Posouzení stavu Kybernetické bezpečnosti organizace

Transkript

1 Posouzení stavu Kybernetické bezpečnosti organizace Ing. Robert Schindler, MSc. Architekt kybernetické bezpečnosti KII Červenec 2020

2 Nejpravděpodobnější scénáře útoků o Zašifrování - Ransomware Platba výpalného o Útoky technikami sociálního inženýrství Poškození nebo nelegální úhrada o Poškození dobrého jména nebo reputace od konkurence o DoS / DDoS útok snaha o znefunkčnění některých služeb Jen v Německu se každý rok stanou oběťmi hackerských útoků dvě ze tří společností.

3 Útoky v Česku Datum Subjekt Stav útoku Oblastní nemocnice Kladno Úspěšný Ministerstvo zdravotnictví Odražen Karlovarská krajská nemocnice Odražen Fakultní nemocnice Ostrava Odražen Fakultní nemocnice Olomouc Odražen Letiště Václava Havla Odražen Povodí Vltavy Úspěšný ČEZ Distribuce Odražen ČEZ Distribuce Odražen Psychiatrická nemocnice Kosmonosy Úspěšný Fakultní nemocnice Brno Úspěšný

4 Jak hodnotit stav kybernetické bezpečnosti běžné organizace? Podle čeho posuzovat? o Vyhlášku č. 82/2018 Sb. o kybernetické bezpečnosti o ČSN ISO/IEC 27001: Systémy managementy bezpečnosti informací o BSI Standard 200 (BSI Grundschutz) o ENISA (EU) doporučení a metodiky o NIST (USA) doporučení a metodiky o NUKIB (CZ ) doporučení a metodiky

5 Posouzení stavu

6 Posouzení stavu KB Posouzení stavu KB o Posouzení ve formě auditního šetření a řízených rozhovorů o Provedení analýzy podle metodického materiálu NÚKIB Bezpečnostní doporučení NÚKIB pro administrátory Provedení testování technických zranitelností o Zapojení testovací sondy do infrastruktury o Doba trvání minimálně 2 3 týdny Provedení analýzy datových toků o Zapojení síťové sondy do interní infrastruktury o Doba trvání minimálně 4 týdny

7 Výstup posouzení stavu KB Manažerský souhrn ve formě prezentace Výstupní zpráva - Popis současného stavu KB o Ve struktuře dokumentu Bezpečnostní doporučení NÚKIB pro administrátory Výstupní zpráva Návrh opatření o Struktura dle zjištěných nedostatků Přílohy o Reporty z veškerého testování a analýz

8 Výsledek posouzení stavu KB Název Segmentace sítě Blokování škodlivých IP adres a domén Nasazení IDS/IPS Analýza síťového provozu Uchování záznamů o síťovém provozu Kontrola příchozích ů Šifrované spojení mezi poštovními servery Splněno Částečně splněno Nesplněno Nerelevantní Automatizovaná analýza obsahu u a webu Aplikační firewall Používané certifikáty Logování událostí Jednoduché doménové názvy Whitelisting webových domén Anti-DDoS technologie, Disaster recovery plan (DRP)

9 Rozdíl mezi Auditem a Testováním Audit bezpečnosti o Posouzení souladu bezpečnostních opatření s nejlepší praí, právními předpisy, vnitřními předpisy, jinými předpisy a smluvními závazky vztahujícími se k informačnímu a komunikačnímu systému a určí případná nápravná opatření pro zajištění souladu. (definice dle 16 VoKB) Bezpečnostní testování o Metoda hodnocení a ověření zabezpečení systémů nebo aplikací. Testování se provádí simulací možných útoků systém jak zevnitř, tak zvenčí. o Cílem je jistým způsobem reálně prověřit, zhodnotit úroveň zabezpečení

10 Typy bezpečnostních testů o White-bo Tester dostává k dispozici úplnou dokumentaci cílového systému a podporu provozovatele Povinné např. pro PCI DSS finanční instituce o Grey-bo Tester dostává k dispozici částečné informace o cílovém systému o Black-bo Tester nedostává k dispozici žádné informace o cílovém systému

