/

ŠALIES KIBERNETINIS SAUGUMAS: DIDŽIAUSIO LIETUVOS TELEKOMUNIKACIJŲ

OPERATORIAUS VAIDMUO

Konferencija „INFORMACINIŲ TECHNOLOGIJŲ SAUGUMAS.

Globalūs iššūkiai valstybės institucijoms ir valstybinės reikšmės

organizacijoms“

Vytautas Bučinskas,Rizikų valdymo

skyriaus direktorius

2013-04-11

PRIEŠ PRADEDANT...

● Žiūrėti kaip į TINKLUS, o ne kaip į įmones● Prisiminti, kad informacijos perdavimas yra itin svarbus, o šiais laikais labai

daug kas priklauso būtent nuo interneto● Suprasti, kad lokali tam tikrų institucijų veikla yra neprasminga, jei neveiks

TINKLAS ir vartotojai bus nepasiekiami● Suvokti, kad ne tik operatorius turi saugoti, bet reikia saugoti ir patį

operatorių● Klausti, ar dar turim laiko laukti

22013-04-11

Šaltiniai: „TheSecDevGroup“, „Arbor“, NATO

GEOPOLITINĖ APLINKA

Pagrindiniai žaidėjai kibernetinėje sferoje● Valstybės

JAV, Rusija, Kinija, Prancūzija

● Nevalstybinės organizacijos Organizuotas nusikalstamumas

- pvz., RBN – „Russian Business Network“ Hakeriai ir (arba) kibernetiniai teroristai

- Estijos, Gruzijos kibernetiniai karai, „Anonymous“ grupė, ...

32013-04-11

Šaltinis: „Bound to Fail“

INFRASTRUKTŪRA GALI TAPTI SAUGI

● Barako Obamos įsakymas „Improving Critical Infrastructure Cybersecurity“ Esmė – bendradarbiaujant privačiam ir valstybiniam sektoriams, pagerinti

apsikeitimą kibernetinio saugumo informacija ir įdiegti rizikos valdymo priemones valstybės „kritinėse infrastruktūros sistemose“

Bet yra niuansų:

- „tradicinis“ rizikos valdymo modelis privačiame sektoriuje (atsipirkimo klausimas)

- „pažeidžiamų“ sistemų pakeitimas

- kritinės infrastruktūros apimtys

● Ką spręsti pirmiausia? Privataus ir valstybinio sektorių partnerystė Šalies saugumo klausimas – politinis klausimas Techniškai išsprendžiama / ekonomiškai neapsimoka Kas yra ta kritinė šalies infrastruktūra?

42013-04-11

„From Offence to Deffence“

● Operatoriui didžiausias vaidmuo tenka DDoS rizikai suvaldyti

● Manome, kad be operatoriaus įsikišimo, jokia institucija nebus pajėgi susidoroti su šiuolaikine gerai organizuota DDoS ataka

Šaltinis „NATO Perspective on Cyber Defence and Botnet“

GRĖSMIŲ KATEGORIJOS PAGAL NATO

52013-04-11

Šaltiniai: „Arbor“ (http://pinterest.com/pin/307933693241040245) ir „BBC News“

DDoS ATAKOS PASAULYJE

● ARBOR skelbiama statistika Jau užfiksuota atakų, kurioms vykstant viršytas 100 Gb/s

greitis tinkle

● Taip buvo apie 10 metų iki 2013 m. kovo 27 d.!

Įtariama kova tarp „CyberBunker“ ir „Spamhaus“ Atakos srautas pasiekė iki 300 Gb/s spartą Priemonės tos pačios: „Botnet“, „Open DNS“, „Spoofed IP“ Atakos metu pakeista atakos kryptis, nukreipiant srautą į

vieną iš „Internet Exchange“ taškų Klaida IX konfigūracijoje įtakojo tai, kad kai kuriose Europos

šalyse buvo interneto sutrikimų

„<...> Obviously the jump from 100 to 300 is pretty massive <...>“, Dan Holden, „Arbor“

