Koncept aktivní bezpečnosti a spolehlivosti IT infrastruktury Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.com
Představení NSMC Kooperační odvětvové uskupení 19 firem se specializací na bezpečnost v ICT, firmy s vlastními produkty, ale i integrátoři komplexních řešení.
Představení NSMC Realizujeme audity, analýzy a doporučení. Poskytujeme marketingovou podporu. Hledáme projekty v zahraničí (EU, NATO, USA, ). Poskytujeme poradenskou činnost pro komerční subjekty i samosprávu. NSMC Spolupracujeme při tvorbě legislativy a stanovování best practice. Poskytujeme podporu aplikačního výzkumu s MU (CERIT), ČVUT a VUT. Pořádáme školení a vytváříme programy pro studium bezpečnosti IT.
Proč bezpečnost v ICT? Používáte výpočetní techniku? Máte vytvořenu síťovou infrastrukturu? Je Vaše síťová infastruktura připojena k internetu? Zajištění kontinuity byznysu Business Continuity = strategická a taktická způsobilost organizace být připraven a reagovat na incidenty a narušení činností organizace za účelem pokračování na předem stanovené přijatelné úrovni (zdroj Wikipedie). Zabezpečení není luxus, ale nezbytnost pro zachování kontinuity byznysu.
Bezpečnost z pohledu infrastruktury Fyzická bezpečnost: neoprávněná manipulace, krádež, poškození (provozní podmínky). Kybernetická bezpečnost: perimetr, vnitřní síť.
Jak na ICT bezpečnost? Právní předpisy, normy a metodiky, know-how, směrnice (interní předpisy), evangelizace v oblasti KB, technologie.
Právní předpisy Zákon 40/2009 Sb. Trestní zákoník, zákon 365/2000 Sb. Zákon o informačních systémech veřejné správy, zákon 181/2014 Sb. - Zákon o kybernetické bezpečnosti, vyhláška 315/2014 Sb. - Odvětvová kritéria pro určení prvku kritické infrastruktury, vyhláška 316/2014 Sb. - Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti, vyhláška 317/2014 Sb. - Vyhláška o významných informačních systémech a jejich určujících kritériích.
Normy a metodiky ITIL (Information Technology Infrastructure Library), metodika založená na procesním řízení organizace a je určena především pro IT manažery. COBIT (Control Objectives for Information and related Technology), soubor praktik, které by měly umožnit dosažení strategických cílů organizace díky efektivnímu využití dostupných zdrojů a minimalizaci IT rizik. Je určen především top manažerům k posuzování fungování ICT a auditorovi pro provádění auditu systému řízení ICT. CRAMM (CCTA Risk Analysis and Management Method) metodika pro analýzu a řízení rizik, podpůrný nástroj pro přípravu organizace na certifikaci podle ISO/IEC 27001:2005, ISMS ISO/IEC 27001:2005 mezinárodně platný standard, který definuje požadavky na systém řízení bezpečnosti informací. Pozn.: CCTA - Central Computer and Telecommunications Agency
Know how Znalosti a zkušenosti v oblasti ICT a KB Interní zdroje: problémem v menších organizacích bývá často souběh rolí => nedostatečná kompetence, ovlivnění infrastrukturou a standardy dané organizace => profesní slepota. Externí zdroje: specializace, větší rozhled, praxe. Je ideální, když interní bezpečnostní manažer naslouchá a externí bezpečnostní konzultant pomáhá.
IT směrnice V souladu s právními předpisy, metodikami a normami si organizace vytváří své interní IT předpisy/směrnice, které řeší: bezpečnostní politiku organizace, politiku hesel a řízení identit, šifrovací metody, vlastníky procesů, správu aktiv, zálohování, DRP (Disaster Recovery Plan) včetně testů, bezpečnostní incidenty.
Evangelizace KB Vzdělávání v oblasti KB hraje důležitou roli, mnoho bezpečnostních incidentů je zaviněno nízkou úrovní vzdělanosti v oblasti KB, jak zapnout a vypnout počítač ví každý, jak se bezpečně chovat se musíme učit, zde je nezbytná spolupráce mezi HR, IT a managementem společnosti.
