Kodėl saugus valstybinis vidaus tinklas nesaugant pagrindinio telekomunikacijų operatoriaus yra utopija?
Atvejis – stambi kibernetinė ataka. Kodėl lokalių elektroninės informacijos saugos sprendimų nepakanka?
Kibernetinis saugumas ir krašto apsauga. Kaip tai susiję?
Pranešimo autorius – Vytautas Bučinskas. TEO LT, AB Rizikų valdymo skyriaus direktorius (Lietuva).
Pranešimas skaitytas konferencijoje – INFORMACINIŲ SISTEMŲ SAUGUMAS, vykusioje 2013 m. balandžio 11d., skirtoje valstybės institucijų ir valstybinės reikšmės organizacijoms.
Vytautas Bučinskas. Šalies kibernetinis saugumas – didžiausio Lietuvos telekomunikacijų operatoriaus vaidmuo
1. ŠALIES KIBERNETINIS SAUGUMAS:
DIDŢIAUSIO LIETUVOS TELEKOMUNIKACIJŲ
OPERATORIAUS VAIDMUO
Konferencija „INFORMACINIŲ
TECHNOLOGIJŲ SAUGUMAS.
Globalūs iššūkiai valstybės
institucijoms ir valstybinės reikšmės
organizacijoms“
Vytautas Bučinskas,
Rizikų valdymo
skyriaus direktorius
/ 2013-04-11
2. PRIEŠ PRADEDANT...
● Ţiūrėti kaip į TINKLUS, o ne kaip į įmones
● Prisiminti, kad informacijos perdavimas yra itin svarbus, o šiais laikais labai
daug kas priklauso būtent nuo interneto
● Suprasti, kad lokali tam tikrų institucijų veikla yra neprasminga, jei neveiks
TINKLAS ir vartotojai bus nepasiekiami
● Suvokti, kad ne tik operatorius turi saugoti, bet reikia saugoti ir patį
operatorių
● Klausti, ar dar turim laiko laukti
2013-04-11 2
3. GEOPOLITINĖ APLINKA
Pagrindiniai žaidėjai kibernetinėje sferoje
● Valstybės
JAV, Rusija, Kinija, Prancūzija
● Nevalstybinės organizacijos
Organizuotas nusikalstamumas
- pvz., RBN – „Russian Business Network“
Hakeriai ir (arba) kibernetiniai teroristai
- Estijos, Gruzijos kibernetiniai karai,
„Anonymous“ grupė, ...
Šaltiniai: „TheSecDevGroup“, „Arbor“, NATO
2013-04-11 3
4. INFRASTRUKTŪRA GALI TAPTI SAUGI
● Barako Obamos įsakymas „Improving Critical Infrastructure Cybersecurity“
Esmė – bendradarbiaujant privačiam ir valstybiniam sektoriams, pagerinti
apsikeitimą kibernetinio saugumo informacija ir įdiegti rizikos valdymo priemones
valstybės „kritinėse infrastruktūros sistemose“
Bet yra niuansų:
- „tradicinis“ rizikos valdymo modelis privačiame sektoriuje (atsipirkimo
klausimas)
- „pažeidžiamų“ sistemų pakeitimas
- kritinės infrastruktūros apimtys
● Ką spręsti pirmiausia?
Privataus ir valstybinio sektorių partnerystė
Šalies saugumo klausimas – politinis klausimas
Techniškai išsprendžiama / ekonomiškai neapsimoka
Kas yra ta kritinė šalies infrastruktūra?
„From Offence to Deffence“
Šaltinis: „Bound to Fail“
2013-04-11 4
5. GRĖSMIŲ KATEGORIJOS PAGAL NATO
● Operatoriui didžiausias vaidmuo tenka DDoS rizikai suvaldyti
● Manome, kad be operatoriaus įsikišimo, jokia institucija nebus pajėgi susidoroti su
šiuolaikine gerai organizuota DDoS ataka
Šaltinis „NATO Perspective on Cyber Defence and Botnet“
2013-04-11 5
6. DDoS ATAKOS PASAULYJE
● ARBOR skelbiama statistika
Jau užfiksuota atakų, kurioms vykstant viršytas 100 Gb/s
greitis tinkle
● Taip buvo apie 10 metų iki 2013 m. kovo 27 d.!
