On 3rd of November, 2010 "Data Security Solutions" participated in the work group's responsible for optimization of national IT infrastructure and consisting of CIO's of Ministries monthly meeting and shared opinion about importance of data security in management of state information systems.
Importance of Data Security regarding State IT infrastructure optimization plans
1. Viedoklis par datu
drošību valsts
informācijas sistēmu
pārvaldīšanā
Valsts IT resursu optimizēšanas
darba grupas sanāksmei
Andris Soroka
03.11.2010
2. AGENDA
IT drošības globālās tendences (+LV)
Kā saglabāt optimālu drošību vienmēr?
Ievainojamības novēršana
Datu aizsardzība
Kritiskās infrastruktūras aizsardzība
Cloud computing / Virtualizācija
Idejas kopīgam diskusiju galdam
3. Ko valsts sektors saka par drošību?
«Nav naudas! Nav resursu!»
«Mēs esam publiska iestāde, mums
nekas nav slēpjams!»
«Par to ir atbildīgs ārpakalpojums!»
«Mums viss ir kārtībā, mūsu
antivīruss un ugunsmūris darbojas
perfekti!»
«Mums nav skaidrības par nākotni!»
«Mums ir citas prioritātes!»
5. Melnais tirgus – kibernoziedznieku motivātors
Online e-veikali ar kredītkaršu
datiem, ļaundabīgajiem kodiem, e-
pastiem, klientu datu bāzēm un
botnetiem
Kibernoziedznieku «CV Online»
Video pamācības masveidīgi
pieejamas sociālajos mēdijos, īpaši
YouTube
«Melnā tirgus kopiena» (forumi,
blogi, lietotāju groupas, konferences)
6. Ko valsts IT vadītājiem ir jāaizsargā?
Kritisko valsts infrastruktūru un tās –
«konfidencialitāti, integritāti, pieejamību»
Klasificēto informāciju, ierobežotās
piekļuves informāciju
Jebkura valsts iedzīvotāja konfidenciālo
informāciju – ieskaitot saraksti, datu
bāzes, finanšu informāciju u.c.
Pašu darbinieku privātumu
Līgumus ar trešajām personām,
nepublicēto, sagatavošanā esošo
informāciju
Savs budžets – no incidentiem, no
dīkstāves, papildus izmaksām utt.
7. Mūsdienīga IT vide
Mobilitāte un
organizāciju
«sienu»
sabrukšana
Organizētā
noziedzība un
iekšējie riski
Jaunās
tehnoloģijas,
jaunie mediji
Ļauno kodu
eksplozīva
offensīva
IT Operāciju un Drošības Konverģence
Ekonomika un konkurētspēja
Palielinās prasības no ES, NATO, valsts
8. Mūsdienīga IT vide (parasts interneta pārlūks)
Viens pārlūks
~8 web
aplikācijas
Saņem datus no
~8 dažādām
vietnēm
Izmantojot vairāk
kā 3 dažādus
protokolus
9. Mūsdienīga IT vide (Web 2.0, Enterprise 2.0)
Source: FaceTime Annual Collaborative Internet Surveys 2007 – 2010 & Projected
10. Mūsdienīga IT vide (Galalietotāju kontrole)
Ievainojamības
noteikšana
Sistēmu
Pārvaldība
Patču Pārvaldība AntiVīruss
AntiMalware
Datu aizsardzība Atbilstība
Atseviško risinājumu ieviešana uzliek papildus produktivitātes «nodokli» IT resursu
pārvaldībā, kas izpaužas papildus ieviešanas, pielāgošanas un uzturēšanas darbos
Iveta
IT pārvaldniece
Jānis
IT vadītājs
Raimonds
IT Drošības vaditājs
45% no IT operācijām
nozares speciālisti
strādā izmantojot 3-5
dažādu risinājumu
konsoles, lai pārvaldītu
IT operacijas un
drošību.*
*Worldwide State of The Endpoint Report 2009
11. IT vadītāju ikdiena
Draudi Tehnoloģijas Pienākumi Prasības Budžets
Apjoms
Dažādība
Attīstība
Mērķtiecība
Izsmalcinātība
Attīstība
Dažādība / Daudzums
Cena / Kvalitāte
Personāla vadība
Organizāciju
pārvaldība
Iepirkumu vadība
Budžets
Apmācības
Politikas izstrāde
Ministrija
ES
NATO
Citas organizācijas
IT nereti noklusē riskus un vajadzības, nekā riskē ar algas samazinājumu..
13. Kas traucē atbilst prasībām ikdienā?
MK 1445
ISO 2700*
Kiberdrošība
Drošības
politika
Paroļi garums
Speciālie simboli
Excel
Manuāl
Datubāzē Biznesa
Procesi
IT Resursi
Nepilnīga, daļēja
Datu spkopoana
Atbildības
Nav standartizēti
14. Kas traucē būt pasargātiem?
Nepārtrauktas drošības «redzamības» trūkums
Auditi un aptaujas? Cik bieži
tie notiek? Cik daudz tie
maksā? Kāds ir rezultāts?
