Main principles how to increase cyber security in company, detect and mitigate cyber threats.
Prezentacijoje pateikti kibernetinio saugumo geriausios praktikos bei principai, kuriuos rekomenduotina taikyti įmonėje, taip pat kaip pasiekti vieną iš sudėtingiausių tikslų - aptikti ir suvaldyti kibernetinius incidentus. Tai be abejo, tik trumpa pagrindinių principų apžvalga
2. APIE
Esu kibernetinio saugumo specialistas, pagrinde
dirbantis:
• gynybinėje ( apsauga )
• puolamojoje ( saugumo patikrinimai )
• tiriamojoje
kibernetinio saugumo srityse.
4. KELETAS VEIKLOS PAVYZDŽIŲ IŠ
TIRIAMOSIOS SRITIES
• 2018 m Aptiktas įsilaužimas į Seimo tinklą
• 2018 m. Esveikatos sistema. Sustabdytas didžiulis
kiekis kritinių saugumo spragų ( responsible
disclosure ).
• 2019 m. vasaris. Evaldžia. Prieš rinkimus
sustabdyta įsilaužimų magistralė.
• 2019 m. rugpjūtis. Aptiktas kreditinių kortelių
informaciją vagiantys kodai lietuviškose
eparduotuvėse.
• Ir t.t.
6. Trumpa informacija - tinklo topologija,
komunikacijos ir jų kontrolė ir t.t.
Kaip pasirengti incidentams, juos
aptikti bei sukontroliuoti ( mitigate )
Atviro kodo technologijos saugumo
padidinimui
Antiviruso funkcionalumo išplėtimas
Įvykių surinkimas bei analizė
8. NEMOKAMA !!!
• Daugeliu atvejų reikalingą / parodytą
funkcionalumą galimą pasiekti naudojant
nemokamą "Open Source" programinę
įrangą.
• Be jokių abejonių, tai galima padaryti ir su
komerciniais produktais.
• Pagrindinis reikalavimas abiem atvejais –
saugumo specialistas.
9. TINKLO TOPOLOGIJA, KOMUNIKACIJOS
IR JŲ KONTROLĖ IR T.T.
• Tam, kad efektyviai apsaugoti įmonės IT, reikia
žinoti ką ir kur saugoti. Trumpai perbėkime per
pagrindines pozicijas – kokie gi tie resursai ir kur jie
randasi.
• Apsaugos principai – daugeliu atvejų tie patys ( ar tai
įmonės tinklas ar cloud )
• Nekalbėsime apie bendrus TOP 20 security
controls ( pataisymai ir pan., ugniasienės, antivirusai -
viskas jau ten parašyta )
• Taigi – quick start
10. TAI – APLIKACIJŲ SAUGUMUI SKIRTAS
GUIDE, BET PRINCIPAI - BENDRI
• https://www.owasp.org/index.php/Security_by_
Design_Principles
Vertėtų perskaityti. Noriu pabrėžti šią frazę:
• "Security architecture starts on the day the
business requirements are modeled, and never
finishes until the last copy of your application is
decommissioned. Security is a life-long process,
not a one shot accident."
14. KAIP PASIRENGTI INCIDENTAMS,
JUOS APTIKTI BEI SUKONTROLIUOTI
BENDRI PRINCIPAI:
• Griežta kontrolė
• Minimalios reikalingos teisės
• Whitelist ir Baseline !!!
• Stebėsena !!!
15. TINKLAI
• Kiekvienas įmonės padalinys - atskirame VLAN-e
• Kiekvieną IS sistemą kuriame atskirame VLAN-e
• Komunikacijas tarp VLAN-ų blokuoja ugniasienė
• Ugniasienės leidžia tik reikalingos komunikacijas
(whitelist )
• Vartotojams prieiga suteikiama pagal vartotojo
tapatybę ir tik prie jam priskirtų / reikalingų resursų
• Ryšiai inicijuojami iš vidaus ( pvz. apsikeitimas
tarp DMZ ir vidiniame tinkle esančių serverių )
16. SERVERIAI
• Nesvarbu, kur talpinate serverius –
principai tie patys
• Serveriams labai išimtinais atvejais reikia išeiti
į internetą - taigi bendru atveju serverių
išėjimas į internetą turi būti blokuojamas, esant
poreikiui - griežtai kontroliuojama ( whitelisting-
as )
• Serveriams nereikia rekursinio DNS.
17. DARBO VIETOS
• Vartotojų darbo vietose ugniasienės, kurios
blokuoja įeinančius ryšius ( su išimtimis )
• Tinklo ugniasienės pagalba kontroliuoti
/ riboti, kokiomis paslaugomis vartotojas gali
naudotis internete ( pvz tik HTTP/HTTPS )
• Vykdyti vartotojo srauto automatinę analizę /
patikrinimą ( pvz. blokuoti pavojingas svetaines,
srauto antivirusinis patikrinimas ir t.t. )
18. GRIEŽTA KONTROLĖ
Vidinė bei nuotolinė prieiga:
• Tik būtinas minimumas.
