Bezpieczny e-urząd. Praktyczne wyjaśnienie techniki ataku APT z wykorzystaniem exploitoraz malware. Andrzej Różański Wiceprezes, Integrated Solutions Aleksander Jagosz - Inżynier Rozwiązań Security w Integrated Solutions Artur Barankiewicz - Inżynier Rozwiązań Security w Orange Polska
Agenda 1. Atak na zasoby IT dostępny dla każdego. 2. Omówienie cyber-zagrożeń dla e-urzędu (JST). 3. Model ochrony JST zcentralizowany / rozproszony. 4. Bezpieczne DC dla świadczenia e-usług.
Sytuacja obecna $ $ Hakerzy są lepiej wyszkoleni i bardziej rzetelni 91% Wzrost w atakach ukierunkowanych w 2015 Ataki Zero-Day są częstsze i łatwiejsze w realizacji 78% Exploit ów wykorzystuje podatności starsze niż 2 lata Ataki zorientowane mogą być zatrzymane jedynie przez dedykowane systemy 71% Włamań wykonuje się na konkretnym użytkowniku, urządzeniu organizacji Ż r ó d ł o : P a l o A l t o N e t w o r k s * R a p o r t z a g r o ż e ń z a 2 0 1 5 r o k
Statystyki związane z naruszeniami 146 DAYS MEDIANA ILOŚCI DNI ZANIM WYKRYTE ZOSTANIE WŁAMANIE 32 DNI TRWA ŁAGODZENIE SKUTKÓW INITIAL WŁAMAŃ BREACH 53% FIRM DOWIADUJE SIĘ O WŁAMANIU OD ZEWNĘTRZYCH PODMIOTÓW 100% OFIAR WŁAMAN MA AKTUALNE SYSTEMY FIREWALL ORAZ ZAKTUALIZOWANE ANTYWIRUSY $3.5M ŚREDNI KOSZT WŁAMANIA Ż r ó d ł o : M A N D I A N T M - T R E N D S R E P O R T, P O N E M O N C O S T O F D A T A B R E A C H S T U D Y
Z naszego podwórka
Z naszego podwórka
captcha
Weryfikacja IP - https
Z czym walczymy? Exploit Złośliwa zawartość wykorzystująca podatność w aplikacji Oszukuje legitymowaną aplikację celem wykonania własnego kodu dostarczonego przez atakującego Często ukryty w plikach typu ms office, pdf, flash Mały rozmiar pliku Malware Złośliwy kod w postaci pliku wykonywalnego Nie bazuje na żadnej znanej podatności aplikacji Automatycznie wykonuje kod skupia się na przejęciu kontroli nad stacją Typ pliku to najczęściej exe, dll Duży rozmiar pliku Exploit vs. Malware
Cykl życia ataku Zebranie informacji Wprowadzenie exploit a Wykonanie malware u Kanał kontroli Kradzież danych Zaplanowanie ataku Infekcja po cichu Wykonanie złośliwego EXE Malware komunikuje się z atakującym Kradzież, Sabotaż, Destrukcja Exploit Server Callback Server Encrypted Malware C & C Server
Rekonesans. Reconnaissance Rekonesans
Pokaz praktyczny
Phishing - Fishing.
Spear Fishing.
Metody dostarczenia malware. Mail Spear Phishing Social Engineering From: promocje@cinema-city.pl To: me@my.compay.com + Bilet.pdf
Pokaz praktyczny
Zagrożenia dla JST Ataki DDOS Włamanie do infrastruktury Zaawansowane ataki APT - malware Wyciek danych - DLP Włamanie na stronę internetową Wirusy
Zagrożenia metody ochrony Zagrożenia Metoda ochrony umiejscowienie Ataki DDOS Anty DDOS Usługa operatorska Włamanie do infrastruktury NGFW lokalny lub centralny ataki APT (malware) system antymalware lokalny lub/i centralny Wyciek informacji System DLP (Data Leakage Prevention) lokalny lub/i centralny Włamanie na stronę internetową WAF (Web Application Firewall) lokalny lub centralny Wirusy system antywirusowy lokalny i centralny
Bezpieczny Internet MODEL ROZPROSZONY: Rozmieszczenie rozwiązań Security na brzegu sieci klienckiej INTERNET MODEL CENTRALNY : bardziej wydajna i ekonomiczna alternatywa, inteligencja umiejscowiona w centralnym HUB INTERNET VPN, AntyMalware, Firewall, IPS, Anti-Virus,Web Filtering(...) Edge Sieć IP Edge HUB VPN, AntyMalware, Firewall, IPS, Anti-Virus,Web Filtering(...) Edge Edge Moduły Security zaimplementowane wewnątrz sieci HUB Lepsza ochrona sieci oraz aplikacji jst 1 Firma 2 Firma 1 Firma 2 Model Premis-Based: Klient inwestuje w rozwiązanie bezpieczeństwa na brzegu swojej sieci IPS, Firewalls, Anti-Virus, Web Filtering wdrażane dla każdego podmiotu niezależnie Różne polityki bezpieczeństwa dla różnych jednostek Różne polityki dla lokalizacji z dedykowanymi dostępami do Internetu Trudno skalowalne rozwiązania Mniej efektywny i mniej wydajny model Wymagane kompetencje / zasoby ludzkie Model Cloud Based / HUB Jeden centralny punkt bezpieczeństwa Szeroki zakres ataków jest odpierany w ramach sieci hub przed dotarciem do sieci klienta Centralna polityka bezpieczeństwa, Centralne system do zarządzania, informowania i raportowania Łatwa skalowalność Wydajne, efektywne kosztowo i kompletne rozwiązanie Wysoka dostępność usługi (HA)
Bezpieczny e-urząd model rekomendowany - mieszany Internet MODEL Centralny z zabezpieczeniami lokalnymi SOC AV DLP AntyMalwar e sieć JST #1 sieć JST #2 AV DLP AntyMalware HUB Security sieć JST #3 Serwer WWW AV DLP AntyMalware Model Lokalny HUB Security Jeden centralny punkt bezpieczeństwa Centralna polityka bezpieczeństwa, Centralne system do zarządzania, informowania i raportowania w tym SOC NGFW, IPS, AV, WAF, Antymalware, URL Filtering Wysoka dostępność usługi (HA) Zabezpieczenia Lokalne Systemy bezpieczeństwa na stacjach i serwerach Antywirus, DLP, Antymalware Opcjonalnie - lokalne aplikacje Web Model centralny - Ruch szyfrowany (IPSec) MPLS/ Łącza dedykowane
Bezpieczne DC model hybrydowy Usługi Cloud DC Internet Prywatne DC HUB security Bezpieczne Łącze LAN Lokalizacja 1 LAN Lokalizacja n LAN Lokalizacja 2
Infrastruktura SDN - Data Center Aplikacje Maszyny wirtualne Kontenery Bridging VLANów Loadbalancer Mechanizmy bezpieczeństwa Wirtualny węzeł usługowy FW,NAT,LB,SSL,BGP,OSPF,DHCP
Mikrosegmentacja: większe bezpieczeństwo App 1 App 2 Firewall brzegowy Firewall Rozproszony DMZ App DB Każda maszyna VM może być osobnym obszarem Polityki przypisane do grup maszyn VM Włamanie do jednej z maszyn nie oznacza włamania do innych VM Automatyczna kwarantanna Reguły FW poruszają się za VM Usługi Współdzielone AD NTP DHCP DNS CERT
Pytania?