1. Projekt „Zvýšení bezpečnosti organizace v souladu s ZoKB“ Cílem projektu „Zvýšení bezpečnosti organizace v souladu s ZoKB“ je především splnění požadavků kladených novou legislativou v oblasti kybernetické bezpečnosti (Zákon o kybernetické bezpečnosti – ZoKB). Za tímto účelem předpokládáme dovybavení organizace příslušnými bezpečnostními technologiemi, které toto umožní. Organizace jsou v současné době vybaveny tzv. nástroji pro ochranu perimetru (firewall), kdy je vnitřní síť úřadu spolehlivě oddělena od vnějšího nezabezpečeného internetu. Vnitřní síť organizace však typicky není vybavena nástroji, které dokáží odhalit případné překonání této ochrany a případně zamezit datový provoz zařízení, které je kompromitované (nástroje detekce). Rovněž v současné době nejsou k dispozici nástroje, které budou předepsaným způsobem posílat Hlášení kybernetických bezpečnostních incidentů a případně rovněž přijímat Hlášení protiopatření z vládního nebo národního CERTu a rovněž standardním způsobem procesovat kybernetické bezpečnostní incidenty v rámci organizace.
Obr.1: Schéma politiky aktivní bezpečnosti síte, zajišťující bezpečnost v souladu s ZoKB
Všechny tyto nástroje a jejich nastavení je nutné implementovat v souladu s bezpečnostní politikou úřadu, která by měla svojí formou odpovídat Systému řízení bezpečnosti informací, vycházejícím z normy CSN ISO/IEC 27001.
V rámci projektu se předpokládá zajištění a) b) c) d)
nástrojů detekce nástrojů pro řízení přístupu zařízení podpůrných nástrojů pro řízení mimořádných stavů na síti nástrojů pro řízení bezpečnostních incidentů
Nástroje detekce zahrnou především nástroje monitoringu sítě (detailní L2 monitoring pro forenzní audit, Flow monitoring a monitoring zdrojů síťových zařízení) spojené s pokročilými nadstavbami jako je NBA - behaviorální analýza sítě, integrovaná správa adresního prostoru, základních síťových služeb (DDI) a řízení přístupu zařízení do sítě (NAC). Nástroje pro řízení přístupu zařízení využijí především inteligentních nadstaveb nástrojů detekce – zejména pokročilého DDI nástroj s integrovaným NAC nástrojem na L2. Poskytne tak nejenom možnost MAC autentizace ale rovněž nástroje Autorizace (tj. přiřazování do VLAN) Podpůrné nástroje pro řízení mimořádných stavů na síti zahrnou nástroje pro správu krizových setů (kritické infrastruktury organizace) s možností okamžité deaktivace provozu zařízení mimo tento set a dále nástroje pro automatizované zálohování a podporu obnovy konfigurací aktivních prvků. Nástroje pro řízení bezpečnostních incidentů vyjdou ze specializované nadstavby (SIEM) nástrojů detekce a řízení přístupu zařízení. Budou obsahovat rovněž log management pro zajištění požadovaných auditních informací. V tomto prostředí dojde ke korelaci dílčích událostí jednotlivých subsystémů nástrojů detekce a řízení přístupu zařízení. V případě identifikace kybernetického bezpečnostního incidentu systém bude SIEM řídit proces jeho vyřešení, včetně veškeré externí komunikace a možností realizovat urychlené nápravné opatření jako je například okamžité dálkové odpojení zařízení od sítě. Předpokládáme, že projekt bude postaven na ověřených komponentech, které budou mezi sebou provázány a po zaškolení poskytnou intuitivnost řešení této vysoce sofistikované problematiky i pro obsluhu bez vysoké specializace v oblasti sítí nebo kybernetické bezpečnosti.
