Quo Vadis IT Sec? Mi újság az IT Biztonság világában? Máriás Zoltán, TMSI Kft

Quo Vadis IT Sec? Mi újság az IT Biztonság világában?

Máriás Zoltán, TMSI Kft

az elıadás neve lehetett volna akár.. •A-A

(az antivírusnak annyi) •T-T (tőzfal? talán, de mi van, ha mégsem?... ) •Ha-Ha

halott)

(a határvédelem

Elnézést, de a háttér és a dizájn ... • ...nem

sugároz vidámságot.

Hiszen, aki a szervezetének teljes információs biztonságát tőzte ki célul, az ... nyakig van a pácban.

Mi az információs biztonság? Az információ biztonsága (Infosec) az a gyakorlat, amellyel az információt kívánjuk megvédeni a jogosulatlan vagy téves: • hozzáférés és felhasználás • közlés és zavar • módosítás és megtekintés • ellenırzés és felvétel • vagy a megsemmisítés ellen.

... és az IT biztonság? Az IT biztonság az információ biztonságnak azon részterülete, amely az elektronikus eszközökön tárolt információk biztonságának védelmével foglalkozik.

Évi 20 milliárd dollárt költenek ... • ...

a cégek olyan IT biztonsági megoldásokra, amelyekrıl nem tudni, hogy milyen biztonságot nyújtanak.

•A

vírusvédelem nem valódi IT biztonság.

• Szükséges, • Inkább

de korántsem elégséges védelem.

kényelmi funkció a rendszergazda számára.

Ki ne ismerné az alábbi fogalmakat? •

Vírus

•

Trójai

•

Spam

•

Worm (féreg, pondró, nyő)

•

DoS ( denial of service, azaz a szolgáltatásmegtagadással járó támadás)

•

DDoS (elosztott szolgáltatásmegtagadással járó támadás)

•

SQL Injection (SQL mérgezés, SQL befecskendezés)

.. és ki ismeri az alábbi fogalmakat? • SPh

– spear phishing

• APT

– advanced persistent threat

• ATA

– advanced targeted attacks

• NGTP

– next-generation threat protection

• RAT

– remote access Trojan (Poison Ivy)

• MitB

– Man-In-the Browser

... pedig 2013-ban inkább ... ... ez utóbbiaktól kell óvni •a

cég belsı hálózatát

•a

hordozható számítógépeket

• az

okostelefonokat és a táblagépeket

Minden szignatúra alapú ... ... védelmi rendszer-elem, mint azt az • antivírus • az

IDS/IPS eszközbe épített behatolásdetektálás

• tőzfal

egyes elemei

... az idı-eltolódási faktor miatt csak korlátozott eredményességet biztosít.

Az IT biztonság eleme többek között (I.) A titkosítás, amely a következıkön valósulhat meg:
merevlemez
adatbázisok rekordszinten
levélfolyam
állományok és alkönytárak

Az IT biztonság eleme többek között (II.) • Eszköz-kezelés • Adatszivárgás

(device control)

megelızés (data loss

prevention) • Alkalmazások

ellenırzése (application

control)
a végponton
a cég honlapjain futó web-alkalmazások
a tőzfalon áthaladó web-forgalomban

Az IT biztonság eleme többek között (III.) •a

valódi patch management

•a

virtuális patch management


a 0. napi támadások elleni védekezés nékülözhetetlen eleme

.. de elıbb el kell dönteni, hogy ... ... mi legyen a mi megközelítésünk az IT biztonsághoz • Veszély-orientált

(threat-oriented)


vagy • Adat-centrikus

(data centric)

alkalmazkodni ... ... kell, folyamatosan kell és tudni kell. Charles Darwin szerint: „A túlélés nem a legerısebb, de nem is a legintelligensebb fajnak adatik meg, hanem annak, amelyik leginkább képes alkalmazkodni a változásokhoz.”

Mi az adatcentrikusságra szavazunk ... mert, ... Az adat biztos nem fog eltőnni az életünkbıl. Az adatmennyiség exponenciálisan növekszik (Big Data) (a Google 20 Pbyte-tal növekszik 1 év alatt) Az adatvédelemre vonatkozóan folyamatosan születnek a törvények és a szabályozások (az adat tárolásának helyétıl függetlenül).

..így az IT biztonság eleme többek között (IV.)
Az adatvagyon felmérése és osztályozása
Az adatbázisok sérülékenységének vizsgálata
Az adatbázisok állandó javítása (patch management)
Az adatok titkosítása
Adatbázis-védfal, állomány-védfal alkalmazása
Az adatokhoz való hozzáférés kezelése
A változások kezelése
Az adatbázisok auditálása és állandó felügyelete

..így az IT biztonság eleme többek között (V.)
Mivel az adatok nem csak adatbázisokban (strukturált formában), hanem
félig strukturált (semi-stuctured) vagy
strukturálatlan (unstructured) formában is tárolódnak, ezért
... nem elég csak az adatbázisok védelmérıl gondoskodni, mert:
AZ ADATOT MINDEN FORMÁJÁBAN VÉDENI KELL.

