Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Dr. Igor Čermák

Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Dr. Igor Čermák

Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Igor Čermák Chief Security Officer Fujitsu Technology Solutions Copyright 2013 FUJITSU

Agenda  Kybernetické hrozby

 Systém řízení bezpečnosti informací (ISMS) a Analýza rizik  Pokročilý monitoring bezpečnosti – Network Behavioral Analyses

2

Copyright 2013 FUJITSU

Kybernetické hrozby  Množí se počty a složitost útoků; roste profesionalita útočníků;  Rostou počty cílených útoků na objednávku;  Roste počet typů a složitost „škodlivých programů“ (malware);  Probíhají předem připravené útoky na atraktivní cíle i všeobecné útoky cílené na získání přístupu do systémů a dat (hesla, čísla karet, čísla pojištění,…);  Využití sociálního inženýrství (znalost prostředí, struktury organizace, sociální návyky zaměstnanců);

 Jak se bránit ? 3


Systém řízení bezpečnosti informací (ISMS)  Bezpečnost informací (Information Security)

 Systém řízení bezpečnosti informací  Analýza rizik a nástroj SAAR pro podporu analýzy rizik a implementace a provozu ISMS 4


Bezpečnost informací  Data  Různé druhy, různý způsob ukládání a transportu;

 Informace  data => informace

 Aktiva  informace => aktivum  Aktiva je třeba chránit  bez ohledu na formu a způsob zpracování/uložení

 Zdroje ohrožení informací – hrozby;  Požadavky ochrany informací z hlediska:  C – Důvěrnosti ……….. (Confidentiality)  I – Integrity …………... (Integrity)  A – Dostupnosti ………. (Availability) 5


Informační bezpečnost  Informační bezpečnost x IT bezpečnost, fyzická bezpečnost,….

 Informační bezpečnost je nezbytné vnímat jako bezpečnost informací ve všech jejich formách a během celého „životního cyklu“ informací (pořízení, zpracování, přenášení, ukládání, archivování, likvidace);  Informační bezpečnost lze definovat jako  systém  ochrany  informací

6


Bezpečnost informací  Pro zajištění informační bezpečnosti – výběr různých opatření;

 Opatření je nezbytné vybírat na základě posouzení rizik pro jednotlivá aktiva;  Vzhledem k proměnám vnitřních a vnějších hrozeb a vzniku nových hrozeb, ke změnám v organizaci samotné i v prostředí, ve kterém působí (například legislativa) je nutné nastavit mechanismus přizpůsobování = mechanismus přezkoumání přijatých opatření:  modifikace přijatých opatření;  pomocí formálně definovaného a realizovaného postupu průběžné analýzy, implementace, kontroly, údržby, zlepšování systému informační bezpečnosti;  pro dosažení efektivity řízení (přiměřené nároky na zdroje); 7


Systém řízení bezpečnosti informací  Information Security Management System (ISMS)  součást globálního systému řízení organizace; • Cíle, metodika, kontrola;

 založen na vyhodnocování a analýze rizik;

 analýza, implementace, kontrola, údržba, zlepšování systému informační bezpečnosti;

 využití standardů a norem při zavádění ISMS – mezinárodní norma doporučuje zřízení kontinuálního a systematického procesu řízení bezpečnosti (ISO/IEC 27001);  nejde o jednorázová technická nebo organizační opatření, ale o zavedení systému řízení. 8


ISMS – přínosy  Informační bezpečnost zajišťuje hlavní procesy organizace (např. business procesy) a chrání tím organizaci před uplatněním hrozeb ohrožujících splnění jejich cílů, umožňuje organizaci plnit legislativní a smluvní požadavky, snižuje dopady bezpečnostních incidentů, havárií a výpadků: • minimalizace rizik prokazatelně existujících hrozeb (počítačové viry, neoprávněná manipulace s daty, ztráta nebo vyzrazení citlivých dat, průniky z internetu apod.); • jasné postupy řešení neočekávaných situací (minimalizují potenciální ztráty - důsledky případných výpadků a havárií); • vymezení povinností a zodpovědností zaměstnanců (snižuje riziko bezpečnostních incidentů, zajišťuje nepopiratelnost • naplnění legislativních požadavků; • zajišťuje prevenci incidentů, zavádí spolehlivé vnitřní kontrolní mechanismy. 9


ISMS – způsob zavedení  Základem ISMS je proces správy a řízení rizik.

 Nejdůležitější krok – výběr vhodné metodologie a nástroje analýzy rizik: (CRAMM, Octave, FRAAP, RA Tool,…….)

!!!

SW nástroj

SAAR !!! 10

SAAR  SAAR je:  SW nástroj pro podporu implementace a provozu systému řízení bezpečnosti informací;  aplikace pro účinné řízení rizik informační bezpečnosti v organizaci nebo v jakékoli její části; umožňuje průběžně organizovat procesy řízení rizik v rozsahu celkové analýzy rizik i právě daných potřeb při jednotlivých rozhodnutích o změnách, které mohou ovlivnit rizika informační bezpečnosti; je efektivní jak v etapě zavádění ISMS, tak při jeho dalším provozování;

 aplikace vyvinutá v ČR – Safcon s.r.o.

