Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Dr. Igor Čermák
Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Igor Čermák Chief Security Officer Fujitsu Technology Solutions
Agenda Kybernetické hrozby Systém řízení bezpečnosti informací (ISMS) a Analýza rizik Pokročilý monitoring bezpečnosti Network Behavioral Analyses 2
Kybernetické hrozby Množí se počty a složitost útoků; roste profesionalita útočníků; Rostou počty cílených útoků na objednávku; Roste počet typů a složitost škodlivých programů (malware); Probíhají předem připravené útoky na atraktivní cíle i všeobecné útoky cílené na získání přístupu do systémů a dat (hesla, čísla karet, čísla pojištění, ); Využití sociálního inženýrství (znalost prostředí, struktury organizace, sociální návyky zaměstnanců); Jak se bránit? 3
Systém řízení bezpečnosti informací (ISMS) Bezpečnost informací (Information Security) Systém řízení bezpečnosti informací Analýza rizik a nástroj SAAR pro podporu analýzy rizik a implementace a provozu ISMS 4
Bezpečnost informací Data Různé druhy, různý způsob ukládání a transportu; Informace data => informace Aktiva informace => aktivum Aktiva je třeba chránit bez ohledu na formu a způsob zpracování/uložení Zdroje ohrožení informací hrozby; Požadavky ochrany informací z hlediska: C Důvěrnosti.. (Confidentiality) I Integrity... (Integrity) A Dostupnosti. (Availability) 5
Informační bezpečnost Informační bezpečnost x IT bezpečnost, fyzická bezpečnost,. Informační bezpečnost je nezbytné vnímat jako bezpečnost informací ve všech jejich formách a během celého životního cyklu informací (pořízení, zpracování, přenášení, ukládání, archivování, likvidace); Informační bezpečnost lze definovat jako systém ochrany informací 6
Bezpečnost informací Pro zajištění informační bezpečnosti výběr různých opatření; Opatření je nezbytné vybírat na základě posouzení rizik pro jednotlivá aktiva; Vzhledem k proměnám vnitřních a vnějších hrozeb a vzniku nových hrozeb, ke změnám v organizaci samotné i v prostředí, ve kterém působí (například legislativa) je nutné nastavit mechanismus přizpůsobování = mechanismus přezkoumání přijatých opatření: modifikace přijatých opatření; pomocí formálně definovaného a realizovaného postupu průběžné analýzy, implementace, kontroly, údržby, zlepšování systému informační bezpečnosti; pro dosažení efektivity řízení (přiměřené nároky na zdroje); 7
Systém řízení bezpečnosti informací Information Security Management System (ISMS) součást globálního systému řízení organizace; Cíle, metodika, kontrola; založen na vyhodnocování a analýze rizik; analýza, implementace, kontrola, údržba, zlepšování systému informační bezpečnosti; využití standardů a norem při zavádění ISMS mezinárodní norma doporučuje zřízení kontinuálního a systematického procesu řízení bezpečnosti (ISO/IEC 27001); nejde o jednorázová technická nebo organizační opatření, ale o zavedení systému řízení. 8
ISMS přínosy Informační bezpečnost zajišťuje hlavní procesy organizace (např. business procesy) a chrání tím organizaci před uplatněním hrozeb ohrožujících splnění jejich cílů, umožňuje organizaci plnit legislativní a smluvní požadavky, snižuje dopady bezpečnostních incidentů, havárií a výpadků: minimalizace rizik prokazatelně existujících hrozeb (počítačové viry, neoprávněná manipulace s daty, ztráta nebo vyzrazení citlivých dat, průniky z internetu apod.); jasné postupy řešení neočekávaných situací (minimalizují potenciální ztráty - důsledky případných výpadků a havárií); vymezení povinností a zodpovědností zaměstnanců (snižuje riziko bezpečnostních incidentů, zajišťuje nepopiratelnost naplnění legislativních požadavků; zajišťuje prevenci incidentů, zavádí spolehlivé vnitřní kontrolní mechanismy. 9
ISMS způsob zavedení Základem ISMS je proces správy a řízení rizik. Nejdůležitější krok výběr vhodné metodologie a nástroje analýzy rizik: (CRAMM, Octave, FRAAP, RA Tool,.)!!! SW nástroj SAAR!!! 10
SAAR SAAR je: SW nástroj pro podporu implementace a provozu systému řízení bezpečnosti informací; aplikace pro účinné řízení rizik informační bezpečnosti v organizaci nebo v jakékoli její části; umožňuje průběžně organizovat procesy řízení rizik v rozsahu celkové analýzy rizik i právě daných potřeb při jednotlivých rozhodnutích o změnách, které mohou ovlivnit rizika informační bezpečnosti; je efektivní jak v etapě zavádění ISMS, tak při jeho dalším provozování; aplikace vyvinutá v ČR Safcon s.r.o. 11
