Rola i zadania polskiego CERTu wojskowego Tomasz DĄBROWSKID Tomasz STRYCHAREK CENTRUM KOORDYNACYJNE SYSTEMU REAGOWANIA NA INCYDENTY KOMPUTEROWE RESORTU OBRONY NARODOWEJ 1
AGENDA 1. Podstawy funkcjonowania CERTu wojskowego 2. Struktura SRnIK 3. Rola i zadania komórek SRnIK 4. Współpraca praca 5. Reagowanie na incydenty komputerowe - przykład 6. Osiągni gnięcia i rezultaty działania ania 7. Kierunki rozwoju 8. Wnioski 9. Kontakt 2
Podstawy funkcjonowania CERTu wojskowego 1. Szczyt NATO w Pradze 2002 r. 2. Powołanie krajowych komórek SRnIK 2004 r. 3. Decyzja Nr 357/MON Ministra Obrony Narodowej z dnia 29 lipca 2008 r. w sprawie organizacji i funkcjonowania systemu reagowania na incydenty komputerowe w resorcie obrony narodowej (Dz. Urz. MON Nr 16 poz. 205). 3
Struktura organizacyjna Systemu Reagowania na Incydenty Komputerowe DEPARTAMENT INFORMATYKI I TELEKOMUNIKACJI MON Centrum Koordynacyjne SRnIK (WBBŁiI) Centrum Wsparcia Technicznego SRnIK (CZST) Administratorzy systemów i sieci teleinformatycznych 4
Constituency Internet domeny: mon.gov.pl, wp.mil.pl; resortowe systemy i sieci niejawne 5
Rola i zadania komórek SRnIK Departament Informatyki i Telekomunikacji MON Centrum Koordynacyjne SRnIK (WBBŁiI) Centrum Wsparcia Technicznego SRnIK (CZST) Administratorzy systemów i sieci teleinformatycznych NADZÓR ZATWIERDZANIE DOKUMENTÓW SZKOLENIA PROCEDURY DZIAŁANIA DZIAŁANIA PROAKTYWNE WSPÓŁPRACA ZEWNĘTRZNA INFORMATYKA ŚLEDCZA OBSŁUGA INCYDENTÓW 24/7 KONTROLA KONFIGURACJI RAPORTOWANIE MONITORING SIECI NADZÓR UŻYTKOWNIKÓW ZGŁASZANIE INCYDENTÓW 6
Szczegółowe zadania Centrum Koordynacyjnego SRnIK koordynacja procesu reagowania na incydenty komputerowe w systemach i sieciach teleinformatycznych resortu obrony narodowej; określanie zasad funkcjonowania SRnIK; nadzór r nad realizacją zadań przez Centrum Wsparcia Technicznego SRnIK; prowadzenie działań proaktywnych (analiza infrastruktury teleinformatycznej i opracowywanie zaleceń zapobiegających wystąpieniu incydentów); współpraca praca w zakresie reagowania na incydenty komputerowe i bezpieczeństwa teleinformatycznego; analizowanie informacji o zdarzeniach oraz tworzenie na ich bazie e okresowych raportów o stanie bezpieczeństwa w systemach i sieciach teleinformatycznych; udział w pracach grup roboczych NATO oraz reprezentowanie resortu obrony narodowej w kontaktach z organizacjami pozaresortowymi w zakresie reagowania na incydenty w systemach i sieciach teleinformatycznych; prowadzenie portali informacyjnych na potrzeby obsługi incydentów w komputerowych. 7
Szczegółowe zadania Centrum Wsparcia Technicznego SRnIK monitorowanie w trybie ciągłym stanu bezpieczeństwa resortowych systemów w i sieci teleinformatycznych; zbieranie informacji o zdarzeniach oraz tworzenie na ich bazie raportr aportów o stanie bezpieczeństwa w nadzorowanych systemach i sieciach teleinformatycznych; prowadzenie kontroli konfiguracji systemów w i sieci teleinformatycznych; obsługa incydentów w w resortowych systemach i sieciach teleinformatycznych; udzielanie pomocy administratorom w trakcie obsługi incydentu oraz przywracania funkcjonowania systemu lub sieci teleinformatycznej po zaistniałym incydencie; stosowanie zaakceptowanych środków w technicznych i organizacyjnych oraz narzędzi do zdalnego zarządzania i kontroli konfiguracji sieci i systemów w teleinformatycznych; wnioskowania do właściwego w pionu ochrony w sprawie czasowego wyłą łączania lub zaniechania przetwarzania informacji w systemie lub sieci teleinformatycznej, w której stwierdzono wystąpienie incydentu komputerowego; prowadzenia ewidencji administratorów w systemów w i sieci teleinformatycznych. 8
Szczegółowe zadania Administratorów w w zakresie SRnIK przestrzeganie obowiązuj zujących dokumentów w normatywnych i zaleceń w zakresie przeciwdziałania ania naruszeniom bezpieczeństwa systemów w i sieci teleinformatycznych; nadzorowanie użytkowniku ytkowników w administrowanych przez nich systemów w i sieci teleinformatycznych w zakresie przestrzegania ustalonych procedur r bezpieczeństwa; wykonywanie poleceń CWT SRnIK w zakresie przeciwdziałania ania wystąpieniu i reagowania na incydenty komputerowe; współpraca praca z właściwymi w instytucjami w zakresie zabezpieczenia śladów w i ustalenia przyczyn wystąpienia incydentu; zgłaszanie do CWT SRnIK oraz inspektora bezpieczeństwa teleinformatycznego wykrytych naruszeń bezpieczeństwa oraz wszelkich zdarzeń mogących wpłyn ynąć na naruszenie bezpieczeństwa teleinformatycznego w administrowanych przez nich systemach i sieciach teleinformatycznych; informowanie CWT SRnIK o zmianach personalnych administratorów w oraz istotnych zmianach w konfiguracji systemów i sieci teleinformatycznych mogących mieć wpływ na ich bezpieczeństwo. 9