2. Komponenty řešení 2.1. Nástroje detekce a řízení přístupu do sítě Integrované funkce detailního monitoringu sítě, síťové infrastruktury, síťových toků a jejich pokročilých nadstaveb – Behaviorální analýza sítě, integrovaný systém DDI a NAC, log management: • •
Flow analýza a behaviorální analýza sítě Monitoring síťové infrastruktury, L2 monitoring a integrované DDI, NAC
2.1.1. Flow analýza a detekce anomálií - behaviorální analýza sítě Dlouhá léta byl synonymem pro monitorování a dohled nad počítačovou sítí protokol SNMP. Současná doba, kdy na dostupnosti a správné funkcionalitě počítačové sítě závisí fungování většiny organizací, si však žádá modernější a efektivnější prostředky. Ty musejí umožnit detailní pohled do síťového provozu s rozlišením na jeho jednotlivé složky, zajistit odhalení vnějších i vnitřních bezpečnostních hrozeb a zároveň poskytnout nástroje pro rychlou a efektivní správu sítě. Přesně tuto funkcionalitu nabízí nástroje založené na sledování datových toků v síti (NetFlow), jehož implementaci nabízíme.
Obr.2: Zasazení technologie monitorování toků do souvislostí s ostatními nástroji.
Zatímco SNMP statistiky poskytují jenom souhrnné informace o provozu a neumožňují vidět, co se v síti doopravdy děje (jaké je rozložení provozu, kdo síť nejvíce zatěžuje, zda je síť terčem vnějších či vnitřních útoků), statistiky poskytnuté systémem FlowMon podávají detailní informace o tom, kdo komunikoval s kým, kdy, jak dlouho, jak často, nad kterým protokolem a kolik bylo přeneseno dat. Tyto statistiky umožňují sledování vytížení sítě v reálném čase, zvýšení bezpečnosti odhalením vnějších i vnitřních útoků, monitorování aktivit uživatelů i služeb, optimalizaci síťové infrastruktury, sledování využití internetu, či prokazování bezpečnostních incidentů. Tím šetří finance vynaložené na správu počítačové sítě, usnadňují práci síťových administrátorů a zvyšují spokojenost koncových uživatelů a zákazníků. V případě potřeby detailní paketové analýzy pro identifikaci příčin problému v komunikaci klient – server, případně vyloučení příčiny problému v datové síti apod., nabízí řešení FlowMon kompletní záznam předmětného provozu. Zaznamenaný provoz je možné následně analyzovat např. v populární nástroji Wireshark nebo v jiném paketovém analyzátoru.
Přínosy provozního monitoringu datových toků v sítí • • • • • • • • • • • •
Detailní přehled o dění v síti (LAN i WAN) – jak v reálném čase, tak kdykoliv v minulosti Přesné, rychlé a efektivní řešení problémů Zvýšení bezpečnosti, odhalení vnitřních i vnějších útoků Snadné plánování kapacit a optimalizací sítě Dohled nad využitím Internetu, využitím aplikací Předcházení incidentům jako jsou zahlcení a výpadky sítě Odhalení špatných konfigurací Optimalizace nákupu konektivity a peering dohod Snadná kontrola a prokazování SLA Účtování a fakturace na základě přenesených dat Účinné i pro šifrovaný provoz Network-based řešení – automaticky monitorována každá koncová stanice
2.1.2. Monitoring síťové infrastruktury, L2 monitoring a integrované DDI, NAC
Sledování infrastruktury Vedle výše popsaného pokročilého monitoringu sítí je velmi vhodné provádět rovněž monitoring základní síťové infrastruktury na bázi sledování její dostupnosti a výkonnostních parametrů. To umožní velmi efektivně odhalit symptomy případných útoků na základě nestandardních požadavků na systémové zdroje síťové infrastruktury. Monitorování základní síťové infrastruktury je možné rovněž vhodně doplnit o sledování další klíčové infrastruktury organizace, jako jsou systémové zdroje serverů a úložišť (ERP, mailové servery, eSSL apod.), aplikací nebo perimetru. To je zajištěno nástrojem MoNet, který Je určený pro centralizovaný monitoring rozsáhlých sítí a infrastruktur, velmi vhodný pro nasazení v hierarchických a holdingových organizacích. V systému MoNet je možné porovnávat monitorované služby nejenom přes všechny vrstvy, ale zároveň přes všechny lokality rozsáhlé sítě. MoNet podporuje monitoring heterogenních technologií a je možné jej provozovat jako zastřešující dohledový systém. Monitoring infrastruktury zajišťuje •
