Kyberturvallisuus käytännössä

Transkriptio

1 Kyberturvallisuus käytännössä Työkalu- ja prosessivaatimukset tietoturvauhkien havainnointiin Antti Jääskeläinen, SOC Manager, Cygate

2 Taustat Tietoturvallisten tietoverkko-, yritysviestintä ja palvelinkeskuspalveluiden toimittaja Työntekijöitä n. 700 (FI - 175) Liikevaihto M (FI - 57 M ) Osa TeliaSonera-konsernia Cygaten palvelukseen 2006 Tietoturvakonsultti ja SOC-päällikkö SIEM + IDS/IPS + muut prosessit SOC

3 Kyberturvallisuus käytännössä Työkalu- ja prosessivaatimukset tietoturvauhkien havainnointiin Työkalujen kirjo ja kehitys Mitä työkaluilta tulisi vaatia? Automaattinen vs. manuaalinen tunnistaminen? Tietoturvainsidenttien hallinnan konkreettiset hyödyt Miltä tilanne näyttää tästä vinkkelistä katsottuna? Suojeltavat tiedot & riskit & uhkamallinnus & & käytettävyys

4 Työkalut Kaikki appliancena kiitos SSL VPN UTM Zone FW Gartner IDS is dead! 2005 Secure GW Secure Web GW joka paikkaan SIEM hype aluillaan Adaptiivinen IDS/IPS ei se kuollutkaan P C I D S S --> DLP? Virtuaaliset appliancet SIEM hype kova yritys Metasploit evolution Gartner NGFW DDoS Protection VAHTI tietoturvatasot App Aware RSA Breach APT --> IT GRC Advanced Malware Protection (sandboxing) Advanced Evasions? Mandiant APT1 Report SIEM Security Analytics IOCit on täällä! Resurssit --> WAF TIME??? Pilveen? + kaikkea muuta NACista, kovalevyjen kryptauksesta aina tietokantojen auditointiin

5 Me ollaan hävitty tää peli Commodity Threats Tilanne tulee ja menee ohi Koneet sileeksi eteenpäin Hactivism Varautuminen ja tarkempi suunnittelu aiheellista Ulkoisten uhkien seuraaminen tarkemmin Advanced Persistent Threat They ll keep coming! Tässä kohtaa homma menee hankalaksi Erittäin työlästä ja vaikeaa Työkalut riviin ja prosessit tikkiin! Attack kill chain

6 Työkalut & vaatimukset Kyberturvallisuus käytännössä Perusasiat kuntoon Hyökkäyspinta-alan minimointi, segmentointi, patchit Kybertyökalu = ihminen + teknologia Yksittäinen buginen matopurkki ei päivää pelasta IDS/IPS ei toimi hyllyllä ilman virtaa Resursoi ja ota työkaluista hyödyt irti Verkostoidu ja pyydä apua, kun sitä tarvitset Mitä työkaluilta Nopeus, dynaamisuus, skaalautuvuus, roadmap Linux + Snort + tietoturvaguru + prosessi pesee Next Generation über matopurkin! (siis melkein ) Pilveen? 2014 Meta-tiedot (lokit + paketit) TIME Ulkoiset uhkatiedot Context aware NGFW käyttöön SPEED!! Malware sandboxing Kryptaus Deception Assettietoisuus Endpoint Visibility (forensiikka)

7 Työkalujen ja prosessien tavoite? Attacker Surveillance Target Analysis Access Probe Attack Set-up System Intrusion Attack Begins Cover-up Starts Discovery/ Persistence Leap Frog Attacks Complete Cover-up Complete Maintain foothold Need to ID attack precursors TIME Physical Security Threat Analysis Defender Discovery Attack Forecast Source: NERC HILF Report, June 2010 ( ) ATTACKER FREE TIME Monitoring & Controls Attack Identified Incident Reporting Containment & Eradication Impact Analysis Damage Identification System Reaction TIME which helps collapses attacker free time Response Recovery

8 Attack kill chain Phase Detect Deny Disrupt Degrade Deceive Contain Reconnaissance Threat Intelligence NIDS DB Security Information Sharing Policy Weaponization Threat Intelligence NIDS Delivery Context-Aware Endpoint Malware Protection Change Management File Integrity Application Whitelisting NIPS Inline AV Queuing Router ACLs App-Aware Firewall Trust Zones Inter-Zone NIPS Exploitation Endpoint Malware Protection Secure Password Data Execution Prevention (DEP) App-Aware Firewall Trust Zones Inter-Zone NIPS Persistence / Lateral Movement Log Monitoring Privilege Separation Secure Password Two-Factor Router ACLs AV App-Aware Firewall Trust Zones Inter-Zone NIPS Command & Control NIDS Firewall ACL NIPS Tarpit DNS Redirect Trust Zones DNS Sinkholes Actions on Targets Endpoint Malware Protection Encryption Endpoint Malware Protection Quality of Service Honeypot Incident Response Exfiltration DLP Egress Filtering DLP Firewall ACLs

9 Vähän yksinkertaisemmin Before Policy & Control Discover environment Implement access policy Harden assets During Identification & Block Detect Prevent After Analysis & Remediation Determine Scope Contain Remediate Firewall Application Control Vulnerability Management Patch Management IPS Anti-virus Anti-malware IDS SIEM & Log Mgmt Forensics Full Packet Capture

10 Automaattisesti kaikki hoituu? Ihmisellä ja osaamisella entistä merkittävämpi rooli Uusista työkaluista ei saada haluttuja hyötyjä irti ilman lisäresursointia tai uudelleenjärjestelyjä Mitä pitäisi tehdä manuaalisesti ihan minimissään? Pitäisikö 24x7 SOC-toimintaa edes tavoitella? Before Policy & Control Secure by design? Perusasiat kunnossa? Edellytykset nähdä jotain? Syötettä opituista asioista? During Identification & Block Dynamic? Kaikki hyödyt irti? Tapahtumia valvotaan? Torjuntakykyä kehitetään? After Analysis & Remediation Resources and skills? Analysoidaanko? Puututaanko poikkeamiin? Helppous ja nopeus!

11 Tietoturvainsidentit Lähde- ja kohdetiedot Kuvaus ja tiedot häiriöstä Tunnistetiedot (IOCs) Muut sidonnaiset tiketit Kategoria Häiriön ehkäisy&torjunta Root cause -analyysi Prioriteetti Yhteenveto ja opitut asiat Hälytykset Poikkeavuudet Haavoittuvuudet Uhkat Selvityspyynnöt Käyttäjältä tulleet herätteet Input Tietoturvainsidenttien hallinta Output Insidenttikirjaukset ja analysoinnit Muutospyynnöt Muut korjaavat toimenpiteet Hallintainformaatiota ja suosituksia Ongelmat ja riskit esille Kommunikoinnit sidosryhmiin Syötettä CSI-prosessille Tietoturvapäällikkö Viranomaiset Tietoturva- tietoliikenneja konesaliasiantuntijat CERT-FI Kyberturvallisuuskeskus Käyttäjät Loppuasiakkaat Operaattorit 3.osapuolet palvelutuotanto Ulkopuolinen forensics-tutkinta

12 Lopuksi Työkalut & uhkat Elämä ei helpotu Mobiili, pilvi Toimittajan näkökulmasta Ei ole helppoa tämäkään Keppi ja porkkana -malli ei toimi SOC Before - During - After Tietoturvainsidentit hallintaan Resursointi on iso haaste

13 Finnish