Ochrana dat Od KI ke kyberterorismu

Transkript

1 Ochrana dat Od KI ke kyberterorismu V Brně dne 28. listopadu 2013

2 Kritická infrastruktura Definice dle portálu MV ČR: Kritickou infrastrukturou (CI, česky KI) se rozumí výrobní a nevýrobní systémy a služby, jejichž nefunkčnost by měla závažný dopad na bezpečnost státu, ekonomiku, veřejnou správu a zabezpečení základních životních potřeb obyvatelstva. Evropská kritická infrastruktura (ECI) Fyzická ochrana kritické infrastruktury Soubor bezpečnostních opatření plánovaných a realizovaných k ochraně objektů kritické infrastruktury před nebezpečnými útoky fyzických osob. Objekt kritické infrastruktury Stavba nebo zařízení zajišťující fungování kritické infrastruktury. Ochrana kritické infrastruktury Souhrn opatření, která při zohlednění možných rizik směřují k zabránění jejího narušení. (Ochrana CI je součástí programového prohlášení vlády ze dne , v evropském měřítku existuje Zelená kniha o Evropském programu na ochranu CI ) KI 2

3 KI v ICT Ohrožení a hrozby pro KI: - Terorismus -Přírodní pohromy - Nedbalost obsluhy -Průmyslové havárie a nehody - Počítačové hackerství - Organizovaný zločin a trestná činnost obecně Oborové řešení KI (energetika, jaderný průmysl, ICT, zásobování, ochrana zdraví, finanční, doprava, chemický průmysl, výzkumná zařízení) V oboru ICT (informační a komunikační technologie) se jedná o: Ochranu informačních systémů a sítí Automatizaci přístrojů a kontrolních systémů (SCADA) Internet Poskytování pevných telekomunikačních sítí Poskytování mobilních telekomunikačních č sítí Radiovou komunikaci a navigaci Satelitní komunikaci Veřejné (i neveřejné) vysílání KI 3

4 SCADA systémy Jde především o ohrožení kritické infrastruktury. Jedná se o SCADA systémy, což jsou systémy pro řízení výrobních procesů, energetické sítě, ropovody, železnice apod. SCADA - Supervisory Control and Data Acquisition Komunikace ve SCADA systému probíhá mezi SCADA serverem, koncovými stanicemi (Remote Terminal Unit), programovatelnými logickými řadiči (Programmable Logic Controller) a operátorským dohledovým terminálem. 3 generace SCADA systémů - Monolitická (WAN řešení) - Distribuovaná ib (LAN-WAN řešení) š - Síťová (WAN přes Internet) Zabezpečení SCADA systémů segmentací sítě (dle normy ANSI/ISA-99) využívá Koncept zón a jejich spojení, čímž dochází k izolování subsystémů. stémů Zóna je skupina logických či fyzických aktiv sdílejících společné požadavky na bezpečnost. Spojení je definovaná komunikační cesta mezi zónami s vestavěným zabezpečením (Industriální FW, VPN s enkrypcí). SCADA 4

5 ISO/IEC 27032:2012 ISO/IEC 27032:2012 Information technology Security techniques Guidelines for cybersecurity y Bezpečnost v kyberprostoru Norma obsahuje doporučení ohledně bezpečnosti v kyberprostoru. Poskytuje doporučení pro efektivní sdílení informací a koordinaci řízení incidentů mezi organizacemi, uživateli, vládami a poskytovateli služeb. Norma se zaměřuje na klíčové hrozby týkající se kyberprostoru, sociální inženýrství, malware, odcizení identity, řízení rizik v kyberprostoru v rámci organizací ací a poskytování bezpečných a zabezpečených služeb poskytovateli služeb. Norma ISO/IEC

