności i kompletności informacji oraz metod przetwarzania Dostępność Zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią aktywów wtedy gdy jest to potrzebne
Incydenty - przykłady ze świata USA, blackout, 14-08-2003 2008 Dwudniowe zamknięcie elektrowni jądrowej Hutch na skutek aktualizacji oprogramowania 2010 Infekcje systemów SCADA w Iranie robakiem Stuxnet, uszkodzenie wirówek 2011 Pojawienie się trojana DuQu przeznaczonego do wykradania danych o systemach nadzoru przemysłowego. 2011 ok. 50 amerykańskich koncernów chemicznych padło ofiarą cyberataków.
Źródła zagrożeń Służby specjalne Hacktywiści Pracownicy Konkurencja Zorganizowane grupy przestępcze (Crime as Service) Wszyscy wykorzystują podatności
Przyczyny Brak właściwej architektury bezpieczeństwa Błędy w zarządzaniu bezpieczeństwem informacji Błędy oprogramowania Błędy i celowe działania ludzi Niewystarczające monitorowanie bezpieczeństwa
Monitorowanie bezpieczeństwa powody Proaktywne wykrywanie zagrożeń Wsparcie usuwania skutków incydentów bezpieczeństwa Wsparcie analizy śledczej Wymogi standardów i regulacji prawnych
Monitorowanie bezpieczeństwa spotykane praktyki brak monitorowania ręczne przeglądanie dzienników zdarzeń wykorzystanie dedykowanych narzędzi przeznaczonych dla wybranych obszarów bezpieczeństwa kompleksowe systemy monitorowania
Monitorowanie bezpieczeństwa dobre praktyki Monitorowanie powinno obejmować: wszystkie atrybuty (poufność, integralność, dostępność) wszystkie obszary (sprzęt, systemy, aplikacje, logika biznesowa) Procesy: monitorowanie poufności monitorowanie podatności monitorowanie dostępności monitorowanie integralności monitorowanie zgodności monitorowanie wycieku danych Zarządzanie zdarzeniami i logami (SIEM) Pełny zapis ruchu sieciowego Monitorowanie bezpieczeństwa powinno być procesem ciągłym (24x7x365)
Monitorowanie poufności okoliczności naruszenia poufności monitorowanie poufności może być realizowane poprzez : śledzenie i wykrywanie niewłaściwych działań użytkowników, wykrywanie włamań lub prób ominięcia zabezpieczeń monitorowanie konfiguracji systemów, aplikacji i urządzeń wykrywanie i monitorowanie podatności monitorowanie uprawnień monitorowanie wykorzystania aktywów (audyt zdarzeń) monitorowanie transferu danych (USB, e-mail, http, ftp)
Monitorowanie integralności integralność danych integralność systemów (mało popularne) współpraca z systemem zarządzania zdarzeniami i logami
Monitorowanie dostępności dostępność infrastruktury technicznosystemowej dostępność usług oprogramowania systemowego i narzędziowego dostępność aplikacji biznesowych badanie parametrów określających obciążenie i wydajność SLA współpraca z systemem zarządzania zdarzeniami
Zarządzanie zdarzeniami i logami Przeznaczenie: zbieranie i analiza informacji o zdarzeniach związanych z bezpieczeństwem informacji wspomaganie audytów archiwizacja informacji o zdarzeniach wykorzystanie w informatyce śledczej Powinno obejmować: wszystkie elementy infrastruktury techniczno-systemowej warstwę logiki biznesowej w miarę możliwości informacje z urządzeń spoza IT (np. systemów kontroli dostępu) SIEM (Security Information and Event Management)
Źródła informacji logi systemów operacyjnych logi urządzeń sieciowych logi rozwiązań bezpieczeństwa (FW, IDS, IPS, AV, itp.) logi baz danych i bazy danych logi aplikacji biznesowych pliki konfiguracyjne katalogi (np. Active Directory) systemy zewnętrzne (np. kontroli dostępu)
Zarządzanie zdarzeniami podstawowe procesy kolekcjonowanie danych o zdarzeniach normalizacja danych agregacja danych kategoryzacja i ustalenie priorytetów korelacja zdarzeń raportowanie
Raportowanie i mierniki Ciągłe raportowanie stanu bezpieczeństwa: incydenty związane z bezpieczeństwem, powiązanie incydentów z podatnościami trendy (np. liczba incydentów, wykryte podatności, aktualizacje oprogramowania, utrzymanie zgodności) Punkt widzenia: kadra zarządzająca audytorzy (wewnętrzni i zewnętrzni) menedżerowie i administratorzy bezpieczeństwa Formy: konsola e-mail SMS Zdefiniowane mierniki bezpieczeństwa
Wdrożenie monitorowania bezpieczeństwa - problemy Pominięte obszary monitorowania Niewłaściwie wybrane narzędzia: brak obsługi niektórych systemów i urządzeń brak skalowalności Heterogeniczne środowiska Nadmiar i/lub brak informacji o zdarzeniach (serwery webowe vs aplikacje) Długi czas strojenia systemu Niewystarczające kompetencje personelu Brak zarządzania systemem monitorowania
Uwagi na zakończenie Brak monitorowania uniemożliwia skuteczne zarządzanie bezpieczeństwem Monitorowanie powinno obejmować możliwie wszystkie aktywa System monitorowania może uchronić przed poważnymi incydentami oraz ułatwić lub umożliwić analizę śledczą System monitorowania musi również monitorować siebie Potrzeba wykwalifikowanego zespołu
Dziękuję za uwagę janusz.zmudzinski@zg.pti.org.pl