Ochrana dat Od KI ke kyberterorismu
V Brně dne 28. listopadu 2013
Kritická infrastruktura Definice dle portálu MV ČR: Kritickou infrastrukturou (CI, (CI česky KI) se rozumí výrobní a nevýrobní systémy a služby, jejichž nefunkčnost by měla závažný dopad na bezpečnost státu, ekonomiku, veřejnou správu a zabezpečení základních životních potřeb obyvatelstva. obyvatelstva Evropská kritická infrastruktura (ECI) Fyzická ochrana kritické infrastruktury Soubor bezpečnostních opatření plánovaných a realizovaných k ochraně objektů kritické infrastruktury před nebezpečnými útoky fyzických osob.
Objekt kritické infrastruktury Stavba nebo zařízení zajišťující fungování kritické infrastruktury.
Ochrana kritické infrastruktury Souhrn opatření, která při zohlednění možných rizik směřují k zabránění jejího narušení. (Ochrana CI je součástí programového prohlášení vlády ze dne 17.1.2007, v evropském měřítku existuje Zelená kniha o Evropském programu na ochranu CI – 1 11 200 ) 17.11.2005) KI
2
KI v ICT Ohrožení a hrozby pro KI: - Terorismus - Přírodní pohromy - Nedbalost obsluhy - Průmyslové havárie a nehody - Počítačové hackerství - Organizovaný zločin a trestná činnost obecně
Oborové řešení KI (energetika, jaderný průmysl, ICT, zásobování, ochrana zdraví, finanční, doprava doprava, chemický průmysl průmysl, výzkumná zařízení) zdraví finanční V oboru ICT (informační a komunikační technologie) se jedná o: Ochranu informačních systémů a sítí Automatizaci přístrojů a kontrolních systémů (SCADA) Internet Poskytování pevných telekomunikačních sítí P k t á í mobilních Poskytování bil í h ttelekomunikačních l k ik č í h sítí ítí Radiovou komunikaci a navigaci Satelitní komunikaci Veřejné (i neveřejné) vysílání
KI
3
SCADA systémy Jde především o ohrožení kritické infrastruktury. Jedná se o SCADA systémy, což jjsou systémy y y pro řízení výrobních ý procesů, energetické g sítě, ropovody, y železnice apod. SCADA - Supervisory Control and Data Acquisition Komunikace ve SCADA systému probíhá mezi SCADA serverem, koncovými stanicemi (Remote Terminal Unit), programovatelnými logickými řadiči ((Programmable g Logic g Controller)) a operátorským p ý dohledovým ý terminálem. 3 generace SCADA systémů -
Monolitická (WAN řešení) Di t ib á (LAN WAN řešení) ř š í) Distribuovaná (LAN-WAN Síťová (WAN přes Internet)
Zabezpečení SCADA systémů segmentací sítě (dle normy ANSI/ISA-99) využívá Koncept zón ón a jejich spojení spojení, čímž dochází dochá í k izolování i olo ání ssubsystémů. bs stémů Zóna – je skupina logických či fyzických aktiv sdílejících společné požadavky na bezpečnost. Spojení – je definovaná komunikační cesta mezi zónami s vestavěným zabezpečením (Industriální FW, VPN s enkrypcí). SCADA
4
ISO/IEC 27032:2012 ISO/IEC 27032:2012 – Information technology – Security techniques – Guidelines for y y cybersecurity
Bezpečnost v kyberprostoru Norma obsahuje doporučení ohledně bezpečnosti v kyberprostoru. Poskytuje doporučení pro efektivní sdílení informací a koordinaci řízení incidentů mezi organizacemi organizacemi, uživateli uživateli, vládami a poskytovateli služeb služeb. Norma se zaměřuje na klíčové hrozby týkající se kyberprostoru, sociální inženýrství, malware, odcizení identity, řízení rizik v kyberprostoru v rámci organi ací a posk organizací poskytování to ání be bezpečných pečných a zabezpečených abe pečených sl služeb žeb posk poskytovateli to ateli služeb.