•
Flexibilní a nezávislý monitoring o monitoring na všech vrstvách - prostředí, hardware, virtualizace, operační systémy, databáze, aplikační servery, aplikace o monitoring je prováděn z nezávislých virtuálních či hardwarových sond o jsou k dispozici vlastní MoNet pokročilé monitorovací pluginy, otevřené api pro tvorbu monitorovacích pluginů, MoNet je rovněž kompatibilní s bází pluginů systému Nagios Monitoring v rozsáhlých sítích o díky distribuovanému modelu (klient – server – server) je možná delegace dohledu na jednotlivé regiony, s tím že centrála má umožněn centralizovaný dohled
v jednotlivých sítích/pobočkách jsou samostatné nezávislé sondy, umožňující dohled i v případě nedostupnosti spojení s centrálou o je tak možné porovnávat (vynášet do jednoho grafu - korelovat) stavy nesouvisejících technologií a lokalit Úplný audit stavu dohledované infrastruktury o Monitorovací sondy mají schopnost samostatně monitorovat a spoolovat data při nedostupnosti sítě, je tak zajištěno jedno úplné místo pravdy Notifikace obsluhy o nestandardních stavech o flexibilní posílání zpráv (SMS, e-mail, webservices,…) o nestandardním stavu sítě a služeb o funguje i samostatně z jednotlivých lokalit sítě Automatizaci nápravných opatření o podpora možnosti zodolnění systémů formou automatizace nápravných opatření – přenesení know-how správců do systému. o
•
•
•
Přínosy monitoringu síťové infrastruktury • • • • • •
Otevřený monitoring o schopnost monitorovat vedle běžných i nestandardní technologie Vysoká míra provozní spolehlivosti monitoringu schopnost monitorovat i při nedostupnosti síťových služeb vzdálených lokalit, vysoká škálovatelnost řešení Flexibilní nasazení s využitím virtuálních nebo hardwarových appliancí (Novicom FireBox) Integrovaný aplikační monitoring o simulování chování aplikačních uživatelů webových aplikací Automatizované vyhodnocování SLA parametrů na základě reálně naměřených hodnot
2.1.3. Komplexní řízení IP adresního prostoru a provozu základních síťových služeb a zavedení zásad bezpečné sítě
Významnou přidanou hodnotou nabídky je vhodné doplnění flow monitoringu a infrastrukturního monitoringu rovněž o komplexní nástroj pro správu IP adresního prostoru (DDI) a řízení přístupu zařízení do sítě (NAC). V praxi je tak možné dostat pod plnou kontrolu oblast správy adresního prostoru a plně vynucovat IP adresní politiku organizace. Koncept kybernetické bezpečnosti je pak dále podporován •
•
•
v oblasti detekce o díky integrovanému L2 monitoringu (úplná historie výskytu MAC/IP v síti a to včetně lokality výskytu – až na úroveň zásuvky) v oblasti řízení přístupu do sítě o zvýšení bezpečnosti sítě, kdy na síti mohou komunikovat pouze zařízení, která jsou zavedena v systému adresního plánování v oblasti zodolnění síťové infrastruktury o integrované repository aktivních prvků obsahující rovněž centrální automatizovaní zálohování konfigurací aktivních prvků včetně podpory více výrobců
Systém AddNet je určen pro IP správu rozsáhlých sítí, kde je vyžadována vysoká míra provozní spolehlivosti. Sdružuje v sobě nástroje IP adresní správu, základní síťové služby (DHCP, DNS a Radius), nástroje pro komunikaci s aktivními prvky a výkonný L2 monitor. Systém AddNet přináší zásadní časovou úsporu při IP adresní správě sítí a zároveň výrazně zvyšuje bezpečnost díky schopnosti řídit přístupy do sítě. Unikátní provázání jednotlivých modulů umožňuje AddNetu efektivně řešit rovněž krizové plánování nebo integraci nových sítí do stávající infrastruktury. Systém plně využívá výhod pokročilých technologií Novicomu, jako jsou SGP – Secure Grid Platform nebo SDP – Secure Delivery Protocol, které mu umožňují pracovat v plně redundantním módu (N+1 Active - Active). Díky tomu AddNet poskytuje maximální výkon a vysoce nadstandardní míru provozní spolehlivosti.
