Implementácia bezpečnostného dohľadu v organizáciách štátnej a verejnej správy Martin enčák, Beset, Bratislava Vladimír edláček, Greycortex, Brno
KDO JE GREYCORTEX 1/3 - Jsme evropská firma - profesionálové počítačové bezpečnosti - vytváříme produkt pro bezpečnější svět sítí (Internet) a propojených zařízení (CADA, IoT) - pro firmy, instituce, silové složky, kritickou infrastrukturu, komunální podniky - Máme zkušenosti - z AVG, Comguard a.s., TrustPort International, Acision - s výstavbou a správou počítačových sítí - tvorbou software pro analýzu a dopravu zpráv v telekomunikačních sítích - analýzou škodlivého software, managementem bezpečnosti 2
KDO JE GREYCORTEX 2/3 - Zviditelňujeme - strukturu sítě a datových komunikací - škodlivou nežádoucí komunikaci na síti (anomálie, porušení politik, útoky, unik dat, ) - Využíváme - hloubkovou inspekci paketů (DPI) - statistickou analýzu - pokročilou signaturní detekci - reputační systémy - strojové učení (ML) - polupracujeme s výzkumnými centry - VUT - CCDCOE 3
KDO JE GREYCORTEX 3/3 - Patříme - mezi klíčové dodavatele technologie v segmentu analýzy síťového provozu (NTA), spolu s firmami jako je Cisco, Darktrace, Fidelis Cybersecurity, Plixer a další - Podle analytické společnosti Gartner (viz Market Guide for Network Traffic Analysis, Published: 28 February 2019 ID: G00381265) - po Brexitu zůstaneme jediným výrobcem NTA software v EU 4
RYCHLÝ ITUAČNÍ PŘEHLED 5
Příklady nasazení Dohled nad bezpečností sítě s GREYCORTEX Mendel 6
VÍCE LOKALIT, JEDNO MĚTO Lokalita 1 Datacentrum K Govnet Lokalita 2 Internet 7
CELONÁRODNÍ PŮOBNOT Lokalita 2 Lokalita 1 VPN/ Internet K Centrála Internet Lokalita 17 Lokalita 18 8
DÍLENÁ INFRATRUKTURA Lokalita 2 Lokalita 1 VPN/ Internet Dohledové centrum K Lokalita 11 Lokalita 12 9
Co jsme při nasazování našli Tedy v prvních hodinách po zapojení 10
OBVYKLÍ PODEZŘELÍ Škoda Publicita Kybernetické útoky Riziko výskytu Governance a nedodržení postupů Provoz a provozní chyby Odvratitelnost 11
ÚTOKY 2/2 Malware VPN Filter TOR provoz ve vnitřní síti CCC Internet Wannacry šifruje 25 PC Přístupy na známá jména a adresy killswitch TOR provoz ve vnitřní síti Nakažený stroj TOR endpoint Firewall LAN erver tanice Tiskárna 12
KONFIGURAČNÍ CHYBY 1/4 Vzdálená konzola fyzického serveru byla přistupována z internetu Porty otevřené na firewallu pro přístup z veřejné sítě (přímo, bez VPN či jiné ochrany) Organizace Datacentrum erver Internet Firewall LAN 13
KONFIGURAČNÍ CHYBY 2/4 Dotazy pracovních stanic směřovány přímo na veřejný DN Dotazy venku prozrazovaly jména a role stanic, náhradní postupy zjišťování ve vnitřní síti Veřejný DN Organizace tanice Kdo poskytuje supertajnou službu eliska._tcp.domena.org? Vnitřní registr + oficiální DN Internet Firewall LAN 14
KONFIGURAČNÍ CHYBY 3/4 hodná konfigurace pro hlavní a záložní DHCP server, nesynchronní data Jedna stanice dostávala dvě nabídky různých adres, dvě různé stanice dostávaly stejnou adresu Organizace tanice Hlavní DHCP Jsem tu nová, jak se mám zapojit? 10.16.1.153/22 10.16.3.8/22? Záložní DHCP LAN 15
KONFIGURAČNÍ CHYBY 4/4 Ve sdílené infrastruktuře se stanice jednoho subjektu připojovaly k DC druhého Pomíchané nastavení bridge a routerů v různých VLANech Budova tanice DC A Ověř oprávnění uživatele! DC B dílená LAN 16
PROVOZNÍ CHYBY 1/1 Zálohování na špatný cíl erver byl přesunut do jiné podsítě, nastavení zálohování nebylo opraveno a data se zapisovala na jiný stroj, který zdědil IP adresu původního serveru Organizace erver s citlivými daty Pracovní stanice v síti Ulož moji supertajnou zálohu Úložiště pro zálohy LAN 17
MÁME NOVÉ PŘEHLEDNÉ REPORTY 18
Doporučení a závěr Co dál a jak se rozhodnout? 19
CHRAŇTE E Škoda Zásady kalkulace škody a investic do ochrany: Nejde o to, jestli událost nastane, ale o to kdy k ní dojde a jak velká bude škoda (kolik bude činit ztráta a kolik bude stát náprava). Publicita Kybernetické útoky Riziko výskytu Náklady ochranných opatření mají být úměrné velikosti škody a riziku výskytu události. Governance a nedodržené postupy Nelze vsadit na jediný druh ochrany, opatření je třeba kombinovat. Provoz a provozní chyby Je třeba také trvale sledovat a ověřovat, jak daná opatření fungují. Odvratitelnost (hon Harris, CIP study materials) 20
PROVĚŘUJTE Vladimír edláček C EH, Certified LiveWire Examiner, GREYCORTEX CTO Co dál? - Přijďte si pro více informací - Vyzkoušejte nás - techniku a licenci zapůjčíme - nálezy vysvětlíme vladimir.sedlacek@greycortex.com Martin enčák Obchodný riaditeľ +421 2/57275111 martin.sencak@beset.sk Řadíme se ke světové špičce, ale domluvíte se s námi! 21
Děkuji za pozornost! www.greycortex.com další informace, příklady použití info@greycortex.com kontaktujte nás www.youtube.com/greycortex videa V prezentaci byly použity fotografie od autora Neznámý autor s licencí CC BY-NC-ND 22