Kierunki rozwoju zagrożeń bezpieczeństwa cyberprzestrzeni
Michał Pilc – Dział Bezpieczeństwa ICT, PCSS Warszawa, 06.04.2017
Konferencja „Kongres Bezpieczeństwa Sieci”
Agenda
• PCSS i bezpieczeństwo teleinformatyczne
• Kierunki rozwoju sieci teleinformatycznych
• Centra danych i chmury obliczeniowe
• Sieci Internetu Rzeczy
• Audyty bezpieczeństwa
• Pytania, dyskusja
2
PCSS
• Operator sieci PIONIER oraz POZMAN
• Uczestnik europejskich i krajowych projektów naukowo-badawczych
• Realizacja prac B+R z nauką, administracją oraz biznesem
• Główne obszary zainteresowań
– Sieci nowej generacji (NGN)
– Nowe architektury przetwarzania danych
– Zaawansowane aplikacje
– Usługi Internetu Rzeczy
– Bezpieczeństwo sieci i systemów
Rok założenia – 1993
3
Podstawowe obszary działania w zakresie bezpieczeństwa IT
Nadzór nad infrastrukturą („Praca operacyjna”)
Zadania bezpieczeństwa w projektach naukowo-badawczych
Realizacja misji szkoleniowej
Współpraca z jednostkami zewnętrznymi
Badania własne w dziedzinie bezpieczeństwa IT 4
Trendy w rozwoju sieci teleinformatycznych
• Wszędobylska sieć, duża liczba urządzeń małej mocy
• Rozproszenie, fragmentacja, mnogość standardów
• Wirtualizacja (centra danych, chmury obliczeniowe)
• Integracja z technologiami przyszłości (komputery kwantowe,
lekka kryptografia, bezpieczeństwo warstwy fizycznej)
5G, Bluetooth LE, IoT (M2M, V2V, IoE), Cloud Computing
5
Centra danych i chmury obliczeniowe
Wyzwania
• Bezpieczne współdzielenie zasobów
• Bezpieczny dostęp zdalny
• Dostępność infrastruktury
– ochrona przed atakami DDoS (ang. Distributed Denial of Service)
– środki ochrony fizycznej (np. chłodzenie, kontrola dostępu, systemy ppoż.)
– ochrona danych (RAID, kopie zapasowe, ochrona dostępu do danych)
Bezpieczeństwo danych użytkowników i sieci
6
Urząd Miasta
szpital
małe firmy
osoby fizyczne
Rodzaje chmur obliczeniowych
1) Ze względu na rodzaj świadczonych usług:
IaaS (ang. Infrastructure as a Service)
PaaS (ang. Platform as a Service)
SaaS (ang. Software as a Service)
2) Ze względu na model użycia:
publiczne
prywatne
wspólnotowe
mieszane (hybrydowe)
Ze względu na rodzaj usług i model użycia
7
Zagrożenia bezpieczeństwa
1. Bezpieczeństwo danych
2. Interfejs zarządzania chmurą
3. Pracownicy dostawcy centrum danych
4. Nieznany profil ryzyka
5. Utrudnione wykrycie przestępstw komputerowych
6. Współdzielenie zasobów przez wielu klientów
Centra danych i chmury obliczeniowe
8
Ochrona danych w chmurach obliczeniowych
Szyfrowanie danych:
- w spoczynku
- przy transporcie
- w użyciu
Szyfrowanie
9
001011… 10110111001….
SaaS
• konsument
• operator
• trzecia strona
PaaS
• aplikacja
• infrastruktura chmury obliczeniowej
IaaS
• pojemnościowe
• plikowe
• na poziomie aplikacji
Miejsce szyfrowania danych
Szyfrowanie w chmurach obliczeniowych Wyzwania
10
001011… 10110111001…. 1. Mechanizmy autoryzacji (np. ABAC)
2. Dostępność zaszyfrowanych danych
3. Integralność zaszyfrowanych danych
4. Zapewnienie bezpiecznych mechanizmów wymiany informacji
5. Zgodność z prawem i standardami
6. Zarządzanie kluczami
7. Przeszukiwanie i sortowanie zaszyfrowanych danych
Internet Rzeczy (ang. Internet of Things, IoT) Definicja, historia
11
• Sieci inteligentne (inteligentny dom, kampus, miasto)
• Sieci sensorów i urządzeń oraz aplikacji sterujących (ang. wireless sensor and actuator networks, WSAN)
• Sieci łączące:
- urządzenia (ang. device-to-device, D2D),
- maszyny (ang. machine-to-machine, M2M),
- samochody (ang. vehicle-to-vehicle,V2V)
• Automatyka przemysłowa, sieci SCADA
• 14,4 biliony USD – rynek IoT do 2022 r.