Norma ISO/IEC 27032
5
Kyberterorismus Podle zaměření a působnosti lze kyberterorismus dělit na dva směry: -p propagandistický p g ý ((inklinuje j k negativní g či odmítavé reakci na aktuální stav mezinárodní či národní politické situace - propagace jednotlivých extremistických či teroristických skupin, ideologií, náboženství apod.). - přímá napadení (napadá konkrétní informační sítě a likvidace síťové služby, čímž je výrazně ý ě nebezpečnější). b č ější)
Tyto útoky lze rozdělit do tří úrovní: - řízení sympatizantů a podobných lidských zdrojů – teroristická skupina využívá informačních technologií k řízení svých lidí, rozptýlených po celém světě pro předávání úkolů a reportů mezi jednotlivými členy skupiny. - lokální kyberútok – samostatný přímý útok na konkrétní technologii či službu (nebezpečnost tohoto druhu útoku je závislá na zkušenostech, cílech a možnostech dané skupiny) - souběžný útok – nejnebezpečnější varianta útoku, kdy dochází k několika paralelním útokům na konkrétní oblasti či cíle na různých úrovních (kyberteroristický útok v této podobě je pouze přípravou pro napadení útočníka nebo přímou podporou pro jeho dezorientaci a likvidaci, která může jít v přímé součinnosti s chystanými vojenskými akcemi, zejména v narušení š í ffunkcí k í jjednotlivých d tli ý h prvků ků vládních lád í h a armádních ád í h iinstitucí, tit í sítě ítě nebo b služeb, l ž b kt které é poskytují) Kyberprostor
6
Dopady kyberterorismu Možné důsledky kyberterorismu: - krádež k ád ž d datt či iinformací f í - zničení dat - destabilizace napadeného systému - blokování systémových prostředků - nedostupnost služby Dopady kyberterorismu jsou předpokládány především na kritickou infrastrukturu případně na vyšší celek (Evropská kritická infrastruktura).
Tallinský manuál z února 2013 http://www.ccdcoe.org/249.html
Kyberprostor
7
Zákon o kybernetické bezpečnosti Návrh: ZÁKON ze dne ……2014 o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) Tento zákon nabývá účinnosti dnem 1. ledna 2015. Dopad na: 1. Výkon státní správy (hlava 4) - CERT 2. Změnu zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti (Zákon č. 412/2005 Sb.) 3. Změna zákona o elektronických komunikacích (Zákon č. 127/2005 Sb.) Poznámka: Národní CERT (Computer Emergency Response Team) Národní CERT je pracoviště provozované zpravidla osobou soukromého práva, které zajišťuje sdílení informací na národní a mezinárodní úrovni v oblasti kybernetické bezpečnosti bezpečnosti, a to zejména pro osoby soukromého práva. Zákon o kybernetické bezpečnosti
8
Zranitelnost Internetu Internet byl od svého počátku navržený jako nezabezpečený. Internet je pro systematické zabezpečení navržený nevhodně a to především ve dvou oblastech: - možnost provádět DDoS útoky, což je v zásadě triviální metoda zahlcující poměrně velké servery - kořenové DNS servery
IPv4 neobsahuje žádný mechanismus mechanismus, kterým by bylo možné komunikaci zajistit proti záměně či odposlechu. p se do internetových ý technologií g ap protokolů zavádějí j způsoby, p y, jak j toto Postupně zabezpečení provést. Za všechny je možné uvést VPN, IPSec pro IPv4, IPv6 a řadu dalších. V zásadě á dě llze út útoky k rozdělit dělit d do tří velkých lký h skupin: k i - využívání softwarových prostředků – softwarové útoky - využívání služeb sítě – síťové útoky - založen na čistě personálním provedení Internet
9
Dělení útoků - SW Softwarové útoky (podle činnosti škodlivého kódu): - Adware (sloužící k podpoře systematického získávání dat a odposlechu z koncových stanic) - Spyware (slouží k získávání informací o konkrétním uživateli) - Počítačové viry (mají za cíl zničení či poškození konkrétního hardwaru, softwaru nebo síťového prvku) - Trojské T j ké koně k ě (představují ( ř d t jí dnes d nejsofistikovanější j fi tik ější skupinu k i škodlivého šk dli éh softwaru) ft )V Vydávají dá jí se za užitečný program, který „mimochodem" plní další funkce, jako je odposlech, skenování portů, zasílaných zpráv mezi aplikacemi atp.
