1. Prjekt Zvýšení bezpečnsti rganizace v suladu s ZKB Cílem prjektu Zvýšení bezpečnsti rganizace v suladu s ZKB je především splnění pžadavků kladených nvu legislativu v blasti kybernetické bezpečnsti (Zákn kybernetické bezpečnsti ZKB). Za tímt účelem předpkládáme dvybavení rganizace příslušnými bezpečnstními technlgiemi, které tt umžní. Organizace jsu v sučasné dbě vybaveny tzv. nástrji pr chranu perimetru (firewall), kdy je vnitřní síť úřadu splehlivě ddělena d vnějšíh nezabezpečenéh internetu. Vnitřní síť rganizace však typicky není vybavena nástrji, které dkáží dhalit případné překnání tét chrany a případně zamezit datvý prvz zařízení, které je kmprmitvané (nástrje detekce). Rvněž v sučasné dbě nejsu k dispzici nástrje, které budu předepsaným způsbem psílat Hlášení kybernetických bezpečnstních incidentů a případně rvněž přijímat Hlášení prtipatření z vládníh neb nárdníh CERTu a rvněž standardním způsbem prcesvat kybernetické bezpečnstní incidenty v rámci rganizace. Obr.1: Schéma plitiky aktivní bezpečnsti síte, zajišťující bezpečnst v suladu s ZKB Všechny tyt nástrje a jejich nastavení je nutné implementvat v suladu s bezpečnstní plitiku úřadu, která by měla svjí frmu dpvídat Systému řízení bezpečnsti infrmací, vycházejícím z nrmy CSN ISO/IEC 27001.
V rámci prjektu se předpkládá zajištění a) nástrjů detekce b) nástrjů pr řízení přístupu zařízení c) pdpůrných nástrjů pr řízení mimřádných stavů na síti d) nástrjů pr řízení bezpečnstních incidentů Nástrje detekce zahrnu především nástrje mnitringu sítě (detailní L2 mnitring pr frenzní audit, Flw mnitring a mnitring zdrjů síťvých zařízení) spjené s pkrčilými nadstavbami jak je NBA - behavirální analýza sítě, integrvaná správa adresníh prstru, základních síťvých služeb (DDI) a řízení přístupu zařízení d sítě (NAC). Nástrje pr řízení přístupu zařízení využijí především inteligentních nadstaveb nástrjů detekce zejména pkrčiléh DDI nástrj s integrvaným NAC nástrjem na L2. Pskytne tak nejenm mžnst MAC autentizace ale rvněž nástrje Autrizace (tj. přiřazvání d VLAN) Pdpůrné nástrje pr řízení mimřádných stavů na síti zahrnu nástrje pr správu krizvých setů (kritické infrastruktury rganizace) s mžnstí kamžité deaktivace prvzu zařízení mim tent set a dále nástrje pr autmatizvané zálhvání a pdpru bnvy knfigurací aktivních prvků. Nástrje pr řízení bezpečnstních incidentů vyjdu ze specializvané nadstavby (SIEM) nástrjů detekce a řízení přístupu zařízení. Budu bsahvat rvněž lg management pr zajištění pžadvaných auditních infrmací. V tmt prstředí djde ke krelaci dílčích událstí jedntlivých subsystémů nástrjů detekce a řízení přístupu zařízení. V případě identifikace kybernetickéh bezpečnstníh incidentu systém bude SIEM řídit prces jeh vyřešení, včetně veškeré externí kmunikace a mžnstí realizvat urychlené nápravné patření jak je například kamžité dálkvé dpjení zařízení d sítě. Předpkládáme, že prjekt bude pstaven na věřených kmpnentech, které budu mezi sebu prvázány a p zašklení pskytnu intuitivnst řešení tét vysce sfistikvané prblematiky i pr bsluhu bez vyské specializace v blasti sítí neb kybernetické bezpečnsti.
