Reagowanie na ataki
Transkrypt
Reagowanie na ataki
Reagowanie na ataki Michał Grzybowski Kraków, 19 maja 2016 TRENDY 1. Tracimy kontrolę Przetwarzamy dane w chmurze Dostęp do danych mamy przez urządzenia, których całkowicie nie możemy skonfigurować Producenci kontrolują coraz więcej – użytkownicy coraz mniej umiejętności 2. Ataki są coraz bardziej zaawansowane kradzież tożsamości, 0-day script kiddie APT typowe, standardowe ataki cel (specyfika) Zrozumieć przeciwnika Kim są różni aktorzy w tej grze? I którymi powinniśmy się zainteresować… Cyberprzestępcy Obce państwa Ekstremiści (np. islamscy) 3. Zaangażowanie rządów Ochrona danych Szpiegostwo Infrastruktura krytyczna Wyścig zbrojeń 4. Jesteśmy coraz lepsi, ale 1989, AIDS 4. Jesteśmy coraz lepsi, ale 2014, PETYA ODPORNOŚĆ BEZPIECZEŃSTWO OCHRONA DETEKCJA REAKCJA Bezpieczeństwo Detekcja Reakcja ludzie technologia Ochrona Teoria perspektywy +1000 PLN lub +2000 PLN Teoria perspektywy -1000 PLN lub -2000 PLN OODA loops Observe Act Orient Decide Observe Co się dzieje w Twojej sieci w czasie rzeczywistym? IDS, monitoring i analiza logów, monitoring wydajności sieci i systemów monitoring informacji dot. ochrony fizycznej Narzędzia pozwalające analizować powyższe informacje Orient Znasz pełny KONTESKT (wewnętrzny i zewnętrzny)? Czy jest nowy malware w sieci? Czy były zaplanowane zwolnienia kadry? Czy zainstalowano nowe oprogramowanie? Czy już z tego IP były wcześniej ataki? Czy podpisano kontrakt z nowym podwykonawcą? Informacje z mediów, organizacji, służb, etc. Decide Co robić? Kto ma prawo co zrobić? Dostarczanie informacji musi być szybkie i efektywne (3 x right) Decyzje powinny być uzasadnione i udokumentowane – będzie trzeba je potem obronić. Act Działaj! Szybko i efektywnie w swojej sieci Musisz mieć dostęp – pełny, a co najmniej szeroki Ćwicz – nic tak nie poprawia zdolności decyzyjnych personelu jak ćwiczenia! Jak stworzyć ZESPÓŁ REAGOWANIA NA INCYDENTY KOMPUTEROWE Tworzymy CERT Krok 1 Krok 2 Krok 3 Krok 4 • Poparcie tworzenia CERT przez Zarząd • Stworzenie planu strategicznego • Zebranie istotnej informacji dla działania CERT • Sporządzenie wizji CERT Tworzymy CERT Krok 5 Krok 6 Krok 7 Krok 8 • Prezentacja wizji CERT • Rozpoczęcie implementacji planu • Ogłoszenie rozpoczęcia działania przez CERT • Ocena efektywności działania CERT [email protected]