Bezpieczeństwo danych w inteligentnych sieciach
Transkrypt
Bezpieczeństwo danych w inteligentnych sieciach
Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych oraz awarie stają się coraz powszechniejsze a ich rezultatem mogą być ogromne straty finansowe, utrata reputacji, wysokie koszty naprawy, a nawet upadłość firmy. Inteligentne sieci elektroenergetyczne nie są wyjątkiem. Bezpieczeństwo informacji Poufność Zapewnienie, że informacja jest dostępna jedynie upoważnionym osobom Integralność Zapewnienie dokładności i kompletności informacji oraz metod przetwarzania Dostępność Zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią aktywów wtedy gdy jest to potrzebne Incydenty - przykłady ze świata USA, blackout, 14-08-2003 2008 – Dwudniowe zamknięcie elektrowni jądrowej Hutch na skutek aktualizacji oprogramowania 2010 – Infekcje systemów SCADA w Iranie robakiem Stuxnet, uszkodzenie wirówek 2011 – Pojawienie się trojana DuQu przeznaczonego do wykradania danych o systemach nadzoru przemysłowego. 2011 – ok. 50 amerykańskich koncernów chemicznych padło ofiarą cyberataków. Źródła zagrożeń Służby specjalne Hacktywiści Pracownicy Konkurencja Zorganizowane grupy przestępcze (Crime as Service) Wszyscy wykorzystują podatności Przyczyny Brak właściwej architektury bezpieczeństwa Błędy w zarządzaniu bezpieczeństwem informacji Błędy oprogramowania Błędy i celowe działania ludzi Niewystarczające monitorowanie bezpieczeństwa Monitorowanie bezpieczeństwa – powody Proaktywne wykrywanie zagrożeń Wsparcie usuwania skutków incydentów bezpieczeństwa Wsparcie analizy śledczej Wymogi standardów i regulacji prawnych Monitorowanie bezpieczeństwa – spotykane praktyki brak monitorowania „ręczne” przeglądanie dzienników zdarzeń wykorzystanie dedykowanych narzędzi przeznaczonych dla wybranych obszarów bezpieczeństwa kompleksowe systemy monitorowania Monitorowanie bezpieczeństwa – dobre praktyki Monitorowanie powinno obejmować: Procesy: • wszystkie atrybuty (poufność, integralność, dostępność) • wszystkie obszary (sprzęt, systemy, aplikacje, logika biznesowa) • • • • • • monitorowanie monitorowanie monitorowanie monitorowanie monitorowanie monitorowanie poufności podatności dostępności integralności zgodności wycieku danych Zarządzanie zdarzeniami i logami (SIEM) Pełny zapis ruchu sieciowego Monitorowanie bezpieczeństwa powinno być procesem ciągłym (24x7x365) Monitorowanie poufności okoliczności naruszenia poufności monitorowanie poufności może być realizowane poprzez : • śledzenie i wykrywanie niewłaściwych działań • • • • • użytkowników, wykrywanie włamań lub prób ominięcia zabezpieczeń monitorowanie konfiguracji systemów, aplikacji i urządzeń wykrywanie i monitorowanie podatności monitorowanie uprawnień monitorowanie wykorzystania aktywów (audyt zdarzeń) monitorowanie transferu danych (USB, e-mail, http, ftp) Monitorowanie integralności integralność danych integralność systemów (mało popularne) współpraca z systemem zarządzania zdarzeniami i logami Monitorowanie dostępności dostępność infrastruktury technicznosystemowej dostępność usług oprogramowania systemowego i narzędziowego dostępność aplikacji biznesowych badanie parametrów określających obciążenie i wydajność SLA współpraca z systemem zarządzania zdarzeniami Zarządzanie zdarzeniami i logami Przeznaczenie: • • • • zbieranie i analiza informacji o zdarzeniach związanych z bezpieczeństwem informacji wspomaganie audytów archiwizacja informacji o zdarzeniach wykorzystanie w informatyce śledczej Powinno obejmować: • • • wszystkie elementy infrastruktury techniczno-systemowej warstwę logiki biznesowej w miarę możliwości – informacje z urządzeń spoza IT (np. systemów kontroli dostępu) SIEM (Security Information and Event Management) Źródła informacji logi systemów operacyjnych logi urządzeń sieciowych logi rozwiązań bezpieczeństwa (FW, IDS, IPS, AV, itp.) logi baz danych i bazy danych logi aplikacji biznesowych pliki konfiguracyjne katalogi (np. Active Directory) systemy zewnętrzne (np. kontroli dostępu) Zarządzanie zdarzeniami – podstawowe procesy kolekcjonowanie danych o zdarzeniach normalizacja danych agregacja danych kategoryzacja i ustalenie priorytetów korelacja zdarzeń raportowanie Raportowanie i mierniki Ciągłe raportowanie stanu bezpieczeństwa: • • • Punkt widzenia: • • • kadra zarządzająca audytorzy (wewnętrzni i zewnętrzni) menedżerowie i administratorzy bezpieczeństwa Formy: • • • incydenty związane z bezpieczeństwem, powiązanie incydentów z podatnościami trendy (np. liczba incydentów, wykryte podatności, aktualizacje oprogramowania, utrzymanie zgodności) konsola e-mail SMS Zdefiniowane mierniki bezpieczeństwa Wdrożenie monitorowania bezpieczeństwa - problemy Pominięte obszary monitorowania Niewłaściwie wybrane narzędzia: • brak obsługi niektórych systemów i urządzeń • brak skalowalności Heterogeniczne środowiska Nadmiar i/lub brak informacji o zdarzeniach (serwery webowe vs aplikacje) Długi czas strojenia systemu Niewystarczające kompetencje personelu Brak zarządzania systemem monitorowania Uwagi na zakończenie Brak monitorowania uniemożliwia skuteczne zarządzanie bezpieczeństwem Monitorowanie powinno obejmować możliwie wszystkie aktywa System monitorowania może uchronić przed poważnymi incydentami oraz ułatwić lub umożliwić analizę śledczą System monitorowania musi również monitorować siebie Potrzeba wykwalifikowanego zespołu Dziękuję za uwagę [email protected]