6 Kyberterorismus Podle zaměření a působnosti lze kyberterorismus dělit na dva směry: - propagandistický p (inklinuje k negativní či odmítavé reakci na aktuální stav mezinárodní či národní politické situace - propagace jednotlivých extremistických či teroristických skupin, ideologií, náboženství apod.). - přímá napadení (napadá konkrétní informační sítě a likvidace síťové služby, čímž je výrazně ě nebezpečnější). č Tyto útoky lze rozdělit do tří úrovní: - řízení sympatizantů a podobných lidských zdrojů teroristická skupina využívá informačních technologií k řízení svých lidí, rozptýlených po celém světě pro předávání úkolů a reportů mezi jednotlivými členy skupiny. - lokální kyberútok samostatný přímý útok na konkrétní technologii či službu (nebezpečnost tohoto druhu útoku je závislá na zkušenostech, cílech a možnostech dané skupiny) - souběžný útok nejnebezpečnější varianta útoku, kdy dochází k několika paralelním útokům na konkrétní oblasti či cíle na různých úrovních (kyberteroristický útok v této podobě je pouze přípravou pro napadení útočníka nebo přímou podporou pro jeho dezorientaci a likvidaci, která může jít v přímé součinnosti s chystanými vojenskými akcemi, zejména v narušení funkcí jednotlivých prvků vládních a armádních institucí, sítě nebo služeb, které poskytují) Kyberprostor 6

7 Dopady kyberterorismu Možné důsledky kyberterorismu: - krádež dat či informací -zničení dat - destabilizace napadeného systému - blokování systémových prostředků - nedostupnost služby Dopady kyberterorismu jsou předpokládány především na kritickou infrastrukturu případně na vyšší celek (Evropská kritická infrastruktura). Tallinský manuál z února Kyberprostor 7

8 Zákon o kybernetické bezpečnosti Návrh: ZÁKON ze dne 2014 o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) Tento zákon nabývá účinnosti dnem 1. ledna Dopad na: 1. Výkon státní správy (hlava 4) - CERT 2. Změnu zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti (Zákon č. 412/2005 Sb.) 3. Změna zákona o elektronických komunikacích (Zákon č. 127/2005 Sb.) Poznámka: Národní CERT (Computer Emergency Response Team) Národní CERT je pracoviště provozované zpravidla osobou soukromého práva, které zajišťuje sdílení informací na národní a mezinárodní úrovni v oblasti kybernetické bezpečnosti, a to zejména pro osoby soukromého práva. Zákon o kybernetické bezpečnosti 8

9 Zranitelnost Internetu Internet byl od svého počátku navržený jako nezabezpečený. Internet je pro systematické zabezpečení navržený nevhodně a to především ve dvou oblastech: - možnost provádět DDoS útoky, což je v zásadě triviální metoda zahlcující poměrně velké servery -kořenové DNS servery IPv4 neobsahuje žádný mechanismus, kterým by bylo možné komunikaci zajistit proti záměně či odposlechu. Postupně se do internetových technologií a protokolů zavádějí způsoby, jak toto zabezpečení provést. Za všechny je možné uvést VPN, IPSec pro IPv4, IPv6 a řadu dalších. V zásadě lze útoky rozdělit do tří velkých skupin: - využívání softwarových prostředků softwarové útoky - využívání služeb sítě síťové útoky - založen na čistě personálním provedení Internet 9

10 Dělení útoků - SW Softwarové útoky (podle činnosti škodlivého kódu): - Adware (sloužící k podpoře systematického získávání dat a odposlechu z koncových stanic) - Spyware (slouží k získávání informací o konkrétním uživateli) - Počítačové viry (mají za cíl zničení či poškození konkrétního hardwaru, softwaru nebo síťového prvku) - Trojské koně (představují dnes nejsofistikovanější skupinu škodlivého softwaru) Vydávají se za užitečný program, který mimochodem" plní další funkce, jako je odposlech, skenování portů, zasílaných zpráv mezi aplikacemi atp. Internet 10

11 Dělení útoků - síťové Varianty síťového útoku: - Bombing (je nejprimitivnější metodou, která je založená na zahlcení sítě pakety) V zásadě je možné jej užít jen v lokálních sítích. - DoS (Denial of Service je formou útoku, kdy je server zahlcen falešnými požadavky na poskytnutí konkrétní služby nebo informace) Typickým útokem je např. Ping of Death (PoD) - Ping využívá ICMP, který je mnohem kratší než vracející se IP paket. Dnes je tato t metoda užívána výhradně ě ve variantě DDoS (Distributed ib t Denial of Service), tedy když je prováděna velkým množství počítačů současně. -MiM (The Man in the Middle je forma útoku zaměřená na konkrétní komunikaci mezi dvěma uzly) - Sniffing (je označení metod, které slouží k odposlechu paketů) Pro útok stačí využít špatně zabezpečený směrovač, který zpracovává nešifrovanou komunikaci. i Mimořádně ě efektivní je především ř u FTP serverů. ů - Spoofing (označuje útoky založené na falšování imunity) Často je spojen se sniffingem, kdy se na základě odposlechu umožní přístup k datům ještě třetí tí osobě. Internet 11

