Jak plnit vyhlášku o kybernetické bezpečnosti

Transkript

1 Jak plnit vyhlášku o kybernetické bezpečnosti Jan Mareš, jan.mares@nku.cz 1 / 29

2 Nejvyšší kontrolní úřad (NKÚ) Audit státního fnancování cca 500 zaměstnanců Práce na externích místech Provoz systému spadající pod významný informační systém (VIS) 2 / 29

3 Jak je to u nás Maximálně se snažíme uživatele omezit Bez ohledu na místo, tak síti nevěříme Uživatel nezná heslo (interně měníme každých 14 dnů) Dopady bezpečnostních opatření se snažíme minimalizovat automatizací Administrátor má navíc vyčleněný virtuální desktop pro administrativní práci 3 / 29

4 Lokální bezpečnost - NTB Data šifrována BitLockerem, klíč v TPM čipu Upraveno logování, kdy povoleno pouze přihlášení pomocí OTP Pomocí AppLockeru dovoleno spuštění pouze podepsaných aplikací nebo z daného umístění Plocha uzamčena (překryta aplikací měnící dostupné aplikace) Spouštění aplikací omezeno pomocí oprávnění 4 / 29

5 Připojování do IS úřadu Uživatelé bez ohledu na místo vždy budují VPN Buď IKEv2 (certifkát) nebo SSL VPN (OTP kód) Dodavatelé pouze přes SSL VPN za pomoci hesla a SMS OTP Pro uživatele vytvořena aplikace za uživatele řeší připojení ke vzdálenému připojení, kdy při IKEv2 je vše bezobslužné Limitováno možnostmi freeallu (FortiGate FG-600D) 5 / 29

6 Práce v IS úřadu Aplikována stejná politika jako u lokální bezpečnosti Práce pouze ve virtuálním desktopu mající přístupné interní zdroje s hodinovou zálohou Virtuální desktop je v týdenních cyklech recyklován Využívána interní certifkační autorita 6 / 29

7 Ochrana informačního systému Centrální log management (Elasticsearch + Kibana) Centrální konzole pro aktualizace (WSUS) Centrální správa počítačů (System Center confguration management + defender + GPO) Testovací a provozní prostředí Monitoring sítě (Cisco Prime Infrastructure, SolarWinds Orion) a aplikací (SCOM, Zabbix) 7 / 29

8 Jak postupovat s implementací Stanovte si aktiva a jejich vlastnosti Rizika (zranitelnosti a hrozby) Významnost systému Zodpovědnost a všechny procesy Stanovte akceptovatelnost rizik a nápravná opatření Implementujte nebo naplánujte do plánu zvládání rizik 8 / 29

9 Aktiva Stanovit rizika SLA Zodpovědnost Garant V BD uvést aktivum a garanta, zbytek vést mimo Volit aktiva více obecnější kvůli možným změnám 9 / 29

10 Životní cyklus uživatele Nejdůležitější Centralizovat osobní data Zautomatizovat životní cyklus uživatele Hlavní je ukončení života Zbavit se hesel 10 / 29

11 Živ. cyklus - centralizovat Jedna centrální databáze s veškerými údaji u nás v rámci HR v SAPu Lze odůvodnit uchovávání dat i po odchodu zaměstnance Distribuce do ostatních systémů pomocí middleeare Např. MS Biztalk Odmazávání při odchodu Vhodné i s ohledem na GDPR 11 / 29

12 Automatizace uživatelských účtů V závislosti na příznaku jsou uživatelé přesouvány a účty blokovány Při odchodu je účet v AD automaticky zablokován a přesunut do vyčleněné větve Na jednom místě řízení přidělování oprávnění Např. MS Forefront Identity Management 12 / 29

13 Ukázka USERS PRIVI AUTH SAP - HR Identity management - MIM AD AUTH AUTH RADIUS Middleware - Biztalk Smlouvy Docházka 13 / 29

14 Živ. cyklus - hesla Ideálně vůbec nepoužívat hesla, pouze dynamická Nová vyhláška bude vynucovat používání dvoufaktorové autentizace Požadavky na délku hesla se bude neustále zvyšovat Nyní 8 znaků, s novou vyhláškou 13/17 znaků Lze použít OTP generovaný na mobilním telefonu Telefon spravovaný pomocí MDM (MobileIron) OTP ověřováno přes RADIUS server (Micro Focus NetIQ) 14 / 29