2. Kmpnenty řešení 2.1. Nástrje detekce a řízení přístupu d sítě Integrvané funkce detailníh mnitringu sítě, síťvé infrastruktury, síťvých tků a jejich pkrčilých nadstaveb Behavirální analýza sítě, integrvaný systém DDI a NAC, lg management: Flw analýza a behavirální analýza sítě Mnitring síťvé infrastruktury, L2 mnitring a integrvané DDI, NAC 2.1.1. Flw analýza a detekce anmálií - behavirální analýza sítě Dluhá léta byl synnymem pr mnitrvání a dhled nad pčítačvu sítí prtkl SNMP. Sučasná dba, kdy na dstupnsti a správné funkcinalitě pčítačvé sítě závisí fungvání většiny rganizací, si však žádá mdernější a efektivnější prstředky. Ty musejí umžnit detailní phled d síťvéh prvzu s rzlišením na jeh jedntlivé slžky, zajistit dhalení vnějších i vnitřních bezpečnstních hrzeb a zárveň pskytnut nástrje pr rychlu a efektivní správu sítě. Přesně tut funkcinalitu nabízí nástrje zalžené na sledvání datvých tků v síti (NetFlw), jehž implementaci nabízíme. Obr.2: Zasazení technlgie mnitrvání tků d suvislstí s statními nástrji. Zatímc SNMP statistiky pskytují jenm suhrnné infrmace prvzu a neumžňují vidět, c se v síti dpravdy děje (jaké je rzlžení prvzu, kd síť nejvíce zatěžuje, zda je síť terčem vnějších či vnitřních útků), statistiky pskytnuté systémem FlwMn pdávají detailní infrmace tm, kd kmunikval s kým, kdy, jak dluh, jak čast, nad kterým prtklem a klik byl přenesen dat. Tyt statistiky umžňují sledvání vytížení sítě v reálném čase, zvýšení bezpečnsti dhalením vnějších i vnitřních útků, mnitrvání aktivit uživatelů i služeb, ptimalizaci síťvé infrastruktury, sledvání využití internetu, či prkazvání bezpečnstních incidentů. Tím šetří finance vynalžené na správu pčítačvé sítě, usnadňují práci síťvých administrátrů a zvyšují spkjenst kncvých uživatelů a zákazníků. V případě ptřeby detailní paketvé analýzy pr identifikaci příčin prblému v kmunikaci klient server, případně vylučení příčiny prblému v datvé síti apd., nabízí řešení FlwMn kmpletní záznam předmětnéh prvzu. Zaznamenaný prvz je mžné následně analyzvat např. v ppulární nástrji Wireshark neb v jiném paketvém analyzátru.
Přínsy prvzníh mnitringu datvých tků v sítí Detailní přehled dění v síti (LAN i WAN) jak v reálném čase, tak kdykliv v minulsti Přesné, rychlé a efektivní řešení prblémů Zvýšení bezpečnsti, dhalení vnitřních i vnějších útků Snadné plánvání kapacit a ptimalizací sítě Dhled nad využitím Internetu, využitím aplikací Předcházení incidentům jak jsu zahlcení a výpadky sítě Odhalení špatných knfigurací Optimalizace nákupu knektivity a peering dhd Snadná kntrla a prkazvání SLA Účtvání a fakturace na základě přenesených dat Účinné i pr šifrvaný prvz Netwrk-based řešení autmaticky mnitrvána každá kncvá stanice 2.1.2. Mnitring síťvé infrastruktury, L2 mnitring a integrvané DDI, NAC Sledvání infrastruktury Vedle výše ppsanéh pkrčiléh mnitringu sítí je velmi vhdné prvádět rvněž mnitring základní síťvé infrastruktury na bázi sledvání její dstupnsti a výknnstních parametrů. T umžní velmi efektivně dhalit symptmy případných útků na základě nestandardních pžadavků na systémvé zdrje síťvé infrastruktury. Mnitrvání základní síťvé infrastruktury je mžné rvněž vhdně dplnit sledvání další klíčvé infrastruktury rganizace, jak jsu systémvé zdrje serverů a úlžišť (ERP, mailvé servery, essl apd.), aplikací neb perimetru. T je zajištěn nástrjem MNet, který Je určený pr centralizvaný mnitring rzsáhlých sítí a infrastruktur, velmi vhdný pr nasazení v hierarchických a hldingvých rganizacích. V systému MNet je mžné prvnávat mnitrvané služby nejenm přes všechny vrstvy, ale zárveň přes všechny lkality rzsáhlé sítě. MNet pdpruje mnitring hetergenních technlgií a je mžné jej prvzvat jak zastřešující dhledvý systém. Mnitring infrastruktury zajišťuje Flexibilní a nezávislý mnitring mnitring na všech vrstvách - prstředí, hardware, virtualizace, perační systémy, databáze, aplikační servery, aplikace mnitring je prváděn z nezávislých virtuálních či hardwarvých snd jsu k dispzici vlastní MNet pkrčilé mnitrvací pluginy, tevřené api pr tvrbu mnitrvacích pluginů, MNet je rvněž kmpatibilní s bází pluginů systému Nagis Mnitring v rzsáhlých sítích díky distribuvanému mdelu (klient server server) je mžná delegace dhledu na jedntlivé reginy, s tím že centrála má umžněn centralizvaný dhled
v jedntlivých sítích/pbčkách jsu samstatné nezávislé sndy, umžňující dhled i v případě nedstupnsti spjení s centrálu je tak mžné prvnávat (vynášet d jednh grafu - krelvat) stavy nesuvisejících technlgií a lkalit Úplný audit stavu dhledvané infrastruktury Mnitrvací sndy mají schpnst samstatně mnitrvat a splvat data při nedstupnsti sítě, je tak zajištěn jedn úplné míst pravdy Ntifikace bsluhy nestandardních stavech flexibilní psílání zpráv (SMS, e-mail, webservices, ) nestandardním stavu sítě a služeb funguje i samstatně z jedntlivých lkalit sítě Autmatizaci nápravných patření pdpra mžnsti zdlnění systémů frmu autmatizace nápravných patření přenesení knw-hw správců d systému. Přínsy mnitringu síťvé infrastruktury Otevřený mnitring schpnst mnitrvat vedle běžných i nestandardní technlgie Vyská míra prvzní splehlivsti mnitringu schpnst mnitrvat i při nedstupnsti síťvých služeb vzdálených lkalit, vyská škálvatelnst řešení Flexibilní nasazení s využitím virtuálních neb hardwarvých appliancí (Nvicm FireBx) Integrvaný aplikační mnitring simulvání chvání aplikačních uživatelů webvých aplikací Autmatizvané vyhdncvání SLA parametrů na základě reálně naměřených hdnt 2.1.3. Kmplexní řízení IP adresníh prstru a prvzu základních síťvých služeb a zavedení zásad bezpečné sítě Významnu přidanu hdntu nabídky je vhdné dplnění flw mnitringu a infrastrukturníh mnitringu rvněž kmplexní nástrj pr správu IP adresníh prstru (DDI) a řízení přístupu zařízení d sítě (NAC). V praxi je tak mžné dstat pd plnu kntrlu blast správy adresníh prstru a plně vynucvat IP adresní plitiku rganizace. Kncept kybernetické bezpečnsti je pak dále pdprván v blasti detekce díky integrvanému L2 mnitringu (úplná histrie výskytu MAC/IP v síti a t včetně lkality výskytu až na úrveň zásuvky) v blasti řízení přístupu d sítě zvýšení bezpečnsti sítě, kdy na síti mhu kmunikvat puze zařízení, která jsu zavedena v systému adresníh plánvání v blasti zdlnění síťvé infrastruktury integrvané repsitry aktivních prvků bsahující rvněž centrální autmatizvaní zálhvání knfigurací aktivních prvků včetně pdpry více výrbců
