Budování bezpečnostního dohledového centra Jihomoravského kraje Aleš Staněk 26. 9. 2018
Předání dohledového centra do provozu 09/2016
Organizační začlenění Bezpečnostní ředitel úřadu Ředitel krajského úřadu Odbor kancelář ředitele Odbor informatiky KOC
Přínosy KOC JMK Vytvoření jednoho společného dohledového centra pro všechny krajem zřizované společnosti maximální efektivita. Jeden silně specializovaný technický tým KOC Tým vyškolených exportů na kybernetickou bezpečnost, který by si samostatně žádná společnost nemohla dovolit. Koordinovaný postup v Incident Response s možností sdílení zdrojů. Jednotný přístup k PO umožňuje benchmark společností JMK. Kooperace JMK s českými a evropskými institucemi kybernetické bezpečnosti.
Současný stav KOC JMK Je spuštěn monitoring 11 samostatných oddělených sítí: KOC, JMK, SÚS, SŠIPF a sedmi krajem zřízených nemocnic Do konce roku 2018 připojíme další krajem zřízené organizace Hlásíme dle zákona všechny vzniklé KBI Poskytujeme součinnost při šetřeních NÚKIB a Policie ČR Za den vyhodnotíme cca 28,5 milionů událostí
Příspěvkové organizace kraje Jihomoravský kraj je zřizovatelem 230 příspěvkových organizací Mají různou velikost 3 608 zaměstnanců Pracují s různými rozpočty 1,5 600 milonů Kč za rok Starají se o majetek v rozmezí 0,9 963 milonů Kč Působí v různých oborech zdravotnictví, školství, dopravě, sociálních službách, kultuře
Interní informace Některé skutečnosti uvedené dále mohou mít charakter důvěrných informací pro tuto prezentaci byly anonymizovány
Postup při připojení další organizace Komunikace s vedením Jednotná dokumentace sítě Bezpečný komunikační kanál Integrace kolektoru do sítě zákazníka Sběr logů Vytvoření asset modelů
Postup při připojení další organizace Jednotná dokumentace sítě
Postup při připojení další organizace Bezpečný komunikační kanál
Postup při připojení další organizace Integrace kolektoru do sítě zákazníka
Postup při připojení další organizace Sběr logů Zařízení musí být v dokumentaci Logy musí mít správný formát Ukládání do správného logspace
Postup při připojení další organizace Provozní monitoring
Postup při připojení další organizace Vytvoření asset modelů (aktuálně 501 assetů) Zákazník Počet assetů KOC 23 JMK 101 SSIPF 23 SUS 41 NEMKY 79 NEMBV 23 NEMHO 50 NEMHU 14 NEMIV 61 NEMVY 29 NEMZN 57
Postup při připojení další organizace Vytvoření asset modelů
Postup při připojení další organizace Řešení problémů Asset quiet
Proč budovat bezpečnostní dohledové centrum Jihomoravský kraj je prvním krajem, který ke splnění požadavků ZoKB vybudoval bezpečnostní dohledové centrum Ochrana aktiv Aktivum je cokoli, co má pro organizaci nějakou hodnotu Mělo to smysl?
Proč budovat bezpečnostní dohledové centrum
Otevřený SSH port ArcSight - A.THREA01.JMK: FLOWMON Attackers Na FW byl do internetu otevřený SSH port. Zachyceny neúspěšné pokusy o připojení se ze zahraničních IP adres. Například z Činy, Brazílie, Indie a Saudské Arábie. Target User Name: slovníkové názvy př.: Administrator, MAIL, office, anonymous, webadmin, Cisco, test, ftp, user
Scan portu v zóně WiFi free SSB- Hunting v provozních lozích Zařízení xxx.xxx.xxx.xxx provádí scan na portu 7 u rozsahů IP adres. Vždy v daný den jeden rozsah adres. Každou minutu cca 222 tis logů. Zařízení bylo na WiFi controlleru ukončeno.
Dotazy? Děkuji Vám za pozornost