Internet
10
Dělení útoků - síťové Varianty síťového útoku: - Bombing (je nejprimitivnější metodou, která je založená na zahlcení sítě pakety) V zásadě je možné jej užít jen v lokálních sítích. - DoS (Denial of Service je formou útoku, kdy je server zahlcen falešnými požadavky na poskytnutí konkrétní služby nebo informace) Typickým útokem je např. Ping of Death (PoD) - Ping využívá ICMP, který je mnohem kratší než vracející se IP paket. D Dnes jje ttato t metoda t d užívána ží á výhradně ýh d ě ve variantě i tě DD DDoS S (Di (Distributed t ib t d D Denial i l off S Service), i ) ttedy d když je prováděna velkým množství počítačů současně. -MiM (The Man in the Middle je forma útoku zaměřená na konkrétní komunikaci mezi dvěma uzly) l ) - Sniffing (je označení metod, které slouží k odposlechu paketů) Pro útok stačí využít špatně zabezpečený směrovač, který zpracovává nešifrovanou k komunikaci. ik i Mi Mimořádně řád ě efektivní f kti í je j především ř d ší u FTP serverů. ů - Spoofing (označuje útoky založené na falšování imunity) Často je spojen se sniffingem, kdy se na základě odposlechu umožní přístup k datům ještě tř tí osobě. třetí bě Internet
11
Penetrační testy Míru zranitelnosti Vašich systémů proti neoprávněnému průniku prověří nejlépe penetrační testy. Penetrační testy tvoří důležitou součást bezpečnostní analýzy. Za použití různých nástrojů jsou prováděny pokusy proniknout do různých částí informačního systému zvenčí či zevnitř. Výsledkem těchto testů je odhalení slabých míst v ochraně informačního systému. Bezpečnostní testy síťové infrastruktury se zaměřují na: - penetrační testy vnitřní a vnější (scanning, sniffing, redirecting) - zkušební útoky - analýzu zranitelnosti firewallů - kontrolu bezpečnostních pravidel mezi zónami firewallů - analýzu zranitelnosti aktivních prvků - analýzu zranitelnosti operačních systémů na serverech a stanicích - analýzu systému zálohování
Ochrana sítí
12
Penetrační testy - pokračování Zkoušky při penetračních testech: - firewally fi ll - DoS D S út útoky, k změny ě směrování, ě á í zranitelnost it l t - Backdoory - programy umožňující získání kontroly nad počítačem - CGI scripty - získání plné kontroly www nad serverem - DNS systémy - předstíráním identity síťového zařízení - mailové systémy – spam - FTP systémy - neautorizovaný přístup k souborovému systému a převzetí kontroly nad serverem - LDAP systémy té - zneužití žití adresářové d ář é služby l žb LDAP (Li (Lightweight ht i ht Di Directory t A Access P Protocol) t l) - síťové odposlouchávání - špatná konfigurace aktivních prvků či nevhodný design infrastruktury umožní síťové odposlouchávání - NFS S sys systémy é y - neautorizovaný eau o o a ý p přístup s up k soubo souborovému o é u systému sys é u a p převzetí e e kontroly o o y nad ad serverem (Network File System) - systémy založené na RPC -vzdálené volání procedur (Remote Procedure Call) - systémy se sdílením zdrojů - získání neautorizovaného přístupu (Samba, SMB) - SNMP systémy té - bezpečnostních b č t í h díry dí v implementaci i l t i Si Simple l N Network t kM Managementt Protocolu pro řízení a kontrolu aktivních prvků sítě
Ochrana sítí
13
NAC NAC (Network Access Control – kontrola přístupu k síti) je odborný termín používaný výrobci aktivních prvků, operačních systémů a bezpečnostního softwaru. NAC proaktivně brání síť před neautorizovaným přístupem uživatelů, kompromitovanými koncovými zařízeními a jinými zranitelnými systémy. Jedná se o systém řízení přístupu k síti umožňující vynucení bezpečnostní politiky pro koncové pracovní stanice. Řešení NAC se skládá HW, SW nebo kombinaci (tzv. appliance). Princip je postaven na ověření libovolné koncové stanice před připojením do sítě, vyhovuje vyhovuje-lili požadovaným zásadám na zabezpečení. Ekvivalentní pojmy: p j y NAM – Network Access Management MDM – Mobile Device Management BYOD – Bring g Your Own Device
