Nie kupuj autobusu......gdy wystarczy Ci po prostu bilet Artur Barankiewicz, Andrzej Karpiński Warszawa, 24 kwietnia 2013
Święty Graal czyli co chcemy osiągnąć? Czy to oznacza że jest beznadziejnie? 2
Co zatem możemy zrobić? Budować właściwie rozwiązania kolejne marzenie Zarządzać podatnościami Wdrożyć patch management Mitygować ryzyko narzędziami bezpieczeństwa Monitorować zdarzenia Minimalizować straty 3
Z czym mamy do czynienia? Wirusy Utrata rozliczalności Nadużycia uprawnieo Błędy administracyjne Kradzież danych Inne INTRANET Wirusy Ataki hakerskie Nadużycia w usługach Kompromitacja wizerunku Phishing Spam Inne INTERNET 4
Jak wygląda typowa organizacja? Partnerzy biznesowi Centrum przetwarzania danych Strefa Przemysłowa / usługowa INTERNET Styk z sieciami zewnętrznymi Dostęp WiFi Sieć biurowa Strefa zarzadzania Dostęp mobilny 5
Co to oznacza? Konieczność interpretacji dużej ilości danych z różnorodnych źródeł Access and Identity Data Security Integrated Security SIEM NBAD Policy Management Vulnerability Mgmt Anti-Virus Firewalls Log Consolidation Network Management Router Web Cache Applications Honeypot Mail Filtering Network Monitoring Security Management Web Filtering Content Security Host IDS/IPS Mail Server Net Traffic Analysis Switch Web Server Database Network IDS/IPS Mainframe Operating System VPN Wireless * Źródło materiały firmy HP 6
SIEM - Security Information and Event Management System do zbierania, korelacji i analizy logów Umożliwia zbieranie informacji w postaci logów z różnych źródeł: urządzeń sieciowych (syslog, snmp) urządzeń bezpieczeństwa (firewalle, ips) systemów antywirusowych serwerów (syslog, windows event log) aplikacji (logi tekstowe, wplikacyjne, binarne) baz danych (tabele z logami) urządzeń pomiarowych systemów autoryzacji automatyki przemysłowej kontroli dostępu 7
Informacje po przyjściu podlegają przetwarzaniu: są buforowane, mogą być wysyłane paczkami są oznaczane (suma kontrolna), podlegają szyfrowaniu i kompresji są przesyłane z wyniesionych connectorów do systemu centralnego dostają unikalny i jednoznaczny znacznik czasu (problem jednoznaczności czasu) są parsowane i analizowane, dzielone na pola, standaryzowane, normalizowane dokładane są do nich informacje (np. znaczniki z nazwą systemu czy klienta) są zapisywane do bazy danych i indeksowane według wcześniej zadanego klucza są wstępnie analizowane i poddane procesom decyzyjnym 8
Po zapisaniu w bazie: podlegają zdefiniowanym procesom decyzyjnym, mogą wzbudzać alarmy, aktywować skrypty, podlegać zliczaniu itd. dane mogą stanowić punkt wyjścia dla raportów, analiz i zestawień liczniki i korelacje zdarzeń mogą implikować określone akcje są dostępne do przeszukiwania dla operatora mogą być punktem wyjścia do prowadzenia forensicu i przeszukiwania wizualizacje graficzne pozwalają szybko ocenić trendy i odchylenia można tworzyć zbiorcze zestawienia i raporty dotyczące miliardów linii logów po określonym czasie logi podlegają kompresji i archiwizacji, ale można do nich wrócić 9
Proces budowania systemu SIEM: 10 decyzja o biznesowej potrzebie posiadania systemu zbierania i analizy logów wybór modelu wdrożenia: własny SIEM vs outsourcing, własny SOC vs zewnętrzny wybór platformy i technologii: Orange Polska wybrało ArcSight dobór licencji, konfiguracji systemu, wolumetryka, wymiarowanie (można się bardzo pomylić!) określenie celu wdrożenia, źródeł danych analiza źródeł danych, ręczna analiza próbek logów instalacja bazowej platformy: serwery, macierze, OS, oprogramowanie DB i SIEM przygotowanie connectorów i parserów wprowadzenie zmian w systemach bazowych podłączenie źródeł danych stworzenie mapy assetów opracowanie logiki biznesowej opracowanie i wdrożenie procedur operacyjnych ciągły proces życia : aktualizacja logów, parserów, analiza informacji, reagowanie na incydenty
