&
GDPR & ŘÍZENÍ PŘÍSTUPU
Ivan Svoboda, ANECT Jakub Kačer, ANECT
Pro zveřejnění
Statistiky – Data Breach Report
Statistiky – Data Breach Report: vektor útoku
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2016
07.02.2017
Pro zveřejnění
Statistiky – Data Breach Report: vektor útoku
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2016
07.02.2017
Pro zveřejnění
Statistiky: rychlost útoků
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2016
07.02.2017
Pro zveřejnění
Statistiky: rychlost útoku a detekce
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2016
07.02.2017
Pro zveřejnění
GDPR vybrané požadavky
Vybrané požadavky GDPR
Minimalizace přístupu
Monitoring přístupu
Rychlost reakce na incidenty
07.02.2017
Pro zveřejnění
Incidenty - příklady
Incidenty s osobními daty – zdravotnictví - Anthem
ÚNIK DAT: 79 M subjektů !! VÝSLEDKY VYŠETŘOVÁNÍ LEDEN 2017
• 18.2. 2014: uživatel na jedné z poboček Anthemu otevřel phishingový email • Download malwaru; vzdálený přístup k PC; laterální pohyb po síti, eskalace privilegií, získání dalších přístupů • Celkem: 50 accountů, kompromitace 90 systémů, vč. DWH s citlivými údaji • Exfiltrace 79 M klientských záznamů • 27.1. 2015: detekce úniku • Ohlášení na FBI, odstartování IR plánu, přizvání security specialistů • 30.1. 2015: poslední známky škodlivých aktivit 07.02.2017
Pro zveřejnění
Incidenty s osobními daty – zdravotnictví - Anthem Cíle vyšetřování: Hodnocení připravenosti cybersecurity Anthemu Hodnocení reakcí na únik Hodnocení opatření ke zmírnění škod pro klienty Identifikace útočníka/ků
Fáze vyšetřování: Initial assessment: Interview + Dokumentace: prostředí, IR plány, post-breach postupy: hodnocení zranitelností Breach assessment: Revize postupů detekce, omezení a reakce, včetně ochrany klientů Cybersecurity Assessment: Detailní revize opatření: před a po Ověření pomocí penetračního testu
07.02.2017
Pro zveřejnění
Incidenty s osobními daty – zdravotnictví - Anthem Výsledky vyšetřování/Nálezy: 1. Pre-Breach Cybersecurity: - Opatření byla přiměřená typu a velikosti firmy - Nicméně, útočníci mohli využít určitých zranitelností
2. Pre-Breach Response Preparation: - Anthem měl připravený detailní IR plán, vč. rolí, zodpovědností a procesů - IR plán byl několikrát testován
3. Response Adequacy - Po detekci byly okamžitě zahájeny akce podle IR plánu, vč. top-managementu, - Vyšetřování, omezení a zastavení úniku - Externí komunikace: FBI, regulátor, veřejnost, klienti - Reakce byla adekvátní, rychlá, a během 3 dnů byl přístup útočníků zastaven
4. Post-Breach Cybersecurity: - Zlepšení: autentizace, Privileged Account Management, monitoring, SIEM, … - Projekty dalších zlepšení 07.02.2017
Pro zveřejnění
Incidenty s osobními daty – zdravotnictví - Anthem Výsledky vyšetřování/Nálezy: 5. Corrective Actions: - Spolupráce s FBI a s regulátory - Oznámení veřejnosti a dotčeným klientům - Dopisy, emaily, noviny, web, … - Spolupráce s firmou na ochranu kreditu klientů
Dopady pro Anthem - Zatím celkem: 260 M $ - Pokuta: …
07.02.2017
- 2,5 M: expertní konzultanti - 115 M: zlepšení cybersecurity - 31 M: notifikace veřejnosti a klientů - 112 M: ochrana kreditu klientů
Pro zveřejnění
Ponaučení
Rychlost detekce
Incident Response Plan
Řízení přístupu CISCO ISE
Rychlost reakce
07.02.2017
Pro zveřejnění
V čem Vám ISE pomůže?