Karanténa (Quarantine) – izolace koncové stanice či koncového uživatele v počítačové síti s povolenou minimální případně žádnou komunikací. NAC
14
NAC - pokračování Pro zajištění efektivního provozu NAC je třeba splnit několik požadavků: - Otevřená architektura – podpora zařízeními různých výrobců - Zahrnutí koncových systémů – podpora libovolného typu koncového systému - Multikontextová autorizace – na základě různých atributů - Vynucení politiky – na základě úlohy a karanténa - Upozornění a automatická náprava – svépomoc pro uživatele - Hlášení o shodě – informace jak historické tak i v reálném čase Efektivní řešení NAC musí být nedílnou součástí návrhu obecné strategie bezpečnosti sítě a mělo by obsahovat: - Identifikační služby a autentizace zařízení a uživatelů - Stanovení zdravotního stavu koncového zařízení během fáze připojování a odpojování - Automatická izolace, karanténa a řízení hrozeb - Užívání sítě na základě politik a autorizace služeb včetně automatických náprav - Neustálá analýza hrozeb, prevence a kontrola - Komplexní kontrola dodržování stanovených zásad
NAC
15
NAC - fáze NAC (Network Access Control) obecně je proces a lze ho rozdělit na: - Role (Roles) - kdo? - Práva á ((Rights)) - jak? ? - Zdroje (Resources) - co? - Místo (Location) - kde? Role
Práva
Zdroje
Umístění
administrátor
všechny
Všechny
všechna
zaměstnanci
aplikace
aplikační server
kanceláře
host
pouze HTTP
brána Internet
zasedačka
Preferovanou metodou při implementaci NAC je vícestupňový přístup. Obecně lze implementace NAC rozdělit do následujících fází: 1. fáze: detekce a sledování koncových systémů 2. fáze: autorizace koncových systémů 3 fáze: autorizace s vyhodnocením koncových systémů 3. 4. fáze: autorizace s vyhodnocením a nápravou koncových systémů NAC
16
NAC – funkční schéma Blokově zařízení NAC funguje dle následujícího funkčních bloků: - Detekce (Detect) – detekce a identifikace nových zařízení zapojovaných do sítě - Autentizace (Authenticate) – autentizace uživatele a/nebo zařízení - Vyhodnocení (Assess) – posouzení koncového systému na soulad a podle zranitelnosti - Autorizace (Authorize) – autorizace k použití sítě na základě autentizace a vyhodnocení - Sledování (Monitor) – sledování uživatelů a zařízení jakmile se připojí k síti - Obsah (Contain) – karanténa brání uživatelům a/nebo koncovému zařízení v negativním dopadu na síť - Náprava (Remediate) – náprava problémů s koncovým uživatelem a/nebo systémem
NAC
17
NAC - bezpečnost Bezpečnost - Umožňuje velmi vysoké zabezpečení s detailní podrobnou kontrolou přístupu na základě uživatele, zařízení, času, místa a typu autentizace - Kontroluje koncové systémy všeho druhu pro zranitelnosti a hrozby, buď s agentem, nebo bez agenta včetně nástrojů třetích stran - Automatická izolace koncového zařízení, karanténa a zprostředkování dialogu Obchodní výhody - Proaktivně brání před neautorizovaným přístupem uživatelů, kompromitovanými koncovými zařízeními a jinými zranitelnými systémy od přístupu k síti - Efektivně balancuje bezpečnost a dostupnost pro uživatele, uživatele kontraktory a hosty - Proaktivně kontroluje bezpečnostní stav zařízení v síti včetně těch, které si zaměstnanci přinesou vlastní (BYOD) - Efektivně řeší požadavky na regulativa - Cenově efektivní ochrana podnikové sítě
