AEC, spol. s r. o. Jak bezpečnost IT nastavit v souladu s business požadavky společnosti
Tomáš Strýček Internet & Komunikace Modrá 4.6.2015
AEC Services
Situace IT Security v menší firmě a) Bezpečnost je neřešena. MGMT předpokládá, že to řeší IT, ale IT si nechce komplikovat život. b) Bezpečnost řeší IT jako jednu z mnoha aktivit c) Bezpečnost IT má na starosti CSM, je sám proti všem a je považován za blázna d) IT Security řeší IT dle nejlepšího vědomí e) Bezpečnost je outsourcována stejným dodavatelem jako IT f) Bezpečnost je outsourcována nezávislým dodavatelem
Časté problémy v IT Security IT Security je oddělený svět od firmy
Reaktivní mód. (Kde začlo hořet, pokusím se to uhasit a pak do toho objektu nainstaluji požární hlásiče po 1m, MGMT v tomto případě bude svolný) IT je třeba mít na své straně, protože jinak mě odstřihnou. Je třeba respektovat jejich zájmy. Business vnímá IT Security jako záškodníka, komplikátora, který prodražuje vše, kam ho pustí
Vnější vlivy Kybernetický zákon ZoKB 181/2014 Sb ISO 27 000 – Information Security Management System ISO 22 301- Business Continuity Management System ISO 20 000 – IT Service Management Odběratelé a zákazníci Vlastníci společnosti, věřitelé
Analýzy Kdy se vyplatilo dělat Analýzu rizik? Co odpověděla? Jaký byl zpětně efekt?
Náklady na ochranu aktiva
Riziko=hodnota aktiva X míra zranitelnosti X míra hrozby
Co je cílem analýzy Zjistit, kde je třeba zaměřit úsilí na ochranu Nesnažit se nikdy aplikovat vše Tento proces se neustále opakuje (analýzu provádět opakovaně)
Vždy zohledňovat Business dopad Proto zapojit Business vlastníky
Jaký je business dopad jednotlivých zranitelností?
XX Disabled
YY Disabled
Keylogging protection bypassed
DNS Hijacking protection bypassed
MiTB protection bypassed
MiTM protection bypassed
Screenshot protection bypassed
Phishing protection bypassed
XX Admin
YES
YES
YES
YES
YES
YES
YES
YES
XX User
NO
YES
YES
YES
YES
YES
YES
YES
YY User
N/A
YES
N/A
N/A
N/A
N/A
N/A
YES
YY Admin
N/A
YES
N/A
N/A
N/A
N/A
N/A
YES
Tab. 2: Results of the XX and YY protection bypass attempts
XX Admin
XX Disabled
YY Disabled
Keylogging protection bypassed
DNS Hijacking protection bypassed
MiTB protection bypassed
MiTM protection bypassed
Screenshot protection bypassed
Phishing protection bypassed
YES
YES
YES
YES
YES
YES
YES
YES
XX User
NO YES YES YES YES YES YES YES Jaký je business dopad jednotlivých zranitelností? YY User N/A YES N/A N/A N/A N/A N/A YES
YY Admin
N/A
YES
N/A
N/A
N/A
N/A
N/A
YES
Tab. 2: Results of the XX and YY protection bypass attempts
Výsledky monitoringu uniku dat pomocí Network DLP za 1 měsíc
Jaký je business dopad jednotlivých zranitelností?
Jak zjistit As Is?
Výhody a nevýhody Co odpoví Kdy provést Kolik co stojí
Výsledky Zpráva pro management Diskuse s business vlastníky Pohled IT, spolupráce s IT Jednou prezentací výsledků pro management se moc nevyřeší
Metriky – Příklad: ochrana proti malware Účel konceptu měření Cíl opatření Opatření
Objekt měření Atribut Interpretace indikátoru
Formy hlášení
Ohodnotit účinnost ochrany systémů proti útokům škodlivých programů. Cíl opatření A.10.4 Chránit integritu programového vybavení a dat. proti škodlivým programům. Na ochranu proti škodlivým programům musí být implementována opatření na jejich detekci, prevenci a obnovu a zvyšování odpovídajícího bezpečnostního povědomí uživatelů. 1 Hlášení incidentů 2 Logy antivirových programů Incident způsobený škodlivým kódem Vzrůstající trend ukazuje zhoršující se shodu, klesající trend indikuje zlepšující se shodu. Pokud trend nápadně vzrůstá, bylo by potřebné prozkoumat příčinu a zavést další opatření proti malware. Spojnice trendu, která popisuje poměr detekce a prevence škodlivých programů, překrytá spojnicemi trendu vytvořených v předcházejících periodách hlášení.