Systém AddNet je určen pr IP správu rzsáhlých sítí, kde je vyžadvána vyská míra prvzní splehlivsti. Sdružuje v sbě nástrje IP adresní správu, základní síťvé služby (DHCP, DNS a Radius), nástrje pr kmunikaci s aktivními prvky a výknný L2 mnitr. Systém AddNet přináší zásadní časvu úspru při IP adresní správě sítí a zárveň výrazně zvyšuje bezpečnst díky schpnsti řídit přístupy d sítě. Unikátní prvázání jedntlivých mdulů umžňuje AddNetu efektivně řešit rvněž krizvé plánvání neb integraci nvých sítí d stávající infrastruktury. Systém plně využívá výhd pkrčilých technlgií Nvicmu, jak jsu SGP Secure Grid Platfrm neb SDP Secure Delivery Prtcl, které mu umžňují pracvat v plně redundantním módu (N+1 Active - Active). Díky tmu AddNet pskytuje maximální výkn a vysce nadstandardní míru prvzní splehlivsti. Centrální systém správy IP adresníh prstru a řízení přístupu d sítě zajišťuje IPAM Správa IP adresníh prstru služí pr vedení adresníh plánu, rychlému přidávání zařízení d sítě a změnu knfigurací síťvých zařízení. IP/MAC Mnitr je nástrj pr mnitrvání výskytu IP a MAC adres na síti a t včetně návaznsti na jeh umístění (fyzický prt). Je využíván rvněž pr audit stavu sítě. DDI DHCP / DNS / RADIUS integrvané základní síťvé služby pskytují přidanu hdnstu svjí téměř bezúdržbvu správu (díky integraci s IP adresním plánem a IP/MAC mnitrem). Díky využití platfrem Nvicm SGP a Nvicm SDP přináší významně vyšší prvzní splehlivst a rvněž mžnst zajištění prvzu ve vzdálených lkalitách i v případě ztráty spjení s centrální lkalitu rganizace (pdpra distribuvaných sítí) Aktivní prvky Funkce pkrčilé kmunikace s aktivními prvky. V centrálním repsitry aktivních prvků, pskytuje vedle systémvých infrmací rvněž infrmace utilizaci jedntlivých aktivních prvků i jedntlivých prtů. Sučástí je i nástrj pr autmatizvané zálhvání knfigurací aktivních prvků Bezpečnst 802.1x - MAC Autentizace a autrizace (VLAN) - funkce MAC autentizace zajistí prvz puze pvlených zařízení na síti. Autrizace služí pr dynamické přiřazvání d VLAN pdle MAC adresy. BYOD a mbilní zařízení Funkce autmatizvané správy BYOD zařízení a jejich jednznačná identifikaci na síti. T umžňuje snadné nastavení návazné bezpečnstní plitiky pr mbilní zařízení. Přístupy jsu řešeny na 2. vrstvě OSI mdelu sítě, tím pádem je pdprván 100% mbilních platfrem a na zařízení není nutné ckliv instalvat. Vyžaduje t pdpru MAC autentikace a autrizace na síťvých prvcích.
Krizvý management výknné nástrje pr pdpru krizvéh managementu, umžňující na síti realizvat hrmadné perace se síťvými zařízeními krizvé sety. V případě bezpečnstníh incidentu je mžné přejít d nuzvéh stavu, kdy zařízení mim krizvý set jsu dpjeny d sítě. Klíčvé přínsy sytému pr správu IP adresníh prstru a řízení přístupů d sítě Řádvá úspra práce síťvých administrátrů Standardizace činnstí a centralizace správy v rzsáhlých a distribuvaných sítích Zavedení řízení bezpečnsti přístupu d sítě frmu 802.1x MAC autentizace a autrizace (přiřazvání d VLAN) Plně autmatizvaná správa BYOD zařízení Jednznačná identifikace BYOD zařízení v síti Pdstatné zvýšení prvzní splehlivsti DNS, DHCP, Radius díky N+1 redundanci a nadstandardní škálvatelnsti Bezprblémvá splupráce se síťvými technlgiemi Micrsft a Cisc 2.2. Nástrje pr řízení bezpečnstních incidentů a lg management 1. úrveň United Security Management prstředí slžené s Lg management nástrje, SIEM nástrje, Vulnerability nástrje a Reprtingu. Implementván v prstředí infrmačníh systému v lkalitě. 