Quo Vadis IT Sec? Mi újság az IT Biztonság világában?
Máriás Zoltán, TMSI Kft
az elıadás neve lehetett volna akár.. •A-A
(az antivírusnak annyi) •T-T (tőzfal? talán, de mi van, ha mégsem?... ) •Ha-Ha
halott)
(a határvédelem
Elnézést, de a háttér és a dizájn ... • ...nem
sugároz vidámságot.
Hiszen, aki a szervezetének teljes információs biztonságát tőzte ki célul, az ... nyakig van a pácban.
Mi az információs biztonság? Az információ biztonsága (Infosec) az a gyakorlat, amellyel az információt kívánjuk megvédeni a jogosulatlan vagy téves: • hozzáférés és felhasználás • közlés és zavar • módosítás és megtekintés • ellenırzés és felvétel • vagy a megsemmisítés ellen.
... és az IT biztonság? Az IT biztonság az információ biztonságnak azon részterülete, amely az elektronikus eszközökön tárolt információk biztonságának védelmével foglalkozik.
Évi 20 milliárd dollárt költenek ... • ...
a cégek olyan IT biztonsági megoldásokra, amelyekrıl nem tudni, hogy milyen biztonságot nyújtanak.
•A
vírusvédelem nem valódi IT biztonság.
• Szükséges, • Inkább
de korántsem elégséges védelem.
kényelmi funkció a rendszergazda számára.
Ki ne ismerné az alábbi fogalmakat? •
Vírus
•
Trójai
•
Spam
•
Worm (féreg, pondró, nyő)
•
DoS ( denial of service, azaz a szolgáltatásmegtagadással járó támadás)
•
DDoS (elosztott szolgáltatásmegtagadással járó támadás)
•
SQL Injection (SQL mérgezés, SQL befecskendezés)
.. és ki ismeri az alábbi fogalmakat? • SPh
– spear phishing
• APT
– advanced persistent threat
• ATA
– advanced targeted attacks
• NGTP
– next-generation threat protection
• RAT
– remote access Trojan (Poison Ivy)
• MitB
– Man-In-the Browser
... pedig 2013-ban inkább ... ... ez utóbbiaktól kell óvni •a
cég belsı hálózatát
•a
hordozható számítógépeket
• az
okostelefonokat és a táblagépeket
Minden szignatúra alapú ... ... védelmi rendszer-elem, mint azt az • antivírus • az
IDS/IPS eszközbe épített behatolásdetektálás
• tőzfal
egyes elemei
... az idı-eltolódási faktor miatt csak korlátozott eredményességet biztosít.
Az IT biztonság eleme többek között (I.) A titkosítás, amely a következıkön valósulhat meg: merevlemez adatbázisok rekordszinten levélfolyam állományok és alkönytárak
Az IT biztonság eleme többek között (II.) • Eszköz-kezelés • Adatszivárgás
(device control)
megelızés (data loss
prevention) • Alkalmazások
ellenırzése (application
control) a végponton a cég honlapjain futó web-alkalmazások a tőzfalon áthaladó web-forgalomban
Az IT biztonság eleme többek között (III.) •a
valódi patch management
•a
virtuális patch management
a 0. napi támadások elleni védekezés nékülözhetetlen eleme
.. de elıbb el kell dönteni, hogy ... ... mi legyen a mi megközelítésünk az IT biztonsághoz • Veszély-orientált
(threat-oriented)
vagy • Adat-centrikus
(data centric)
alkalmazkodni ... ... kell, folyamatosan kell és tudni kell. Charles Darwin szerint: „A túlélés nem a legerısebb, de nem is a legintelligensebb fajnak adatik meg, hanem annak, amelyik leginkább képes alkalmazkodni a változásokhoz.”
Mi az adatcentrikusságra szavazunk ... mert, ... Az adat biztos nem fog eltőnni az életünkbıl. Az adatmennyiség exponenciálisan növekszik (Big Data) (a Google 20 Pbyte-tal növekszik 1 év alatt) Az adatvédelemre vonatkozóan folyamatosan születnek a törvények és a szabályozások (az adat tárolásának helyétıl függetlenül).
..így az IT biztonság eleme többek között (IV.) Az adatvagyon felmérése és osztályozása Az adatbázisok sérülékenységének vizsgálata Az adatbázisok állandó javítása (patch management) Az adatok titkosítása Adatbázis-védfal, állomány-védfal alkalmazása Az adatokhoz való hozzáférés kezelése A változások kezelése Az adatbázisok auditálása és állandó felügyelete
..így az IT biztonság eleme többek között (V.) Mivel az adatok nem csak adatbázisokban (strukturált formában), hanem félig strukturált (semi-stuctured) vagy strukturálatlan (unstructured) formában is tárolódnak, ezért ... nem elég csak az adatbázisok védelmérıl gondoskodni, mert: AZ ADATOT MINDEN FORMÁJÁBAN VÉDENI KELL.