Tehniskās kontroles Procedūru & Fiziskās Kontroles
Patch, Scan &
Configuration
via multiple
point solutions
Manuāli / AptaujasManuāli / Aptaujas
Integrētu un centralizētu
datu trūkums
Kur atrodas mūsu kritiskie,
sensitīvie dati? Cik lielā
drošībā tie ir šodien?
2009 Enterprise Management Associates Survey of IT Governance Risk & Control
15. Standartizēta risku un regulu kontrole
Regulation Authority Documents
Biznesa intereses Iekšējie noteikumi, politikas
Profile Risk Attributes
Var piekļūt internetā
Satur sensitīvu informāciju
Satur klientu datus
Pass/Fail Regulation Assessment
DVI
100%
MK XX
65%
ISO 27*
65%
NATO
30%
Nepieciešamā kontrole
Paroles garums
Datu šifrēšana
Elektrība
IT aktīvi
Biznesa procesi
Valsts noslēpumi
Līgumi
GLBA PCI FISMA HIPAA NHS NERC SOX ISO/IEC…
17. Ievainamība
Ievainojamības bāzēta apdraudējuma dzīves cikls
Uzbrukuma
risks
Laiks
Uzbrukums Ražotājs salabo Izplatība ir ļoti nemanāma
0 2-4 dienas 6-12 mēneši 2-4 gadi
Ievainojamības tiek
visu vadošu filtru
tehnoloģiju atklātasEksplozīvs periods Eksplozīvs periods
Zināmie
apdraudējumi
Laiks, kad riski ir zināmi un
tiek vienmēr precīzi atklāti
Nulles dienas
ievainojamības
Tikko atklātām ievainojamībām
zibenīgas pretindes nav!
Tradicionālā aizsardzība neder!
Veco ievainojamību risks
«Aizsūtītās pensijā» ievainojamības
tiek izņemtas no melnā saraksta vai
kāds tās pielāgo un pārstrādā!
Tradicionālā aizsardzība neder!
19. Ievainojamības var novērst
Centralizēts risinājums (Scan & update)
Jebkurai sistēmai – Serveri /
Desktopi / Laptopi
Jebkurai OS – Windows, Unix /
Linux, Mac
Jebkurai aplikācijai – Adobe,
WinZip, RealNetworks utt.
Papildus – HW & SW
inventarizācija, programmatūras
uzstādīšana un noņemšana, tīkla
resursu kontroles vadība utt.
Papildus – web aplikāciju
aizsardzība Source: John Pescatore Vice
President, Gartner Fellow
Riski
5%
Zero-Day
30%
Nav pēdējo «paču»
65%
Nepareiza
konfigurācija
20. Ieteicamais risinājums
Customer Firewall
Lumension Developers
Kit (LDK)
Global
Subscription
Service
Lumension Patch and
Remediation Server
Custom PLFs
Patch Vendor
Web Sites
Content
Repositories Scan
Subscription
21. Datu aizsardzība
70% no visiem incidentiem
izraisa «insaideri».
Pazaudētas vai
nozagtas ierīces
«Insaideri» P2P Failu apmaiņas
programmas
IDC Worldwide Security Products and Services
22. Šifrēšana?
Šifrēšana ir obligāta –
Vienmēr, kad dati tiek pārvietoti
fiziski vai virtuāli
Lai nodrošinātos pret
nesankcionētu piekļuvi pie datiem
Vislabāk ir izmantot tādus risinājumus
kā PGP, jo
tam ir multiplatformu atbalsts
(Mac, Unix/Linux, Windows)
tam nav Masterkey
Tas ir centralizēti vadāms un tam
ir centralizēta atslēgu pārvalde
tas šifrē datus kustībā, miera
stāvoklī un ar tiem strādājot
23. Ārējās ierīces un to kontrole?
Baltā saraksta princips – atļaujam
tikai zināmās ierīces (līdzīgi kā
aplikācijām..)
Ļoti granulētas iespējas – atļaujam
pēc faila tipa, pēc laika, pēc apjoma,
pēc pielietojuma, pēc ierīces tipa, pēc
lietotāja, pēc pieprasījuma, offlainā utt.
Drošības pēc visus datus (abos
virzienos) kopējam uz servera un
šifrējam
25. Kristiskās infrastruktūras aizsardzība
Audits un pārraudzība
Ielaušanās novēršanas sistēma (IPS),
kas spēj atpazīt un atvairīt DoS
uzbrukumus 12-18 sekunžu laikā..
