Analýza rizik a pokročilý
monitoring bezpečnosti
sítí v prostředí
kybernetických hrozeb
Dr. Igor Čermák
Analýza rizik a pokročilý monitoring bezpečnosti
sítí v prostředí kybernetických hrozeb
Igor Čermák
Chief Security Officer
Fujitsu Technology Solutions
Copyright 2013 FUJITSU
Agenda
 Kybernetické hrozby
 Systém řízení bezpečnosti informací (ISMS) a Analýza rizik
 Pokročilý monitoring bezpečnosti – Network Behavioral Analyses
2
Copyright 2013 FUJITSU
Kybernetické hrozby
 Množí se počty a složitost útoků; roste profesionalita útočníků;
 Rostou počty cílených útoků na objednávku;
 Roste počet typů a složitost „škodlivých programů“ (malware);
 Probíhají předem připravené útoky na atraktivní cíle i všeobecné
útoky cílené na získání přístupu do systémů a dat (hesla, čísla
karet, čísla pojištění,…);
 Využití sociálního inženýrství (znalost prostředí, struktury
organizace, sociální návyky zaměstnanců);
 Jak se bránit ?
3
Copyright 2013 FUJITSU
Systém řízení bezpečnosti informací (ISMS)
 Bezpečnost informací (Information Security)
 Systém řízení bezpečnosti informací
 Analýza rizik a nástroj SAAR pro podporu analýzy rizik a
implementace a provozu ISMS
4
Copyright 2013 FUJITSU
Bezpečnost informací
 Data
 Různé druhy, různý způsob ukládání a transportu;
 Informace
 data => informace
 Aktiva
 informace => aktivum
 Aktiva je třeba chránit
 bez ohledu na formu a způsob zpracování/uložení
 Zdroje ohrožení informací – hrozby;
 Požadavky ochrany informací z hlediska:
 C – Důvěrnosti ……….. (Confidentiality)
 I – Integrity …………... (Integrity)
 A – Dostupnosti ………. (Availability)
5
Copyright 2013 FUJITSU
Informační bezpečnost
 Informační bezpečnost x IT bezpečnost, fyzická bezpečnost,….
 Informační bezpečnost je nezbytné vnímat jako bezpečnost
informací ve všech jejich formách a během celého „životního cyklu“
informací (pořízení, zpracování, přenášení, ukládání, archivování,
likvidace);
 Informační bezpečnost lze definovat jako
 systém
 ochrany
 informací
6
Copyright 2013 FUJITSU
Bezpečnost informací
 Pro zajištění informační bezpečnosti – výběr různých opatření;
 Opatření je nezbytné vybírat na základě posouzení rizik pro
jednotlivá aktiva;
 Vzhledem k proměnám vnitřních a vnějších hrozeb a vzniku nových
hrozeb, ke změnám v organizaci samotné i v prostředí, ve kterém
působí (například legislativa) je nutné nastavit mechanismus
přizpůsobování = mechanismus přezkoumání přijatých opatření:
 modifikace přijatých opatření;
 pomocí formálně definovaného a realizovaného postupu průběžné analýzy,
implementace, kontroly, údržby, zlepšování systému informační bezpečnosti;
 pro dosažení efektivity řízení (přiměřené nároky na zdroje);
7
Copyright 2013 FUJITSU
Systém řízení bezpečnosti informací
 Information Security Management System (ISMS)
 součást globálního systému řízení organizace;
• Cíle, metodika, kontrola;
 založen na vyhodnocování a analýze rizik;
 analýza, implementace, kontrola, údržba, zlepšování systému informační
bezpečnosti;
 využití standardů a norem při zavádění ISMS – mezinárodní norma
doporučuje zřízení kontinuálního a systematického procesu řízení
bezpečnosti (ISO/IEC 27001);
 nejde o jednorázová technická nebo organizační opatření, ale o
zavedení systému řízení.
