Quo Vadis IT Sec? Mi újság az IT Biztonság világában? Máriás Zoltán, TMSI Kft

Átírás

1 Quo Vadis IT Sec? Mi újság az IT Biztonság világában? Máriás Zoltán, TMSI Kft

2 az elıadás neve lehetett volna akár.. A-A (az antivírusnak annyi) T-T (tőzfal? talán, de mi van, ha mégsem?... ) Ha-Ha (a határvédelem halott)

3 Elnézést, de a háttér és a dizájn......nem sugároz vidámságot. Hiszen, aki a szervezetének teljes információs biztonságát tőzte ki célul, az... nyakig van a pácban.

4 Mi az információs biztonság? Az információ biztonsága (Infosec) az a gyakorlat, amellyel az információt kívánjuk megvédeni a jogosulatlan vagy téves: hozzáférés és felhasználás közlés és zavar módosítás és megtekintés ellenırzés és felvétel vagy a megsemmisítés ellen.

5 ... és az IT biztonság? Az IT biztonság az információ biztonságnak azon részterülete, amely az elektronikus eszközökön tárolt információk biztonságának védelmével foglalkozik.

6 Évi 20 milliárd dollárt költenek a cégek olyan IT biztonsági megoldásokra, amelyekrıl nem tudni, hogy milyen biztonságot nyújtanak. A vírusvédelem nem valódi IT biztonság. Szükséges, de korántsem elégséges védelem. Inkább kényelmi funkció a rendszergazda számára.

7 Ki ne ismerné az alábbi fogalmakat? Vírus Trójai Spam Worm (féreg, pondró, nyő) DoS ( denial of service, azaz a szolgáltatásmegtagadással járó támadás) DDoS (elosztott szolgáltatásmegtagadással járó támadás) SQL Injection (SQL mérgezés, SQL befecskendezés)

8 .. és ki ismeri az alábbi fogalmakat? SPh APT ATA NGTP RAT MitB spear phishing advanced persistent threat advanced targeted attacks next-generation threat protection remote access Trojan (Poison Ivy) Man-In-the Browser

9 ... pedig 2013-ban inkább ez utóbbiaktól kell óvni a cég belsı hálózatát a hordozható számítógépeket az okostelefonokat és a táblagépeket

10 Minden szignatúra alapú védelmi rendszer-elem, mint azt az antivírus az IDS/IPS eszközbe épített behatolásdetektálás tőzfal egyes elemei... az idı-eltolódási faktor miatt csak korlátozott eredményességet biztosít.

11 Az IT biztonság eleme többek között (I.) A titkosítás, amely a következıkön valósulhat meg: merevlemez adatbázisok rekordszinten levélfolyam állományok és alkönytárak

12 Az IT biztonság eleme többek között (II.) Eszköz-kezelés (device control) Adatszivárgás megelızés (data loss prevention) Alkalmazások ellenırzése (application control) a végponton a cég honlapjain futó web-alkalmazások a tőzfalon áthaladó web-forgalomban

13 Az IT biztonság eleme többek között (III.) a valódi patch management a virtuális patch management a 0. napi támadások elleni védekezés nékülözhetetlen eleme

14 .. de elıbb el kell dönteni, hogy mi legyen a mi megközelítésünk az IT biztonsághoz Veszély-orientált (threat-oriented) vagy Adat-centrikus (data centric)

15 alkalmazkodni kell, folyamatosan kell és tudni kell. Charles Darwin szerint: A túlélés nem a legerısebb, de nem is a legintelligensebb fajnak adatik meg, hanem annak, amelyik leginkább képes alkalmazkodni a változásokhoz.

16 Mi az adatcentrikusságra szavazunk... mert,... Az adat biztos nem fog eltőnni az életünkbıl. Az adatmennyiség exponenciálisan növekszik (Big Data) (a Google 20 Pbyte-tal növekszik 1 év alatt) Az adatvédelemre vonatkozóan folyamatosan születnek a törvények és a szabályozások (az adat tárolásának helyétıl függetlenül).

17 ..így az IT biztonság eleme többek között (IV.) Az adatvagyon felmérése és osztályozása Az adatbázisok sérülékenységének vizsgálata Az adatbázisok állandó javítása (patch management) Az adatok titkosítása Adatbázis-védfal, állomány-védfal alkalmazása Az adatokhoz való hozzáférés kezelése A változások kezelése Az adatbázisok auditálása és állandó felügyelete

18 ..így az IT biztonság eleme többek között (V.) Mivel az adatok nem csak adatbázisokban (strukturált formában), hanem félig strukturált (semi-stuctured) vagy strukturálatlan (unstructured) formában is tárolódnak, ezért... nem elég csak az adatbázisok védelmérıl gondoskodni, mert: AZ ADATOT MINDEN FORMÁJÁBAN VÉDENI KELL.

