Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Dellei László GyörgyMBA, C|CISO, CISA, CGEIT, CRISC, ISO27LA, CDPO
KERUBIEL LTD.
CEO
Protecting the critical infrastructure
1. Kezdetek
2. Jelenlegi helyzet
3. Lehetőségek
0. Bemutatkozás
KERUBIEL
Privately owned SME
Founded in 2017
Industry: Information Technology and services
Focus areas: Cyber Security, Security, IT development (VR, AI, IoT)
Main activities: Audit, Digital Forensics, Cyber Security professional
services
Certs: C|CISO, CISA, CISM, CGEIT, CRISC, ITIL, CISSP, ISO27LA,
OSCP, CEH, CCSE, OCA, Expert Witness (DS, IT)
Memberships:
AI coalition HUNGARY
Gold members of ISACA
EC-Council, ISC2
John von Neumann Computer Society
Hungarian Chamber of Judicial Experts
The Art of War
A kiberbiztonsági helyzet fokozódik - a hadviselés 5. területe
Az ICS / SCADA elleni fenyegetések tavaly megduplázódtak, a Dell és a Kaspersky új jelentése szerint (új fenyegetések, védjegyek)
Egyetlen szervezet sem túl nagy vagy túl kicsi ahhoz, hogy adatszivárgás áldozatává váljon.
Új megoldásokra van szükség a hatékony védelem eléréséhez
A NATO számítógépes szerverei naponta 200 millió gyanús számítógépes eseményt észlelnek
Project SHINE Reveals Magnitude of Internet-connected Critical Control Systems
Two year study on devices exposed on
Internet
Sampled ~2.2 Million devices exposed
• >25% (587,000) ICS, SCADA systems,
HVAC systems
SHODAN reveals a device’s:
• IP address, geo coordinates, owner,
service port header, firmware details, and
more
require 'msf/core'
class Metasploit3 < Msf::Auxiliary
include Msf::Exploit::Remote::Tcpinclude Rex::Socket::Tcpinclude Msf::Auxiliary::Scanner
def initialize(info = {})super(update_info(info,
'Name'=> 'Siemens Simatic S7-300/400 CPU START/STOP Module',
'Description' => %q{The Siemens Simatic S7-300/400 S7 CPU start
and stop functions over ISO-TSAPthis modules allows an attacker to perform
administrative commands without authentication.This module allows a remote user to change
the state of the PLC betweenSTOP and START, allowing an attacker to end
process control by the PLC.
Számos kiberbiztonsági behatolás általában a vállalati hálózaton keresztül működik, és a hálózatba belépő és onnan kilépő adatok megfigyelése révén az egyik módja a kiberbiztonsági fenyegetések felismerésének. Az elemzők számára a vállalati hálózatok kommunikációjának részét képező minden egyes adatcsomag figyelése szinte lehetetlen.
A biztonsági szakértők nem képesek megfelelni annak a sebességnek és mértéknek, amellyel az AI szoftver képes végrehajtani ezeket az adatelemzési feladatokat. Ezenkívül az AI-alapú kiberbiztonsági adatelemző szoftver a feladatot következetesen nagyobb pontossággal tudja elvégezni, mint az emberi elemzők. A nagyszabású adatelemzés és a rendellenességek észlelése néhány olyan terület, ahol az AI ma hozzáadott értéket jelenthet a kiberbiztonság szempontjából.
A támadás következményeinek és a társaság által igényelt válaszok megértéséhez további adatelemzésre van szükség. Az AI algoritmusok kiképezhetők bizonyos előre meghatározott lépések megtételére támadás esetén, és az idő múlásával megtanulhatják, hogy mi legyen a legideálisabb válasz a kiberbiztonsági szakértők részéről.
A gépi tanuláson alapuló szoftverek több technikát is használhatnak, például statisztikai elemzést, kulcsszó-egyezést és rendellenesség-észlelést annak meghatározására, hogy egy adott adatcsomag eléggé különbözik-e a betanulási adatkészletben használt adatcsomagoktól.
Forrás: Capgemini Report on Reinventing Cybersecurity with Artificial
Intelligence
Forrás:
Capgemini
Report on
Reinventing
Cybersecurit
y with
Artificial
Intelligence
Shadow Firewall (SFW)
2000-es évek elején fejlesztett célszoftver, melynek alapja (korábban UHU, ma jellemzően
Debian) Linux, ami eredetileg kliens operációsrendszer alkalmazásként jött létre.
SPAM szűrő funkcionalitás
A stabil operációs rendszerre építkezve született meg egy spamszűrésre, és kis mail
szerver forgalom menedzselésére (Exchange szerű) alkalmas Linux alapú szoftver, mely a
jelenleg SFW 1.0 nevet kapta. A szoftver fejlesztésére állami támogatást sikerült elnyerni
még a 2000 években, melyet a szoftver stabilitására, illetve a funkciók kifejlesztésére
fordítottunk, illetve fordított az akkori csapat.
