AEC, spol. s r. o. Jak bezpečnost IT nastavit v souladu s business požadavky společnosti. Tomáš Strýček Internet & Komunikace Modrá 4.6.

Rozměr: px

Začít zobrazení ze stránky:

Download "AEC, spol. s r. o. Jak bezpečnost IT nastavit v souladu s business požadavky společnosti. Tomáš Strýček Internet & Komunikace Modrá 4.6."

Filip Němeček
před 7 lety
Počet zobrazení:

1 AEC, spol. s r. o. Jak bezpečnost IT nastavit v souladu s business požadavky společnosti Tomáš Strýček Internet & Komunikace Modrá

2 AEC Services

3 Situace IT Security v menší firmě a) Bezpečnost je neřešena. MGMT předpokládá, že to řeší IT, ale IT si nechce komplikovat život. b) Bezpečnost řeší IT jako jednu z mnoha aktivit c) Bezpečnost IT má na starosti CSM, je sám proti všem a je považován za blázna d) IT Security řeší IT dle nejlepšího vědomí e) Bezpečnost je outsourcována stejným dodavatelem jako IT f) Bezpečnost je outsourcována nezávislým dodavatelem

4 Časté problémy v IT Security IT Security je oddělený svět od firmy Reaktivní mód. (Kde začlo hořet, pokusím se to uhasit a pak do toho objektu nainstaluji požární hlásiče po 1m, MGMT v tomto případě bude svolný) IT je třeba mít na své straně, protože jinak mě odstřihnou. Je třeba respektovat jejich zájmy. Business vnímá IT Security jako záškodníka, komplikátora, který prodražuje vše, kam ho pustí

5 Vnější vlivy Kybernetický zákon ZoKB 181/2014 Sb ISO Information Security Management System ISO Business Continuity Management System ISO IT Service Management Odběratelé a zákazníci Vlastníci společnosti, věřitelé

6 Analýzy Kdy se vyplatilo dělat Analýzu rizik? Co odpověděla? Jaký byl zpětně efekt? Náklady na ochranu aktiva Riziko=hodnota aktiva X míra zranitelnosti X míra hrozby

7 Co je cílem analýzy Zjistit, kde je třeba zaměřit úsilí na ochranu Nesnažit se nikdy aplikovat vše Tento proces se neustále opakuje (analýzu provádět opakovaně) Vždy zohledňovat Business dopad Proto zapojit Business vlastníky

9 Jaký je business dopad jednotlivých zranitelností?

10 XX Disabled YY Disabled Keylogging protection bypassed DNS Hijacking protection bypassed MiTB protection bypassed MiTM protection bypassed Screenshot protection bypassed Phishing protection bypassed XX Admin YES YES YES YES YES YES YES YES XX User NO YES YES YES YES YES YES YES YY User N/A YES N/A N/A N/A N/A N/A YES YY Admin N/A YES N/A N/A N/A N/A N/A YES Tab. 2: Results of the XX and YY protection bypass attempts

XX Disabled YY Disabled Keylogging protection bypassed DNS Hijacking protection bypassed MiTB protection bypassed MiTM protection bypassed Screenshot protection bypassed Phishing protection bypassed

11 XX Disabled YY Disabled Keylogging protection bypassed DNS Hijacking protection bypassed MiTB protection bypassed MiTM protection bypassed Screenshot protection bypassed Phishing protection bypassed XX Admin YES YES YES YES YES YES YES YES Jaký je business dopad jednotlivých zranitelností? XX User NO YES YES YES YES YES YES YES YY User N/A YES N/A N/A N/A N/A N/A YES YY Admin N/A YES N/A N/A N/A N/A N/A YES Tab. 2: Results of the XX and YY protection bypass attempts

12 Výsledky monitoringu uniku dat pomocí Network DLP za 1 měsíc

13 Jaký je business dopad jednotlivých zranitelností?

14 Jak zjistit As Is? Výhody a nevýhody Co odpoví Kdy provést Kolik co stojí

15 Výsledky Zpráva pro management Diskuse s business vlastníky Pohled IT, spolupráce s IT Jednou prezentací výsledků pro management se moc nevyřeší