Įtariama kova tarp „CyberBunker“ ir „Spamhaus“
Atakos srautas pasiekė iki 300 Gb/s spartą
Priemonės tos pačios: „Botnet“, „Open DNS“, „Spoofed IP“
Atakos metu pakeista atakos kryptis, nukreipiant srautą į
vieną iš „Internet Exchange“ taškų
Klaida IX konfigūracijoje įtakojo tai, kad kai kuriose Europos
šalyse buvo interneto sutrikimų
„<...> Obviously the jump from 100 to 300 is pretty massive <...>“,
Dan Holden, „Arbor“
Šaltiniai: „Arbor“ (http://pinterest.com/pin/307933693241040245) ir „BBC News“
2013-04-11 6
7. GALIMI BLOGIAUSI SCENARIJAI
INTERNETO IŠJUNGIMAS
● Neveikia
Tarptautinė bei tarptinklinė komunikacija, IP telefonija
„Debesų“ paslaugos, prieiga prie socialinių tinklų
Visos paslaugos, klientai, kuriems darbui reikalingas
internetas bei prieiga prie kitų tinklų
Dėl to galimi dideli nuostoliai
● Veikia
Tradicinė telefonija
Vidinės ISP paslaugos (MPLS VPN, vidinė telefonija, L2
paslaugos)
Operatoriaus tinkle esančios tarnybos bei internetiniai
puslapiai; informacijos sklaida vidiniame tinkle nesustoja
Vidiniai komunikacijos šaltiniai operatoriaus viduje
Dalis bankomatų, el. prekyviečių, esančių operatoriaus tinkle
Kuo didesnis ir svarbesnis operatorius, tuo daugiau vidinės komunikacijos ir
informacijos sklaidos išsaugoma
2013-04-11 7
8. GALIMI BLOGIAUSI SCENARIJAI
TINKLO IŠJUNGIMAS-UŢGROBIMAS
● Neveikia
Visa komunikacija (telefonija, internetas, vidinių tinklų
sujungimai)
Visi procesai, tarnybos, informacijos šaltiniai, kurie
naudojasi operatoriaus paslaugomis
Operatoriaus tinkle esantys bankai
Beveik visos operatoriaus paslaugos
Valstybinės organizacijos operatoriaus tinkle
Visi mažesni operatoriai, kurie naudojasi paslaugomis
Sustoja informacijos sklaida
● Veikia
Lokali tradicinė telefonija
Lokalūs (regioniniai) MPLS tinklai ir paslaugos
Kuo didesnis ir svarbesnis operatorius, tuo didesnė ţala = reikia saugoti operatorių
2013-04-11 8
9. BE APSAUGOS NUO DDoS ATAKOS
● Galutiniai vartotojai jungiasi prie viešųjų paslaugų
teikėjo serverio
● Prasideda DDoS ataka, tinklas apkraunamas
● Nutrūksta paslaugų teikimas galutiniams vartotojams
Be apsaugos tinklas yra visiškai paţeidţiamas
2013-04-11 9
10. APSAUGA NUO DDoS ATAKOS UGNIASIENE
● Galutiniai vartotojai jungiasi prie viešųjų paslaugų teikėjo
serverio
● Prasideda DDoS ataka
● Perkrauta prisijungimo prie operatoriaus jungtis.
Nutrūksta paslaugų teikimas galutiniams vartotojams
Lokalios ugniasienės didelės DDoS atakos metu
nepakanka.
