Budovanie CSIRT tímov (aj) v kontexte návrhu Zákona o kybernetickej bezpečnosti. Mgr. Lukáš Hlavička, CISSP, CEH, CHFI
CSIRT.SK Zriadený v roku 2009 ako národná a vládna jednotka na riešenie bezpečnostných incidentov CSIRT Zriadená uznesením vlády č. 479/2009 Primárne činnosti Riešenie bezpečnostných incidentov Aktívne a proaktívne činnosti na zabezpečenie informačnej bezpečnosti vo verejnej správe a v adresnom priestore SR Špecializácia Pokročilá analýza bezpečnostných incidentov Penetračné testy Forenzná analýza Analýza škodlivého kódu V súčasnosti plánovaný ako CSIRT pre rezort MF SR a Finančný sektor (v zmysle návrhu zákona o KB) 2 TLP:GREEN
IP priestor SR CSIRT.SK ako národný CSIRT tím zhromažďoval a vyhodnocoval informácie o hrozbách na národnej úrovni Poznatky CSIRT.SK využíva na Vydávanie varovaní Zasielanie informácií ISP a dotknutým subjektom Koreláciu bezpečnostných udalostí a identifikáciu trendov Asistenciu pre riešení rozsiahlych bezpečnostných incidentov Proaktívne činnosti v súvislosti so zvyšovaním informačnej bezpečnosti na SR Koordináciu rozsiahlych bezpečnostných incidentov 3 TLP:GREEN
Nahlásené bezpečnostné udalosti v IP adresnom priestore SR (2016 unikátne IP adresy) Typy incidentu Počet Vulnerabilities 363,752 Ddosreport 122,640 Bots 93,199 Virut 36,301 Malware 2,996 Defacement 1,104 Citadel 1,066 Malwareurl 688 Proxy 415 Phishing 190 Spam 129 Bruteforce 67 Zeus 47 C&c 4 Spolu 622,598 19,70% 14,97% 5,83% 58,42% Vulnerabilities Ddosreport Bots Virut Malware Defacement Citadel Malwareurl Proxy Phishing Spam Bruteforce Zeus C&c 4 TLP:GREEN
Verejná správa CSIRT.SK ako vládny CSIRT tím SR zbiera informácie Z otvorených zdrojov Od zahraničných partnerov Zo svojej proaktívnej činnosti Nahlásením od zahraničného partnera alebo dotknutej inštitúcie Poznatky CSIRT.SK využíva na Vydávanie varovaní Pomoc pri riešení bezpečnostných incidentov Zasielanie informácií ISP a dotknutým subjektom Koreláciu bezpečnostných udalostí a identifikáciu trendov Proaktívne činnosti v súvislosti so zvyšovaním informačnej bezpečnosti na SR 5 TLP:GREEN
Štatistiky bezpečnostných incidentov v SR verejná správa Typ incidentu Počet Vulnerabilities 5 126 Bots 4 035 Malware 902 Ddosreport 343 Virut 188 Defacement 75 Malwareurl 40 Citadel 7 Proxy 7 Zeus 4 Bruteforce 2 Phishing 2 Celkom 10 731 Vulnerabilities 48% Bots 38% Malware 8% Phishing 0% Bruteforce 0% Proxy 0% Zeus 0% Ddosreport 3% Virut 2% 6 TLP:GREEN
Štatistiky bezpečnostných incidentov v SR Závažné bezpečnostné incidenty 80 70 60 50 40 30 2016 2015 2014 2013 20 10 0 Január Február Marec Apríl Máj Jún Júl August September Október November December 7 TLP:GREEN
CSIRT/CERT Computer Security Incident Response Team Tím špecialistov v informačnej / kybernetickej bezpečnosti, ktorých úlohou je Riešíť bezpečnostné incidenty Vykonávať proaktívne činnosti aby sa incidenty nestali. V prípade, že sa incident stane, vyriešiť ho, analyzovať ho a navrhnúť, prípadne implementovať opatrenia aby nedošlo k jeho opakovaniu. 8 TLP:GREEN