NAC
18
IDS IDS (Intrusion Detection System) – systémy pro odhalení průniku jsou obranné systémy, které monitorují síťový provoz s cílem odhalení podezřelých aktivit. Systém IDS po detekci neobvyklé aktivity vygeneruje varování (Alert), provede zápis do logu, upozorní administrátora a případně podezřelou činnost zablokuje. Pasivní systém při odhalení podezřelé aktivity nijak nezasahuje do síťového provozu, pouze vygeneruje varování (Alert), případně o tom zapíše do logu. Akti í systém Aktivní té navíc í proti ti podezřelé d ř lé aktivitě kti itě zasáhne áh ((například říkl d zablokováním bl k á í služby). l žb ) IDS systémy lze rozdělit na: uzlově orientované systémy detekce odhalení průniku síťově orientované systémy detekce odhalení průniku IDS se liší od firewallu v tom, že firewall se snaží zabránit proniknutí omezením přístupu mezi sítěmi, ale IDS hlídá útoky zevnitř sítě. IDS hodnotí podezření na narušení okamžitě po vzniku a signalizuje alarm.
IDS
19
IDS - pokračování Pojmy: Signatura – je vzorec pro vyhledávání anomálií v činnosti síťové infrastruktury f či serveru. Vektor útoku – je cesta (využití nedostatků a chyb ve funkcích souvisejících s uživatelským ověřováním anebo session managementem - účty, hesla, ID relace atp.), kterou útočník využívá. Infikování počítače pomocí využití zranitelnosti prohlížeče je nejčastejší vektor út k útoku. Senzor – je hlavním prvkem IDS obsahujícím mechanismy pro detekci škodlivých a nebezpečných kódů, jeho činností je odhalování těchto nebezpečí.
Aktivity IDS IDS
20
IPS IPS (Intrusion Prevention System) – jsou systémy pro detekci a prevenci průniku jsou zařízení pro síťovou bezpečnost monitorující síť a aktivity operačního systému z pohledu škodlivé činnosti. Hlavní funkce IPS systémů: id tifik identifikace šk škodlivé dli é či činnostiti záznam o jejím průběhu blokování škodlivé činnosti nahlášení škodlivé činnosti Hlavní rozdíl oproti IDS systémům je, že systém IPS je zařazen přímo do síťové cesty (in-line), a tak může aktivně předcházet, případně blokovat detekovaný nežádoucí a nebezpečný b č ý provoz na síti. íti
IPS
21
DLP DLP (Data Loss Prevention) system je schopen identifikovat, monitorovat a chránit data. Ochrana jje realizována p pomocí hloubkové kontroly y obsahu a analýzy ý y transakcí týkajících ý j se odesílatele, datového objektu, média, času, příjemce apod. DLP lze rozdělit na 3 základní části: a) Ochrana používaných dat (Data in Use) se zaměřuje na každodenní interakci zaměstnanců s daty na koncových stanicích a dohlíží, jak je s daty nakládáno (kam se kopírují, jsou-li upravována a kdo je používá). b) O Ochrana h d datt při ři pohybu h b (Data (D t iin Motion) M ti ) zabezpečuje b č j ochranu h d datt a d datový t ý ttokk po síti íti nebo z koncové stanice na externí zařízení. Ochrana dat je zaměřena proti náhodným nálezcům i zlodějům, případně proti šíření dat po síti. c) Ochrana dat v klidu (Data at Rest) zabezpečuje ochranu dat v síti, síti která nejsou aktivní (databáze, archívy, zálohy, šablony, pracovní listy, atd.). DLP systémy se v zásadě dělí na dvě základní kategorie: - síťová DLP (network DLP) - DLP koncových bodů (host based DLP)
DLP
22
DLP - pokračování Síťová DLP Často jsou označována jako bránové systémy (gateway based) a obvykle představují dedikované síťové zařízení instalované na perimetru podnikové sítě u připojení do internetu. Tato zařízení provádějí analýzu procházející komunikace a vyhledávají transakce přenášející klasifikované informace. Typicky sledovanou komunikací jsou e-mail, přenos FTP, HTTP a HTTPS.