• Prieiga prie informacinių sistemų
pagal vartotojų tapatybę (ne pagal
IP)
19. GRIEŽTA KONTROLĖ
• Prieigą prie informacinių sistemų tinkle
kontroliuoti pagal vartotojų tapatybę -
tiek lokaliame tinkle, tiek per nuotolį
• Prieiga - tik prie reikalingų sistemų ir iš
reikalingos lokacijos
20. LOKALIŲ BEI NUTOLUSIŲ VARTOTOJŲ PRIEIGOS
KONTROLĖS SISTEMA PAGAL VARTOTOJO TAPATYBĘ
BEI LOKACIJĄ
21. INFORMACIJOS SURINKIMAS BEI
ANOMALIJŲ / INCIDENTŲ IŠSKYRIMAS
Baseline ir baseline pažeidimai
• Pagal netflow pažeidimus, galima rasti, kas
vyko tam tikru laiku, aptikti anomalijas ir pan.
• Galima apibrėžti baseline ir baseline
pažeidimas – jau įvykis
27. ATVIRO KODO TECHNOLOGIJOS
SAUGUMO PADIDINIMUI
Serverių srauto kontrolė į internetą:
• Serveriams nereikalingas rekursinis DNS - juo
galima perdavinėti informaciją ( taip pat ir DNS
tuneliavimas )
• HTTP / HTTPS srauto valdymas. Tai atvejais, kai
serveriui dėl kažkokių priežasčių reikia pasiekti
WEB svetainę per HTTP/HTTPS protokolą - reikėtų
riboti pagal svetainės pavadinimą, kokios
svetainės yra pasiekiamos ( o ne pagal IP ).
28. ATVIRO KODO TECHNOLOGIJOS
SAUGUMO PADIDINIMUI
Vykdant šią kontrolę dažniausiai iškylančios problemos:
• IP adresas keičiasi ( ypač tai aktualu per cloud-ą
pasiekiamoms paslaugoms ) ir statinės ugniasienių
taisyklės sutrikdo sistemų darbą
nepraleisdamos kreipinio nauju IP adresu
• Išeitis - dinaminė kontrolė pagal svetainės vardą.
Pakankamai nesunkiai padaroma HTTP protokolui,
gerokai sunkiau – HTTPS. Dažnai tai galima išspręsti
naudojant transparent SQUID, bet jis irgi turi
apribojimų (problemos, kai SQUID mašina nedirba kaip
maršrutizatorius, bet viskas padaroma )
41. ĮVYKIŲ SURINKIMAS BEI ANALIZĖ
• SIEM
• Specializuotos sistemų konsolės
• Specializuotos DB struktūros rekursiniam
užklausų apdorojimui
42. SVETAINIŲ APSAUGOS PRINCIPAI
NAUDOJANT WAF
• Panaudojus "advanced" technikas svetainių
apsaugai labai iš didelio kiekio užklausų paprasta
idenfikuoti "atakerius". Po to – naudojant SIEM-ą
- peržvelgti visą jų veiklą įmonės / organizacijos
tinkle.
• https://tyrimai.esec.lt/index.php?option=com_co
ntent&view=article&id=43
43. ATAKŲ INFORMACIJOS PRIEŠ
SVETAINES AGREGAVIMAS
• SPLUNK statistiniai dashbordai – kaip
paprastai pasimato atakos.
• Agregacija įvairiais pjūviais per laiko
intervalą
47. LIETUVOS INTERNETAS – KAIP
SAUGOMA ĮMONĖ
• https://www.15min.lt/naujiena/aktualu/lietuva/i-
internetines-parduotuves-isisuko-kenkejiska-programa-
specialistai-ragina-blokuoti-banko-korteles-56-1193916
• https://www.lrytas.lt/it/ismanyk/2018/07/24/news/sei
mo-kompiuteriu-tinklas-neatsilaike-pries-isilauzelius-a-
skardziaus-svetaine-kviete-i-kazino-7058423/
• Visokių įsilaužimų tyrimai
svetainėje https://tyrimai.esec.lt
T.y. esminis reikalavimas geram rezultatui pasiekti – geras saugumo specialistas
T.y. Nepavyks per 20 min. papasakoti ( visų receptų neduosiu ), kaip sukurti tobulus tinklus bei sistemas – tai ne 20 minučių darbas Tačiau pabandysiu parodyti esminius / pagrindinius akcentus – tiek iš patirties,
Pagrindinis dalykas – segmentuoti į VLANUS pagal padalinį, informacinę sistemą ir pan. Komunikacijos kontroliuojamos ant tinklo ugniasienių – tik pagal poreikį - whitelist