62013-04-11

GALIMI BLOGIAUSI SCENARIJAI

INTERNETO IŠJUNGIMAS● Neveikia

Tarptautinė bei tarptinklinė komunikacija, IP telefonija „Debesų“ paslaugos, prieiga prie socialinių tinklų Visos paslaugos, klientai, kuriems darbui reikalingas

internetas bei prieiga prie kitų tinklų Dėl to galimi dideli nuostoliai

● Veikia Tradicinė telefonija Vidinės ISP paslaugos (MPLS VPN, vidinė telefonija, L2

paslaugos) Operatoriaus tinkle esančios tarnybos bei internetiniai

puslapiai; informacijos sklaida vidiniame tinkle nesustoja Vidiniai komunikacijos šaltiniai operatoriaus viduje Dalis bankomatų, el. prekyviečių, esančių operatoriaus tinkle

Kuo didesnis ir svarbesnis operatorius, tuo daugiau vidinės komunikacijos ir informacijos sklaidos išsaugoma

72013-04-11

GALIMI BLOGIAUSI SCENARIJAI

TINKLO IŠJUNGIMAS-UŽGROBIMAS● Neveikia

Visa komunikacija (telefonija, internetas, vidinių tinklų sujungimai)

Visi procesai, tarnybos, informacijos šaltiniai, kurie naudojasi operatoriaus paslaugomis

Operatoriaus tinkle esantys bankai Beveik visos operatoriaus paslaugos Valstybinės organizacijos operatoriaus tinkle Visi mažesni operatoriai, kurie naudojasi paslaugomis Sustoja informacijos sklaida

● Veikia Lokali tradicinė telefonija Lokalūs (regioniniai) MPLS tinklai ir paslaugos

Kuo didesnis ir svarbesnis operatorius, tuo didesnė žala = reikia saugoti operatorių

82013-04-11

BE APSAUGOS NUO DDoS ATAKOS

● Galutiniai vartotojai jungiasi prie viešųjų paslaugų teikėjo serverio

● Prasideda DDoS ataka, tinklas apkraunamas● Nutrūksta paslaugų teikimas galutiniams vartotojams

Be apsaugos tinklas yra visiškai pažeidžiamas

92013-04-11

APSAUGA NUO DDoS ATAKOS UGNIASIENE

● Galutiniai vartotojai jungiasi prie viešųjų paslaugų teikėjo serverio

● Prasideda DDoS ataka● Perkrauta prisijungimo prie operatoriaus jungtis.

Nutrūksta paslaugų teikimas galutiniams vartotojams

Lokalios ugniasienės didelės DDoS atakos metu nepakanka.

Šiuo atveju ugniasienė tik palengvina ataką

102013-04-11

APSAUGA NUO DDoS ATAKOS, NAUDOJANT OPERATORIAUS INFRASTRUKTŪRĄ

● Galutiniai vartotojai jungiasi prie viešųjų paslaugų teikėjo serverio

● Prasideda DDoS. Aptinkama DDoS● Atakuojamojo srautas nukreipiamas per didelio našumo

operatoriaus ugniasienę ir (ar) UTM apsaugos serverį

● Naudojant operatoriaus ugniasienę ir (ar) UTM apsaugos serverį, paslaugų teikimas nenutrūksta

Didelio našumo ugniasienė bei jungtys operatoriaus tinkle gali apsaugoti vartotoją nuo didelių DDoS atakų

112013-04-11

LABAI DIDELĖS APIMTIES DDoS ATAKA

● Galutiniai vartotojai jungiasi prie viešųjų paslaugų teikėjo serverio

● Prasideda DDoS, aptinkama; srautas nukreipiamas per operatoriaus ugniasienę ir (ar) UTM

● Perkraunama ugniasienė ir (ar) UTM, našumas krenta

● Atjungiamas užsienio tinklas ar tinklai arba tarptinklinė jungtis, per kurią vyksta ataka

● Ryšys su užsienio arba kitais tinklais apribojamas, tačiau viešų paslaugų teikimas tinkle nenutrūksta

Esant labai didelio srauto DDoS atakai, operatorius gali nutraukti jungtį pagrindine atakos kryptimi

