Koncept aktivní bezpečnosti a spolehlivosti IT infrastruktury
Ing. Jiří Sedláček Chief of Security Experts
[email protected]
Představení NSMC • Kooperační odvětvové uskupení 19 firem se specializací na bezpečnost v ICT, • firmy s vlastními produkty, ale i integrátoři komplexních řešení.
Představení NSMC Poskytujeme marketingovou podporu. Realizujeme audity, analýzy a doporučení.
Poskytujeme poradenskou činnost pro komerční subjekty i samosprávu.
Hledáme projekty v zahraničí (EU, NATO, USA,…).
NSMC
Spolupracujeme při tvorbě legislativy a stanovování „best practice“.
Pořádáme školení a vytváříme programy pro studium bezpečnosti IT.
Poskytujeme podporu aplikačního výzkumu s MU (CERIT), ČVUT a VUT.
Proč bezpečnost v ICT? • Používáte výpočetní techniku? • Máte vytvořenu síťovou infrastrukturu? • Je Vaše síťová infastruktura připojena k internetu?
Zajištění kontinuity byznysu
Business Continuity = strategická a taktická způsobilost organizace být připraven a reagovat na incidenty a narušení činností organizace za účelem pokračování na předem stanovené přijatelné úrovni (zdroj – Wikipedie). Zabezpečení není luxus, ale nezbytnost pro zachování kontinuity byznysu.
Bezpečnost z pohledu infrastruktury
• Fyzická bezpečnost: • neoprávněná manipulace, • krádež, • poškození (provozní podmínky).
• Kybernetická bezpečnost: • perimetr, • vnitřní síť.
Jak na ICT bezpečnost?
• • • • • •
Právní předpisy, normy a metodiky, know-how, směrnice (interní předpisy), evangelizace v oblasti KB, technologie.
Právní předpisy • Zákon 40/2009 Sb. – Trestní zákoník, • zákon 365/2000 Sb. – Zákon o informačních systémech veřejné správy, • zákon 181/2014 Sb. - Zákon o kybernetické bezpečnosti,
• vyhláška 315/2014 Sb. - Odvětvová kritéria pro určení prvku kritické infrastruktury, • vyhláška 316/2014 Sb. - Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti, • vyhláška 317/2014 Sb. - Vyhláška o významných informačních systémech a jejich určujících kritériích.
Normy a metodiky • ITIL (Information Technology Infrastructure Library),
• metodika založená na procesním řízení organizace a je určena především pro IT manažery.
• COBIT (Control Objectives for Information and related Technology),
• soubor praktik, které by měly umožnit dosažení strategických cílů organizace díky efektivnímu využití dostupných zdrojů a minimalizaci IT rizik. Je určen především top manažerům k posuzování fungování ICT a auditorovi pro provádění auditu systému řízení ICT.
• CRAMM (CCTA Risk Analysis and Management Method) • metodika pro analýzu a řízení rizik,
• podpůrný nástroj pro přípravu organizace na certifikaci podle ISO/IEC 27001:2005,
• ISMS ISO/IEC 27001:2005 mezinárodně platný standard, který definuje požadavky na systém řízení bezpečnosti informací. Pozn.: CCTA - Central Computer and Telecommunications Agency
Know how Znalosti a zkušenosti v oblasti ICT a KB • Interní zdroje:
• problémem v menších organizacích bývá často souběh rolí => nedostatečná kompetence, • ovlivnění infrastrukturou a standardy dané organizace => profesní slepota.
• Externí zdroje: • specializace, • větší rozhled, • praxe.
• Je ideální, když interní bezpečnostní manažer naslouchá a externí bezpečnostní konzultant pomáhá.
IT směrnice V souladu s právními předpisy, metodikami a normami si organizace vytváří své interní IT předpisy/směrnice, které řeší: • bezpečnostní politiku organizace, • politiku hesel a řízení identit, • šifrovací metody, • vlastníky procesů, • správu aktiv, • zálohování, • DRP (Disaster Recovery Plan) včetně testů, • bezpečnostní incidenty.
Evangelizace KB • Vzdělávání v oblasti KB hraje důležitou roli, • mnoho bezpečnostních incidentů je zaviněno nízkou úrovní vzdělanosti v oblasti KB, • jak zapnout a vypnout počítač ví každý, jak se bezpečně chovat se musíme učit, • zde je nezbytná spolupráce mezi HR, IT a managementem společnosti.
Technologie • Před nákupem technologií je nutné:
• provést srovnávací analýzu současného stavu se stavem požadovaným (ZoKB je vhodný etalon), • PDCA metodika: • • • •
Plan - plánuj - naplánování cíle a cesty jak ho dosáhnout, Do - dělej - provedení činností podle plánu, Plan Check - kontroluj - ověření shody výsledku s plánem, Act - jednej - provedení případných oprav a zlepšení. Act
Do
Check
• bez znalosti problematiky a provedení důkladné srovnávací analýzy není možné řešit nákup technologií a služeb, • management potřebuje kvalitně zdůvodnit účelnost požadovaných finančních prostředků, musí se se záměrem ztotožnit.