Główne czynniki eskalacji problemu bezpieczeństwa w IoT
12
Brak standardyzacji, bardzo duża
fragmentacja rozwiązań
Konieczność nagłej adaptacji znanych
strategii bezpieczeństwa do IoT
Bardzo trudna dystrybucja poprawek
bezpieczeństwa
Ograniczone zasoby obliczeniowe w wielu
urządzeniach
Wielu użytkowników, korzystających z bardzo
różnych rozwiązań
Przykłady z życia wzięte Zagrożenia, podatności, luki bezpieczeństwa
13
• Botnet Mirai – październik 2016r. atak DDoS w USA
• Włamanie do inteligentnej lodówki – ujawnienie haseł
dostępu do poczty w komputerze domowym (2014)
• Urządzenie DVR, obsługa rejestratorów kamer
przy siódmej próbie zalogowania jako użytkownik admin aplikacja
Web daje dostęp do panelu zarządzającego
potencjalnie umożliwia włamanie do sieci komputerowej
Co w takim razie możemy zrobić?
14
Myśleć o bezpieczeństwie produktu od samego początku
Właściwie skonstruować cykl życia systemu (Secure Development Life Cycle)
Mieć świadomość zagrożeń oraz właściwie oszacować ryzyko
Wdrożyć odpowiednie mechanizmy uwierzytelniania, kontroli dostępu, …
Być przygotowanym na właściwą reakcję po staniu się ofiarą ataku
Producent urządzeń IoT Użytkownik sieci IoT
Nasze badania nad bezpieczeństwem IoT
• Cel: budowa interoperacyjnej platformy dla integracji aktualnych i przyszłych środowisk IoT
– PCSS działa na kilku obszarach badawczych, m.in. bezpieczeństwa
• Detekcja anomalii
• Zapewnienie bezpieczeństwa tworzonych rozwiązań
– https://www.symbiote-h2020.eu/
• Działania w ramach AIOTI WG 4
Projekt symbIoTe – „Symbiosis of smart objects across IoT environments” (2016-2018)
15
Audyt bezpieczeństwa infrastruktury IT
• Profilaktyka
• Znajdowanie słabych punktów przed incydentem bezpieczeństwa
• Audyt: – weryfikacja zgodności stanu istniejącego ze stanem pożądanym
– działanie zmierzające do wspomagania biorcy audytu
• Audyt wewnętrzny a zewnętrzny
• Dlaczego warto przeprowadzić audyt zewnętrzny? – niezależna ocena stanu bezpieczeństwa
– rekomendacje dotyczące przyszłych wdrożeń systemów IT
– weryfikacja pracy własnych pracowników
– symulacja ataku i sprawdzenie reakcji personelu
„Lepiej zapobiegać, niż leczyć”
16
Analiza ciągłości działania
Bezpieczeństwo prawne
Bezpieczeństwo osobowe
Bezpieczeństwo stacji
roboczych
Bezpieczeństwo serwerów
Bezpieczeństwo dostępu zdalnego
Bezpieczeństwo sieci
Bezpieczeństwo fizyczne
Audyt teleinformatyczny
Koszty
Opłacalność
Obszary merytoryczne audytu
Współpraca zewnętrzna w zakresie bezpieczeństwa IT
• Usługi audytorskie
– Kompleksowe audyty teleinformatyczne
– Testy penetracyjne
– Przeglądy kodu źródłowego i binarnego
– Testy odporności na ataki DoS/DDoS
• Usługi doradcze i wdrożeniowe
• Usługi świadczone w modelu ciągłym
• Usługi uzupełniające
– m.in. szkolenia z zakresu bezpieczeństwa
• Więcej: http://security.psnc.pl/katalog.pdf 18
Pytania?
19
Dane kontaktowe
• Autor prezentacji
• Dział Bezpieczeństwa ICT PCSS
– http://security.psnc.pl
• PCSS
– http://www.pcss.pl
20
Poznańskie Centrum Superkomputerowo - Sieciowe
ul. Noskowskiego 12/14, 61-704 Poznań,
tel : (+48 61) 858-20-00, fax: (+48 61) 852-59-54,
e-mail: [email protected], http://www.pcss.pl
afiliowane przy Instytucie Chemii Bioorganicznej PAN,