8
Copyright 2013 FUJITSU
ISMS – přínosy
 Informační bezpečnost zajišťuje hlavní procesy organizace (např. business
procesy) a chrání tím organizaci před uplatněním hrozeb ohrožujících splnění
jejich cílů, umožňuje organizaci plnit legislativní a smluvní požadavky, snižuje
dopady bezpečnostních incidentů, havárií a výpadků:
• minimalizace rizik prokazatelně existujících hrozeb (počítačové viry, neoprávněná
manipulace s daty, ztráta nebo vyzrazení citlivých dat, průniky z internetu apod.);
• jasné postupy řešení neočekávaných situací (minimalizují potenciální ztráty - důsledky
případných výpadků a havárií);
• vymezení povinností a zodpovědností zaměstnanců (snižuje riziko bezpečnostních
incidentů, zajišťuje nepopiratelnost
• naplnění legislativních požadavků;
• zajišťuje prevenci incidentů, zavádí spolehlivé vnitřní kontrolní mechanismy.
9
Copyright 2013 FUJITSU
ISMS – způsob zavedení
 Základem ISMS je proces správy a řízení rizik.
 Nejdůležitější krok – výběr vhodné metodologie a nástroje
analýzy rizik:
(CRAMM, Octave, FRAAP, RA Tool,…….)
!!!
SW nástroj
SAAR !!!
10
SAAR
 SAAR je:
 SW nástroj pro podporu implementace a provozu systému řízení bezpečnosti
informací;
 aplikace pro účinné řízení rizik informační bezpečnosti v organizaci nebo v
jakékoli její části; umožňuje průběžně organizovat procesy řízení rizik v rozsahu
celkové analýzy rizik i právě daných potřeb při jednotlivých rozhodnutích o
změnách, které mohou ovlivnit rizika informační bezpečnosti; je efektivní jak v
etapě zavádění ISMS, tak při jeho dalším provozování;
 aplikace vyvinutá v ČR – Safcon s.r.o.
11
Copyright 2013 FUJITSU
SAAR
 SAAR umožňuje:
 stanovit kontext řízení rizik;
 využívat metodiku řízení rizik navrženou v souladu s mezinárodním standardem
ISO/IEC 27005 (který je také českou státní normou ČSN);
 volit úrovně prahových hodnot kritéria akceptovatelnosti rizik;
 používat funkce pro vyhodnocení rizik a jejich komunikaci v uspořádání
hierarchické struktury aktiv;
 používat funkce pro odhad úrovně rizik a jejich zvládání v uspořádání
hierarchické struktury rizik;
 využívat přehlednou orientaci v grafickém vyjádření úrovně rizik;
 pracovat ve vícejazyčném prostředí;
12
Copyright 2013 FUJITSU
SAAR
 SAAR umožňuje:
 vést opatření ve struktuře ISO/IEC 27001 a v souladu se stanovenými principy;
 posuzovat stav existujících a plánovaných opatření ve srovnání s doporučeními
ISO/IEC 27002;
 přípravu a prosazování společných politik bezpečnosti informací a společných
bezpečnostních standardů;
 porovnat vlastní opatření s obsahem mandatorních opatření závazných ve
skupině, odvětví, organizaci státní nebo veřejné správy, nebo s jinak závazným
předpisem; porovnat existující stav opatření s obsahem bezpečnostních
směrnic závazných v organizaci;
 porovnat opatření ve své referenční podobě s opatřením identifikovaným ve
vztahu k jednotlivým aktivům, hrozbám a zranitelnostem;
13
Copyright 2013 FUJITSU
SAAR
 SAAR umožňuje:
 plánovat přípravu a provedení auditu v souladu s doporučením ISO/IEC 27006
(příloha D);
 plánovat auditní úkony ve vztahu ke konkrétním opatřením a aktivům;
 zpracovat výsledky všech provedených šetření a testů ve struktuře rizik;
 zpracovat výstupní sestavy dokumentující plán, provedení a výsledky
jednotlivých interních auditů v samostatných datových strukturách.
14
Copyright 2013 FUJITSU
SAAR
 SAAR:
 je tvořen moduly programovanými pro sjednocené informační prostředí
platformy Microsoft SharePoint Server 2010 a 2013 provozovanými na všech
jeho verzích (SharePoint Foundation, Standard nebo Enterprise);
 všechny zpracovávané informace jsou uloženy v databáze informačního
prostředí, při přenosech, výstupech a manipulacích jsou data organizovány ve
formě standardních XML struktur;
 datové struktury jsou při přenosech a před uložením na pracovní disk šifrované;
použité klíče jsou jedinečné pro každého klienta;
 exporty datových struktur jsou šifrované; použité klíče jsou jedinečné pro
každého klienta;
15
Copyright 2013 FUJITSU
SAAR – Standardizace nabízeného řešení
 Nabízený SW nástroj SAAR, podporující procesy přípravy a
vlastního řízení rizik a bezpečnosti má řadu vlastností, které mohou
přinést řadu výhod při srovnávání s potenciálními konkurenčními
nabídkami.
