& GDPR & ŘÍZENÍ PŘÍSTUPU Ivan Svoboda, ANECT Jakub Kačer, ANECT
Statistiky Data Breach Report
Statistiky Data Breach Report: vektor útoku http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2016
Statistiky Data Breach Report: vektor útoku http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2016
Statistiky: rychlost útoků http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2016
Statistiky: rychlost útoku a detekce http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2016
GDPR vybrané požadavky
Vybrané požadavky GDPR Minimalizace přístupu Monitoring přístupu Rychlost reakce na incidenty
Incidenty - příklady
Incidenty s osobními daty zdravotnictví - Anthem ÚNIK DAT: 79 M subjektů!! VÝSLEDKY VYŠETŘOVÁNÍ LEDEN 2017 18.2. 2014: uživatel na jedné z poboček Anthemu otevřel phishingový email Download malwaru; vzdálený přístup k PC; laterální pohyb po síti, eskalace privilegií, získání dalších přístupů Celkem: 50 accountů, kompromitace 90 systémů, vč. DWH s citlivými údaji Exfiltrace 79 M klientských záznamů 27.1. 2015: detekce úniku Ohlášení na FBI, odstartování IR plánu, přizvání security specialistů 30.1. 2015: poslední známky škodlivých aktivit
Incidenty s osobními daty zdravotnictví - Anthem Cíle vyšetřování: Hodnocení připravenosti cybersecurity Anthemu Hodnocení reakcí na únik Hodnocení opatření ke zmírnění škod pro klienty Identifikace útočníka/ků Fáze vyšetřování: Initial assessment: Interview + Dokumentace: prostředí, IR plány, post-breach postupy: hodnocení zranitelností Breach assessment: Revize postupů detekce, omezení a reakce, včetně ochrany klientů Cybersecurity Assessment: Detailní revize opatření: před a po Ověření pomocí penetračního testu
Incidenty s osobními daty zdravotnictví - Anthem Výsledky vyšetřování/nálezy: 1. Pre-Breach Cybersecurity: - Opatření byla přiměřená typu a velikosti firmy - Nicméně, útočníci mohli využít určitých zranitelností 2. Pre-Breach Response Preparation: - Anthem měl připravený detailní IR plán, vč. rolí, zodpovědností a procesů - IR plán byl několikrát testován 3. Response Adequacy - Po detekci byly okamžitě zahájeny akce podle IR plánu, vč. top-managementu, - Vyšetřování, omezení a zastavení úniku - Externí komunikace: FBI, regulátor, veřejnost, klienti - Reakce byla adekvátní, rychlá, a během 3 dnů byl přístup útočníků zastaven 4. Post-Breach Cybersecurity: - Zlepšení: autentizace, Privileged Account Management, monitoring, SIEM, - Projekty dalších zlepšení
Incidenty s osobními daty zdravotnictví - Anthem Výsledky vyšetřování/nálezy: 5. Corrective Actions: - Spolupráce s FBI a s regulátory - Oznámení veřejnosti a dotčeným klientům - Dopisy, emaily, noviny, web, - Spolupráce s firmou na ochranu kreditu klientů Dopady pro Anthem - Zatím celkem: 260 M $ - Pokuta: - 2,5 M: expertní konzultanti - 115 M: zlepšení cybersecurity - 31 M: notifikace veřejnosti a klientů - 112 M: ochrana kreditu klientů
Ponaučení Rychlost detekce Incident Response Plan Řízení přístupu CISCO ISE Rychlost reakce
V čem Vám ISE pomůže? Identity Service Engine Next-Gen RADIUS Kontrola přístupu do sítě z jednoho místa Informace o uživatelích a zařízeních v síti Zastavení hrozeb Rapid Threat Containment
Kontrola přístupu do sítě z jednoho místa Přístup pro správné uživatele Zaměstnanec, Host, Kontraktor Přístup ze správného zařízení Služební, Soukromé, PC, Mac, Android, ipad, iphone Přístup správným způsobem Drátová síť, Bezdrátová síť, VPN Přístup ve správný čas Bez omezení, Pracovní dny, Pracovní hodiny Přístup ke správným zdrojům Interní portál, File server, Exchange, Active Directory, Internet
Kontrola přístupu do sítě z jednoho místa vyhovující zařízení Posture Assesment AnyConnect Compliance Module X AMP nainstalován? Aktuální AV signatury? Aktuální OS záplaty? Správné hodnoty registrů? Šifrování disku? Zranitelnost? Hrozba?? Přístup pouze pro vyhovující zařízení MDM registrován? Integrace s AMP for Endpoints PIN nastaven? JailBroken? Integrace s MDM systémy X Přesun do karantény
Informace o uživatelích a zařízeních v síti Profiling DHCP CDP LLDP NetFlow HTTP Cisco IP Phone 8851 Autentizace Active Directory Posture Assesment Pavel Vomáčka, Win7, Managemet BYOD MDM iphone 7 ios 10.2 Registered
Informace o uživatelích a zařízeních v síti Kontext Bez ISE S ISE Kdo? 10.1.52.16 Pavel Vomáčka Co? Neznámé PC, Windows 7 Kde? Neznámé Kancelář Praha, 1. Patro Kdy? Neznámé 1.2.2017 10:23 Jak? Drátová síť Drátová síť NAD? Neznámé pha-s6, Gi0/26 Hrozba/Zranitelnost? Neznámé Žádné Visibilita Žádná Úplná
Zastavení hrozeb Rapid Threat Containment Sdílení kontextů PxGrid 3 5! NGFW FirePOWER 1 Okamžitá karanténa stanic PxGrid univerzální API Autentizace uživatele 6 ISE 2 PxGrid pxgrid Controller 3 3 W ww Web Security Appliance Cisco and Partner Ecosystem 2 Sdílení kontextu na Controller RADIUS 3 Sdílení kontextu na prvky sítě 1 4 4 Stažení Malware Malware Download 5 6 Žádost o karanténu Karanténa koncové stanice X
Příklad reálného nasazení Státní správa - 1500 koncových zařízení, 400+ hostů denně Typy zařízení - Služební, Soukromá, Neinteraktivní zařízení Neinteraktivní zařízení - MAB Hosté CWA; Interní databáze hostů; Automatický zřizované přístupy pro hosty pomocí REST API Typy uživatelů - Zaměstnanci, Spolupracovníci, Hosté Dva virtuální ISE servery Služební - 802.1X; PKI; PEAP EAP- TLS; Nativní windows suplikant; Integrace s AD Další fáze projektu - Posture Assesment, BYOD a rozšíření na lokality Soukromá - CWA; Integrace s AD
Key Takeaway Řízení přístupu do sítě z jednoho místa 100% přehled o koncových zařízeních v síti 100% přehled o uživatelích v síti Posture Assesment přístup pro vyhovující koncové stanice Integrace MDM, Active Directory, AMP for Endpoints, atd. Zastavení hrozeb Rapid Threat Containment Přijďte se podívat na stánek konzultace nejen ohledně ISE, demonstrace ukázek ISE
Závěr Uživatelé Advanced endpoint protection Endpointy Malware Advanced malware protection Insider Anomaly detection Rychlost detekce Rychlost reakce IR Plan Řízení přístupu & micro-segmentace Cisco ISE
? Potřebujete pomoc se zákony a standardy? Chcete zjistit, co vám konkrétně hrozí? Potřebujete technologie, procesy, role, lidi? Chcete trvale vidět, rozumět a reagovat?