12 Penetrační testy Míru zranitelnosti Vašich systémů proti neoprávněnému průniku prověří nejlépe penetrační testy. Penetrační testy tvoří důležitou součást bezpečnostní analýzy. Za použití různých nástrojů jsou prováděny pokusy proniknout do různých částí informačního systému zvenčí či zevnitř. Výsledkem těchto testů je odhalení slabých míst v ochraně informačního systému. Bezpečnostní testy síťové infrastruktury se zaměřují na: - penetrační testy vnitřní a vnější (scanning, sniffing, redirecting) - zkušební útoky - analýzu zranitelnosti firewallů - kontrolu bezpečnostních pravidel mezi zónami firewallů - analýzu zranitelnosti aktivních prvků - analýzu zranitelnosti operačních systémů na serverech a stanicích - analýzu systému zálohování Ochrana sítí 12

13 Penetrační testy - pokračování Zkoušky při penetračních testech: - firewally - DoS útoky, změny ě směrování, ě zranitelnost t - Backdoory - programy umožňující získání kontroly nad počítačem - CGI scripty - získání plné kontroly www nad serverem - DNS systémy - předstíráním identity síťového zařízení - mailové systémy spam - FTP systémy - neautorizovaný přístup k souborovému systému a převzetí kontroly nad serverem - LDAP systémy - zneužití adresářové služby LDAP (Lightweight i Directory Access Protocol) -síťové odposlouchávání - špatná konfigurace aktivních prvků či nevhodný design infrastruktury umožní síťové odposlouchávání -NFS systémy y -neautorizovaný o a přístup supk souborovému o u systému a převzetí e kontroly oy nad serverem (Network File System) - systémy založené na RPC -vzdálené volání procedur (Remote Procedure Call) - systémy se sdílením zdrojů - získání neautorizovaného přístupu (Samba, SMB) - SNMP systémy - bezpečnostních č díry v implementaci i Simple Network Management Protocolu pro řízení a kontrolu aktivních prvků sítě Ochrana sítí 13

14 NAC NAC (Network Access Control kontrola přístupu k síti) je odborný termín používaný výrobci aktivních prvků, operačních systémů a bezpečnostního softwaru. NAC proaktivně brání síť před neautorizovaným přístupem uživatelů, kompromitovanými koncovými zařízeními a jinými zranitelnými systémy. Jedná se o systém řízení přístupu k síti umožňující vynucení bezpečnostní politiky pro koncové pracovní stanice. Řešení NAC se skládá HW, SW nebo kombinaci (tzv. appliance). Princip je postaven na ověření libovolné koncové stanice před připojením do sítě, vyhovuje-li požadovaným zásadám na zabezpečení. Ekvivalentní pojmy: NAM Network Access Management MDM Mobile Device Management BYOD Bring Your Own Device Karanténa (Quarantine) izolace koncové stanice či koncového uživatele v počítačové síti s povolenou minimální případně žádnou komunikací. NAC 14

15 NAC - pokračování Pro zajištění efektivního provozu NAC je třeba splnit několik požadavků: -Otevřená architektura podpora zařízeními různých výrobců - Zahrnutí koncových systémů podpora libovolného typu koncového systému - Multikontextová autorizace na základě různých atributů - Vynucení politiky na základě úlohy a karanténa - Upozornění a automatická náprava svépomoc pro uživatele - Hlášení o shodě informace jak historické tak i v reálném čase Efektivní řešení NAC musí být nedílnou součástí návrhu obecné strategie bezpečnosti sítě a mělo by obsahovat: - Identifikační služby a autentizace zařízení a uživatelů - Stanovení zdravotního stavu koncového zařízení během fáze připojování a odpojování - Automatická izolace, karanténa a řízení hrozeb - Užívání sítě na základě politik a autorizace služeb včetně automatických náprav - Neustálá analýza hrozeb, prevence a kontrola - Komplexní kontrola dodržování stanovených zásad NAC 15

