Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
Kako zmagati v kibernetski vojni?
dr. Andrej Rakar, PCI ASV QSA, GCIH GPEN, SANS Advisory Board Member
Andrej Gornik, OSCP, CCNA, LPIC-2
mag. Edvin Rustemagić, C|EH, GWAPT
Branko Miličević, ISACA CSX
mag. Matevž Mesojednik, GWAPT, GPEN, GMON
mag. Miha Ozimek, CISA, CISM, PRIS, vodilni presojevalec ISO/IEC 27001
010100000111001
1010011001010010000001101001011011100110011001101111
0110001101101001011010100111001101101011011
1001010110100001101110011011110110110001101111011
1010000101001010110001000000110010
101101110011010100110010101101101001000000111001
11010100100000011001010110110001100101011
110011100110110101101100101011001110110000100100000011
011011000110111101110110011000010110111
SIQ Hacking Team
Kibernetski prostor
UPORABNIKI / DRUŽABNA OMREŽJA
POSLOVNA OKOLJA
KRITIČNA INFRASTRUKTURA
POVEZANI SISTEMI [IT, OT, IOT]
Kako zmagati v kibernetski vojni?
• Varna zasnova in zaščita na več nivojih
• Neprekinjeno preverjanje in utrjevanjevarnostnih kontrol
• Vzpostavitev potrebne varnostne vidljivosti
• Kontinuirano spremljanje varnostnih odstopanj
• Odziv na varnostne incidente
• Revizija informacijskih sistemov in procesov
• Preizkušanje učinkovitosti obrambe, zaznave in odziva
Total entries = 108995
Total unique entries = 86660
Top 10:
slovenija = 154 (0.14%)
123456789 = 142 (0.13%)
12345678 = 104 (0.1%)
ljubezen = 60 (0.06%)
pikapolonica = 58 (0.05%)
geslo123 = 56 (0.05%)
ljubljana = 55 (0.05%)
olimpija = 54 (0.05%)
barcelona = 52 (0.05%)
logitech = 51 (0.05%)
Obramba + Zaznava + Odziv + Preverjanje
Vir: Finance, 2018
Preverjanje učinkovitosti zaznave in odziva
CILJI
• Odkrivanje čim večjega števila varnostnih pomanjkljivosti
– konfiguracije, sistemske ranljivosti
• Potrditev obstoja ranljivosti– vdorni test | eksploitacija
• Vrednotenje poslovnih tveganj
OMEJITVE
• Čas
• Obseg preverjanja
• PENTESTING • RED TEAMING
CILJI
• Usmerjeno odkrivanje varnostnih pomanjkljivosti za dosego cilja
– eksfiltracija podatkov
– prevzem sistema
• Preizkus zmogljivosti zaznave in odziva
• Prikrivanje aktivnosti in sledi
OMEJITVE
• Blue Team
Kibernetska (ne)varnost
[ZInfV] Naloge izvajalcev bistvenih storitev
Izvajalci bistvenih storitev izvedejo analizo, oceno in vrednotenjetveganj ter na tej osnovi pripravijo in izvedejo potrebne ukrepe zaobvladovanje tveganj glede varnosti omrežij in informacijskihsistemov, ki jih uporabljajo pri bistvenih storitvah.
Neodvisnost preverjanja skladnosti
UREDBA EVROPSKEGA PARLAMENTA IN SVETA [2019/03/12]• o certificiranju informacijske in komunikacijske tehnologije na področju
kibernetske varnosti
• v potrjevanju sprejetje evropske certifikacijske sheme za kibernetsko varnost
Organ za ugotavljanje skladnosti, njegovo najvišje vodstvo in osebje, odgovorno za izvajanje nalog
ugotavljanja skladnosti, ne sodelujejo neposredno pri snovanju, proizvodnji ali izdelavi, trženju,
montaži, uporabi ali vzdrževanju teh izdelkov ali storitev IKT niti ne zastopajo strani, ki sodelujejo pri
teh dejavnostih.
A conformity assessment is a procedure for evaluating whether specified requirements relating to an
ICT product, ICT service or ICT process have been fulfilled. That procedure is carried out by an
independent third party that is not the manufacturer or provider of the ICT products, ICT
services or ICT processes that are being assessed.
Market Guide for Security Threat Intelligence Products and Services, Gartner, 2017
1 2 3 4 5
CELOVITOST
(Breadth of
Coverage)
GLOBINA IN
TOČNOST
(Depth and
Accuracy)
ZMOŽNOST
IZVEDBE
(Ability to
Execute)
RAZŠIRLJIVOST
(Extensibility)SPECIALIZACIJA
(Specialization)
Kako izbrati storitve informacijske varnosti
Vulnerability Scan ≠ Penetration Test
ExploitationInformation Gathering
Active Scanning
FingerprintingVulnerability
ScanningExploitation Reporting
Faze varnostnega pregleda
Vulnerability Scan
LAŽEN OBČUTEK VARNOSTI
• “Imamo nameščene vse popravke!”
• “Imamo najsodobnejšo in najdražjopožarno pregrado!”
• “Uporabljamo šifriranje!”
• “Kupujemo le pri svetovno znanihproizvajalcih!”
• “Proizvajalec/vzdrževalec nam zagotavlja, da je za varnost poskrbljeno!”
• “Naši strežniki so v zaklenjenem prostoru in pod video nadzorom!”
Lažen občutek varnosti
Demo – Testno okolje
Izvajanje storitev informacijske varnosti, vse znotraj ene organizacije.
SIQ laboratorij kibernetske varnosti, kompetenčni center znanja.
Preverjanje informacijskih tehnologij
Danes se posveča premalo pozornosti kibernetski varnosti, zlasti kritične infrastrukture
Zaključek – koraki do zmage
Tehnične rešitve ne zagotavljajo zadostne varnosti
Upravljanje s tveganji mora zajemati vse nivoje ekosistema:• organizacijski ukrepi• tehnični ukrepi• izobraževanje uporabnikov/zaposlenih• varnostna preverjanja (vdorno testiranje, socialni inženiring)
Vprašanja?