11


SAAR  SAAR umožňuje:  stanovit kontext řízení rizik;  využívat metodiku řízení rizik navrženou v souladu s mezinárodním standardem ISO/IEC 27005 (který je také českou státní normou ČSN);  volit úrovně prahových hodnot kritéria akceptovatelnosti rizik;

 používat funkce pro vyhodnocení rizik a jejich komunikaci v uspořádání hierarchické struktury aktiv;  používat funkce pro odhad úrovně rizik a jejich zvládání v uspořádání hierarchické struktury rizik;  využívat přehlednou orientaci v grafickém vyjádření úrovně rizik;

 pracovat ve vícejazyčném prostředí; 12


SAAR  SAAR umožňuje:  vést opatření ve struktuře ISO/IEC 27001 a v souladu se stanovenými principy;  posuzovat stav existujících a plánovaných opatření ve srovnání s doporučeními ISO/IEC 27002;  přípravu a prosazování společných politik bezpečnosti informací a společných bezpečnostních standardů;  porovnat vlastní opatření s obsahem mandatorních opatření závazných ve skupině, odvětví, organizaci státní nebo veřejné správy, nebo s jinak závazným předpisem; porovnat existující stav opatření s obsahem bezpečnostních směrnic závazných v organizaci;  porovnat opatření ve své referenční podobě s opatřením identifikovaným ve vztahu k jednotlivým aktivům, hrozbám a zranitelnostem; 13


SAAR  SAAR umožňuje:  plánovat přípravu a provedení auditu v souladu s doporučením ISO/IEC 27006 (příloha D);  plánovat auditní úkony ve vztahu ke konkrétním opatřením a aktivům;  zpracovat výsledky všech provedených šetření a testů ve struktuře rizik;

 zpracovat výstupní sestavy dokumentující plán, provedení a výsledky jednotlivých interních auditů v samostatných datových strukturách.

14


SAAR  SAAR:  je tvořen moduly programovanými pro sjednocené informační prostředí platformy Microsoft SharePoint Server 2010 a 2013 provozovanými na všech jeho verzích (SharePoint Foundation, Standard nebo Enterprise);  všechny zpracovávané informace jsou uloženy v databáze informačního prostředí, při přenosech, výstupech a manipulacích jsou data organizovány ve formě standardních XML struktur;

 datové struktury jsou při přenosech a před uložením na pracovní disk šifrované; použité klíče jsou jedinečné pro každého klienta;  exporty datových struktur jsou šifrované; použité klíče jsou jedinečné pro každého klienta; 15


SAAR – Standardizace nabízeného řešení  Nabízený SW nástroj SAAR, podporující procesy přípravy a vlastního řízení rizik a bezpečnosti má řadu vlastností, které mohou přinést řadu výhod při srovnávání s potenciálními konkurenčními nabídkami.

 Řízení rizik, které nabízí transparentní pohled na všechny aktiva, hrozby, zranitelnosti a opatření v hierarchické struktuře, umožňuje provádět identifikaci a ohodnocení rizik v souladu s mezinárodním standardem ISO/IEC 27005. 16


SAAR – Standardizace nabízeného řešení  Řízení bezpečnosti informací umožňuje vymezit, zavést a provozovat systém řízení bezpečnosti informací v souladu s nejlepší praxí, podle mezinárodního standardu ISO/IEC 27001, včetně přímé podpory zvládání rizik, řízení implementace nezbytných opatření, tvorby požadované dokumentace a plánování a vyhodnocování interních auditů na všech úrovních organizace.

17


SAAR SP – globální web, základní nabídka

18


SAAR SP – Reporting – Přehled aktiv

19


SAAR SP – Reporting – Přehled rizik

20


SAAR SP – Přehled mandatorních opatření

21


Pokročilý monitoring bezpečnosti  Network Behavioral Analyses (NBA)

22


Monitoring – stávající stav

23


Limity stávajících bezpečnostních technologií  Běžné stávající technologie: SNMP, FW, IDS/IPS, Anti-malware, ..  Zaměřeno na ochranu před známými hrozbami (IDS/IPS, Antivir, Antimalware);  Nedostatečný průběžný monitoring;

 Koncentrace na jednotlivé úzce vymezené oblasti (Firewall – perimetr);  Zahlcení velkým množstvím informací (IDS);  Omezený význam monitorovaných informací (SNMP)

 Network Security Monitoring – doplňuje standardní technologie:  NetFlow – co se v síti děje (kdo, s kým, co, jak,…)  NBA/ADS – odhalení i dosud neznámých hrozeb a nestandardního chování stanic; 24


Klíčové body – pro CIO, CSO, CCO  Neřešený monitoring datových toků v síti • Máme přehled o síťových komunikacích nejen do Internetu, ale i v rámci WAN a LAN? Máme aktuální data i data z historie?

 Bezpečnost • Umíme detekovat útoky DoS, DDoS a útoky na služby? • Jsme schopni odhalit viry a malware nepodchycené antiviry? • Máme nástroj pro odhalování podezřelých změn chování v síti?