19 ... további fogalmak, amelyekkel majd... Big Data szemszögbıl és IT biztonsági szempontból foglalkozni kell Hadoop HDFS HBase IBM Biginsights Console, Cloudera Hue (felhasználói interfészek) Hive, MapReduce, Ooozie (alkalmazások)

20 Que?

21 Ugyanakkor a veszély-orientált védelem (I.) sem hanyagolható el. Velünk ez nem történhet meg. Mi nem vagyunk célpont. Számunkra nincs kockázata....ilyenekkel ringatja magát a cégek vezetısége.

22 ... a veszély-orientált védelem (II.)... Ha még igazak is lennének az elızıek, akkor is: A mi szervezetünk ugródeszka lehet egy másik cég elleni támadásban és így óhatatlanul belekeveredhetünk egy rajtunk kívül álló ügybe. Ezt már nehezen védhetı, nehezen magyarázható attitőd és a hanyagság kategóriájába tartozik. A cégek 31% bevallja: érte már célzott támadás. A cégek 63% szerint, ıt is érheti támadás.

23 ... a veszély-orientált védelem (III.)... Most az APT tartja izgalomban a közvéleményt APT advanced persistent threat, azaz a fejlett állhatatos/kitartó/szívós veszély Ez egy komplex, hosszú idıigénnyel rendelkezı támadás, amely több csatornán érkezhet.

24 ... a veszély-orientált védelem (III.)... Most az APT tartja izgalomban a közvéleményt Mi is az az APT advanced persistent threat, azaz a fejlett állhatatos/kitartó/szívós veszély Ez egy komplex, hosszú idıigénnyel rendelkezı támadás, amely több csatornán érkezhet.

25

26 ... a veszély-orientált védelem (IV.)... Ha tudni szeretnénk bármit az alábbiak közül... Ez egy rossz URL/cím/állomány? Ez egy C&C (command & control) forgaloms? (phishing, malware, botnet ) Mi történhet velünk, ha valaki klikkel/látogat/beszél? Ki az akit ez még érinthet ez az URL/IP/malware? Mi történt velük? Hogyan került megoldásra? Történt betörés/veszélyeztetés? Mikor? Hol? Ki volt a támadás elkövetıje? Ki még az áldozat? Mi volt az elkövetı célja? Megkapta amit akartm Hogyan tudhatom meg ezt? Vagy bármit a fentiek közül?

27 ... a veszély-orientált védelem (V.)... Ha tudni szeretnénk bármit az alábbiak közül... Ez egy rossz URL/cím/állomány? Ez egy C&C (command & control) forgalom? (phishing, malware, botnet ) Mi történhet velünk, ha valaki klikkel/látogat/beszél? Ki az akit ez még érinthet ez az URL/IP/malware? Mi történt velük? Hogyan került megoldásra? Történt betörés/veszélyeztetés? Mikor? Hol? Ki volt a támadás elkövetıje? Ki még az áldozat? Mi volt az elkövetı célja? Megkapta amit akartm Hogyan tudhatom meg ezt? Vagy bármit a fentiek közül?

28 ... a veszély-orientált védelem (VI.)... Az APT fázisai Beszivárgás (Infiltration) a behatolás a cég hálózatába (lehet malware alapú vagy nem). Történhet a szerveren, a kliensen vagy mobil eszközön keresztül. Kommunikáció kifelé (a C&C, azaz a Communication and Control) - egy rosszindulatú, kárt okozó hellyel való kommunikáció, amely az utasításokat adja, hogy mi történjen Bármely protokollon és porton keresztül történhet. Történhet további malware letöltése, elsısorban Remote Control és titkosító termék

29 ... a veszély-orientált védelem (VII.)... Az APT fázisai Terjedés (Propagation) a hálózaton való lassú terjedés folyamata, amelynek célja magasabb szintő jogosultságok megszerzése és hozzáférés az értékesebb információhoz. Kiszivárogtatás (Exfiltration) az értékes adat becsomagolása, esetleg titkosítása, majd kiküldése a célállomásra (drop site)

30 antidotum 3A Az adatok, az alkalmazások és az alkalmazottak felügyelete Ezekhez lehet és kell megfelelı szabályokat létrehozni eszközöket beszerezni szolgáltatásokat igénybe venni...

31 antidotum 3A... de mivel a cégvezetés az informatikai biztonságra költött pénzek megvonását tőzte ki célul, ezért ülünk nyakig a pácban.