Identity Service Engine Next-Gen RADIUS | Kontrola přístupu do sítě z jednoho místa | Informace o uživatelích a zařízeních v síti | Zastavení hrozeb – Rapid Threat Containment
07.02.2017
Pro zveřejnění
Kontrola přístupu do sítě z jednoho místa Zaměstnanec, Host, Kontraktor
Přístup pro správné uživatele Přístup ze správného zařízení
Služební, Soukromé, PC, Mac, Android, iPAD, iPhone
Přístup správným způsobem
Drátová síť, Bezdrátová síť, VPN
Přístup ve správný čas
Bez omezení, Pracovní dny, Pracovní hodiny
Přístup ke správným zdrojům
Interní portál, File server, Exchange, Active Directory, Internet
07.02.2017
Pro zveřejnění
Kontrola přístupu do sítě z jednoho místa – vyhovující zařízení
Posture Assesment
AMP nainstalován?
Aktuální AV signatury? Aktuální OS záplaty? Správné hodnoty registrů?
AnyConnect Compliance Module
X
Šifrování disku? Zranitelnost? Hrozba?
Přístup pouze pro vyhovující zařízení MDM registrován?
Integrace s AMP for Endpoints Integrace s MDM systémy
07.02.2017
PIN nastaven? JailBroken?
X Pro zveřejnění
Přesun do karantény
?
Informace o uživatelích a zařízeních v síti
Profiling
Autentizace
BYOD
07.02.2017
DHCP
CDP
LLDP
Active Directory
NetFlow
HTTP
Posture Assesment
MDM
Pro zveřejnění
Cisco IP Phone 8851
Pavel Vomáčka, Win7, Managemet
iPhone 7 – iOS 10.2 Registered
Informace o uživatelích a zařízeních v síti Kontext
Bez ISE
S ISE
Kdo?
10.1.52.16
Pavel Vomáčka
Co?
Neznámé
PC, Windows 7
Kde?
Neznámé
Kancelář Praha, 1. Patro
Kdy?
Neznámé
1.2.2017 10:23
Jak?
Drátová síť
Drátová síť
NAD?
Neznámé
pha-s6, Gi0/26
Hrozba/Zranitelnost?
Neznámé
Žádné
Visibilita
07.02.2017
Žádná
Úplná Pro zveřejnění
Zastavení hrozeb – Rapid Threat Containment PxGrid
Sdílení kontextů
5
! NGFW FirePOWER
3
Okamžitá karanténa stanic
pxGrid Controller
2
3
PxGrid
PxGrid – univerzální API Autentizace uživatele
2
Sdílení kontextu na Controller
3
Sdílení kontextu na prvky sítě
4
Stažení Malware
5
Žádost o karanténu
6
Karanténa koncové stanice
07.02.2017
Web Security Appliance
3
ISE 1
W ww
Cisco and Partner Ecosystem
6 RADIUS
4
1
Malware Download
X Pro zveřejnění
Příklad reálného nasazení
Státní správa 1500 koncových zařízení, 400+ hostů denně
Typy uživatelů Zaměstnanci, Spolupracovníci, Hosté
07.02.2017
Typy zařízení Služební, Soukromá, Neinteraktivní zařízení
Dva virtuální ISE servery
Neinteraktivní zařízení - MAB
Služební - 802.1X; PKI; PEAP EAPTLS; Nativní windows suplikant; Integrace s AD
Pro zveřejnění
Hosté – CWA; Interní databáze hostů; Automatický zřizované přístupy pro hosty pomocí REST API
Další fáze projektu Posture Assesment , BYOD a rozšíření na lokality
Soukromá CWA; Integrace s AD
Key Takeaway Řízení přístupu do sítě z jednoho místa 100% přehled o koncových zařízeních v síti 100% přehled o uživatelích v síti Posture Assesment – přístup pro vyhovující koncové stanice Integrace – MDM, Active Directory, AMP for Endpoints, atd. Zastavení hrozeb – Rapid Threat Containment Přijďte se podívat na stánek – konzultace nejen ohledně ISE, demonstrace ukázek ISE
07.02.2017
Pro zveřejnění
Závěr Uživatelé
Advanced endpoint protection
Endpointy Malware
Advanced malware protection
Insider
Anomaly detection
Rychlost detekce Rychlost reakce
IR Plan
Řízení přístupu & micro-segmentace
Cisco ISE
07.02.2017
Pro zveřejnění
? Potřebujete pomoc se zákony a standardy? Chcete zjistit, co vám konkrétně hrozí ? Potřebujete technologie, procesy, role, lidi ? Chcete trvale vidět, rozumět a reagovat ?
Pro zveřejnění
Pro zveřejnění