SAAR SAAR umožňuje: stanovit kontext řízení rizik; využívat metodiku řízení rizik navrženou v souladu s mezinárodním standardem ISO/IEC 27005 (který je také českou státní normou ČSN); volit úrovně prahových hodnot kritéria akceptovatelnosti rizik; používat funkce pro vyhodnocení rizik a jejich komunikaci v uspořádání hierarchické struktury aktiv; používat funkce pro odhad úrovně rizik a jejich zvládání v uspořádání hierarchické struktury rizik; využívat přehlednou orientaci v grafickém vyjádření úrovně rizik; pracovat ve vícejazyčném prostředí; 12
SAAR SAAR umožňuje: vést opatření ve struktuře ISO/IEC 27001 a v souladu se stanovenými principy; posuzovat stav existujících a plánovaných opatření ve srovnání s doporučeními ISO/IEC 27002; přípravu a prosazování společných politik bezpečnosti informací a společných bezpečnostních standardů; porovnat vlastní opatření s obsahem mandatorních opatření závazných ve skupině, odvětví, organizaci státní nebo veřejné správy, nebo s jinak závazným předpisem; porovnat existující stav opatření s obsahem bezpečnostních směrnic závazných v organizaci; porovnat opatření ve své referenční podobě s opatřením identifikovaným ve vztahu k jednotlivým aktivům, hrozbám a zranitelnostem; 13
SAAR SAAR umožňuje: plánovat přípravu a provedení auditu v souladu s doporučením ISO/IEC 27006 (příloha D); plánovat auditní úkony ve vztahu ke konkrétním opatřením a aktivům; zpracovat výsledky všech provedených šetření a testů ve struktuře rizik; zpracovat výstupní sestavy dokumentující plán, provedení a výsledky jednotlivých interních auditů v samostatných datových strukturách. 14
SAAR SAAR: je tvořen moduly programovanými pro sjednocené informační prostředí platformy Microsoft SharePoint Server 2010 a 2013 provozovanými na všech jeho verzích (SharePoint Foundation, Standard nebo Enterprise); všechny zpracovávané informace jsou uloženy v databáze informačního prostředí, při přenosech, výstupech a manipulacích jsou data organizovány ve formě standardních XML struktur; datové struktury jsou při přenosech a před uložením na pracovní disk šifrované; použité klíče jsou jedinečné pro každého klienta; exporty datových struktur jsou šifrované; použité klíče jsou jedinečné pro každého klienta; 15
SAAR Standardizace nabízeného řešení Nabízený SW nástroj SAAR, podporující procesy přípravy a vlastního řízení rizik a bezpečnosti má řadu vlastností, které mohou přinést řadu výhod při srovnávání s potenciálními konkurenčními nabídkami. Řízení rizik, které nabízí transparentní pohled na všechny aktiva, hrozby, zranitelnosti a opatření v hierarchické struktuře, umožňuje provádět identifikaci a ohodnocení rizik v souladu s mezinárodním standardem ISO/IEC 27005. 16
SAAR Standardizace nabízeného řešení Řízení bezpečnosti informací umožňuje vymezit, zavést a provozovat systém řízení bezpečnosti informací v souladu s nejlepší praxí, podle mezinárodního standardu ISO/IEC 27001, včetně přímé podpory zvládání rizik, řízení implementace nezbytných opatření, tvorby požadované dokumentace a plánování a vyhodnocování interních auditů na všech úrovních organizace. 17
SAAR SP globální web, základní nabídka 18
SAAR SP Reporting Přehled aktiv 19
SAAR SP Reporting Přehled rizik 20
SAAR SP Přehled mandatorních opatření 21
Pokročilý monitoring bezpečnosti Network Behavioral Analyses (NBA) 22
Monitoring stávající stav 23
Limity stávajících bezpečnostních technologií Běžné stávající technologie: SNMP, FW, IDS/IPS, Anti-malware,.. Zaměřeno na ochranu před známými hrozbami (IDS/IPS, Antivir, Antimalware); Nedostatečný průběžný monitoring; Koncentrace na jednotlivé úzce vymezené oblasti (Firewall perimetr); Zahlcení velkým množstvím informací (IDS); Omezený význam monitorovaných informací (SNMP) Network Security Monitoring doplňuje standardní technologie: NetFlow co se v síti děje (kdo, s kým, co, jak, ) NBA/ADS odhalení i dosud neznámých hrozeb a nestandardního chování stanic; 24