Cílová hodnota indikátoru: 1%
Měsíc Leden Únor Březen Duben Květen Červen Červenec Srpen Září Říjen Listopad Prosinec
Incidenty 12 14 10 8 16 18 22 156 25 36 42 29
Blokace 2621 3524 4122 1830 1989 2459 3859 4257 6852 2569 4036 3012
Indikátor 0,46% 0,40% 0,24% 0,44% 0,80% 0,73% 0,57% 3,66% 0,36% 1,40% 1,04% 0,96%
Cíle bezpečnosti
Cíle Bezpečnosti IS:
Specifika:
• Ochrana investic akcionářů • Ochrana dat zákazníků • Soulad s legislativou • Snížení nákladů (efektivní a rovnovážná investice do prevence a nápravy škod)
• • • •
Konkurenční prostředí Postavení na trhu Charakter podnikání „Osobní údaje“
Současný stav IT Security Risk mgmt: • + Známe současný stav, identifikovány IT rizika - Rizika nejsou přiřazeny vlastníkům a nepracuje se s nimi
Incident mgmt • + Dokážeme je identifikovat a odstranit • - Proces není automatizovaný a je náročný na lidské zdroje
Compliance mgmt • + Známe současný stav • - Není automatizován
Ochrana dat • + Ošetřeny některá významná rizika technologickými opatřeními • - Není zatím kontinuita rozvoje technologií v IT Security
Jak uchopit To Be
Výhody a nevýhody
Technologie bezpečnosti - Úniky dat skrze zaměstnance Cílený i nevědomý únik: Mail, média, internet • --> DLP, mobilní bezpečnost
Cílený únik z DB, zneužití přístupu, IT správa • --> SIEM, segregace vlan, architektura,3.strany, šifrování
Útoky zevnitř i zvenčí, využití slabin v IT • -->VMS, IdM, B2B rozhraní,
Cílené motivované pokročilé útoky zvenčí APT • --> NBA
Koncepce bezpečnosti IT Projekty rozděleny dle priority pro dlouhodobý plán P1: definice rizik, řešení akutních vysokých zranitelností (DLP, SIEM, architektura…) P2: procesní a organizační opatření (klasifikace dat, dokumentace) P3: technologie a opatření bezpečnosti řešící středně závažné zranitelnosti (B2B, 3. strany, vlany) P4: Složitější technologie bezpečnosti pro středně závažné zranitelnosti (IdM, mobilní bezpečnost, tokenizace…)
P5 a P6: technologie pro dlouhodobý výhled (DoS, Web security, IEEE 802.1X)
Z praxe • • • • • • • • •
Používat zdravý selský rozum Metodika vs. Praxe Úpravy ve stávajícím vs. Nákup nového Nepodlehnout marketingovým slideshow „a má to opravdu pro nás tu hodnotu?“ Priority a business cíle společnosti Komunikovat s vedením Myslet u toho na lidi (nevytvářet bič) Myslet na reálný přínos(nekoupit si další hračku)
Stavební materiál IT Security (paperwork) • • • • • •
Bezpečnostní politika Bezpečnostní směrnice pro uživatele Školení bezpečnosti pro uživatele Testy sociálním inženýrstvím Implementace ISMS Havarijní plány a plány obnovy po havárii
Stavební materiál IT Security (technology) • • • • • • • • • • • • •
SIEM – Security monitoring Data Loss Prevention Intrussion Prevention System Endpoint Security WebGateway, Web Filtering Device Control Mail Security NAC Vulnerability Management System Mobile Device Management Web Application Firewall Network Behavior Analysis Priviledged Identity Management
Shrnutí • Setkáváme se většinou s plýtváním prostředky v nákupech Security technologií, v řešení marginálních problémů oproti řešení aktuálních reálných hrozeb, • Vytvořit komunikační matici pro Security otázky (nevytvářet ostrov) • IT Security řízeno potřebami businessu je běh na dlouhou trať • Používat zdravý selský rozum
Děkuji za pozornost Tomáš Strýček Executive Director AEC, spol. s r. o.
[email protected]
www.aec.cz