... további fogalmak, amelyekkel majd ... Big Data szemszögbıl és IT biztonsági szempontból foglalkozni kell
Hadoop
HDFS
HBase
IBM Biginsights Console, Cloudera Hue (felhasználói interfészek)
Hive, MapReduce, Ooozie (alkalmazások)

Que?

Ugyanakkor a veszély-orientált védelem (I.) ... ... sem hanyagolható el.
„Velünk ez nem történhet meg.”
„Mi nem vagyunk célpont.”
„Számunkra nincs kockázata.”
...ilyenekkel ringatja magát a cégek vezetısége.

... a veszély-orientált védelem (II.) ... Ha még igazak is lennének az elızıek, akkor is: A mi szervezetünk „ugródeszka” lehet egy másik cég elleni támadásban és így óhatatlanul belekeveredhetünk egy rajtunk kívül álló ügybe. Ezt már nehezen védhetı, nehezen magyarázható attitőd és a hanyagság kategóriájába tartozik. A cégek 31% bevallja: érte már célzott támadás. A cégek 63% szerint, ıt is érheti támadás.

... a veszély-orientált védelem (III.) ...
Most az APT tartja izgalomban a közvéleményt
APT – advanced persistent threat, azaz a fejlett állhatatos/kitartó/szívós veszély
Ez egy komplex, hosszú idıigénnyel rendelkezı támadás, amely több csatornán érkezhet.

... a veszély-orientált védelem (III.) ...
Most az APT tartja izgalomban a közvéleményt
Mi is az az APT – advanced persistent threat, azaz a fejlett állhatatos/kitartó/szívós veszély
Ez egy komplex, hosszú idıigénnyel rendelkezı támadás, amely több csatornán érkezhet.

... a veszély-orientált védelem (IV.) ... Ha tudni szeretnénk bármit az alábbiak közül ... •

Ez egy rossz URL/cím/állomány?

•

Ez egy C&C (command & control) forgaloms? (phishing, malware, botnet…)

•

Mi történhet velünk, ha valaki klikkel/látogat/beszél?

•

Ki az akit ez még érinthet ez az URL/IP/malware?

•

Mi történt velük? Hogyan került megoldásra?

•

Történt betörés/veszélyeztetés? Mikor? Hol?

•

Ki volt a támadás elkövetıje? Ki még az áldozat? Mi volt az elkövetı célja? Megkapta amit akartM

•

Hogyan tudhatom meg ezt? Vagy bármit a fentiek közül?

... a veszély-orientált védelem (V.) ... •

Ha tudni szeretnénk bármit az alábbiak közül ...

•

Ez egy rossz URL/cím/állomány?

•

Ez egy C&C (command & control) forgalom? (phishing, malware, botnet…)

•

Mi történhet velünk, ha valaki klikkel/látogat/beszél?

•

Ki az akit ez még érinthet ez az URL/IP/malware?

•

Mi történt velük? Hogyan került megoldásra?

•

Történt betörés/veszélyeztetés? Mikor? Hol?

•

Ki volt a támadás elkövetıje? Ki még az áldozat? Mi volt az elkövetı célja? Megkapta amit akartM

•

Hogyan tudhatom meg ezt? Vagy bármit a fentiek közül?

... a veszély-orientált védelem (VI.) ... Az APT fázisai
Beszivárgás (Infiltration) – a behatolás a cég hálózatába (lehet malware alapú vagy nem).
Történhet a szerveren, a kliensen vagy mobil eszközön keresztül.
Kommunikáció kifelé (a C&C, azaz a Communication and Control) egy rosszindulatú, kárt okozó hellyel való kommunikáció, amely az utasításokat adja, hogy mi történjen
Bármely protokollon és porton keresztül történhet.
Történhet további malware letöltése, elsısorban Remote Control és titkosító termék

... a veszély-orientált védelem (VII.) ... Az APT fázisai
Terjedés (Propagation) – a hálózaton való lassú terjedés folyamata, amelynek célja
magasabb szintő jogosultságok megszerzése és
hozzáférés az értékesebb információhoz.
Kiszivárogtatás (Exfiltration) –
az értékes adat becsomagolása,
esetleg titkosítása, majd kiküldése a célállomásra (drop site)

antidotum 3A
Az adatok, az alkalmazások és az alkalmazottak felügyelete
Ezekhez lehet és kell megfelelı
szabályokat létrehozni
eszközöket beszerezni
szolgáltatásokat igénybe venni ...

antidotum 3A
... de mivel a cégvezetés az informatikai biztonságra költött pénzek megvonását tőzte ki célul, ezért ...
... ülünk nyakig a pácban.