16 NAC - fáze NAC (Network Access Control) obecně je proces a lze ho rozdělit na: - Role (Roles) - kdo? -Práva (Rights) - jak? - Zdroje (Resources) - co? - Místo (Location) - kde? Role Práva Zdroje Umístění administrátor všechny Všechny všechna zaměstnanci aplikace aplikační server kanceláře host pouze HTTP brána Internet zasedačka Preferovanou metodou při implementaci NAC je vícestupňový přístup. Obecně lze implementace NAC rozdělit do následujících fází: 1. fáze: detekce a sledování koncových systémů 2. fáze: autorizace koncových systémů 3. fáze: autorizace s vyhodnocením koncových systémů 4. fáze: autorizace s vyhodnocením a nápravou koncových systémů NAC 16

17 NAC funkční schéma Blokově zařízení NAC funguje dle následujícího funkčních bloků: - Detekce (Detect) detekce a identifikace nových zařízení zapojovaných do sítě - Autentizace (Authenticate) autentizace uživatele a/nebo zařízení - Vyhodnocení (Assess) posouzení koncového systému na soulad a podle zranitelnosti - Autorizace (Authorize) autorizace k použití sítě na základě autentizace a vyhodnocení - Sledování (Monitor) sledování uživatelů a zařízení jakmile se připojí k síti - Obsah (Contain) karanténa brání uživatelům a/nebo koncovému zařízení v negativním dopadu na síť - Náprava (Remediate) náprava problémů s koncovým uživatelem a/nebo systémem NAC 17

18 NAC - bezpečnost Bezpečnost -Umožňuje velmi vysoké zabezpečení s detailní podrobnou kontrolou přístupu na základě uživatele, zařízení, času, místa a typu autentizace - Kontroluje koncové systémy všeho druhu pro zranitelnosti a hrozby, buď s agentem, nebo bez agenta včetně nástrojů třetích stran - Automatická izolace koncového zařízení, karanténa a zprostředkování dialogu Obchodní výhody - Proaktivně brání před neautorizovaným přístupem uživatelů, kompromitovanými koncovými zařízeními a jinými zranitelnými systémy od přístupu k síti - Efektivně balancuje bezpečnost a dostupnost pro uživatele, kontraktory a hosty - Proaktivně kontroluje bezpečnostní stav zařízení v síti včetně těch, které si zaměstnanci přinesou vlastní (BYOD) - Efektivně řeší požadavky na regulativa - Cenově efektivní ochrana podnikové sítě NAC 18

19 IDS IDS (Intrusion Detection System) systémy pro odhalení průniku jsou obranné systémy, které monitorují síťový provoz s cílem odhalení podezřelých aktivit. Systém IDS po detekci neobvyklé aktivity vygeneruje varování (Alert), provede zápis do logu, upozorní administrátora a případně podezřelou činnost zablokuje. Pasivní systém při odhalení podezřelé aktivity nijak nezasahuje do síťového provozu, pouze vygeneruje varování (Alert), případně o tom zapíše do logu. Aktivní systém navíc proti podezřelé ř aktivitě itě zasáhne (například zablokováním služby). IDS systémy lze rozdělit na: uzlově orientované systémy detekce odhalení průniku síťově orientované systémy detekce odhalení průniku IDS se liší od firewallu v tom, že firewall se snaží zabránit proniknutí omezením přístupu mezi sítěmi, ale IDS hlídá útoky zevnitř sítě. IDS hodnotí podezření na narušení okamžitě po vzniku a signalizuje alarm. IDS 19

20 IDS - pokračování Pojmy: Signatura je vzorec pro vyhledávání anomálií v činnosti síťové infrastruktury či serveru. Vektor útoku je cesta (využití nedostatků a chyb ve funkcích souvisejících s uživatelským ověřováním anebo session managementem - účty, hesla, ID relace atp.), kterou útočník využívá. Infikování počítače pomocí využití zranitelnosti prohlížeče je nejčastejší vektor útoku. Senzor je hlavním prvkem IDS obsahujícím mechanismy pro detekci škodlivých a nebezpečných kódů, jeho činností je odhalování těchto nebezpečí. Aktivity IDS IDS 20

21 IPS IPS (Intrusion Prevention System) jsou systémy pro detekci a prevenci průniku jsou zařízení pro síťovou bezpečnost monitorující síť a aktivity operačního systému z pohledu škodlivé činnosti. Hlavní funkce IPS systémů: identifikace škodlivé činnosti záznam o jejím průběhu blokování škodlivé činnosti nahlášení škodlivé činnosti Hlavní rozdíl oproti IDS systémům je, že systém IPS je zařazen přímo do síťové cesty (in-line), a tak může aktivně předcházet, případně blokovat detekovaný nežádoucí a nebezpečný č provoz na síti. IPS 21