Centrální systém správy IP adresního prostoru a řízení přístupu do sítě zajišťuje •
•
•
•
•
•
IPAM o Správa IP adresního prostoru o slouží pro vedení adresního plánu, rychlému přidávání zařízení do sítě a změnu konfigurací síťových zařízení. IP/MAC Monitor o je nástroj pro monitorování výskytu IP a MAC adres na síti a to včetně návaznosti na jeho umístění (fyzický port). Je využíván rovněž pro audit stavu sítě. DDI o DHCP / DNS / RADIUS o integrované základní síťové služby poskytují přidanou hodnostu svojí téměř bezúdržbovou správou (díky integraci s IP adresním plánem a IP/MAC monitorem). Díky využití platforem Novicom SGP a Novicom SDP přináší významně vyšší provozní spolehlivost a rovněž možnost zajištění provozu ve vzdálených lokalitách i v případě ztráty spojení s centrální lokalitou organizace (podpora distribuovaných sítí) Aktivní prvky o Funkce pokročilé komunikace s aktivními prvky. V centrálním repository aktivních prvků, poskytuje vedle systémových informací rovněž informace o utilizaci jednotlivých aktivních prvků i jednotlivých portů. o Součástí je i nástroj pro automatizované zálohování konfigurací aktivních prvků Bezpečnost o 802.1x - MAC Autentizace a autorizace (VLAN) - funkce MAC autentizace zajistí provoz pouze povolených zařízení na síti. Autorizace slouží pro dynamické přiřazování do VLAN podle MAC adresy. BYOD a mobilní zařízení o Funkce automatizované správy BYOD zařízení a jejich jednoznačná identifikaci na síti. To umožňuje snadné nastavení návazné bezpečnostní politiky pro mobilní zařízení. Přístupy jsou řešeny na 2. vrstvě OSI modelu sítě, tím pádem je podporováno 100% mobilních platforem a na zařízení není nutné cokoliv instalovat. Vyžaduje to podporu MAC autentikace a autorizace na síťových prvcích.
•
Krizový management o výkonné nástroje pro podporu krizového managementu, umožňující na síti realizovat hromadné operace se síťovými zařízeními – krizové sety. V případě bezpečnostního incidentu je možné přejít do nouzového stavu, kdy zařízení mimo krizový set jsou odpojeny od sítě.