Współpraca praca (obsługa incydentów, szkolenia, spotkania, projekty, doradztwo) DEPARTAMENT INFORMATYKI I TELEKOMUNIKACJI MON DOIN MON SGWP ŻW Centrum Koordynacyjne SRnIK (WBBŁiI) Centrum Wsparcia Technicznego SRnIK (CZST) Administratorzy systemów i sieci teleinformatycznych Piony ochrony Służba Ochrony Państwa Zespoły reagowania na incydenty komputerowe spoza RON (CERT GOV PL, CERT Polska) Struktury reagowania na incydenty komputerowe NATO (NATO CIRC) NCIRC Technical Centre RESORT OBRONY NARODOWEJ 10
Reagowanie na incydenty komputerowe - przykład Sfera wojskowa INTERNET Sfera cywilna intruz, haker administrator Centrum Koordynacyjne Zgłoszenie incydentu Centrum Wsparcia Technicznego CERT POLSKA CERT GOV DIT ŻW Służba Ochrony Państwa
Osiągni gnięcia 1) wdrożenie Decyzji 357/MON ws.. organizacji i funkcjonowania SRnIK; 2) opracowanie podręcznika SRnIK oraz Standardowych Procedur Operacyjnych; 3) współpraca praca z NCIRC (wymiana doświadcze wiadczeń); 4) uruchomienie systemu wczesnego ostrzegania dla administratorów - przesyłanie biuletynów w bezpieczeństwa (SRnIK( SRnIK,, NCIRC TC) oraz czarnej listy źródeł oprogramowania złośliwego; z 5) współpraca praca z Departamentem Bezpieczeństwa Teleinformatycznego ABW w zakresie systemu ARAKIS GOV; 1) członkostwo w ABUSE-FORUM (od 2008 r.); 2) wprowadzenie centralnej ochrony antywirusowej w sieciach niejawnych; 3) wdrożenie systemu obsługi zgłosze oszeń (Request Tracker); 4) koncepcja systemu wykrywania włamaw amań; 5) podnoszenie świadomości użytkowniku ytkowników w poprzez realizację szkoleń. 12
Rezultaty działania ania Statystyka incydentów w 2007 roku Typ incydentu Liczba Procent OPROGRAMOWANIE ZŁOŚLIWEZ ZŁE E PRAKTYKI NIEPOŻĄ ŻĄDANA ZAWARTOŚĆ PRÓBA UZYSKANIA NIEUPRAWNIONEGO DOSTĘPU INNE NARUSZENIE BEZPIECZEŃSTWA INFORMACJI RAZEM 183 139 76% 33 18% 2 0,01% 1 0,005% 7 0,04% 1 0,005% 13
Rezultaty działania ania Porównanie statystyki incydentów w 2007 i 2008 roku (sieć resortowa) 10000 1000 rok 2008 rok 2007 1904 675 100 139 33 10 1 2 naruszenie b ezpieczeństwa informacji 1 1 1 prób a uzyskania nieuprawnionego dostępu 2 2 niepożądana zawartość malware 3 0 oszustwa komputerowe złe praktyki 14
Kierunki rozwoju 1) wdrożenie centralnego zarządzania konfiguracją stacji roboczych w sieciach niejawnych; 2) wdrożenie mechanizmów w umożliwiaj liwiających wyszukiwanie słabych; s niezabezpieczonych elementów w sieci (audyt, wykrywanie podatności); 3) uruchomienie systemu agregacji, filtracji i korelacji zdarzeń z różnego r typu sensorów w rozmieszczonych w sieciach resortowych; 4) rozwijanie zdolności w zakresie analizy powłamaniowej amaniowej; 5) wdrożenie systemu kontroli dostępu użytkowniku ytkowników w i urządze dzeń do sieci; 6) rozbudowa systemu wykrywania włamaw amań (NIPS, HIPS). 15
Wnioski z funkcjonowania CERT wojskowego Ścisła a współpraca praca w zakresie zapobiegania i zwalczania cyberterroryzmu na szczeblu państwa (administracja rządowa, firmy komercyjne, dostawcy usług) ug) Ochrona infrastruktury krytycznej niezbędnym warunkiem zapewnienia bezpieczeństwa państwa Synergia działań technicznych i organizacyjno-prawnych Konieczność adaptacji do nowych uwarunkowań i zagrożeń Podnoszenie świadomości użytkowniku ytkowników w w zakresie występuj pujących zagrożeń i mechanizmów w ochrony 16
Kontakt Zakres odpowiedzialności CK SRnIK (koordynacja reagowania na incydenty i przestępstwa komputerowe) CWT SRnIK (wsparcie techniczne reagowania na incydenty komputerowe) Dane adresowe Wojskowe Biuro Bezpieczeństwa Łączności i Informatyki Odział Reagowania na Incydenty Komputerowe ul. Puławska 4/6 00-909 Warszawa tel.: +48 22 6 842 555 faks: +48 22 6 870 449 WWW: www.wbblii.mon.gov.pl e-mail: circ@mon.gov.pl Centrum Zarządzania Systemami Teleinformatycznymi Wydział Zarządzania Bezpieczeństwem Teleinformatycznym ul. Rakowiecka 4a 00-909 Warszawa tel.: +48 22 6 871 641 faks: +48 22 6 871 400 WWW: www.czst.wp.mil.pl e-mail: cwt.circ@wp.mil.pl 17
DZIĘKUJ KUJĘ ZA UWAGĘ 18