Šiuo atveju ugniasienė tik palengvina ataką
2013-04-11 10
11. APSAUGA NUO DDoS ATAKOS, NAUDOJANT
OPERATORIAUS INFRASTRUKTŪRĄ
● Galutiniai vartotojai jungiasi prie viešųjų paslaugų teikėjo
serverio
● Prasideda DDoS. Aptinkama DDoS
● Atakuojamojo srautas nukreipiamas per didelio našumo
operatoriaus ugniasienę ir (ar) UTM apsaugos serverį
● Naudojant operatoriaus ugniasienę ir (ar) UTM apsaugos
serverį, paslaugų teikimas nenutrūksta
Didelio našumo ugniasienė bei jungtys operatoriaus tinkle
gali apsaugoti vartotoją nuo didelių DDoS atakų
2013-04-11 11
12. LABAI DIDELĖS APIMTIES DDoS ATAKA
● Galutiniai vartotojai jungiasi prie viešųjų paslaugų teikėjo
serverio
● Prasideda DDoS, aptinkama; srautas nukreipiamas per
operatoriaus ugniasienę ir (ar) UTM
● Perkraunama ugniasienė ir (ar) UTM, našumas krenta
● Atjungiamas užsienio tinklas ar tinklai arba tarptinklinė
jungtis, per kurią vyksta ataka
● Ryšys su užsienio arba kitais tinklais apribojamas, tačiau
viešų paslaugų teikimas tinkle nenutrūksta
Esant labai didelio srauto DDoS atakai, operatorius gali
nutraukti jungtį pagrindine atakos kryptimi
2013-04-11 12
13. DDoS ATAKA IŠ PATIES TINKLO
• Galutiniai vartotojai jungiasi prie viešųjų paslaugų teikėjo serverio
• Prasideda DDoS iš operatoriaus tinklo, ataka aptinkama, atakuojamojo srautas
nukreipiamas per didelio našumo operatoriaus ugniasienę ir (ar) UTM
• Ataka tęsiasi, perkraunama ugniesienė ir (ar) UTM, našumas krenta
• Identifikuojami ir atjungiami tinkle
esantys „užkrėsti“ kompiuteriai, per
kuriuos vyksta ataka
• Daliai vartotojų ryšys apribojamas,
tačiau likusiesiems viešųjų paslaugų
teikimas tinkle nenutrūksta
Esant labai didelei DDoS atakai iš tinklo, operatorius turi galimybę atjungti
atakos šaltinius atskirai
2013-04-11 13
14. OPERATORIUS GALĖTŲ APSAUGTI
● KAIP?
Tarptautinio, nacionalinio ar vietinio srauto, skirto aukai, nukreipimas į didelę
ugniasienę ir jo neutralizavimas
Ypač didelės apimties atakos iš kitų tinklų neutralizavimas, uţblokuojant
tarptautines jungtis arba nacionalinį tranzitą
Ypač didelės atakos iš vietinių vartotojų neutralizavimas, atjungiant atskirus
vartotojus
● KODĖL operatorius?
Diversifikuota, galinga infrastruktūra
Apsaugomi ne tik viešųjų paslaugų teikėjai, bet ir vartotojai
Galimybės:
- anksčiau pastebėti ataką
- panaudoti galingas kolektyvinės apsaugos priemones
- valdyti tarptinklines ir (ar) lygiavertes (angl. peer) jungtis
- valdyti savo tinklo vartotojus
2013-04-11 14
15. KO TRŪKSTA?
PASLAUGŲ IR INFRASTRUKTŪROS APSAUGAI
REIKALINGOS TECHNINĖS PRIEMONĖS
● Aptikti ataką
Būtina įdiegti analizatorių tinklą, kurie aptiktų DDoS
ataką iš išorės ir vidaus
● Nukreipti infekuotą srautą
Reikalingas srauto ir vartotojų valdymo įrankis,
infekuotam srautui nukreipti į ugniasienes
● Neutralizuoti infekuotą srautą
Privalomos didelio pajėgumo ugniasienės arba UTM
atakoms neutralizuoti iš tinklo išorės ir vidaus
2013-04-11 15
16. GALIMI TOLIMESNI ŢINGSNIAI
● Kibernetinio saugumo įstatymas ir (arba) kito tipo
aktai ar jų pakeitimai Elektroninių ryšių įstatyme ir
(arba) kituose įstatymuose
● Atsakingos institucijos paskyrimas
● Kritinės infrastruktūros apibrėţimas
● Kritinės infrastruktūros inventorizacija (iš pradžių ITT)
● Sprendimai dėl kritinės infrastruktūros saugos ir
priemonių parinkimas
● Viena priemonių – kritinės infrastruktūros sutelkimas
šalies viduje
● Priemonių diegimas numatant lėšų ir jų šaltinius
nuolatinei priežiūrai ir tolimesnei plėtrai
Orientuotis į galutinį (pvz., padidėjęs saugumas), o ne vien į tarpinius rezultatus
(pvz., norminiai aktai, politikos, strategijos)
2013-04-11 16
17. KIBERNETINIS SAUGUMAS IR KRAŠTO
APSAUGA
● Kas valdo informaciją – tas valdo pasaulį (Napoleono
bendražygis)
1917 m. bolševikai užiminėjo telegrafą
Sausio 13-ają sovietų armija šturmavo televizijos
bokštą
...
● Ar nebūtų vienas iš šiuolaikinių agresorių
(kibernetinių atakų organizatorių) pagrindinių tikslų
šalies interneto sustabdymas?
Didţiausi operatoriai, kurie yra šalies informacijos sklaidos garantas, turėtų būti
apsaugoti
2013-04-11 17