centra Jihomoravského kraje

Transkript

1 Budování bezpečnostního dohledového centra Jihomoravského kraje Aleš Staněk

2 Předání dohledového centra do provozu 09/2016

3 Organizační začlenění Bezpečnostní ředitel úřadu Ředitel krajského úřadu Odbor kancelář ředitele Odbor informatiky KOC

4 Přínosy KOC JMK Vytvoření jednoho společného dohledového centra pro všechny krajem zřizované společnosti maximální efektivita. Jeden silně specializovaný technický tým KOC Tým vyškolených exportů na kybernetickou bezpečnost, který by si samostatně žádná společnost nemohla dovolit. Koordinovaný postup v Incident Response s možností sdílení zdrojů. Jednotný přístup k PO umožňuje benchmark společností JMK. Kooperace JMK s českými a evropskými institucemi kybernetické bezpečnosti.

5 Současný stav KOC JMK Je spuštěn monitoring 11 samostatných oddělených sítí: KOC, JMK, SÚS, SŠIPF a sedmi krajem zřízených nemocnic Do konce roku 2018 připojíme další krajem zřízené organizace Hlásíme dle zákona všechny vzniklé KBI Poskytujeme součinnost při šetřeních NÚKIB a Policie ČR Za den vyhodnotíme cca 28,5 milionů událostí

6 Příspěvkové organizace kraje Jihomoravský kraj je zřizovatelem 230 příspěvkových organizací Mají různou velikost zaměstnanců Pracují s různými rozpočty 1,5 600 milonů Kč za rok Starají se o majetek v rozmezí 0,9 963 milonů Kč Působí v různých oborech zdravotnictví, školství, dopravě, sociálních službách, kultuře

7 Interní informace Některé skutečnosti uvedené dále mohou mít charakter důvěrných informací pro tuto prezentaci byly anonymizovány

8 Postup při připojení další organizace Komunikace s vedením Jednotná dokumentace sítě Bezpečný komunikační kanál Integrace kolektoru do sítě zákazníka Sběr logů Vytvoření asset modelů

9 Postup při připojení další organizace Jednotná dokumentace sítě

10 Postup při připojení další organizace Bezpečný komunikační kanál

11 Postup při připojení další organizace Integrace kolektoru do sítě zákazníka

12 Postup při připojení další organizace Sběr logů Zařízení musí být v dokumentaci Logy musí mít správný formát Ukládání do správného logspace

13 Postup při připojení další organizace Provozní monitoring

14 Postup při připojení další organizace Vytvoření asset modelů (aktuálně 501 assetů) Zákazník Počet assetů KOC 23 JMK 101 SSIPF 23 SUS 41 NEMKY 79 NEMBV 23 NEMHO 50 NEMHU 14 NEMIV 61 NEMVY 29 NEMZN 57

15 Postup při připojení další organizace Vytvoření asset modelů

16 Postup při připojení další organizace Řešení problémů Asset quiet

17 Proč budovat bezpečnostní dohledové centrum Jihomoravský kraj je prvním krajem, který ke splnění požadavků ZoKB vybudoval bezpečnostní dohledové centrum Ochrana aktiv Aktivum je cokoli, co má pro organizaci nějakou hodnotu Mělo to smysl?

18 Proč budovat bezpečnostní dohledové centrum

19 Otevřený SSH port ArcSight - A.THREA01.JMK: FLOWMON Attackers Na FW byl do internetu otevřený SSH port. Zachyceny neúspěšné pokusy o připojení se ze zahraničních IP adres. Například z Činy, Brazílie, Indie a Saudské Arábie. Target User Name: slovníkové názvy př.: Administrator, MAIL, office, anonymous, webadmin, Cisco, test, ftp, user

20 Scan portu v zóně WiFi free SSB- Hunting v provozních lozích Zařízení xxx.xxx.xxx.xxx provádí scan na portu 7 u rozsahů IP adres. Vždy v daný den jeden rozsah adres. Každou minutu cca 222 tis logů. Zařízení bylo na WiFi controlleru ukončeno.

21 Dotazy? Děkuji Vám za pozornost