 Řízení rizik, které nabízí transparentní pohled na všechny aktiva,
hrozby, zranitelnosti a opatření v hierarchické struktuře, umožňuje
provádět identifikaci a ohodnocení rizik v souladu s mezinárodním
standardem ISO/IEC 27005.
16
Copyright 2013 FUJITSU
SAAR – Standardizace nabízeného řešení
 Řízení bezpečnosti informací umožňuje vymezit, zavést a
provozovat systém řízení bezpečnosti informací v souladu s
nejlepší praxí, podle mezinárodního standardu ISO/IEC 27001,
včetně přímé podpory zvládání rizik, řízení implementace
nezbytných opatření, tvorby požadované dokumentace a plánování
a vyhodnocování interních auditů na všech úrovních organizace.
17
Copyright 2013 FUJITSU
SAAR SP – globální web, základní nabídka
18
Copyright 2013 FUJITSU
SAAR SP – Reporting – Přehled aktiv
19
Copyright 2013 FUJITSU
SAAR SP – Reporting – Přehled rizik
20
Copyright 2013 FUJITSU
SAAR SP – Přehled mandatorních opatření
21
Copyright 2013 FUJITSU
Pokročilý monitoring bezpečnosti
 Network Behavioral Analyses (NBA)
22
Copyright 2013 FUJITSU
Monitoring – stávající stav
23
Copyright 2013 FUJITSU
Limity stávajících bezpečnostních technologií
 Běžné stávající technologie: SNMP, FW, IDS/IPS, Anti-malware, ..
 Zaměřeno na ochranu před známými hrozbami (IDS/IPS, Antivir, Antimalware);
 Nedostatečný průběžný monitoring;
 Koncentrace na jednotlivé úzce vymezené oblasti (Firewall – perimetr);
 Zahlcení velkým množstvím informací (IDS);
 Omezený význam monitorovaných informací (SNMP)
 Network Security Monitoring – doplňuje standardní technologie:
 NetFlow – co se v síti děje (kdo, s kým, co, jak,…)
 NBA/ADS – odhalení i dosud neznámých hrozeb a nestandardního chování
stanic;
24
Copyright 2013 FUJITSU
Klíčové body – pro CIO, CSO, CCO
 Neřešený monitoring datových toků v síti
• Máme přehled o síťových komunikacích nejen do Internetu, ale i v rámci WAN a LAN? Máme aktuální
data i data z historie?
 Bezpečnost
• Umíme detekovat útoky DoS, DDoS a útoky na služby?
• Jsme schopni odhalit viry a malware nepodchycené antiviry?
• Máme nástroj pro odhalování podezřelých změn chování v síti?
 Optimalizace infrastruktury
• Neplatíme zbytečně moc poskytovateli Internetu nebo WAN?
• Není naše síť pomalá, nemají síťové aplikace dlouhé odezvy?
 Efektivita zaměstnanců
• Nejsou v naší síti zneužívány P2P služby a instant messaging?
• Nenavštěvují naši zaměstnanci podezřelé webové stránky?
25
Copyright 2013 FUJITSU
Klíčové body – pro IT admin
 Víte o všem, co se děje ve Vaší síti?
 Jste si jisti bezpečností Vaší sítě?
 Je Vaše síť chráněna dostatečně proti vnějším i vnitřním útokům?
 Máte možnost sledovat síťový provoz v reálném čase?
 Odhalujete problémy na síti rychle a jednoduše?
 Máte dostatek informací pro optimalizaci a rozšiřování síťové infrastruktury?
 Dohledáváte a prokazujete snadno bezpečnostní incidenty,
 Víte, kteří uživatelé a které služby nejvíce zatěžují Vaši síť?
 Znáte reálné využití Internetu ve Vaší organizaci?
 Kontrolujete dodržování SLA?
