MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI? Milan Balážik, CISSP, CISA Senior Security Solutions Architect Corpus Solutions a.s. Na Vítězné pláni 1719/4 140 00 Praha 4 E-mail: milan.balazik@corpus.cz E-mail: sales@corpus.cz
CO JSOU MODER NÍ HROZB Y I
CO JSOU MODERNÍ HROZBY jak se odráží v přístupu k bezpečnosti Předpoklady pro úspěšné útoky: cena informací, potenciálně dostupných přes Internet, stoupá (attack surface) ke všemu je vzdálený přístup pro administrátory a třetí strany nástup BYOD a konzumerizace nové funkcionality -> nové zranitelnosti zvyšuje se komplexnost hackerských nástrojů i dovedností hacktivism - jsou k dispozici nástroje pro script-kiddies Advanced persistent threat (APT)
CO JSOU MODERNÍ HROZBY jak se odráží v přístupu k bezpečnosti,,hacktivismus je způsob hackingu, k dosažení politických nebo společenských cílů." politické a společenské cíle DDoS: mohutnost (náhlé vysoké nároky na zdroje) skryté konkrétní cíle
CO JSOU MODERNÍ HROZBY jak se odráží v přístupu k bezpečnosti Advanced Persistent Threat (APT): modernost/vyspělost trvalost/dlouhodobost/z acílenost útok na vícero frontách současně (šířka pásma, protokoly, výpočetní a úložní kapacita) DoS Level II např. "ve stínu" útoků (D)DoS může probíhat
CO JE OHROŽENO co je potřeba chránit BUSINESS CONTINUITY Schopnost firmy vrátit se po incidentu či přerušení operací co nejrychleji do normálního stavu. DATA A INFORMACE Informační aktiva: - data - informace - know-how FIREMNÍ REPUTACE Ohrožení byznysu následkem ztráty důvěry partnerů a zákazníků. UŽIVATELSKÁ IDENTITA - neoprávněný přístup - porušení tajemství zpráv - poškození záznamů
II POTŘEBA NOVÝCH STRATEGIÍ BEZPEČNOSTI
POTŘEBA NOVÝCH STRATEGIÍ BEZPEČNOSTI proč samotné technologie nedokážou zaručit bezpečnost? Současný stav: "Nevím, v jakém stavu je moje bezpečnost, ale mám X boxů" není znám stav momentálního stavu bezpečnosti ani bezpečnostní potřeby začíná se od konkrétních technických implementací/kombinací, které diktují výrobci a Gartner high-level bezpečnost (SIEM, IDS/IPS, WAF...) je dynamické povahy, produkuje velké množství výstupů, které se musí správně interpretovat Výsledek současného stavu: "Nevím, zda jsem cílem nebo obětí útoků"
NOVÁ STRATEGIE jak se bezpečnost dělá správně Cíle moderní bezpečnosti: "neplátat" skupiny/typy hrozeb primárně konkrétními technologickými implementacemi znát stav v jakém se bezpečnost nachází a tuto informaci udržovat aktuální neustálý soulad formální bezpečnosti (předpisové základny) se stavem nastavení bezpečnostních prvků oplácet útoky "stejnou mincí": sofistikovaná mnohovrstevná obrana na vícero frontech prevence není všechno - mít schopnost reakce
NOVÁ STRATEGIE proč se bezpečnost často dělá špatně? Běžné firmy: nejsou schopny zmapovat a udržovat stav bezpečnosti nejsou schopny neustále přizpůsobovat (ladit) konfigurace high-level bezpečnostních prvků nejsou schopny zajistit a udržovat potřebný tým specialistů, pokrývající bezpečnostní potřeby Pouze profesionální bezpečnostní specialisté: mají potřebný cross-know-how a úplně jiné možnosti dokážou zaručit úspěšnou prevenci, detekci, reakci, vyhodnocení
III KDE ZAČÍT??? S jakými kroky je třeba začít a jak pokračovat při moderním řízení ICT bezpečnosti
KDE ZAČÍT? formální bezpečnost - řízení rizik Bezpečnostní politiky: globální (organizace, odpovědnosti, aktiva,... ) definice procesů řízení bezpečnosti v globální bezpečnostní politice (např. IM) specifické (např. řízení provozu, přístupu, kontinuity, incidentů, shody) Proces řízení incidentů: detekční strategie incidentů reakční schopnosti a strategie: definice postupu v krizových situacích, plán kontinuity Security Response Plan, Security Response Team
KDE ZAČÍT? audit stavu bezpečnosti Identifika ce Zvládání Monitorin g hodnocení aktiv, zranitelností (včetně architektury a topologie) modelování rizika hrozeb - funkční dekompozice zmapování kvantitativních/kvalitativních možností a limitů vlastních systémů neshody (compliance vůči zákonům a normám, bezpečnostním politikám, best practices...) prostředky a opatření k zabezpečení přijatelná úroveň rizika - akceptace rizik neustálé monitorování: sběr a vyhodnocování dat z mnoha vrstev, vizualizace Analýza Hodnoce ní
Security Intelligence Náš tým bezpečnostních expertů vnímá vaši bezpečnost v souvislostech. IV
ČÍM POKRAČOVAT? Moderní přístupy k řízení bezpečnosti: Získání potřebného know-how pro zvládání bezpečnostních hrozeb Efektivní přístup k moderním technologiím Strategické řízení rozvoje ICT bezpečnosti Využití možností Managed Security Provider Přístup k Security as a Service (např. řešení SIEM) Přínosy: vnímání bezpečnosti v souvislostech: korelace v souvislostech: interpretace - identifikace incidentu sofistikované nástroje: SIEM, NBA, Antibot, AntiDDoS, Code Simulation... odborný přístup k analýze výstupů sofistikovaných nástrojů reporting v podobě srozumitelně interpretovaných závěrů - vizualizace schopnost rychlé detekce bezpečnostního incidentu a rychlé a účinné reakce fixní náklady ulehčení přechodu na Security as a Service v prostředí Cloudu
NÁŠ KONCEPT ŘÍZENÍ ICT BEZPEČNOSTI 1. Customer CSIRT Respons e team Security Team Solution Architects Change/Proble m management Operátoři Analytici Specialisté 2. Customer Event mgmt. 3. Customer Sdílená bezpečnostní platforma Corpus Solutions BigData Security Analytics Databáze IT aktiv Znalostní báze
Děkujeme Vám za pozornost Uvidíme se příště!