Klíčové body pro CIO, CSO, CCO Neřešený monitoring datových toků v síti Máme přehled o síťových komunikacích nejen do Internetu, ale i v rámci WAN a LAN? Máme aktuální data i data z historie? Bezpečnost Umíme detekovat útoky DoS, DDoS a útoky na služby? Jsme schopni odhalit viry a malware nepodchycené antiviry? Máme nástroj pro odhalování podezřelých změn chování v síti? Optimalizace infrastruktury Neplatíme zbytečně moc poskytovateli Internetu nebo WAN? Není naše síť pomalá, nemají síťové aplikace dlouhé odezvy? Efektivita zaměstnanců Nejsou v naší síti zneužívány P2P služby a instant messaging? Nenavštěvují naši zaměstnanci podezřelé webové stránky? 25
Klíčové body pro IT admin Víte o všem, co se děje ve Vaší síti? Jste si jisti bezpečností Vaší sítě? Je Vaše síť chráněna dostatečně proti vnějším i vnitřním útokům? Máte možnost sledovat síťový provoz v reálném čase? Odhalujete problémy na síti rychle a jednoduše? Máte dostatek informací pro optimalizaci a rozšiřování síťové infrastruktury? Dohledáváte a prokazujete snadno bezpečnostní incidenty, Víte, kteří uživatelé a které služby nejvíce zatěžují Vaši síť? Znáte reálné využití Internetu ve Vaší organizaci? Kontrolujete dodržování SLA? 26
Pozice řešení NBA/ADS + FlowMon 27
Řešení FlowMon Inovativní řešení pro monitoring a bezpečnost sítí; Kompletní řešení pro monitorování sítě na základě IP toků; Založeno na technologii NetFlow v5/v9 světově nejrozšířenější technologie pro statistiky síťové komunikace; Poskytuje informace kdo, s kým, jak dlouho, jakým protokolem komunikoval a kolik přenesl dat; Neinvazivní řešení pro sítě všech velikostí; Technologie vytvořená v ČR InveaTech a.s.; Lokální podpora; nejlepší poměr cena/výkon na trhu; Unikátní přínosy pro uživatele reagující na typické problémy vyskytující se ve stávajících sítích z pohledu manažerů i administrátorů. 28
Řešení FlowMon Přínosy pro zákazníka Monitoring a management Optimalizace a reporting Efektivní troubleshooting; Performance monitoring; Vnější i vnitřní bezpečnost; Dohled bezpečnostních politik; Snížení nákladů na provoz sítě 29
ADS/NBA Detekce nežádoucích vzorů chování Vnitřní a vnější útoky Nežádoucí služby a aplikace Provozní a konfigurační problémy Behaviorální analýza Profily chování Detekce anomálií Sběr statistik Přehledné uživatelské rozhraní Dashboard s okamžitou indikací problémů; Interaktivní vizualizace událostí; Integrace informací ze služeb DNS, WHOIS, geolokační služby Komplexní filtrování, alerting, reporting 30
Přínosy řešení pro administrátory Detailní přehled o dění v síti (LAN i WAN) jak v reálném čase, tak kdykoliv v minulosti; Přesné, rychlé a efektivní řešení problémů; Zvýšení bezpečnosti, odhalení vnitřních a vnějších útoků; Snadné plánování kapacit a optimalizace sítě; Dohled nad využitím Internetu, využitím aplikací Předcházení incidentům jako jsou zahlcení a výpadky sítě Odhalení špatných konfigurací 31
Přínosy řešení pro management Pro management: Snížení nákladů na správu a provoz sítě; Statistiky (tabulky, koláčové grafy) o využití sítě; Kontrola využívání elektronických zdrojů zaměstnanci (například využití Internetu); Omezení využívání aplikací typu P2P apod. Pro bezpečnostní management: Detekce vnitřních a vnějších útoků, změn chování v síti; Kontrola přístupu uživatelů k datovým zdrojům; Dohledávání a prokazování bezpečnostních incidentů; Porovnání bezpečnostních politik se skutečným stavem v síti; Prevence před únikem informací z firmy 32
Shrnutí Efektivnější procesy a bezpečnější infrastruktura: Odhalte problémy dříve než je nelze přehlédnout, řešení problémů IT infrastruktury Úsporu nákladů a zvýšení produktivity (eliminace chybné konfigurace, eliminace nežádoucích aktivit, kvalita služeb dodržování SLA, eliminace latencí) Snížením pracnosti správy IT infrastruktury (zlepšování a rozvoj infrastruktury a poskytovaných služeb) Dohledem nad využitím sítě zaměstnanci (dodržování bezp. směrnic a předpisů, nežádoucí aplikace a sdílení obsahu), eliminace užití nelegálního SW; Ochrana síťové infrastruktury před novými bezpečnostními hrozbami (vnitřní a vnější útoky, úniky informací, infikovaná zařízení 33
FlowMon+ADS FlowMon+ADS = kompletní řešení pro monitoring a bezpečnost sítí: ADS: detekce anomálií, provozních a bezpečnostních problémů FlowMon+ADS: kompletní řešení pro monitoring a bezpečnost 34
Děkuji za pozornost Dr. Igor Čermák CGEIT, CISM Senior Consultant igor.cermak@ts.fujitsu.com (+420) 733 610 410 (+420) 233 032 832 35
36