22 DLP DLP (Data Loss Prevention) system je schopen identifikovat, monitorovat a chránit data. Ochrana je realizována pomocí hloubkové kontroly obsahu a analýzy transakcí týkajících se odesílatele, datového objektu, média, času, příjemce apod. DLP lze rozdělit na 3 základní části: a) Ochrana používaných dat (Data in Use) se zaměřuje na každodenní interakci zaměstnanců s daty na koncových stanicích a dohlíží, jak je s daty nakládáno (kam se kopírují, jsou-li upravována a kdo je používá). b) Ochrana dat při pohybu (Data in Motion) zabezpečuje č ochranu dat a datový tok po síti nebo z koncové stanice na externí zařízení. Ochrana dat je zaměřena proti náhodným nálezcům i zlodějům, případně proti šíření dat po síti. c) Ochrana dat v klidu (Data at Rest) zabezpečuje ochranu dat v síti, která nejsou aktivní (databáze, archívy, zálohy, šablony, pracovní listy, atd.). DLP systémy se v zásadě dělí na dvě základní kategorie: -síťová DLP (network DLP) - DLP koncových bodů (host based DLP) DLP 22

23 DLP - pokračování Síťová DLP Často jsou označována jako bránové systémy (gateway based) a obvykle představují dedikované síťové zařízení instalované na perimetru podnikové sítě u připojení do internetu. Tato zařízení provádějí analýzu procházející komunikace a vyhledávají transakce přenášející klasifikované informace. Typicky sledovanou komunikací jsou , přenos FTP, HTTP a HTTPS. DLP koncových bodů Tyto systémy y představují klienty běžící na koncových stanicích počítačích a serverech. DLP systémy koncových bodů, stejně jako síťové DLP systémy, kontrolují komunikaci mezi interními skupinami uživatelů a mezi interními a externími subjekty. Mohou kontrolovat ovou komunikaci stejně jako instant messaging. DLP 23

24 Kryptování Pojmy: Kryptologie je věda zabývající se šifrováním. Kryptologické systémy: DES - Data Encryption Standard (vznik v roce 1975) založen na blokovém symetrickém šifrování privátním klíčem, blok má délku 64 bitů. IDEA - International Data Encryption Algorithm (vznik v roce 1990) založen na algoritmu s délkou klíče 128 bitů se symetrickým šifrováním, blok má délku 64 bitů. RSA - Rivest, Shamir a Adleman algoritmus (vznikl v roce 1977 v MIT) asymetrické šifrování RSA je obecně založeno na neschopnosti člověka vymyslet rychlý algoritmus pro rozklad velkých čísel na jeho prvočinitele. AES - Advanced Encryption Standard (vznikl 1997 v NIST) s délkou vstupně-výstupního p bloku AES 128 bitů a délkou klíče 128, 192, resp. 256 bitů. Kryptografie je část kryptologie zabývající se převedením srozumitelné zprávy do nesrozumitelné podoby a zpět (šifrování a dešifrování textu - kryptoanalýza). Steganografie je věda a umění schovat informaci jejím vložením do zdánlivě neškodné zprávy. Výhodou steganografie oproti kryptografii je, že použití kryptografie může často odhalit odesílatele nebo příjemce zprávy a upozornit tak na něj. Při použití steganografie je toto riziko daleko menší už z toho důvodu, že komunikace by neměla být vůbec odhalena. Kryptování 24

25 Digitální podpis Elektronický (digitální) podpis Základní myšlenkou elektronického podpisu je obdoba klasického podpisu, jež má zaručit jednoznačnou identifikaci osoby v prostředí digitálního světa. Od elektronického podpisu se vyžadují tyto vlastnosti: - Jednoznačná identifikace původce podpisu - příjemce ví, kdo dokument poslal. - Zajištění integrity zprávy - příjemce má jistotu, že dokument došel kompletní a nebyl během přenosu pozměněn. - Zaručení nepopiratelnosti - odesílatel nemůže popřít, že daný dokument opravdu odeslal. - Podpis nelze napodobit ani zneužít pro jiný dokument. Hašovací funkce je využitelná pro poskytnutí služeb autentizace, integrity a nepopiratelnosti. Hašovací funkce představují významný výpočetní prostředek při kryptografických aplikacích, např. při digitálním podpisu. Digitální podpis 25