Technologie Před nákupem technologií je nutné: provést srovnávací analýzu současného stavu se stavem požadovaným (ZoKB je vhodný etalon), PDCA metodika: Plan - plánuj - naplánování cíle a cesty jak ho dosáhnout, Do - dělej - provedení činností podle plánu, Check - kontroluj - ověření shody výsledku s plánem, Act - jednej - provedení případných oprav a zlepšení. bez znalosti problematiky a provedení důkladné srovnávací analýzy není možné řešit nákup technologií a služeb, management potřebuje kvalitně zdůvodnit účelnost požadovaných finančních prostředků, musí se se záměrem ztotožnit. Plan Act Do Check
Pyramida vyspělosti IT infrastruktury SLA Sběr a korelace logů, komplexní dohled Bezpečnost LAN, řízení přístupu, dohled aplikací Dokumentace IS, bezpečný perimetr, dohled infrastruktury (ITIL, ISMS) Nesystémové řízení bezpečnosti a správy IT Počáteční Řízená Definovaná Kvalitativně řízená Optimalizovaná (měřitelná)
Vyspělost IT infrastruktury - technologie Optimalizovaná (měřitelná) Kvalitativně řízená SLA, KPI Log management & SIEM Definovaná IPAM NAC FM/NBA ADS APM Audit účtů Endpoint security Řízená Firewall IDS/IPS Provozní dohled Detekce zranitelností CMDB Počáteční Izolované systémy, chybějící bezpečnostní politika a dokumentace IS
Dokumentace IS (CMDB) Configuration Management DataBase, evidence komponent IS/IT, jejich vzájemných vztahů, aktuálních konfigurací, spuštěných služeb, Výchozí pozice pro posun z počáteční do řízené úrovně. CMDB
Firewall, IDS/IPS Standardní prvky zabezpečení datových sítí FW důsledné oddělení vnitřní síťě (LAN) od vnějšího prostředí (Internet), nastavení komunikace mezi sítěmi prostřednictvím definovaných pravidel, IDS/IPS blokování nežádoucího provozu, detekce a blokování známých hrozeb pomocí signatur. Internet DMZ Firewall IDS/IPS WAN LAN
Centrální monitoring a správa sítě - topologie Monitoring ICT ü distribuovaný ü monitoring ü ü infrastruktura, ü aplikace, ü prostředí ü měření SLA IPAM Flow monitoring adresní plánování ü zpracování správa IP prostoru provozu na síti DHCP, DNS, Radius ü detekce anomálií řízení přístupů do a nežádoucího sítě chování ü profily chování FlowMon sonda AddNet work server MoNet sonda MoNet řídící server AddNet řídící server FlowMon kolektor FlowMon ADS DMZ FlowMon sonda AddNet work server AddNet work server AddNet work server MoNet sonda LAN 1 MoNet sonda LAN X MoNet sonda Aplikace Aplikační servery Databáze Operační systémy Virtualizace Hardware Prostředí Aplikace Aplikační servery Databáze Operační systémy Virtualizace Hardware Prostředí Aplikace Aplikační servery Databáze Operační systémy Virtualizace Hardware Prostředí
Centrální monitoring a správa sítě funkční pohled A p l i k a c e A p l i k a č n í servery D a t a b á z e O p e r a č n í systémy V i r t u a l i z a c e H a r d w a r e S í ť o v é p r v k y P r o s t ř e d í Univerzální Monitoring I P A M Správa IP adresního prostoru L2 Monitor historie IP/MAC/port DDI Základní síťové služby High Performace & distribuované D H C P Flexibilní & distribuované D N S B e z p e č n o s t 802.1x & MAC Aut e n t i z a c e Aut o r i z a ce VLAN přiřazení S b ě r p r o v o z n í c h d a t NetFlow v5/v9/ipfix L2/L3/L4 visibility Network performance monitoring On-demand packet capture P r o v o z n í s t a t i s t i k y Objemové a provozní statistiky Drill down a datová analýza Distribuovaný R A D I U S Vlastní profily a Reporting K r i z o v é p l á n o v á n í B e h a v i o r á l n í a n a l ý za B Y O D a n d m o b i l ní z a ř í z e n í Automatizovná správa IP & NAC Samoobslužný management portal A k t i v n í p r v k y Repository Port utilizace monitor Útoky, Malware, APTs Síťové anomálie, porušení politik Konfigurační a provozní problémy D a s h b o a r d Top and traffic statistics Zálohování konfigurací Bezpečnostní incidenty
Audit privilegovaných účtů Sledování operací správců a externích dodavatelů, logování bez možnosti manipulace s logy, možnost rekonstrukce aktivit, audit důležitých operací a přístupů: k citlivým informacím, změny konfigurace. Zaměstnanci IT, externí podpora Datové centrum Audit účtů
Log management & SIEM Log Management sběr logů z prvků IT infrastruktury, monitorovacích nástrojů a aplikací, korelace, agregace a automatizovaná analýza, SIEM komplexní pohled na IT infrastrukturu, automatické generování a prioritizace incidentů. Log management SIEM
Stavební bloky SIEM Log management Event management Reporting Dashboards Packaged Correlations and Alerts Sběr a jednotné ukládání originálních/raw dat (logů). Parsování + Taxonomizace. Vyhledávání eventů, jejich vizualizace. Tvorba reportů v reálném čase nebo dle časového rozvrhu. Vizualizace stavu bezpečnosti. Korelace. Notifikace. Pokročilý alert management.
SLA, KPI, manažerský pohled Nadstavba SIEM systému, komplexní reporting pro management, sledování metrik na úrovni aplikací a procesů, optimalizace procesů a manažerské řízení IT, shoda s regulativními požadavky (ISO 2700x,...). SLA
Rekapitulace konceptu
Shrnutí NSMC konceptu Návrhu optimálního řešení předchází analýza. Náš koncept je: funkční a v praxi ověřený (cca 200 společností), nákladově efektivní, komplexní (řeší nejen ochranu perimetru, ale i vnitřní síť), v souladu s ICT standardy a ZoKB.
Děkuji za pozornost Ing. Jiří Sedláček jiri.sedlacek@nsmcluster.com Network Security Monitoring Cluster CERIT Science Park, Botanická 68a Brno, 602 00, Czech Republic info@nsmcluster.com www.nsmcluster.com