SFW 2.0
99% spamszűrési, és 100% vírusszűrési képesség
dobozos alkalmazás
Az SFW 2.5 verzió már tartalmazta a grafikus statisztikai modult, melynek segítségével, sokkal
színesebb és „eladhatóbb” statisztikai elemzéseket lehetett előállítani. Ezen túl tartalmazza a Nagios
funkciót, mely a hálózat menedzsmentben – SFW-re vonatkozóan -, nyújt segítséget.
Az SFW 3.0 verzió fogja tartalmazni a „távolról telepítés” funkciót. Ennek jelentősége a world wide
vállalatok vagy országon belüli számos telephellyel rendelkező vállalatok egyszerre történő, minden
telephelyen, teljes, egy azonos idejű bevezetését teszi lehetővé, ami annyit tesz, hogy előre
definiált, meghatározott kernellel ellátott szerverre a magyarországi –vagy bárhonnan bárhová -,
bázisról telepítjük fel a kiválasztott szerverre az SFW szoftvert. Így nem történik helyszínre utazás, a
telepítést követően az alkalmazást lezárjuk, így hoztuk létre az appliance alkalmazást. A
beüzemelés, a telepítést követően valósul meg.
• Külföldi egyetemekkel konzorciumban fejlesszük tovább a terméket• A jelenleg ismert verzió a fejlesztés befejezését követően tartalmazni fogja:
• továbbfejlesztett mesterséges intelligencia modult, melynek feladata, egy
meglévő, megközelítőleg 1000 szót tartalmazó alapadatbázisból történő
automatikusan újuló és épülő spamadatbázis felépítése. Ennek célja, hogy ne
legyenek előre kiépített spam és egyéb adatbázis kapcsolatok, (blacklist, white list,
tüköradatbázis) hanem amilyen környezetbe helyezik az eszközt (egészségügy,
ipar, informatika, stb..) ott maga készítse el a black list, illetve tükör adatbázisát,
mely által mind tökéletesebb, és kifinomultabb – akár külön értékesíthető
termékként – létrejövő adatbázist kapunk. Ezáltal nem kell speciális algoritmusokkal
előre definiálni, hogy mi a szűrési alap algoritmus, hanem „megtanulja”, a kiszűrni
kívánt tartalmakkal kapcsolatos elvárásokat.• a vírusszűrő/irtó funkcióját – alap esetben -, 6 előre megválasztható motorral képes
megvalósítani, melynek a szoftveres integrációja (belinkelhetősége) kész. Választható CA,
Kaspersky, Mcafee, Symantec motorokkal a telepítés, alapesetben CA és Kaspersky a
vírusszűrő motor, mely egyszerre két lépésben szűr.
Az SFW integrált biztonságtechnikai rendszer egy 5 modulból álló appliance:
Firewall (meglévő)
Webfilter
Spamfilter
MI modul
Obfuszkáció modul (szoftver vízjel)
AI for Network Threat Identification
AI Email Monitoring
AI-based Antivirus Software
AI-based User Behavior Modeling
A jelenlegi modulok, önállóan ismert és bevezetett szoftverkomponensek, mely piacon számos szervezetnél vállalatnál működnek, maximális üzleti kihasználtság mellett. A jelenleg ismert igények között szerepel, hogy a jelenleg párhuzamosan működő modulokat egy integrált MI modullal összekötött egységes hardveres appliance rendszerbe szervezve létrehozzuk a Első Magyar Biztonsági Elemi Rendszer (EMBER) Layer 7 biztonsági szinttel.
A rendszer tervezett bevezetését követően a teljes államigazgatási hálózat biztonsági szempontok szerint értékelve lefedhető, melynek alábbi előnyei jelentkezhetnek:
Hazai fejlesztés, licensz díjak az ország költségvetési körforgásában maradhatnak Hazai fejlesztői csapat, hazai nyelv és azonnali fizikai elérése a fejlesztői csapatnak Nincs nemzetbiztonsági kockázat, idegen országok termékeinek bevezetése és egyéb
fejlesztési kiszolgáltatottság kapcsán Piacon egyedi integrált megoldás Hazai internet és adatkezelési szokásokhoz alkalmazkodás Államigazgatási szokások miatt specializáció Layer 7 biztonsági szint Nemzeti adatvagyon megőrzése Nemzetközi vizeken értékesíthető integrált megoldás A jelenleg ismert hálózatbiztonsági igényeknek, maradéktalan megfelelő
A vállalkozásoknak meg kell értenie, hogy ezek a rendszerek csak annyira jók, mint a számukra táplált adatok.
A kiberbiztonsági alkalmazások ma a legnépszerűbb AI-alkalmazások. Ez nagyrészt annak köszönhető, hogy ezek az alkalmazások olyan rendellenességek felismerésére támaszkodnak, amelyekre a gépi tanulási modellek nagyon alkalmasak.
A vállalkozások 61% -a mondja, hogy ma nem tudja felderíteni a betörési kísérleteket AI technológiák használata nélkül. (Forbes)
48% szerint a kiberbiztonsági AI-költségvetés átlagosan 29% -kal növekszik a 2020-as költségvetési évben. (Forbes)
Dellei László GyörgyMBA, C|CISO, CISA, CGEIT, CRISC, ISO27LA, CDPO
KERUBIEL KFT.
Member of GDPR WG of ISACA HQ
https://kerubiel.com
+36(30)691 6421