Kako zmagati v kibernetski vojni?

dr. Andrej Rakar, PCI ASV QSA, GCIH GPEN, SANS Advisory Board Member

Andrej Gornik, OSCP, CCNA, LPIC-2

mag. Edvin Rustemagić, C|EH, GWAPT

Branko Miličević, ISACA CSX

mag. Matevž Mesojednik, GWAPT, GPEN, GMON

mag. Miha Ozimek, CISA, CISM, PRIS, vodilni presojevalec ISO/IEC 27001

010100000111001

1010011001010010000001101001011011100110011001101111

0110001101101001011010100111001101101011011

1001010110100001101110011011110110110001101111011

1010000101001010110001000000110010

101101110011010100110010101101101001000000111001

11010100100000011001010110110001100101011

110011100110110101101100101011001110110000100100000011

011011000110111101110110011000010110111

SIQ Hacking Team

Kibernetski prostor

UPORABNIKI / DRUŽABNA OMREŽJA

POSLOVNA OKOLJA

KRITIČNA INFRASTRUKTURA

POVEZANI SISTEMI [IT, OT, IOT]

Kako zmagati v kibernetski vojni?

• Varna zasnova in zaščita na več nivojih

• Neprekinjeno preverjanje in utrjevanjevarnostnih kontrol

• Vzpostavitev potrebne varnostne vidljivosti

• Kontinuirano spremljanje varnostnih odstopanj

• Odziv na varnostne incidente

• Revizija informacijskih sistemov in procesov

• Preizkušanje učinkovitosti obrambe, zaznave in odziva

Total entries = 108995

Total unique entries = 86660

Top 10:

slovenija = 154 (0.14%)

123456789 = 142 (0.13%)

12345678 = 104 (0.1%)

ljubezen = 60 (0.06%)

pikapolonica = 58 (0.05%)

geslo123 = 56 (0.05%)

ljubljana = 55 (0.05%)

olimpija = 54 (0.05%)

barcelona = 52 (0.05%)

logitech = 51 (0.05%)

Obramba + Zaznava + Odziv + Preverjanje

Vir: Finance, 2018

Preverjanje učinkovitosti zaznave in odziva

CILJI

• Odkrivanje čim večjega števila varnostnih pomanjkljivosti

– konfiguracije, sistemske ranljivosti

• Potrditev obstoja ranljivosti– vdorni test | eksploitacija

• Vrednotenje poslovnih tveganj

OMEJITVE

• Čas

• Obseg preverjanja

• PENTESTING • RED TEAMING

CILJI

• Usmerjeno odkrivanje varnostnih pomanjkljivosti za dosego cilja

– eksfiltracija podatkov

– prevzem sistema

• Preizkus zmogljivosti zaznave in odziva

• Prikrivanje aktivnosti in sledi

OMEJITVE

• Blue Team

Kibernetska (ne)varnost

[ZInfV] Naloge izvajalcev bistvenih storitev

Izvajalci bistvenih storitev izvedejo analizo, oceno in vrednotenjetveganj ter na tej osnovi pripravijo in izvedejo potrebne ukrepe zaobvladovanje tveganj glede varnosti omrežij in informacijskihsistemov, ki jih uporabljajo pri bistvenih storitvah.

Neodvisnost preverjanja skladnosti

UREDBA EVROPSKEGA PARLAMENTA IN SVETA [2019/03/12]• o certificiranju informacijske in komunikacijske tehnologije na področju

kibernetske varnosti

• v potrjevanju sprejetje evropske certifikacijske sheme za kibernetsko varnost

Organ za ugotavljanje skladnosti, njegovo najvišje vodstvo in osebje, odgovorno za izvajanje nalog

ugotavljanja skladnosti, ne sodelujejo neposredno pri snovanju, proizvodnji ali izdelavi, trženju,

montaži, uporabi ali vzdrževanju teh izdelkov ali storitev IKT niti ne zastopajo strani, ki sodelujejo pri

teh dejavnostih.

A conformity assessment is a procedure for evaluating whether specified requirements relating to an

ICT product, ICT service or ICT process have been fulfilled. That procedure is carried out by an

independent third party that is not the manufacturer or provider of the ICT products, ICT

services or ICT processes that are being assessed.

Market Guide for Security Threat Intelligence Products and Services, Gartner, 2017

1 2 3 4 5

CELOVITOST

(Breadth of

Coverage)

GLOBINA IN

TOČNOST

(Depth and

Accuracy)

ZMOŽNOST

IZVEDBE

(Ability to

Execute)

RAZŠIRLJIVOST

(Extensibility)SPECIALIZACIJA

(Specialization)

Kako izbrati storitve informacijske varnosti

Vulnerability Scan ≠ Penetration Test

ExploitationInformation Gathering

Active Scanning

FingerprintingVulnerability

ScanningExploitation Reporting

Faze varnostnega pregleda

Vulnerability Scan

LAŽEN OBČUTEK VARNOSTI

• “Imamo nameščene vse popravke!”

• “Imamo najsodobnejšo in najdražjopožarno pregrado!”

• “Uporabljamo šifriranje!”

• “Kupujemo le pri svetovno znanihproizvajalcih!”

• “Proizvajalec/vzdrževalec nam zagotavlja, da je za varnost poskrbljeno!”

• “Naši strežniki so v zaklenjenem prostoru in pod video nadzorom!”

Lažen občutek varnosti

Demo – Testno okolje

Izvajanje storitev informacijske varnosti, vse znotraj ene organizacije.

SIQ laboratorij kibernetske varnosti, kompetenčni center znanja.

Preverjanje informacijskih tehnologij

Danes se posveča premalo pozornosti kibernetski varnosti, zlasti kritične infrastrukture

Zaključek – koraki do zmage

Tehnične rešitve ne zagotavljajo zadostne varnosti

Upravljanje s tveganji mora zajemati vse nivoje ekosistema:• organizacijski ukrepi• tehnični ukrepi• izobraževanje uporabnikov/zaposlenih• varnostna preverjanja (vdorno testiranje, socialni inženiring)

Vprašanja?

infosec@siq.si