26
Copyright 2013 FUJITSU
Pozice řešení NBA/ADS + FlowMon
27
Copyright 2013 FUJITSU
Řešení FlowMon
 Inovativní řešení pro monitoring a bezpečnost sítí;
 Kompletní řešení pro monitorování sítě na základě IP toků;
 Založeno na technologii NetFlow v5/v9 – světově nejrozšířenější technologie
pro statistiky síťové komunikace;
 Poskytuje informace kdo, s kým, jak dlouho, jakým protokolem komunikoval a
kolik přenesl dat;
 Neinvazivní řešení pro sítě všech velikostí;
 Technologie vytvořená v ČR – InveaTech a.s.;
 Lokální podpora; nejlepší poměr cena/výkon na trhu;
 Unikátní přínosy pro uživatele reagující na typické problémy vyskytující se ve
stávajících sítích z pohledu manažerů i administrátorů.
28
Copyright 2013 FUJITSU
Řešení FlowMon
 Přínosy pro zákazníka
 Monitoring a management
 Optimalizace a reporting
 Efektivní troubleshooting;
 Performance monitoring;
 Vnější i vnitřní bezpečnost;
 Dohled bezpečnostních politik;
 Snížení nákladů na provoz sítě
29
Copyright 2013 FUJITSU
ADS/NBA
 Detekce nežádoucích vzorů chování
• Vnitřní a vnější útoky
• Nežádoucí služby a aplikace
• Provozní a konfigurační problémy
 Behaviorální analýza
• Profily chování
• Detekce anomálií
• Sběr statistik
 Přehledné uživatelské rozhraní
• Dashboard s okamžitou indikací problémů;
• Interaktivní vizualizace událostí;
• Integrace informací ze služeb DNS, WHOIS, geolokační služby
 Komplexní filtrování, alerting, reporting
30
Copyright 2013 FUJITSU
Přínosy řešení pro administrátory
 Detailní přehled o dění v síti (LAN i WAN) – jak v reálném čase, tak
kdykoliv v minulosti;
 Přesné, rychlé a efektivní řešení problémů;
 Zvýšení bezpečnosti, odhalení vnitřních a vnějších útoků;
 Snadné plánování kapacit a optimalizace sítě;
 Dohled nad využitím Internetu, využitím aplikací
 Předcházení incidentům jako jsou zahlcení a výpadky sítě
 Odhalení špatných konfigurací
31
Copyright 2013 FUJITSU
Přínosy řešení pro management
 Pro management:
• Snížení nákladů na správu a provoz sítě;
• Statistiky (tabulky, koláčové grafy) o využití sítě;
• Kontrola využívání elektronických zdrojů zaměstnanci (například využití Internetu);
• Omezení využívání aplikací typu P2P apod.
 Pro bezpečnostní management:
• Detekce vnitřních a vnějších útoků, změn chování v síti;
• Kontrola přístupu uživatelů k datovým zdrojům;
• Dohledávání a prokazování bezpečnostních incidentů;
• Porovnání bezpečnostních politik se skutečným stavem v síti;
• Prevence před únikem informací z firmy
32
Copyright 2013 FUJITSU
Shrnutí
 Efektivnější procesy a bezpečnější infrastruktura:
 Odhalte problémy dříve než je nelze přehlédnout, řešení problémů IT
infrastruktury
 Úsporu nákladů a zvýšení produktivity (eliminace chybné konfigurace, eliminace
nežádoucích aktivit, kvalita služeb – dodržování SLA, eliminace latencí)
 Snížením pracnosti správy IT infrastruktury (zlepšování a rozvoj infrastruktury
a poskytovaných služeb)
 Dohledem nad využitím sítě zaměstnanci (dodržování bezp. směrnic a
předpisů, nežádoucí aplikace a sdílení obsahu), eliminace užití nelegálního SW;
 Ochrana síťové infrastruktury před novými bezpečnostními hrozbami (vnitřní
a vnější útoky, úniky informací, infikovaná zařízení
33
Copyright 2013 FUJITSU
FlowMon+ADS
 FlowMon+ADS = kompletní řešení pro monitoring a
bezpečnost sítí:
 ADS: detekce anomálií, provozních a bezpečnostních problémů
 FlowMon+ADS: kompletní řešení pro monitoring a bezpečnost
34
Copyright 2013 FUJITSU
Děkuji za pozornost
Dr. Igor Čermák
CGEIT, CISM
Senior Consultant
[email protected]
(+420) 733 610 410
(+420) 233 032 832
35
Copyright 2013 FUJITSU
36
Download

Analýza rizik a pokročilý monitoring bezpečnosti sítí v