Notikumu (logu) korelācijas sistēmas
(SIEM)
Administrātoru un ārpakalpojumu
kontrole / audits
Autentifikācija un autorizācija
Tīkla resursu piekļuves kontrole
Vairāku faktoru autorizācija
Visi iepriekšminētie risinājumi +++
Mums nav koordinētu kiberuzbrukumu
atvairīšanas pieredzes..
Likumdošana ir nesen veidota & Budžeta
nav..
29. Cloud computing / Virtualization
Ko tieši virtualizēsim? (serveris, klients,
operētājsistēma? aplikācijas?)
Vai virtualizācija ir pirms vai pēc biznesa
procesu definēšanas?
Kā tiek nodrošināta drošība –
Patču / Ievainojamības pārvaldība
Datu noplūdes novēršana
Piekļuves kontrole / Darbību audits
Tiesību, privilēģiju kontrole
Ierīču kontrole
Šifrēšana un atslēgu menedžements
DoS / DDoS uzbrukumi un BC / DR
30. Idejas kopīgam diskusiju galdam
Incoming Threats
Malware, Spyware
Viruses, Trojans
Inappropriate Content
Centralizētu IT drošības
politikas, standartu izstrādi un
pārvaldību reālajā laikā
Savu speciālistu sertificēšanu
profilā, kā arī ministriju darbinieku
apmācības drošības jautājumos
Centralizētus iepirkumus IT
drošības jautājumos
Testēšanas aģentūras
izveidošana vai lūgums CSIRTam
to darīt
«Saukt palīgā» vietējos hakerus
un zinātniekus
Data Security Solutions
pakalpojumi un risinājumi
31. Jūsu droša biznesa partneris!
Data Security Solutions ir dibināts
2010.gadā, lai apkalpotu klientus Latvijā,
Lietuvā un Igaunijā
Specializācija - Datu drošība
Inovatīvi un izmeklēti
programmnodrošinājuma un
aparatūras risinājumi no visas
pasaules
Pakalpojumi (konsultācijas,
ieviešana, apmācības, tehniskais
atbalsts u.c.)
Labrīt Andri!
Statiska -diezgan sarežģiti veidojas, bet mēģināšu izskaidrot.
Vispirms ir ziņojumi no dažādiem avotiem pamatā ( tā ir proaktīvā darbība)
- clean-mx
- abusix
- shadowserver
- d-shield
un citi kuri specializējas kaut kā noteikta piem.
- fast-flux boti
- zeus tracker
- confiker vīrusi
...
Kopā ikdienas ienāk vairāki simti ziņojumu par LV IP adresēm. Ne katrs ziņojums var tikt uzskatīts kā incidents pēc mūsu izmantotās klasifikācijas http://www.ddirv.lv/?not=113&cat=1 un arī pēc loģikas jo par vienu IP adresi var nākt vairāki ziņojumi tie var nākt vairākas dienas. Tāpēc incidentiem tiek noteikta prioritāte - piem. vispirms botu komandcentri, tad boti, malware utt. līdz spamam, autortiesībām un neatļautam saturam.
No visiem iesūtītajie ziņojumiem mēs kā incidentus reģistrējam, kuriem nepieciešams tūlītējs risinājums aptuveni 5-10%. Galvenais ko gribēju uzsvērt, ka šobrīd mēs katru ziņojumu automātiski nekonvertējam par risināmu incidentu. Mēs šobrīd strādājam pie ziņojumu automātiskas apstrādes risinājumiem, jo šādu apjomu ko šobrīd saņemam kļūst pagrūti apstrādāt.
Vēl www.ddirv.lv mājas lapā apakšā ir % statistika par Q32010 pēc augstāk minētās klasifikācijas. Mūsu prakse vēl aizvien ir rezultātus uzrādīt %, varbūt pēc jaunā gada kas mainīsies, taču aptuveno apjomu ko mēs apstrādājam Tu vari novērtēt tā ko esmu uzrakstījis.
Ceru ka palīdzēju.
Ar cieņu
Egils
Lietotāji pieprasa piekļūšanu sistēmām no jebkurienes. Arī ar savām ierīcēm.
Partneri, ārvalstis, klienti arvien vairāk prasa lietot sociālos medijus, jaunās tehnoloģijas (Webex, Lotus Sametime, Skype u.c.)
Organizētā noziedzība un insaideri grib piekļūt pie datiem. Un melnais tirgus, kas motivē, ir milzīgs. Un ļaundabīgo kodu daudzums pēdējos gados ir 7kāršojies.
Papildus tam, prasības no tiem, kurus mēs klausam un kuros ieklausamies, konstanti mainās. Drīzumā būs jaunas aktivitātes no ENISAs, jo regulas ir visu laiku jāmaina, sekojot tehnoloģiju straujajām izmaiņām. Un pa vidu ir ekonomika, citu valstu intereses..