Czym więc jest SOC? Narzędzia SIEM oraz wszelkie narzędzia wspomagające stanowią podstawę działania SOC Procesy i Procedury Jasne zasady działania usankcjonowane na styku z Klientami oraz jednostkami wewnętrznymi są niezbędne do realizacji operacji Ludzie Odpowiedzialność, profesjonalizm i zaangażowanie ludzie to kluczowy zasób niezbędny realizacji operacji Wiedza Kompetencje, ich budowa i baza wiedzy budowane na bieżąco stanowią kluczowy element jakości realizacji operacji 11
Robi wrażenie? Brzmi skomplikowanie? Jedno i drugie? Nieco żartobliwie rozbudowany system monitorowania można porównać do autobusu komunikacji miejskiej Zaczynamy od silnika, monitorującego bezpieczeństwo poprzez zbieranie, analizę i korelację danych z wielu różnych, często bardzo zróżnicowanych źródeł. Silnik na nic jednak się nie zda bez układu przeniesienia napędu (czyli procesów i procedur)......paliwa (wiedzy i kompetencji, zbieranych przez lata doświadczeń)... 12...i oczywiście bez
Robi wrażenie? Brzmi skomplikowanie? Jedno i drugie? KIEROWCY Najlepiej takiego, którego po latach prowadzenia wielu typów autobusów na różnych trasach ciężko czymkolwiek zaskoczyć... Jedno i drugie jest skomplikowane, jego stworzenie zajmuje dużo czasu i jeszcze więcej pieniędzy Można oczywiście spróbować zbudować własny system......ale im większa skala, tym więcej pracy i przy braku doświadczenia większa szansa, że efekt będzie wyglądał tak: 13
14 Robi wrażenie? Brzmi skomplikowanie? Jedno i drugie?
15 Wdrożenie w Orange Polska: pierwotnie wdrożenie objęło 40+ kluczowych systemów informatycznych i sieciowych zmienna charakterystyka i środowiska analizowanych SI bardzo zróżnicowana platforma sprzętowa i systemowa (w tym np. Mainframe z z/os) kilkadziesiąt zespołów rozwojowych i utrzymaniowych objętych działaniami wdrożenia przygotowanie do cyklu życia i edycji systemów wdrożenie pierwotnie zaplanowane na 2 lata przeprowadziliśmy w poniżej roku miliardy linii logów (!) terabajty informacji miesięcznie jedno z najbardziej zoptymalizowanych i najwydajniejszych wdrożeń na świecie: ponad 15.000 EPS/instancja SOC monitoring 24/7 monitoring sieci własnej, środowiska wewnętrznego IT, świadczonych usług i obsługa podmiotów zewnętrznych stały rozwój, podłączanie kolejnych systemów i klientów
Nasze doświadczenie Posiadamy ponad 15-letnie doświadczenie Certyfikowany zespół specjalistów i ekspertów Najnowocześniejsze dostępne rozwiązania technologiczne Podejście usługowe do bezpieczeństwa Zweryfikowane operacyjnie procesy i procedury Uśredniona miesięczna ilość zdarzeń bezpieczeństwa obsługiwana przez TPCERT MONITOROWANIE Wykrywanie zdarzeń & Informowanie o incydentach ANALITYKA Obsługa incydentów & Przeprowadzanie analiz KOMUNIKACJA Komunikacja & Raportowanie Procesy związane z monitorowaniem bezpieczeństwa teleinformatycznego Zmieniliśmy oblicze polskiego internetu poprzez: Wdrożyliśmy BGP Blackholing dla znacznej części polskiego internetu Wdrożyliśmy blokadę portu 25 dla klientów rynku masowego (ponad 2 miliony polskich internautów) 16
Nasze doświadczenie Możemy więc bez ryzyka powiedzieć, że nasz autobus wygląda raczej tak: 17
18 Nasze doświadczenie