 Optimalizace infrastruktury • Neplatíme zbytečně moc poskytovateli Internetu nebo WAN? • Není naše síť pomalá, nemají síťové aplikace dlouhé odezvy?

 Efektivita zaměstnanců • Nejsou v naší síti zneužívány P2P služby a instant messaging? • Nenavštěvují naši zaměstnanci podezřelé webové stránky? 25


Klíčové body – pro IT admin  Víte o všem, co se děje ve Vaší síti?  Jste si jisti bezpečností Vaší sítě?  Je Vaše síť chráněna dostatečně proti vnějším i vnitřním útokům?  Máte možnost sledovat síťový provoz v reálném čase?  Odhalujete problémy na síti rychle a jednoduše?

 Máte dostatek informací pro optimalizaci a rozšiřování síťové infrastruktury?  Dohledáváte a prokazujete snadno bezpečnostní incidenty,  Víte, kteří uživatelé a které služby nejvíce zatěžují Vaši síť?  Znáte reálné využití Internetu ve Vaší organizaci?  Kontrolujete dodržování SLA? 26


Pozice řešení NBA/ADS + FlowMon

27


Řešení FlowMon  Inovativní řešení pro monitoring a bezpečnost sítí;  Kompletní řešení pro monitorování sítě na základě IP toků;  Založeno na technologii NetFlow v5/v9 – světově nejrozšířenější technologie pro statistiky síťové komunikace;  Poskytuje informace kdo, s kým, jak dlouho, jakým protokolem komunikoval a kolik přenesl dat;  Neinvazivní řešení pro sítě všech velikostí;  Technologie vytvořená v ČR – InveaTech a.s.;  Lokální podpora; nejlepší poměr cena/výkon na trhu;  Unikátní přínosy pro uživatele reagující na typické problémy vyskytující se ve stávajících sítích z pohledu manažerů i administrátorů. 28


Řešení FlowMon  Přínosy pro zákazníka  Monitoring a management  Optimalizace a reporting

 Efektivní troubleshooting;  Performance monitoring;  Vnější i vnitřní bezpečnost;  Dohled bezpečnostních politik;  Snížení nákladů na provoz sítě

29


ADS/NBA  Detekce nežádoucích vzorů chování • Vnitřní a vnější útoky

• Nežádoucí služby a aplikace • Provozní a konfigurační problémy

 Behaviorální analýza • Profily chování • Detekce anomálií • Sběr statistik

 Přehledné uživatelské rozhraní • Dashboard s okamžitou indikací problémů; • Interaktivní vizualizace událostí; • Integrace informací ze služeb DNS, WHOIS, geolokační služby

 Komplexní filtrování, alerting, reporting 30


Přínosy řešení pro administrátory  Detailní přehled o dění v síti (LAN i WAN) – jak v reálném čase, tak kdykoliv v minulosti;

 Přesné, rychlé a efektivní řešení problémů;  Zvýšení bezpečnosti, odhalení vnitřních a vnějších útoků;  Snadné plánování kapacit a optimalizace sítě;  Dohled nad využitím Internetu, využitím aplikací  Předcházení incidentům jako jsou zahlcení a výpadky sítě  Odhalení špatných konfigurací

31


Přínosy řešení pro management  Pro management: • Snížení nákladů na správu a provoz sítě; • Statistiky (tabulky, koláčové grafy) o využití sítě; • Kontrola využívání elektronických zdrojů zaměstnanci (například využití Internetu); • Omezení využívání aplikací typu P2P apod.

 Pro bezpečnostní management: • Detekce vnitřních a vnějších útoků, změn chování v síti; • Kontrola přístupu uživatelů k datovým zdrojům; • Dohledávání a prokazování bezpečnostních incidentů; • Porovnání bezpečnostních politik se skutečným stavem v síti; • Prevence před únikem informací z firmy 32


Shrnutí  Efektivnější procesy a bezpečnější infrastruktura:  Odhalte problémy dříve než je nelze přehlédnout, řešení problémů IT infrastruktury  Úsporu nákladů a zvýšení produktivity (eliminace chybné konfigurace, eliminace nežádoucích aktivit, kvalita služeb – dodržování SLA, eliminace latencí)  Snížením pracnosti správy IT infrastruktury (zlepšování a rozvoj infrastruktury a poskytovaných služeb)  Dohledem nad využitím sítě zaměstnanci (dodržování bezp. směrnic a předpisů, nežádoucí aplikace a sdílení obsahu), eliminace užití nelegálního SW;  Ochrana síťové infrastruktury před novými bezpečnostními hrozbami (vnitřní a vnější útoky, úniky informací, infikovaná zařízení 33


FlowMon+ADS  FlowMon+ADS = kompletní řešení pro monitoring a bezpečnost sítí:  ADS: detekce anomálií, provozních a bezpečnostních problémů  FlowMon+ADS: kompletní řešení pro monitoring a bezpečnost

34


Děkuji za pozornost Dr. Igor Čermák CGEIT, CISM Senior Consultant

[email protected] (+420) 733 610 410 (+420) 233 032 832 35


36

Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Dr. Igor Čermák

Recommend Documents