... további fogalmak, amelyekkel majd ... Big Data szemszögbıl és IT biztonsági szempontból foglalkozni kell Hadoop HDFS HBase IBM Biginsights Console, Cloudera Hue (felhasználói interfészek) Hive, MapReduce, Ooozie (alkalmazások)
Que?
Ugyanakkor a veszély-orientált védelem (I.) ... ... sem hanyagolható el. „Velünk ez nem történhet meg.” „Mi nem vagyunk célpont.” „Számunkra nincs kockázata.” ...ilyenekkel ringatja magát a cégek vezetısége.
... a veszély-orientált védelem (II.) ... Ha még igazak is lennének az elızıek, akkor is: A mi szervezetünk „ugródeszka” lehet egy másik cég elleni támadásban és így óhatatlanul belekeveredhetünk egy rajtunk kívül álló ügybe. Ezt már nehezen védhetı, nehezen magyarázható attitőd és a hanyagság kategóriájába tartozik. A cégek 31% bevallja: érte már célzott támadás. A cégek 63% szerint, ıt is érheti támadás.
... a veszély-orientált védelem (III.) ... Most az APT tartja izgalomban a közvéleményt APT – advanced persistent threat, azaz a fejlett állhatatos/kitartó/szívós veszély Ez egy komplex, hosszú idıigénnyel rendelkezı támadás, amely több csatornán érkezhet.
... a veszély-orientált védelem (III.) ... Most az APT tartja izgalomban a közvéleményt Mi is az az APT – advanced persistent threat, azaz a fejlett állhatatos/kitartó/szívós veszély Ez egy komplex, hosszú idıigénnyel rendelkezı támadás, amely több csatornán érkezhet.
... a veszély-orientált védelem (IV.) ... Ha tudni szeretnénk bármit az alábbiak közül ... •
Ez egy rossz URL/cím/állomány?
•
Ez egy C&C (command & control) forgaloms? (phishing, malware, botnet…)
•
Mi történhet velünk, ha valaki klikkel/látogat/beszél?
•
Ki az akit ez még érinthet ez az URL/IP/malware?
•
Mi történt velük? Hogyan került megoldásra?
•
Történt betörés/veszélyeztetés? Mikor? Hol?
•
Ki volt a támadás elkövetıje? Ki még az áldozat? Mi volt az elkövetı célja? Megkapta amit akartM
•
Hogyan tudhatom meg ezt? Vagy bármit a fentiek közül?
... a veszély-orientált védelem (V.) ... •
Ha tudni szeretnénk bármit az alábbiak közül ...
•
Ez egy rossz URL/cím/állomány?
•
Ez egy C&C (command & control) forgalom? (phishing, malware, botnet…)
•
Mi történhet velünk, ha valaki klikkel/látogat/beszél?
•
Ki az akit ez még érinthet ez az URL/IP/malware?
•
Mi történt velük? Hogyan került megoldásra?
•
Történt betörés/veszélyeztetés? Mikor? Hol?
•
Ki volt a támadás elkövetıje? Ki még az áldozat? Mi volt az elkövetı célja? Megkapta amit akartM
•
Hogyan tudhatom meg ezt? Vagy bármit a fentiek közül?
... a veszély-orientált védelem (VI.) ... Az APT fázisai Beszivárgás (Infiltration) – a behatolás a cég hálózatába (lehet malware alapú vagy nem). Történhet a szerveren, a kliensen vagy mobil eszközön keresztül. Kommunikáció kifelé (a C&C, azaz a Communication and Control) egy rosszindulatú, kárt okozó hellyel való kommunikáció, amely az utasításokat adja, hogy mi történjen Bármely protokollon és porton keresztül történhet. Történhet további malware letöltése, elsısorban Remote Control és titkosító termék
... a veszély-orientált védelem (VII.) ... Az APT fázisai Terjedés (Propagation) – a hálózaton való lassú terjedés folyamata, amelynek célja magasabb szintő jogosultságok megszerzése és hozzáférés az értékesebb információhoz. Kiszivárogtatás (Exfiltration) – az értékes adat becsomagolása, esetleg titkosítása, majd kiküldése a célállomásra (drop site)
antidotum 3A Az adatok, az alkalmazások és az alkalmazottak felügyelete Ezekhez lehet és kell megfelelı szabályokat létrehozni eszközöket beszerezni szolgáltatásokat igénybe venni ...
antidotum 3A ... de mivel a cégvezetés az informatikai biztonságra költött pénzek megvonását tőzte ki célul, ezért ... ... ülünk nyakig a pácban.