Predpoklady úspešného fungovania CSIRT tímu Jasne definovaná konštituencia (organizácie, siete, domény) pre koho sú služby CSIRT poskytované Jasne definované aké služby budú poskytované Napríklad : 9 TLP:GREEN
Predpoklady úspešného fungovania CSIRT tímu Jasne definovaná úroveň služieb (SLA) Vykonaná analýza prostredia Aké technológie budeme chrániť? Aké je požadovaná úroveň bezpečnosti v jednotlivých častiach konštituencie? Aké je bezpečnostné okolie? (Hrozby / Zraniteľnosti / Riziká) Koľko ľudí budeme potrebovať? Na akej technickej úrovni? (voči komu sa chránime?) Vykonaný (a implementovaný) návrh vybudovania CSIRT tímu Personálne Finančné Organizačné Materiálne zabezpečenie 10 TLP:GREEN
Predpoklady úspešného fungovania CSIRT tímu Podpora manažmentu Integrácia na národnej úrovni Nadriadené CSIRTy / podriadené CSIRTy Partneri Všetky CSIRT / CERT tímy na národnej úrovni Orgány činné v trestnom konaní Vendori Dodávateľia Konkurencia Orgány štátnej správy pôsobiace v danom segmente 11 TLP:GREEN
Predpoklady úspešného fungovania CSIRT tímu Integrácia na medzinárodnej úrovni Združenia CSIRT/ CERT tímov TF CSIRT FIRST? Pravidelná účasť na aktivitách bezpečnostnej komunity Tvorba nástrojov Cvičenia Zdieľanie relevantných údajov Zraniteľnosti IOC... 12 TLP:GREEN
Ako? 1. Obsadenie technických pozícií odborníkmi, ktorí Majú dostatočný prehľad v informačnej bezpečnosti Sú špecialistami v aspoň jednej oblasti Sú schopní (a majú záujem) veľmi rýchlo sa učiť Sú schopní myslieť out of the box Majú analytické myslenie Bezpečnosť je ich koníčkom Sú adekvátne zaplatení 2. Obsadenie riadiacich pozícií odborníkmi, ktorí Majú dostatočný prehľad v informačnej bezpečnosti Majú dostatočné skúsenosti s riadením a bezpečnosťou Majú analytické myslenie Riziko : tieto pozície lákajú neadekvátnych kandidátov po inej ako odbornej úrovni. 13 TLP:GREEN
Ako? Počet technických špecialistov potrebných v rámci CSIRT tímov je omnoho vyšší ako potenciálny kandidáti na adekvátne obsadenie potrebných pozícií 14 TLP:GREEN
Zákon o KB (vo forme predloženej do MPK) Predpokladá vytvorenie niekoľkých CSIRT tímov Národného (pravdepodobne v pôsobnosti NBÚ) Vládneho (viacero potenciálnych záujemcov) Sektorových CSIRT tímov Doprava Elektronické komunikácie Energetika Kybernetický priestor (mal by vypadnúť) Pošta Priemysel Voda a atmosféra Zdravotníctvo Ďalšie CSIRTy (súkromné / akademické / CSIRTy v štátnej správe) 15 TLP:GREEN
Zákon o KB (vo forme predloženej do MPK) Aktuálne funkčné a medzinárodne uznané CSIRT tímy: CSIRT.SK Akreditovaný v TF CSIRTe Akreditovaný vo Firste CSIRT.MIL.SK Listed v TF CSIRTE 16 TLP:GREEN
Ďalšie CSIRT tímy V procese rozvoja 17 TLP:GREEN
Kto by ale určite mal budovať CSIRTy Organizácie so zvýšenými požiadavkami na bezpečnosť Ústredné orgány štátnej správy Vybrané organizácie verejnej správy Prvky kritickej infraštruktúry Organizácie, ktoré sú častým cieľom útokov Organizácie, ktoré to myslia s bezpečnosťou vážne 18 TLP:GREEN
Ďakujem za pozornosť 19 TLP:GREEN