Pyramida vyspělosti IT infrastruktury
SLA Sběr a korelace logů, komplexní dohled Bezpečnost LAN, řízení přístupu, dohled aplikací Dokumentace IS, bezpečný perimetr, dohled infrastruktury (ITIL, ISMS) Nesystémové řízení bezpečnosti a správy IT
Počáteční
Řízená
Definovaná
Kvalitativně řízená
Optimalizovaná (měřitelná)
Vyspělost IT infrastruktury - technologie
SLA, KPI
Optimalizovaná (měřitelná) Kvalitativně řízená
Definovaná
Řízená
Počáteční
Log management & SIEM IPAM NAC Firewall
FM/NBA ADS IDS/IPS
APM
Audit účtů
Provozní dohled
Detekce zranitelností
Izolované systémy, chybějící bezpečnostní politika a dokumentace IS
Endpoint security
CMDB
Dokumentace IS (CMDB) • Configuration Management DataBase, • evidence komponent IS/IT, • jejich vzájemných vztahů, • aktuálních konfigurací, • spuštěných služeb,
Výchozí pozice pro posun z počáteční do řízené úrovně.
CMDB
Firewall, IDS/IPS Standardní prvky zabezpečení datových sítí FW • důsledné oddělení vnitřní síťě (LAN) od vnějšího prostředí (Internet), • nastavení komunikace mezi sítěmi prostřednictvím definovaných pravidel, IDS/IPS • blokování nežádoucího provozu, • detekce a blokování známých hrozeb pomocí signatur. Internet DMZ Firewall
WAN
LAN
IDS/IPS
Centrální monitoring a správa sítě - topologie
FlowMon sonda Monitoring ICT ü ü
ü
distribuovaný monitoring infrastruktura, aplikace, prostředí měření SLA
IPAM ü ü ü ü
Flow monitoring
adresní plánování ü správa IP prostoru DHCP, DNS, Radius ü řízení přístupů do sítě
ü
AddNet work server MoNet sonda
zpracování provozu na síti detekce anomálií a nežádoucího chování profily chování
FlowMon sonda MoNet řídící server AddNet řídící server AddNet work server LAN 1 MoNet sonda
FlowMon kolektor FlowMon ADS
DMZ
AddNet work server LAN X MoNet sonda
AddNet work server MoNet sonda
Aplikace Aplikace
Aplikace
Aplikační servery
Aplikační servery
Databáze
Databáze
Operační systémy
Operační systémy
Virtualizace
Virtualizace
Hardware
Hardware
Prostředí
Prostředí
Aplikační servery Databáze Operační systémy Virtualizace Hardware Prostředí
Centrální monitoring a správa sítě – funkční pohled
I PA M
A p l i k a č n í servery Databáze O p e r a č n í systémy Virtualizace Hardware Síťové prvky Prostředí
Univerzální Monitoring
Aplikace
Sběr
provozních dat
Správa IP adresního prostoru
NetFlow v5/v9/IPFIX
L2 Monitor – historie IP/MAC/port
L2/L3/L4 visibility
D D I – Základní síťové služby High Performace & distribuované D H C P Flexibilní & distribuované D N S
Network performance monitoring
On-demand packet capture Provozní statistiky
Bezpečnost 802.1x & MAC A u t e n t i z a c e
Objemové a provozní statistiky
A u t o r i z a c e – VLAN přiřazení
Drill down a datová analýza
Distribuovaný R A D I U S Krizové plánování BYOD and mobilní zařízení Automatizovná správa IP & NAC
Vlastní profily a Reporting Behaviorální analýza Útoky, Malware, APTs Síťové anomálie, porušení politik
Samoobslužný management portal Konfigurační a provozní problémy Aktivní prvky Repository Port utilizace monitor Zálohování konfigurací
Dashboard Top and traffic statistics Bezpečnostní incidenty
Audit privilegovaných účtů • • • •
Sledování operací správců a externích dodavatelů, logování bez možnosti manipulace s logy, možnost rekonstrukce aktivit, audit důležitých operací a přístupů: • k citlivým informacím, • změny konfigurace.
Zaměstnanci IT, externí podpora
Datové centrum
Audit účtů
Log management & SIEM • Log Management
• sběr logů z prvků IT infrastruktury, monitorovacích nástrojů a aplikací, • korelace, agregace a automatizovaná analýza,
• SIEM
• komplexní pohled na IT infrastrukturu, • automatické generování a prioritizace incidentů.
Log management SIEM
Stavební bloky SIEM
Log management Event management Reporting
• Sběr a jednotné ukládání originálních/RAW dat (logů). • Parsování + Taxonomizace. • Vyhledávání eventů , jejich vizualizace. • Tvorba reportů v reálném čase nebo dle časového rozvrhu.
Dashboards
• Vizualizace stavu bezpečnosti.
Packaged Correlations and Alerts
• Korelace. • Notifikace. • Pokročilý alert management.
SLA, KPI, manažerský pohled • • • • •
Nadstavba SIEM systému, komplexní reporting pro management, sledování metrik na úrovni aplikací a procesů, optimalizace procesů a manažerské řízení IT, shoda s regulativními požadavky (ISO 2700x, ...).
SLA
Rekapitulace konceptu
Shrnutí NSMC konceptu
Návrhu optimálního řešení předchází analýza. • Náš koncept je: • • • •
funkční a v praxi ověřený (cca 200 společností), nákladově efektivní, komplexní (řeší nejen ochranu perimetru, ale i vnitřní síť), v souladu s ICT standardy a ZoKB.
Děkuji za pozornost
Ing. Jiří Sedláček
[email protected]
Network Security Monitoring Cluster CERIT Science Park, Botanická 68a Brno, 602 00, Czech Republic
[email protected] www.nsmcluster.com