2. úrveň CSIRT NSM Cluster CSIRT 1 je služba pr správu hrzeb, incidentů a znalstí v prcesu Incident Respnse s cílem rychlé a včasné reakce na bezpečnstní anmálie a incidenty. Systémy z 1. úrvně zasílají vyhdncené významné bezpečnstní událsti d CSIRT rganizace, jejíž sučástí je Security Operatin Centrum (SOC) mající přehled světvých bezpečnstních incidentech v relevanci vůči ČR a zákazníkům v ČR. SOC pskytuje praktivní reakci těm zákazníkům, kteří: ještě nejsu negativně dtčeni incidentem, ale je již detekvána ptenciální hrzba a je znám preventivní patření, jsu již dtčeni incidentem, a ptřebují účinná a splehlivá řešení k minimalizaci negativních prjevů incidentu. Služby 1. úrvně - United Security Management 1. Lg management a. Sběr lg dat a knslidace pr snadné vyhledávání a reprting. b. Zajištění data retentin v rámci Archivace dat. 2. SIEM Security Infrmatin & Event Management a. On-line analýza lg dat pr detekci bezpečnstních událstí. b. On-line krelační analýza bezpečnstních událstí k detekci významných událstí alertů. c. Eskalace a infrmace pvěřených sb dle kmpetenční a kmunikační matice. 1 CSIRT Cmputer Security Incident Respnse Team
d. Open Threat Exchange výměna annymních infrmací aktuálních hrzbách s OTX kmunitu 3. Vulnerability management a. Průběžné sledvání bezpečnstní kndice kmpnent infrmačních systémů hardware, sftware, služby. b. Přiřazení zranitelnsti k evidvané kmpnentě. c. Sledvání péče bezpečnstní kndici všech kmpnent infrmačníh systému Patch management. 4. Reprting a. Strukturvaný reprting pdle nrem ISO 27 001 a PCI DSS. Mžnsti knfigurace na prstředí zákazníka. 5. Dashbard a. Přehled aktuální bezpečnstní situaci v infrmačním systému. b. Přehled správě detekvaných událstí a průběhu analytických činnstí. c. Přehled kvalitě služeb bezpečnstní infrastruktury. d. Přehled dstupnsti služeb a systémů. Služby 2. úrvně - Security Operatin Centrum 1. Zajištění kvality a splehlivsti bezpečnstních funkcí - Sleduje mnitrvací infrastrukturu infrmačníh systému zákazníka. 2. Sledvání bezpečnstní situace sleduje kmpnenty internetvéh prstředí a zdrje bezpečnstních infrmací. 3. Zajištění aktuálnsti zajišťuje update detekčních metd pr identifikaci nvých hrzeb a zranitelnstí v USM zákazníka (minimálně 4x za rk). 4. Zajištění knwledge implementuje best-practice pr prces Security management zákazníka (úpravy USM zákazníka - minimálně 4x za rk). 5. Security Service Desk služba v prvzním režimu 8x5. On-line pracviště s mžnstí telefnní, e-mail kmunikace přím se Security Operátrem. V případě významných incidentů i specificky dmluveným způsbem (např. faxem, Skype, atp.). 6. CERT knwledge CISRT NSM Cluster je kntaktní míst pr Incident Respnse a je napjen na vládní CERT a na nejvyšší CSIRT ČR. V rámci velkých incidentů hlášených NBÚ pmáhá v krdinaci aktivit ptlačující negativní dpady na infrastrukturu ČR a infrastrukturu zákazníka. Taktéž bsahuje specialisty na frenzní vyšetřvání a dhalvání symptmů zcela nvých bezpečnstních hrzeb a zranitelnstí. Zákazník je sučástí vyšetřvání a určuje pririty neb přím rzhduje čase a rzsahu vstupu bezpečnstních slžek (plicie, sud, právní útvar) v rámci vyšetřvání incidentů.
Obrázek 3 Schéma funkčnsti bezpečnstních nástrjů