Cyber Security 2015
Cyber Security 2015
Ministerstvo vnitra připravuje jednotné řešení pro státní správu
Ing. Miroslav Tůma, Ph.D. vrchní ředitel sekce provozu ICT, MV ČR 19. února 2015 19.02. 2015
Cyber Security 2015
ZÁKLADNÍ PRINCIP „ Ministerstvo vnitra si je vědomo své klíčové řídící a strategické role v oblasti ICT státu. Proto připravuje pro státní správu a krajské úřady jednotné řešení implementace zákona a vyhlášek“
19.02. 2015
Cyber Security 2015
Implementace CYBER SECURITY • Analýza dopadů ZoKB na IS MV • Zahájení implementace Cyber Security • Mezirezortní spolupráce - jednotnost
• SOCCR -
19.02. 2015
Security Operation Center for Continuous Reliability
Cyber Security 2015
SOCCR - Security Operation Center for Continuous Reliability
19.02. 2015
SOCCR je dohledové centrum ministerstva vnitra pro provoz ICT systémů a kybernetickou bezpečnost SOCCR dohleduje systémy, identifikuje, vyhodnocuje a hlásí incidenty do Národního centra kybernetické bezpečnosti (NBÚ) SOCCR řídí bezpečnost systémů SOCCR provozuje ČPOZ SOCCR je modulární a připraven na další rozvoj
Cyber Security 2015
SOCCR poskytuje bezpečnostní služby
19.02. 2015
Sbírá, vyhodnocuje a reportuje provozní a bezpečnostní události 24x7 Identifikuje a řeší bezpečnostní incidenty, hlásí incidenty do NCKB Naplňuje technické požadavky kybernetického zákona Řídí bezpečnost systémů v aktivním a pasivním módu Automatizovaně skenuje technické zranitelnosti systémů Zajišťuje certifikační autoritu Zajišťuje DDoS ochranu (prostřednictvím CMS) Poskytuje bezpečnostní reporting (administrátorský, manažerský…) Podporuje procesy řízení rizik a kontinuity Tým SOCCR = Cyber Incidents Response Team (CIRT) Zajišťuje informační fórum pro bezpečnostní správce a manažery
Cyber Security 2015
SOCCR neřeší …zatím
19.02. 2015
Nezajišťuje organizační bezpečnost podle zákona Neprovádí (netechnické) audity bezpečnosti Neprovádí školení a vzdělávání uživatelů Neřídí provoz systémů, netvoří zálohy, nearchivuje, neloguje události Nesleduje konkrétní data v systémech, nemá přístup k datům aplikací Nezajišťuje fyzickou bezpečnost systémů (může dohledovat) Nezajišťuje kontinuitu a obnovu systémů (pouze podpora nástrojem BCM) Neřeší všechny požadavky na systémy dle zákona 365/2000 Není forenzní laboratoří (vize 2016+) Neskenuje externí prostředí, fóra, sociální sítě (vize 2016+)
Cyber Security 2015
19.02. 2015
Cyber Security 2015
Aktivní vs. pasivní mód Aktivní mód – řídí bezpečnost
Pasivní mód – dohlíží bezpečnost
SOCCR je bezpečnostní administrátor systému
SOCCR je dohlížitel - pouze dostává informace ze systému
SOCCR analyzuje, vyhodnocuje a dává informace zpět do systému, aktivně řeší incident (technicky, procesně), ve spolupráci s administrátory zasahuje do konfigurace
SOCCR analyzuje, vyhodnocuje a dává informace zpět do systému, dává doporučení na reakci
SIEM – v systému je implementována sonda/agent, sbírá události, vyhodnocuje, do SOCCR zasílá agregované údaje
SIEM – získává agregované události z koncového systému pomocí systémového účtu, logy se analyzují až v SOCCR
SOCCR vyžaduje plný přístup do systému, implementaci nástroje PIM/PAM + 2FA (administrátorské přístupy)
N/A – SOCCR má pouze přístup „pro čtení“
SOCCR provádí automatizované skenování zranitelností s autentizací
SOCCR (ne-)pravidelně skenuje zranitelnosti bez autentizace (s povolením správce systému)
Honeypot – implementován v (interní) síti, aktivně dohleduje technologií IPS/IDS
N/A
Podpora procesů řízení rizik a kontinuity (SOCCR má nástroj)
SOCCR neřeší procesy RM a BCM, pouze jednoduchá metodická podpora zdarma
19.02. 2015
Cyber Security 2015
Požadavky na systémy - Pasivní mód
Specifikujeme standardní rozhraní – předmět technického projektu – únor 2015, řeší ČPOZ §21 vyhlášky – specifikace bezpečnostních událostí Specifikace základních provozních události
Na straně systému (hrazeno zákazníkem) Systémy musí přizpůsobit své logování ČPOZ provede analýzu událostí a vybere další pro dohled Systém bude agregovat události podle požadavků rozhraní Systém řeší vlastní konektivitu do SOCCR
19.02. 2015
Cyber Security 2015
Požadavky na systémy – Aktivní mód
Specifikujeme standardní rozhraní – předmět technického projektu – únor 2015, řeší ČPOZ §21 vyhlášky – specifikace bezpečnostních událostí Specifikace základních provozních událostí
ČPOZ Implementuje do systému sondy/agenty Na straně systému (hrazeno zákazníkem) Systémy musí přizpůsobit své logování, příp. další úpravy ČPOZ provede analýzu událostí a vybere další pro dohled ČPOZ optimalizuje sběr událostí, změní nastavení systému
19.02. 2015
Cyber Security 2015
Rozvoj SOCCR 2016+
19.02. 2015
Rozšířit tým a nástroje pro skenování veřejných fór, medií, sociálních sítí pro korelaci interních událostí s podezřelými událostmi v externím prostředí Získávat informace o všech hrozbách z různých zdrojů a koncentrovat úsilí na relevantní nebezpečné případy Vytvořit SOCCR Intelligence Database – shromažďuje a koreluje všechny události Vytvořit forenzní laboratoř pro vyšetřování kybernetických incidentů Automatizovat procesy řízení rizik a kontinuity Rozšířit bezpečnostní reporting o stavu systémů (Big Data)
Cyber Security 2015
Děkuji Vám za pozornost
Ing. Miroslav Tůma, Ph.D. vrchní ředitel sekce provozu ICT, MV ČR 19. února 2015
19.02. 2015
