Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...
PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa w działalności dużego telecomu
1. 1 Orange Restricted
Rola
bezpieczeństwa IT
w działalności operatora
telekomunikacyjnego
Andrzej Karpiński
Dyrektor Archiotektury i Rozwoju Zabezpieczeń Teleinformatycznych
Orange Polska
PLNOG 18, 7 marca 2017
3. 3 Orange Restricted
Transport
Control
Ekosystem cyberbezpieczeństwa w Orange Polska
Home Home Network
Service
Access Access Networks
Common IP Transport
Internet Public Cloud
NG PoP NG PoP NG PoP
Mobile
Access
FTTx /
Metro
HybridWiFixDSL
Network Functions
(Core & Control)
IT Applications (BSS/OSS)
BI
Service Platforms
Private Cloud
Geodistributed IT Infrastructure
Central IT Infrastructure
Private Cloud
Primary & Disaster Recovery DC
Digital Workplace
Internet
employee
• Największa sieć operatorska
w Polsce
• Blisko 500 Gbit ruchu
międzynarodowego
• Kilkadziesiąt Tbit ruchu
wewnętrznego
• 2 duże ośrodki przetwarzania
danych (CPD: Łódź i Psary)
• 15,6 mln abonentów mobilnych
• Ponad 4 mln abonentów
stacjonarnych
• 2 mln abonentów usług
DSL/FTTH
• 14 głównych POP na terenie
Polski, ponad 3300 lokalnych
węzłów sieci
government
customerB2C B2B
Orange
Group
Security SOC/CERT
CyberShield
4. 4 Orange Restricted
2016
8 mld
2015
6 mld
zdarzeń miesięcznie
DDoS
6k ataków
miesięcznie
DDoS Mobilie
59 ataków
miesięcznie
Locky ransomware:
blisko 140k
prób infekcji
1H2016
12,6k ataków w
ubiegłym tygodniu
Cyberbezpieczeństwo w liczbach
Wzrost liczby
wykrytych próbek
malware mobilnego
2016 370%
2015 60%
Wzrost ilości ataków
typu ransomware
2016 230%
2015 300%
Ćwierć miliona
użytkowników
ochronionych dzięki
kampaniom
CyberTarczy
5. 5 Orange Restricted
Wyzwania w zakresie bezpieczeństwa
po co bezpieczeństwo u operatora
o Sie telekomunikacyjnać
o Aplikacje i systemy teleinformatyczne
o Własna sie wewn trznać ę
o Dane wra liwe u ytkownikówż ż
o Dane handlowe / przewaga konkurencyjna
o Poczucie bezpiecze stwa klientówń
o Klienci biznesowi -> $$$ (+)/(-)
o Wymagania regulacyjne
o Cyberbezpiecze stwo kraju – efekt skaliń
o Telekom = infrastruktura strategiczna
6. 6 Orange Restricted
Cyberbezpieczeństwo w OPL – jak to robimy
DDoS
Protection
na wielu
platformach
0-day-
malware
analiza i
wykrywanie
Ochrona i
monitoring
sieci i usług
Security
Monitoring
SOC/CERT
24/7/365
Współpraca i
wymiana
informacji
Kompetencje Edukacja
391
rednie dane miesi czne za 2017Ś ę
Analizowane anomalie
Incydenty
bezpiecze stwań
Zdarzenia (raw events)
8 150 601 302
208 915
1729
Usługi
security
B2B
B2C
Security by
Design
CyberTarcza
Orange
7. 7 Orange Restricted
Kategorie zadań związanych z bezpieczeństwem
w działalności operatora telekomunikacyjnego
o Zarządzanie dostępem (wewn/zewn)
o Dedykowane systemy bezpieczeństwa
o Security-by-design / security-in-depth
o Audyty i kontrole
o Obsługa incydentów bezpieczeństwa
o Działania związane z wymogami prawnymi
i regulacyjnymi
o Usługi komercyjne
o Edukacja, współpraca międzyoperatorska
i międzynarodowa, R&D
8. 8 Orange Restricted
Rynek w stanie ciągłych zmian
o Wszędzie oszczędności – konsolidacja, optymalizacja, outsourcing
o Niezmiennie wysoki poziom zagrożeń zewnętrznych i wewnętrznych
o Tani transfer danych, duże/nielimitowane pakiety mobilne – wzrost
pojemności sieci i przesyłanego ruchu -> incydenty
o Migracja sieci z wyspowych światów technologicznych w kierunku
„wszystko po IP”
o Be online, be mobile – można egzystować nie wychodząc z domu
przez lata; Cloudyzacja świata
o Wzrost znaczenia usług świadczonych drogą elektroniczną
o Internet rzeczy, inteligentny dom -> Mirai, ale i Amazon Dash
o Konwergencja ofert i usług – triple play to przeżytek
o Nowe metodyki zarządzania projektami (SCRUM, Agile)
o Nowe usługi z zakresu bezpieczeństwa,
nowe oczekiwania klientów i rynku
9. 9 Orange Restricted
Security-by-design
Podczas
projektowania i
budowy rozwi zaą ń
ITN bezpiecze stwoń
ma wpływ na
ostateczny kształt
rozwi zaniaą
Na ka dym etapież
weryfikowana jest
zgodno tworzonegość
rozwi zania zą