11 Test zranitelností o Identifikace a hodnocení zranitelností, které pokud by byly zneužity mohou posloužit k chtěné nebo i nechtěné kompromitaci systému o Provádí se automatizovanými nástroji, s dílčím ověřením nálezů ručně o Soupis rizik vyplývající s nalezených zranitelností společně s formálním hodnocením zranitelností (NVD/CVSS) u každé z nich o Relativně krátké minuty, hodiny / cíl

12 Bezpečnostní Penetrační Test o Identifikace způsobu, jak kompromitovat systém nebo jeho část, snížit účinnost nebo i obejít bezpečnostní opatření o Mnoho ruční práce, může zahrnovat i užití automatizovaných nástrojů, scanování zranitelností apod. o Popis každé ověřené zranitelnosti společně s popisem každé zjištěné zneužitelnosti. Specifický popis možných rizik v konkrétní aplikaci, včetně popisu metod jak a v jakém rozsahu je lze zneužít. Uvození příkladů útoků vč. např. SQL-IN, XSS, CRSS, privilege escalation nebo útoků na staré protokoly o Analýza může zabrat dny i týdny, odvisle od rozsahu testů. Testy mohou bobtnat na základě zjištěných skutečností

13 Report technických zranitelností

14 Analýza datových toků Zapojení síťové sondy senzoru na centrální prvek síťové infrastruktury o Prověření komunikační infrastruktury z pohledu přítomnosti škodlivých nebo nežádoucích aktivit. Realizováno prostřednictvím analýzy aktivní interní komunikace systému a všech spolupracujících nebo sousedících systémů. o Identifikace zařízení, aplikací nebo jiných prvků ICT infrastruktury na základě naměřených dat a dodaných informací identifikace technických podpůrných aktiv

15 Analýza datových toků Pokročilé neznámé útoky útoky na uživatelské účty komunikace s botnetem úniky dat Obecně anomální chování uživatelů a zařízení RAT - Remote Access Trojan APT Advanced Persistent Threat AVT Advanced Volatile Threat Známé projevy škodlivého chování skenování sítě a zařízení enumerace dat detekce hádání hesel Známé hrozby a dříve popsané útoky malware pro běžná zařízení a mobilní zařízení trojské koně útoky na aplikační a DB servery

16 Analýza síťových toků

17 Generalizované zjištění posouzení Havarijní nebo krizové plány pro Kybernetickou bezpečnost neeistují Zálohy nebo způsoby obnovy dat se netestují Bezpečnostní testy se nedělaly nebo nedělají Technické bezpečnostní opatření se pořídila, ale nikdo je nesleduje a nevyhodnocuje Segmentace sítě, pokud eistuje, tak je provozně orientovaná

18 Co dělat pro zvýšení KB?

19 Udržení kybernetické bezpečnosti Kybernetická bezpečnost je nikdy nekončící proces. Stejně jako se vyvíjí hrozby, musí se pravidelně vylepšovat úroveň kybernetickou bezpečnosti organizace. o P (Plan) naplánování záměru o D (Do) realizace plánu o C (Check) ověření výsledku realizace oproti původnímu záměru o A (Act ) úpravy záměru i vlastního provedení na základě ověření a plošná implementace zlepšení do prae

20

21 Závěry Účinnost bezpečnostních opatření a celého systému se musí pravidelně testovat Uživatelé a odborné profese se musí pravidelně školit a vzdělávat v KB Musí být připraveny Havarijní plány zahrnující kybernetické hrozby a musí být pravidelně aktualizovány Kybernetickou bezpečnosti musí řešit zkušení odborníci, např. CSIRT tým Informace z bezpečnostních opatření musí trvale vyhodnocovat, optimálně Security Operation Center

22 Děkuji za pozornost Ing. Robert Schindler, MSc.