Klíčové přínosy sytému pro správu IP adresního prostoru a řízení přístupů do sítě • • •
Řádová úspora práce síťových administrátorů Standardizace činností a centralizace správy v rozsáhlých a distribuovaných sítích Zavedení řízení bezpečnosti přístupu do sítě formou 802.1x – MAC autentizace a autorizace (přiřazování do VLAN) Plně automatizovaná správa BYOD zařízení Jednoznačná identifikace BYOD zařízení v síti Podstatné zvýšení provozní spolehlivosti DNS, DHCP, Radius díky N+1 redundanci a nadstandardní škálovatelnosti Bezproblémová spolupráce se síťovými technologiemi Microsoft a Cisco
• • • •
2.2. Nástroje pro řízení bezpečnostních incidentů a log management 1. úroveň – United Security Management – prostředí složené s Log management nástroje, SIEM nástroje, Vulnerability nástroje a Reportingu. Implementováno v prostředí informačního systému v lokalitě. 2. úroveň – CSIRT NSM Cluster – CSIRT1 je služba pro správu hrozeb, incidentů a znalostí v procesu Incident Response s cílem rychlé a včasné reakce na bezpečnostní anomálie a incidenty. Systémy z 1. úrovně zasílají vyhodnocené významné bezpečnostní události do CSIRT organizace, jejíž součástí je Security Operation Centrum (SOC) mající přehled o světových bezpečnostních incidentech v relevanci vůči ČR a zákazníkům v ČR. SOC poskytuje proaktivní reakci těm zákazníkům, kteří: • •
ještě nejsou negativně dotčeni incidentem, ale je již detekována potenciální hrozba a je známo preventivní opatření, jsou již dotčeni incidentem, a potřebují účinná a spolehlivá řešení k minimalizaci negativních projevů incidentu.
Služby 1. úrovně - United Security Management 1. Log management a. Sběr log dat a konsolidace pro snadné vyhledávání a reporting. b. Zajištění data retention v rámci Archivace dat. 2. SIEM – Security Information & Event Management a. On-line analýza log dat pro detekci bezpečnostních událostí. b. On-line korelační analýza bezpečnostních událostí k detekci významných událostí – alertů. c. Eskalace a informace pověřených osob dle kompetenční a komunikační matice. 1
CSIRT – Computer Security Incident Response Team
d. Open Threat Exchange – výměna anonymních informací o aktuálních hrozbách s OTX komunitou 3. Vulnerability management a. Průběžné sledování bezpečnostní kondice komponent informačních systémů – hardware, software, služby. b. Přiřazení zranitelnosti k evidované komponentě. c. Sledování péče o bezpečnostní kondici všech komponent informačního systému – Patch management. 4. Reporting a. Strukturovaný reporting podle norem ISO 27 001 a PCI DSS. Možnosti konfigurace na prostředí zákazníka. 5. Dashboard a. Přehled o aktuální bezpečnostní situaci v informačním systému. b. Přehled o správě detekovaných událostí a průběhu analytických činností. c. Přehled o kvalitě služeb bezpečnostní infrastruktury. d. Přehled o dostupnosti služeb a systémů. Služby 2. úrovně - Security Operation Centrum 1. Zajištění kvality a spolehlivosti bezpečnostních funkcí - Sleduje monitorovací infrastrukturu informačního systému zákazníka. 2. Sledování bezpečnostní situace – sleduje komponenty internetového prostředí a zdroje bezpečnostních informací. 3. Zajištění aktuálnosti – zajišťuje update detekčních metod pro identifikaci nových hrozeb a zranitelností v USM zákazníka (minimálně 4x za rok). 4. Zajištění knowledge – implementuje best-practice pro proces Security management zákazníka (úpravy USM zákazníka - minimálně 4x za rok). 5. Security Service Desk – služba v provozním režimu 8x5. On-line pracoviště s možností telefonní, e-mail komunikace přímo se Security Operátorem. V případě významných incidentů i specificky domluveným způsobem (např. faxem, Skype, atp.). 6. CERT knowledge – CISRT NSM Cluster je kontaktní místo pro Incident Response a je napojen na vládní CERT a na nejvyšší CSIRT ČR. V rámci velkých incidentů ohlášených NBÚ pomáhá v koordinaci aktivit potlačující negativní dopady na infrastrukturu ČR a infrastrukturu zákazníka. Taktéž obsahuje specialisty na forenzní vyšetřování a odhalování symptomů zcela nových bezpečnostních hrozeb a zranitelností. Zákazník je součástí vyšetřování a určuje priority nebo přímo rozhoduje o čase a rozsahu vstupu bezpečnostních složek (policie, soud, právní útvar) v rámci vyšetřování incidentů.
Obrázek 3 – Schéma funkčnosti bezpečnostních nástrojů