wewn trznymię
standardami
bezpiecze stwań
Budowane systemy
ITN same w sobie
powinny być
bezpieczne, bronić
si przed atakami, ię
logowa zdarzenia dlać
pó niejszej analizyź
Budowane systemy
wykorzystuj gotoweą
i zestandaryzowane
komponenty
security – firewalle,
WAF, proxy, IPS,
systemy autoryzacji
itd
Na ka dym etapież
mo liwe jest veto lubż
wniosek ze strony
bezpiecze stwa;ń
Warunkiem wej cia naś
produkcj jest wynikę
testów
bezpiecze stwań
1053 inicjatywy w
ci gu roku, zą
obszarów IT, AIT,
Orange Labs i sieci,
na ró nych etapachż
analizy
259 testów
bezpiecze stwa wń
2016
Blisko 1300
systemów
teleinformatycznych,
z czego ponad 100 o
statusie krytycznym
dla funkcjonowania
spółki
Najbardziej rozległa
sie operatorska wć
Polsce – ponad 2 mln
abonentów sieci stałej
IP, i 16 mln abonentów
mobilnych
26.000 pracowników i
współpracowników
wykorzystuj cychą
systemy internal IT
Zało eniaż
W
liczbach
10. 10 Orange Restricted
Przykłady realizacji zadań związanych z bezpieczeństwem
o Bezpiecze stwo out-of-the-box (NetBIOS, port 25)ń
o NBIG/SRC - firewall w Internet DSL
o AV, IPS aaS, Security as a Service
o CERT/SOC Orange Polska
o Blackholing
o Kontrola rodzicielska
o CyberTarcza Orange
o DDoS Protection
o Prefix automat – filtry ingress
o Testy odporno ci infrastruktury, audytś
o @ DKIM (@pl.orange.com)
o Orange Energia/Finanse
o Orange wiatłowódŚ
12. tajemnica Orange Polska S.A. – confidential
Ataki DDoS
Ataki wolumetryczne – ataki na wyczerpanie pasma i infrastruktury (głównie pasmo w sieci i wydajność
urz dze – przeł czniki, routery, firewalle..)ą ń ą
Ataki aplikacyjne – ataki powoli wysycaj ce zasoby atakowanego serwisu (głównie CPU i pami )ą ęć
13. tajemnica Orange Polska S.A. – confidential
Ochrona DDoS
Monitorujemy:
• Core, AR (w tym kluczowe styki z innymi operatorami i najwi kszymi dostawcami tre ci, i ł czaę ś ą
mi dzynarodowe)ę
• Styki sieci mobile z sieci Coreą
• TPIX
Mitygujemy:
• Arbor TMS
• Flowspec
• Blackholing/Sinkholing
• W wyj tkowych sytuacjach r czne ACLą ę
14. tajemnica Orange Polska S.A. – confidential
Kontrola rodzicielska
Lokalizacja gdzie znajduje si dzieckoę
Ograniczenie poł cze wchodz cych i wychodz cychą ń ą ą
Dost p rodzica do bilinguę
Telefon alarmowy
Siatka godzin z gradacj uprawnie dost puą ń ę
Filtrowanie tre ci – filtr rodzicielskiś
15. tajemnica Orange Polska S.A. – confidential
Stare ale jare
CERT/SOC (abuse)
Prefix automat
BGP blackholing
Blokada 25 i NetBios
NBIG/SRC
Portal CERT Orange
Usługi bezpiecze stwań
Działania edukacyjne i prace badawczo-rozwojowe, współpraca z uczelniami
Po co bezpieczeństwo u operatora telekomunikacyjnego – niechciany koszt?
Zadania związane z bezpieczeństwem teleinformatycznym u operatora
Nowe zjawiska na rynku – e-Obywatel, IoT, mobilny świat
Przykłady realizacji zadań związanych z bezpieczeństwem
Znaczenie bezpieczeństwa z punktu widzenia klienta
Zarządzanie dostępem – Neo w domu, to 2FA przy zamówieniach, to AnyConnect, ale też tokeny albo polityka haseł w SK
Security-in-depth – sieć, serwis, aplikacje, BRASy, DDoSy, etc.
Międzyoperatorska – w biznesie walczymy, w security sobie pomagamy
All IP – jeszcze niedawno sporo rzeczy chodziło po analogu albo odrębnie od siebie; teraz mamy IoT i wszystko po IP, ergo -> zagrożenia; to wszystko trzeba zabezpieczyć
Be online/be mobile – to nie tylko korzyści, odcięcie od świata, ale też permanentna inwigilacja! A user nie ma pojęcia i nie chce mieć. On musi mieć security dane do ręki
SCRUM, Agile – szybko, szybko, a gdzie security-by-design?
Oczekiwania klientów – TTM nie lubi security.
NBIG/SRC – konfigurowalny FW dla firm
Prefix automat – filtry ingress – wymiana ruchu z TPNET tylko wg. wpisów z RipeDB
Każdy duży dostawca poczty obsługuje DKIM -> nie ma spoofingu takiej poczty
Energia/Finanse/FTTH -> Security-by-design
NBIG/SRC – konfigurowalny FW dla firm
Prefix automat – filtry ingress – wymiana ruchu z TPNET tylko wg. wpisów z RipeDB
Każdy duży dostawca poczty obsługuje DKIM -> nie ma spoofingu takiej poczty
Energia/Finanse/FTTH -> Security-by-design