Nie zachowujemy doświadczenia dla siebie dzięki naszym usługom możemy i się nim dzielić SOC MS monitorowanie 24/7/365 wybranych obszarów IT Anty DDOS Ochrona pasma dla usług Anty Phishing ochrona marki Usługi Centrum Certyfikacji Signet IPS Managed Services zabezpieczenie przed wtargnięciem do sieci Klienta FW Managed Services zabezpieczenie sieci za pomocą rozwiązań Firewall 19 Blackholing blokowanie wybranych adresów IP
Nasze Security Operations Center może obsłużyć wielu Klientów Monitorowanie zdarzeń w systemach Klienta w trybie 24/7/365 Szybka identyfikacja zagrożeń dzięki użyciu technik korelacyjnych Niezwłoczna notyfikacja o naruszeniach bezpieczeństwa Uniknięcie zaburzeń ciągłości działania kluczowych systemów biznesowych Klienta Brak konieczności utrzymywania całodobowej jednostki bezpieczeństwa teleinformatycznego Możliwość dokupienia dodatkowych usług analitycznych i raportowych 20
Anty DDoS Sieć operatora Sieć klienta 4. Podejrzany ruch jest filtrowany przez TMS. Pakiety prawidłowe są odsyłane do routera 3. BGP announcement do przekierowania ruchu do TMS Arbor TMS 2. Aktywacja urządzenia TMS Arbor CP5500 1. Wykrycie anormalnego zachowania Zaatakowany serwer Ograniczenie dostępu dla internautów, ochrona Klientów na podstawie: Zgłoszenia od Klienta objętego usługą Własnych analiz zespołu TP CERT Monitorowanie w trybie 24/7/365 Blokowanie/czyszczenie w maksymalnie 20 minut od zgłoszenia przez Klienta Bezpośrednie kontakty z równoważnymi zespołami u innych operatorów i Klientów 21
Anty Phishing Szeroki zakres działania w adresacji TP lub Orange możliwa 100% redukcja zagrożenia i zła strona nie będzie dla nikogo na świecie widoczna w adresacji innego operator następuje ograniczenie dostępu dla klientów TP i Orange, co stanowi prawie 44% polskiego Internetu (wg niezależnych badań UKE) 22
IPS Managed Services Pakiet zintegrowanych usług, świadczonych w trybie 24/7/365, opartych o urządzenia Intrusion Prevention System utrzymanie środowiska wraz z aktualizacją sygnatur zagrożeń Monitorowanie zdarzeń w trybie 24/7/365 Możliwości konsultacji reguł Dostęp do laboratoriów dostawców (Partnerstwa strategiczne) Przeniesienie kosztów: obsługi i utrzymania dedykowanego rozwiązywania bezpieczeństwa posiadania kompetencji w dziedzinie ochrony z wykorzystaniem rozwiązań klasy IPS 23
Firewall Managed Services Budowa skutecznego modelu dozwolonego ruchu na zasobach Klienta, poprzez: zarządzanie urządzeniami oraz politykami bezpieczeństwa w ramach ochrony przed włamaniem ocena ekspercka kwalifikowania ruchu jako dopuszczonego i nie stwarzającego zagrożenia Przeniesienie kosztów obsługi i kompetencji eksperckich Możliwość dostosowania zabezpieczenia do specyficznych wymagań, związanych z siecią Klienta oraz weryfikacja polityk bezpieczeństwa Separacja odpowiedzialności niezależna strona 24
Centrum Certyfikacji Signet 25 Zunifikowane usługi kryptograficzne, oferowane przez działające od 2001 roku, akredytowane przez Webtrust CC Signet Podpisywanie i szyfrowanie poczty elektronicznej, autoryzacji przez WiFi/VPN, szyfrowanie dysków twardych i komunikacji między urządzeniami Certyfikaty na kluczach USB lub kartach SIM Silne uwierzytelnienie tożsamości Zapewnienie wiarygodności, spójności i poufności danych
Blackholing Blokada transmisji do/z adresów należących do Klienta dla adresów IP dokonujących/podejrzanych o przeprowadzanie cyber-ataku, przy zachowaniu ruchu sieciowego z pozostałych adresów. Znacząca redukcja potencjalnych skutków ataku na systemy Klienta Zatrzymanie ataku i zabezpieczenie zasobów Klienta przed dalszym nieautoryzowanym dostępem spoza sieci korporacyjnej 26
Więc zanim kupisz autobus zastanów się, czy nie lepiej kupić bilet Dziękujemy Artur Barankiewicz Artur.Barankiewicz@orange.com Andrzej Karpiński Andrzej.Karpinski@orange.com