Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Naslov prispevka
STORITVE SOC ŠT.3 ter SOC ŠT.4
Peter Šprajc, Ministrstvo za javno upravo
Andrej Skamen, S&T Slovenija d.d.. 10.12.2018
2
AGENDA
pravna podlaga za izvajanja storitev
opis SOC storitve 3
opis SOC storitve 4
primer incidenta
obveznosti deležnikov
plan razvoja
SOC = operativno središče za informacijsko varnost
3
4
Pravna podlaga za izvajanje storitev
Uredba o inf. varnosti (UIVDU, členi 4,17, 18, 19, 20, 23)
Generalne tehnološke zahteve (GTZ)
Zakon o državni upravi (ZDU, člen 74 a)
Zakon o informacijski varnosti (ZIV)
ZVOP-1, uredba GDPR
5
STORITVE SOC
SOC št. 3: Upravljanje ranljivosti v inf. sistemih
zaznavanje ranljivosti storitev informacijskih sistemov ter pripadajoče IT infrastrukture
celotni življenjski cikel upravljanja ranljivosti (zaznava, ocena, odprava, verifikacija)
poenotenje nivoja varnosti centraliziranega okolja DRO in organov DU ob selitvi
SOC št. 4: Upravljanje in odziv na incidente v inf. sistemih
spremljanje, zaznavanje, analiza, odziv, poročanje (upravljanje incidentov)
čim hitrejše zaznavanje, identificiranje in reagiranje na incidente (že v fazi priprave napada)
pripravljenost na incidente ter zmanjševanje posledic
6
SOC št.3 – Upravljanje ranljivosti v inf. sistemih
ZačetekZahteva
naročnikaZahteva SOC
Analiza projekta in priprava VDP za
Kickoff
Kickoff sestanek
Izvajanje aktivnosti
Zaključno poročilo Posredovanje deležnikom
Potrebna verifikacija
NE
Sestanek z naročnikom
Izvajanje aktivnosti
Verifikacijsko poročilo
Posredovanje deležnikom
Proces:
Opis:
periodično varnostno preverjanje ranljivosti omrežij in
IT infrastrukture
namensko varnostno preverjanje ranljivosti naprav,
storitve ali omrežja
ročno potrjevanje zaznanih ranljivosti s pomočjo
orodij
potrjevalni penetracijski testi (po potrebi)
pasivno spremljanje in zajem prometa
dve poročili (za vodstvo in upravljalce infrastrukture)
upravljanje zahtevkov za odpravo ranljivosti
7
STATISTIKA STORITVE št 3: l. 2018
Povprečno število odkritih ranljivosti glede na stopnjo resnosti:
18,5
51
1
visoke srednje nizke
Povprečni čas izvajanja projekta: 14 dni
8
OBVEZNOSTI DELEŽNIKOV
SOC št. 3: Upravljanje ranljivosti v informacijskih sistemih
posredovanje podatkov
priprava infrastrukture za izvedbo storitve
sodelovanje na koordinacijskih sestankih
verifikacija vmesnih in končnega poročila
izvedba priporočil iz končnega poročila (skrbniki in upravljalci informacijskih
sistemov)
redno nameščanje popravkov
9
SOC št.4 – Upravljanje in odziv na incidente v inf. sistemih
Opis:
človeško in avtomatizirano zaznavanje (SIEM)
spremljanje alarmov za dnevniške zapise varnostnih naprav
centralna vstopna točka za prijavo incidentov: EKC; 01 4788778, [email protected];
https://podpora.sigov.si/maximo
organizacija: 1. raven podpore (EKC) in 2. raven podpore (DI-SIV) za odziv
informacijska podpora za upravljanje incidentov (register, klasifikacija, poročila, statusi, odzivni ukrepi,
postopek odziva)
pred definirani postopki za odziv na posamezne tipe incidentov (namenska orodja, vključenost
skrbnikov IT infrastrukture)
Proces:
12
STATISTIKA STORITVE št. 4: l. 2018
Vrste incidentov:
2
15
1
5
1 1
52
2 2
1 2
2
8
1 1
30
Kraja \ Napad z ribarjenjem(Phishing)Nenamerna škoda \ Napaka priuporabi ali administraciji sistemovOstalo
Poskusi vdora \ Izkoriščanjeneznanih ranljivostiPridobivanje informacij \ SocialniinženiringRanljivost \ Zaznana ranljivoststoritveRazpoložljivost \ Izpad delovanja
Zlonamerna koda
Zlonamerna koda \ IzsiljevalskivirusZlonamerna koda \ Trojanski konj
Klasifikacija incidentov Število incidentov
Informacijska varnost 2
Kraja \ Napad z ribarjenjem (Phishing) 15
Nenamerna škoda \ Napaka pri uporabi ali administraciji sistemov 1
Ostalo 5
Poskusi vdora 1
Poskusi vdora \ Izkoriščanje neznanih ranljivosti 1
Pridobivanje informacij \ Socialni inženiring 52
Ranljivost \ Zaznana ranljivost storitve 2
Razpoložljivost \ Izpad delovanja 2
Zlonamerna koda 1
Zlonamerna koda \ Izsiljevalski virus 2
Zlonamerna koda \ Trojanski konj 2
Zlonamerna koda \ Virus 8
Žaljiva vsebina 1
Žaljiva vsebina \ Nasilje 1
Žaljiva vsebina \ Vsiljena pošta (Spam) 30
Grand Total 126
13
STATISTIKA STORITVE št. 4: l. 2018
Resnost incidentov:
Resnost Število incidentov
0 zanemarljiva 10
1 manjša 101
2 zmerna 14
4 zelo velika 1
Grand Total 126
10
101
14 1
0
1
2
4
14
PRIMER INCIDENTA
NAZIV: Škodljiva priponka OZADJE:
- prijavljena anomalija
- uporabnik prejme e-pošto s škodljivo izvršljivo kodo (Word .doc)
- posledica je okužena delovna postaja s katero lahko upravlja „heker“ POSTOPEK ODZIVA: Omejitev komunikacij izolacija
- izolacija okužene delovne postaje
- analiza priponke
- blokada komunikacij do ciljev v škodljivi priponki
- zamenjava gesel vseh vpletenih UGOTOVITVE:
- prišlo je do razkritja podatkov
- ocena vpliva incidenta
- izvedena prijava in predaja incidenta Policiji
15
OBVEZNOSTI DELEŽNIKOV
SOC št. 4: Upravljanje in odziv na incidente v informacijskih
sistemih
zaznavanje in prijava incidentov (vsi zaposleni; pogodbeni izvajalci)
posredovanje ustreznih podatkov (prijava incidenta, analiza incidenta)
zavarovanje dokazov (ne brisati / spreminjati vsebine)
upoštevanje navodil in priporočil (obveščanje prijavitelja, zaključno poročilo)
16
PLAN RAZVOJA STORITEV ŠT. 3 IN ŠT.4
vzpostavitev SIGOV CSIRT
vzpostavitev naprednega okolja za analizo škodljive kode
razširitev nabora vključenih virov v SIEM
avtomatizirano upravljanje zahtevkov
samodejni obdobni pregledi omrežij organov
ozaveščanje in usposabljanje uporabnikov