DLP koncových bodů Tyto y systémy y y představují p j klienty y běžící na koncových ý stanicích – p počítačích a serverech. DLP systémy koncových bodů, stejně jako síťové DLP systémy, kontrolují komunikaci mezi interními skupinami uživatelů a mezi interními a externími subjekty. Mohou kontrolovat e-mailovou komunikaci stejně jako instant messaging.
DLP
23
Kryptování Pojmy: Kryptologie je věda zabývající se šifrováním. Kryptologické systémy: DES - Data Encryption Standard (vznik v roce 1975) – založen na blokovém symetrickém šifrování privátním klíčem, blok má délku 64 bitů. IDEA - International Data Encryption Algorithm (vznik v roce 1990) – založen na algoritmu s délkou klíče 128 bitů se symetrickým šifrováním, blok má délku 64 bitů. RSA - Rivest, Shamir a Adleman algoritmus (vznikl v roce 1977 v MIT) – asymetrické šifrování RSA je obecně založeno na „neschopnosti“ člověka vymyslet rychlý algoritmus pro rozklad velkých čísel na jeho prvočinitele. AES - Advanced Encryption yp Standard ((vznikl 1997 v NIST)) – s délkou vstupně-výstupního p ý p bloku AES 128 bitů a délkou klíče 128, 192, resp. 256 bitů. Kryptografie je část kryptologie zabývající se převedením srozumitelné zprávy do nesrozumitelné podoby a zpět (šifrování a dešifrování textu - kryptoanalýza). kryptoanalýza) Steganografie je věda a umění schovat informaci jejím vložením do zdánlivě neškodné zprávy. Výhodou steganografie oproti kryptografii je, že použití kryptografie může často odhalit odesílatele nebo příjemce zprávy a upozornit tak na něj. něj Při použití steganografie je toto riziko daleko menší už z toho důvodu, že komunikace by neměla být vůbec odhalena. Kryptování
24
Digitální podpis Elektronický (digitální) podpis Základní myšlenkou elektronického podpisu je obdoba klasického podpisu podpisu, jež má zaručit jednoznačnou identifikaci osoby v prostředí digitálního světa. Od elektronického podpisu se vyžadují tyto vlastnosti: - Jednoznačná identifikace původce ů podpisu - příjemce ví, kdo dokument poslal. - Zajištění integrity zprávy - příjemce má jistotu, že dokument došel kompletní a nebyl během přenosu pozměněn. - Zaručení nepopiratelnosti - odesílatel nemůže popřít popřít, že daný dokument opravdu odeslal. - Podpis nelze napodobit ani zneužít pro jiný dokument. H š Hašovací í ffunkce k – je j využitelná ži l á pro poskytnutí k í služeb l ž b autentizace, i iintegrity i a nepopiratelnosti. i l i Hašovací funkce představují významný výpočetní prostředek při kryptografických aplikacích, např. při digitálním podpisu.
Digitální podpis
25
