Bezpieczeństwo danych w inteligentnych sieciach

Bezpieczeństwo danych w
sieciach elektroenergetycznych
monitorowanie bezpieczeństwa
Janusz Żmudziński
Polskie Towarzystwo Informatyczne
Nadużycia związane z bezpieczeństwem
systemów teleinformatycznych oraz awarie
stają się coraz powszechniejsze a ich
rezultatem mogą być ogromne straty
finansowe, utrata reputacji, wysokie koszty
naprawy, a nawet upadłość firmy.
Inteligentne sieci elektroenergetyczne
nie są wyjątkiem.
Bezpieczeństwo informacji
Poufność
Zapewnienie, że
informacja jest dostępna
jedynie upoważnionym
osobom
Integralność
Zapewnienie dokładności
i kompletności informacji
oraz metod przetwarzania
Dostępność
Zapewnienie, że osoby
upoważnione mają dostęp
do informacji i związanych
z nią aktywów wtedy gdy jest
to potrzebne
Incydenty - przykłady ze świata

USA, blackout, 14-08-2003

2008 – Dwudniowe zamknięcie elektrowni jądrowej
Hutch na skutek aktualizacji oprogramowania

2010 – Infekcje systemów SCADA w Iranie robakiem
Stuxnet, uszkodzenie wirówek

2011 – Pojawienie się trojana DuQu przeznaczonego do
wykradania danych o systemach nadzoru
przemysłowego.

2011 – ok. 50 amerykańskich koncernów chemicznych
padło ofiarą cyberataków.
Źródła zagrożeń

Służby specjalne

Hacktywiści

Pracownicy

Konkurencja

Zorganizowane grupy przestępcze (Crime as
Service)
Wszyscy wykorzystują podatności
Przyczyny

Brak właściwej architektury bezpieczeństwa

Błędy w zarządzaniu bezpieczeństwem informacji

Błędy oprogramowania

Błędy i celowe działania ludzi

Niewystarczające monitorowanie bezpieczeństwa
Monitorowanie bezpieczeństwa –
powody

Proaktywne wykrywanie zagrożeń

Wsparcie usuwania skutków incydentów
bezpieczeństwa

Wsparcie analizy śledczej

Wymogi standardów i regulacji prawnych
Monitorowanie bezpieczeństwa –
spotykane praktyki
brak monitorowania
 „ręczne” przeglądanie dzienników
zdarzeń
 wykorzystanie dedykowanych narzędzi
przeznaczonych dla wybranych
obszarów bezpieczeństwa
 kompleksowe systemy monitorowania

Monitorowanie bezpieczeństwa –
dobre praktyki

Monitorowanie powinno obejmować:

Procesy:


• wszystkie atrybuty (poufność, integralność, dostępność)
• wszystkie obszary (sprzęt, systemy, aplikacje, logika biznesowa)
•
•
•
•
•
•
monitorowanie
monitorowanie
monitorowanie
monitorowanie
monitorowanie
monitorowanie
poufności
podatności
dostępności
integralności
zgodności
wycieku danych
Zarządzanie zdarzeniami i logami (SIEM)
Pełny zapis ruchu sieciowego
Monitorowanie bezpieczeństwa powinno być procesem
ciągłym (24x7x365)
Monitorowanie poufności
okoliczności naruszenia poufności
 monitorowanie poufności może być
realizowane poprzez :

• śledzenie i wykrywanie niewłaściwych działań
•
•
•
•
•
użytkowników, wykrywanie włamań lub prób ominięcia
zabezpieczeń
monitorowanie konfiguracji systemów, aplikacji i
urządzeń
wykrywanie i monitorowanie podatności
monitorowanie uprawnień
monitorowanie wykorzystania aktywów (audyt zdarzeń)
monitorowanie transferu danych (USB, e-mail, http,
ftp)
Monitorowanie integralności
integralność danych
 integralność systemów (mało
popularne)
 współpraca z systemem zarządzania
zdarzeniami i logami

Monitorowanie dostępności






dostępność infrastruktury technicznosystemowej
dostępność usług oprogramowania
systemowego i narzędziowego
dostępność aplikacji biznesowych
badanie parametrów określających
obciążenie i wydajność
SLA
współpraca z systemem zarządzania
zdarzeniami
Zarządzanie zdarzeniami i logami

Przeznaczenie:
•
•
•
•


zbieranie i analiza informacji o zdarzeniach związanych z
bezpieczeństwem informacji
wspomaganie audytów
archiwizacja informacji o zdarzeniach
wykorzystanie w informatyce śledczej
Powinno obejmować:
•
•
•
wszystkie elementy infrastruktury techniczno-systemowej
warstwę logiki biznesowej
w miarę możliwości – informacje z urządzeń spoza IT (np.
systemów kontroli dostępu)
SIEM (Security Information and Event Management)
Źródła informacji








logi systemów operacyjnych
logi urządzeń sieciowych
logi rozwiązań bezpieczeństwa (FW, IDS,
IPS, AV, itp.)
logi baz danych i bazy danych
logi aplikacji biznesowych
pliki konfiguracyjne
katalogi (np. Active Directory)
systemy zewnętrzne (np. kontroli dostępu)
Zarządzanie zdarzeniami –
podstawowe procesy
kolekcjonowanie danych o zdarzeniach
 normalizacja danych
 agregacja danych
 kategoryzacja i ustalenie priorytetów
 korelacja zdarzeń
 raportowanie

Raportowanie i mierniki

Ciągłe raportowanie stanu bezpieczeństwa:
•
•
•

Punkt widzenia:
•
•
•

kadra zarządzająca
audytorzy (wewnętrzni i zewnętrzni)
menedżerowie i administratorzy bezpieczeństwa
Formy:
•
•
•

incydenty związane z bezpieczeństwem,
powiązanie incydentów z podatnościami
trendy (np. liczba incydentów, wykryte podatności,
aktualizacje oprogramowania, utrzymanie zgodności)
konsola
e-mail
SMS
Zdefiniowane mierniki bezpieczeństwa
Wdrożenie monitorowania
bezpieczeństwa - problemy
Pominięte obszary monitorowania
 Niewłaściwie wybrane narzędzia:

• brak obsługi niektórych systemów i urządzeń
• brak skalowalności
Heterogeniczne środowiska
 Nadmiar i/lub brak informacji o zdarzeniach
(serwery webowe vs aplikacje)
 Długi czas strojenia systemu
 Niewystarczające kompetencje personelu
 Brak zarządzania systemem
monitorowania

Uwagi na zakończenie





Brak monitorowania uniemożliwia skuteczne
zarządzanie bezpieczeństwem
Monitorowanie powinno obejmować możliwie
wszystkie aktywa
System monitorowania może uchronić przed
poważnymi incydentami oraz ułatwić lub
umożliwić analizę śledczą
System monitorowania musi również
monitorować siebie
Potrzeba wykwalifikowanego zespołu
Dziękuję za uwagę
[email protected]