Reagowanie na ataki

Reagowanie na ataki
Michał Grzybowski
Kraków, 19 maja 2016
TRENDY
1. Tracimy kontrolę
 Przetwarzamy dane w chmurze
 Dostęp do danych mamy przez urządzenia,
których całkowicie nie możemy skonfigurować
 Producenci kontrolują coraz więcej –
użytkownicy coraz mniej
umiejętności
2. Ataki są coraz bardziej
zaawansowane
kradzież
tożsamości,
0-day
script
kiddie
APT
typowe,
standardowe
ataki
cel (specyfika)
Zrozumieć przeciwnika
 Kim są różni aktorzy w tej grze?
 I którymi powinniśmy się zainteresować…
 Cyberprzestępcy
 Obce państwa
 Ekstremiści (np. islamscy)
3. Zaangażowanie rządów




Ochrona danych
Szpiegostwo
Infrastruktura krytyczna
Wyścig zbrojeń
4. Jesteśmy coraz lepsi, ale
 1989, AIDS
4. Jesteśmy coraz lepsi, ale
 2014, PETYA
ODPORNOŚĆ
BEZPIECZEŃSTWO
OCHRONA
DETEKCJA
REAKCJA
Bezpieczeństwo
Detekcja
Reakcja
ludzie
technologia
Ochrona
Teoria perspektywy
+1000 PLN
lub
+2000 PLN
Teoria perspektywy
-1000 PLN
lub
-2000 PLN
OODA loops
Observe
Act
Orient
Decide
Observe
 Co się dzieje w Twojej sieci w czasie rzeczywistym?
 IDS,
 monitoring i analiza logów,
 monitoring wydajności sieci i systemów
 monitoring informacji dot. ochrony fizycznej
 Narzędzia pozwalające analizować powyższe informacje
Orient
 Znasz pełny KONTESKT (wewnętrzny i zewnętrzny)?





Czy jest nowy malware w sieci?
Czy były zaplanowane zwolnienia kadry?
Czy zainstalowano nowe oprogramowanie?
Czy już z tego IP były wcześniej ataki?
Czy podpisano kontrakt z nowym podwykonawcą?
 Informacje z mediów, organizacji, służb, etc.
Decide
 Co robić?
 Kto ma prawo co zrobić?
 Dostarczanie informacji musi być szybkie i efektywne
(3 x right)
 Decyzje powinny być uzasadnione i
udokumentowane – będzie trzeba je potem obronić.
Act
 Działaj!
 Szybko i efektywnie w swojej sieci
 Musisz mieć dostęp – pełny, a co najmniej
szeroki
 Ćwicz – nic tak nie poprawia zdolności
decyzyjnych personelu jak ćwiczenia!
Jak stworzyć
ZESPÓŁ REAGOWANIA NA
INCYDENTY KOMPUTEROWE
Tworzymy CERT
Krok 1
Krok 2
Krok 3
Krok 4
• Poparcie tworzenia CERT przez Zarząd
• Stworzenie planu strategicznego
• Zebranie istotnej informacji dla działania CERT
• Sporządzenie wizji CERT
Tworzymy CERT
Krok 5
Krok 6
Krok 7
Krok 8
• Prezentacja wizji CERT
• Rozpoczęcie implementacji planu
• Ogłoszenie rozpoczęcia działania przez CERT
• Ocena efektywności działania CERT
[email protected]