MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI? Milan Balážik, CISSP, CISA Senior Security Solutions Architect Corpus Solutions a.s. Na Vítězné pláni 1719/4 140 00 Praha 4
E-mail:
[email protected]
E-mail:
[email protected] www.corpus.cz
CO JSOU MODER NÍ HROZB Y
I
CO JSOU MODERNÍ HROZBY jak se odráží v přístupu k bezpečnosti Předpoklady pro úspěšné útoky:
cena informací, potenciálně dostupných přes Internet, stoupá (attack surface) ke všemu je vzdálený přístup pro administrátory a třetí strany nástup BYOD a konzumerizace nové funkcionality -> nové zranitelnosti zvyšuje se komplexnost hackerských nástrojů i dovedností hacktivism - jsou k dispozici nástroje pro script-kiddies Advanced persistent threat (APT) www.corpus.cz
CO JSOU MODERNÍ HROZBY jak se odráží v přístupu k bezpečnosti ,,Hacktivismus je způsob hackingu, k dosažení politických nebo společenských cílů."
politické a společenské cíle DDoS: mohutnost (náhlé vysoké nároky na zdroje) skryté konkrétní cíle
www.corpus.cz
CO JSOU MODERNÍ HROZBY jak se odráží v přístupu k bezpečnosti Advanced Persistent Threat (APT):
modernost/vyspělost trvalost/dlouhodobost/z acílenost útok na vícero frontách současně (šířka pásma, protokoly, výpočetní a úložní kapacita) DoS Level II např. "ve stínu" útoků (D)DoS může probíhat
www.corpus.cz
CO JE OHROŽENO co je potřeba chránit
BUSINESS CONTINUITY
Schopnost firmy vrátit se po incidentu či přerušení operací co nejrychleji do normálního stavu.
DATA A INFORMACE
Informační aktiva: - data - informace - know-how
FIREMNÍ REPUTACE
Ohrožení byznysu následkem ztráty důvěry partnerů a zákazníků.
www.corpus.cz
UŽIVATELSKÁ IDENTITA
- neoprávněný přístup - porušení tajemství zpráv - poškození záznamů
II
POTŘEBA NOVÝCH STRATEGIÍ BEZPEČNOSTI
POTŘEBA NOVÝCH STRATEGIÍ BEZPEČNOSTI
proč samotné technologie nedokážou zaručit bezpečnost? Současný stav: "Nevím, v jakém stavu je moje bezpečnost, ale mám X boxů"
není znám stav momentálního stavu bezpečnosti ani bezpečnostní potřeby začíná se od konkrétních technických implementací/kombinací, které diktují výrobci a Gartner high-level bezpečnost (SIEM, IDS/IPS, WAF ...) je dynamické povahy, produkuje velké množství výstupů, které se musí správně interpretovat Výsledek současného stavu: "Nevím, zda jsem cílem nebo obětí útoků" www.corpus.cz
NOVÁ STRATEGIE jak se bezpečnost dělá správně Cíle moderní bezpečnosti: "neplátat" skupiny/typy hrozeb primárně konkrétními technologickými implementacemi znát stav v jakém se bezpečnost nachází a tuto informaci udržovat aktuální neustálý soulad formální bezpečnosti (předpisové základny) se stavem nastavení bezpečnostních prvků oplácet útoky "stejnou mincí": sofistikovaná mnohovrstevná obrana na vícero frontech prevence není všechno - mít schopnost reakce www.corpus.cz
NOVÁ STRATEGIE proč se bezpečnost často dělá špatně? Běžné firmy:
nejsou schopny zmapovat a udržovat stav bezpečnosti nejsou schopny neustále přizpůsobovat (ladit) konfigurace
high-level bezpečnostních prvků nejsou schopny zajistit a udržovat potřebný tým specialistů, pokrývající bezpečnostní potřeby Pouze profesionální bezpečnostní specialisté:
mají potřebný cross-know-how a úplně jiné možnosti dokážou zaručit úspěšnou prevenci, detekci, reakci, vyhodnocení
www.corpus.cz
III
KDE ZAČÍT ??? S jakými kroky je třeba začít a jak pokračovat při moderním řízení ICT bezpečnosti …
KDE ZAČÍT ? formální bezpečnost - řízení rizik Bezpečnostní politiky:
globální (organizace, odpovědnosti, aktiva,... ) definice procesů řízení bezpečnosti v globální bezpečnostní politice (např. IM)
specifické (např. řízení provozu, přístupu, kontinuity, incidentů, shody)
Proces řízení incidentů:
detekční strategie incidentů reakční schopnosti a strategie: definice postupu v krizových situacích, plán kontinuity
Security Response Plan, Security Response Team www.corpus.cz
KDE ZAČÍT ? audit stavu bezpečnosti
Identifika ce
Zvládání
Monitorin g
hodnocení aktiv, zranitelností (včetně architektury a topologie)
modelování rizika hrozeb - funkční dekompozice
zmapování kvantitativních/kvalitativních možností a limitů vlastních systémů
neshody (compliance vůči zákonům a normám, bezpečnostním politikám, best practices...)
prostředky a opatření k zabezpečení
přijatelná úroveň rizika - akceptace rizik
neustálé monitorování: sběr a vyhodnocování dat z mnoha vrstev, vizualizace
Analýza
Hodnoce ní
…
www.corpus.cz
Security Intelligence Náš tým bezpečnostních expertů vnímá vaši bezpečnost v souvislostech.
IV
ČÍM POKRAČOVAT ? Moderní přístupy k řízení bezpečnosti: Získání potřebného know-how pro zvládání bezpečnostních hrozeb Efektivní přístup k moderním technologiím Strategické řízení rozvoje ICT bezpečnosti Využití možností Managed Security Provider Přístup k Security as a Service (např. řešení SIEM)
Přínosy:
vnímání bezpečnosti v souvislostech: korelace v souvislostech: interpretace - identifikace incidentu sofistikované nástroje: SIEM, NBA, Antibot, AntiDDoS, Code Simulation... odborný přístup k analýze výstupů sofistikovaných nástrojů reporting v podobě srozumitelně interpretovaných závěrů - vizualizace schopnost rychlé detekce bezpečnostního incidentu a rychlé a účinné reakce fixní náklady ulehčení přechodu na Security as a Service v prostředí Cloudu www.corpus.cz
NÁŠ KONCEPT ŘÍZENÍ ICT BEZPEČNOSTI 1. Customer
CSIRT
Respons e team
Security Team
Solution Architects
Change/Proble m management
• • •
Operátoři Analytici Specialisté
2. Customer
Event mgmt.
3. Customer
Sdílená bezpečnostní platforma Corpus Solutions BigData Security Analytics
Databáze IT aktiv
Znalostní báze
www.corpus.cz
Děkujeme Vám
za pozornost Uvidíme se příště!