122013-04-11

DDoS ATAKA IŠ PATIES TINKLO

• Galutiniai vartotojai jungiasi prie viešųjų paslaugų teikėjo serverio

• Prasideda DDoS iš operatoriaus tinklo, ataka aptinkama, atakuojamojo srautas

nukreipiamas per didelio našumo operatoriaus ugniasienę ir (ar) UTM

• Ataka tęsiasi, perkraunama ugniesienė ir (ar) UTM, našumas krenta

• Identifikuojami ir atjungiami tinkle

esantys „užkrėsti“ kompiuteriai, per

kuriuos vyksta ataka

• Daliai vartotojų ryšys apribojamas,

tačiau likusiesiems viešųjų paslaugų

teikimas tinkle nenutrūksta

Esant labai didelei DDoS atakai iš tinklo, operatorius turi galimybę atjungti atakos šaltinius atskirai

132013-04-11

● KAIP? Tarptautinio, nacionalinio ar vietinio srauto, skirto aukai, nukreipimas į didelę

ugniasienę ir jo neutralizavimas Ypač didelės apimties atakos iš kitų tinklų neutralizavimas, užblokuojant

tarptautines jungtis arba nacionalinį tranzitą Ypač didelės atakos iš vietinių vartotojų neutralizavimas, atjungiant atskirus

vartotojus

● KODĖL operatorius? Diversifikuota, galinga infrastruktūra Apsaugomi ne tik viešųjų paslaugų teikėjai, bet ir vartotojai Galimybės:

- anksčiau pastebėti ataką

- panaudoti galingas kolektyvinės apsaugos priemones

- valdyti tarptinklines ir (ar) lygiavertes (angl. peer) jungtis

- valdyti savo tinklo vartotojus

OPERATORIUS GALĖTŲ APSAUGTI

142013-04-11

KO TRŪKSTA?

PASLAUGŲ IR INFRASTRUKTŪROS APSAUGAI REIKALINGOS TECHNINĖS PRIEMONĖS

● Aptikti ataką Būtina įdiegti analizatorių tinklą, kurie aptiktų DDoS

ataką iš išorės ir vidaus

● Nukreipti infekuotą srautą Reikalingas srauto ir vartotojų valdymo įrankis,

infekuotam srautui nukreipti į ugniasienes

● Neutralizuoti infekuotą srautą Privalomos didelio pajėgumo ugniasienės arba UTM

atakoms neutralizuoti iš tinklo išorės ir vidaus

152013-04-11

GALIMI TOLIMESNI ŽINGSNIAI

● Kibernetinio saugumo įstatymas ir (arba) kito tipo aktai ar jų pakeitimai Elektroninių ryšių įstatyme ir (arba) kituose įstatymuose

● Atsakingos institucijos paskyrimas● Kritinės infrastruktūros apibrėžimas● Kritinės infrastruktūros inventorizacija (iš pradžių ITT)● Sprendimai dėl kritinės infrastruktūros saugos ir

priemonių parinkimas● Viena priemonių – kritinės infrastruktūros sutelkimas

šalies viduje

● Priemonių diegimas numatant lėšų ir jų šaltinius nuolatinei priežiūrai ir tolimesnei plėtrai

Orientuotis į galutinį (pvz., padidėjęs saugumas), o ne vien į tarpinius rezultatus (pvz., norminiai aktai, politikos, strategijos)

162013-04-11

KIBERNETINIS SAUGUMAS IR KRAŠTO APSAUGA

● Kas valdo informaciją – tas valdo pasaulį (Napoleono bendražygis)

1917 m. bolševikai užiminėjo telegrafą Sausio 13-ają sovietų armija šturmavo televizijos

bokštą ...

● Ar nebūtų vienas iš šiuolaikinių agresorių (kibernetinių atakų organizatorių) pagrindinių tikslų šalies interneto sustabdymas?

Didžiausi operatoriai, kurie yra šalies informacijos sklaidos garantas, turėtų būti apsaugoti

172013-04-11

DĖKUI UŽ JŪSŲ DĖMESĮ!

Jūsų klausimai