15 Bezpečnostní politiky Zpracujte všechny politiky dle 5 odst. 1 (a-u) Každá část na samostatný papír Přizpůsobte vašim současným procesům Například u nás se problém eskaluje stylem uživatel administrátor vedoucí oddělení další vedoucí ředitel OI kybernetický manažer Vhodné rozlišit garanta aktiv na provozního (administrátor) a rozvojového (metodik) 15 / 29

16 Řízení provozu a komunikací Dle 10 Provozní věci odkazovat do dokumentace, kterou lze libovolně měnit Obecně procesy kdo komu a co říká 16 / 29

17 Řízení přístupu Dle 11 Vše musí být v síti jednoznačně identifkováno, tj. pro vše unikátní jméno včetně dodavatelů Rozmyslet způsob přidělování práv, zda na osobu nebo pracovní pozici Vhodné obecně formulovat: Heslo svojí složitost musí být odolné vůči možným útokům včetně: i. útoku hrubé síly v časovém horizontu několika let, ii. uhodnut pomocí slovníku nebo nejčastějších hesel, iii. odvození ze znalosti informací o uživateli. Heslo musí plnit obecná doporučení stanovená ZKB a VKB. 17 / 29

18 Bezpečné chování uživatelů Nejlepší uživatel = bezmocný uživatel ;) Informujte uživatele o aktuálních rizicích Předpokládejte vždy nejhorší možnou variantu a systém na to připravte 18 / 29

19 Zálohování a obnova Stanovte si co bude zálohováno a základní proces 19 / 29

20 Dlouhodobé ukládání a archivace Je důležité správně klasifkovat data neboť dle zákona o archivnictví je nutné držet data po dobu 10 let 20 / 29

21 Fyzická bezpečnost Implementovat 802.1x celkem náročné Ideálně oddělit/zabezpečit prostory s IT věcmi 21 / 29

22 Detekce kyber. událostí V základu stačí mít nastaveny fltry, které zobrazí/odešlou upozornění při vyšší aktivitě/neoprávněném přihlášení 22 / 29

23 Sběr a vyhodnocování bezp. událostí Lze použít kombinace Elasticsearch + Kibana + Logstash 23 / 29

24 Kryptografcká ochrana Odkažte se na vyhlášku stanovující bezpečné šifry. 24 / 29

25 Co je potřeba pro tech. splnění ZKB Next-Gen Fireeall aplikační kontrola, ssl inspekce, IPS/IDS, antivir kontrola Identity management nastavování oprávnění a zajištění životního cyklu uživatele Centrální autentizační zdroj např. Active Directory spolu s RADIUS servery pro připojování dalších systémů Log management pro ukládání všech událostí 25 / 29

26 Co je potřeba pro tech. splnění ZKB Ověřování vstupních portů pomocí 802.1X 26 / 29

27 Co je vhodné nasadit Řízení privilegovaných účtů Netfoe na okrajích sítě (kvůli NÚKIB) Centrální řízení vnitřních freeallů Provést úvahu nad centrální správou certifkátů (kvůli eidasu) 27 / 29

28 Příklad řešení certifkátu VIDEO KLÁVESNICE + MYŠ + (DISKY) Single Sign On VDI Přístup k certifikátu je pomocí API: 1. Virtuální čipová karta 2. REST API rozhraní PODEPSANÝ DOKUMENT PIN + DOKUMENT/HASH VPN PIN API - CSP Certifikáty OTP Profil Přístup ke klíči řízen dvěma úrovněmi : 1. Uživatelská oprávnění v Řadič domény AD 2. Znalost PINu/Hesla ke klíči Signing server RADIUS HSM Privátní klíče generovány v HSM PIN DB CERTIFIKÁT Spisová služba ČASOVÁ RAZÍTKA DOKUMENT/HASH Ext. CA Signing server dá pokyn k vygenerování priv. Klíče na HSM Sign. Server zašle žádost na CA Získaný certifikát z CA Sign. Server spáruje s priv. klíčem Ext. CA 28 / 29

29 Náklady spojené s implementací Změny spojeny s pravidelnou odměnou technologií V rámci plánu zvládání rizik se operuje se slabinami nebo chybějícími částmi a je naplánována jejich implementace Přímé investice pro splnění ZKB se pohybují kolem 5 miliónů korun bez DPH 29 / 29