17 Metriky Příklad: ochrana proti malware Účel konceptu měření Cíl opatření Opatření Objekt měření Atribut Interpretace indikátoru Formy hlášení Ohodnotit účinnost ochrany systémů proti útokům škodlivých programů. Cíl opatření A.10.4 Chránit integritu programového vybavení a dat. proti škodlivým programům. Na ochranu proti škodlivým programům musí být implementována opatření na jejich detekci, prevenci a obnovu a zvyšování odpovídajícího bezpečnostního povědomí uživatelů. 1 Hlášení incidentů 2 Logy antivirových programů Incident způsobený škodlivým kódem Vzrůstající trend ukazuje zhoršující se shodu, klesající trend indikuje zlepšující se shodu. Pokud trend nápadně vzrůstá, bylo by potřebné prozkoumat příčinu a zavést další opatření proti malware. Spojnice trendu, která popisuje poměr detekce a prevence škodlivých programů, překrytá spojnicemi trendu vytvořených v předcházejících periodách hlášení. Cílová hodnota indikátoru: 1% Měsíc Incidenty Blokace Indikátor Leden ,46% Únor ,40% Březen ,24% Duben ,44% Květen ,80% Červen ,73% Červenec ,57% Srpen ,66% Září ,36% Říjen ,40% Listopad ,04% Prosinec ,96%

18 Cíle bezpečnosti Cíle Bezpečnosti IS: Ochrana investic akcionářů Ochrana dat zákazníků Soulad s legislativou Snížení nákladů (efektivní a rovnovážná investice do prevence a nápravy škod) Specifika: Konkurenční prostředí Postavení na trhu Charakter podnikání Osobní údaje

19 Současný stav IT Security Risk mgmt: + Známe současný stav, identifikovány IT rizika - Rizika nejsou přiřazeny vlastníkům a nepracuje se s nimi Incident mgmt + Dokážeme je identifikovat a odstranit - Proces není automatizovaný a je náročný na lidské zdroje Compliance mgmt + Známe současný stav - Není automatizován Ochrana dat + Ošetřeny některá významná rizika technologickými opatřeními - Není zatím kontinuita rozvoje technologií v IT Security

20 Jak uchopit To Be Výhody a nevýhody

21 Technologie bezpečnosti - Úniky dat skrze zaměstnance Cílený i nevědomý únik: Mail, média, internet --> DLP, mobilní bezpečnost Cílený únik z DB, zneužití přístupu, IT správa --> SIEM, segregace vlan, architektura,3.strany, šifrování Útoky zevnitř i zvenčí, využití slabin v IT -->VMS, IdM, B2B rozhraní, Cílené motivované pokročilé útoky zvenčí APT --> NBA

22 Koncepce bezpečnosti IT Projekty rozděleny dle priority pro dlouhodobý plán P1: definice rizik, řešení akutních vysokých zranitelností (DLP, SIEM, architektura ) P2: procesní a organizační opatření (klasifikace dat, dokumentace) P3: technologie a opatření bezpečnosti řešící středně závažné zranitelnosti (B2B, 3. strany, vlany) P4: Složitější technologie bezpečnosti pro středně závažné zranitelnosti (IdM, mobilní bezpečnost, tokenizace ) P5 a P6: technologie pro dlouhodobý výhled (DoS, Web security, IEEE 802.1X)

23 Z praxe Používat zdravý selský rozum Metodika vs. Praxe Úpravy ve stávajícím vs. Nákup nového Nepodlehnout marketingovým slideshow a má to opravdu pro nás tu hodnotu? Priority a business cíle společnosti Komunikovat s vedením Myslet u toho na lidi (nevytvářet bič) Myslet na reálný přínos(nekoupit si další hračku)

24 Stavební materiál IT Security (paperwork) Bezpečnostní politika Bezpečnostní směrnice pro uživatele Školení bezpečnosti pro uživatele Testy sociálním inženýrstvím Implementace ISMS Havarijní plány a plány obnovy po havárii

25 Stavební materiál IT Security (technology) SIEM Security monitoring Data Loss Prevention Intrussion Prevention System Endpoint Security WebGateway, Web Filtering Device Control Mail Security NAC Vulnerability Management System Mobile Device Management Web Application Firewall Network Behavior Analysis Priviledged Identity Management

26 Shrnutí Setkáváme se většinou s plýtváním prostředky v nákupech Security technologií, v řešení marginálních problémů oproti řešení aktuálních reálných hrozeb, Vytvořit komunikační matici pro Security otázky (nevytvářet ostrov) IT Security řízeno potřebami businessu je běh na dlouhou trať Používat zdravý selský rozum

27 Děkuji za pozornost Tomáš Strýček Executive Director AEC, spol. s r. o. Tomas.strycek@aec.cz

Podobné dokumenty

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster GDPR SNADNO.info Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster +420 549 492 289 lukas.pribyl@nsmcluster.com Profil Network Security Monitoring Cluster Network Security Monitoring