Rozhovor s Lukášem Přibylem na téma kybernetická bezpečnost.
Položili jsme pár otázek z oblasti kybernetické bezpečnosti jednomu z partnerů platformy KYBEZ Ing.Lukáši Přibylovi ze společnosti AXENTA.
PS: Jak vidíte reálný koncept bezpečnosti v podnicích z pohledu plnění kritérií zákona o kybernetické bezpečnosti?
LP: Každá organizace využívající nástroje a technologie ICT řeší problematiku bezpečnosti a zajištění kontinuity svých procesů. To, že se jedná o téma nanejvýš aktuální, dokládá i vývoj v oblasti legislativní, tedy existence zákona č. 181/2014 Sb., o kybernetické bezpečnosti (ZoKB) a zřízení Národního centra kybernetické bezpečnosti v rámci NBÚ. Tento článek představuje koncept aktivní bezpečnosti a spolehlivosti IT infrastruktury (dále Koncept) vycházející jak z reálných potřeb, tak i z požadavků ZoKB.
Obrázek 1: Schéma NSMC konceptu aktivní bezpečnosti a spolehlivosti IT infrastruktury
PS: Jak se vyrovnává tento koncept s realitou běžného fungování procesů ve firmách?
LP: Představovaný Koncept respektuje běžné fungování a zvyklosti organizací v oblasti informačních technologií a při práci s daty. Rovněž reaguje na nové požadavky, které na tuto oblast klade platná i připravovaná česká a evropská legislativa.
Do běžné infrastruktury organizace přidává sofistikované monitorovací nástroje a metody. Ty jsou dále rozšířeny o integrované nástroje pokročilé analýzy provozu datové sítě (NBA – Network Behavior Analysis) společně s nástroji pro komplexní správu IP adresního prostoru a řízením přístupů pevných i mobilních zařízení do sítě (IPAM/DDI/NAC). Tyto nástroje mohou být vhodně doplněny prostředky komplexní ochrany klientských stanic (End Point Security). Samozřejmostí je koexistence s běžnými komponentami ochrany perimetru (Firewall, IDS/IPS, DLP apod.) a klientů (Antivir, Anti-Malware, Antispam apod.). Nasazení uvedených komponent v praxi znamená, že bezpečnost a spolehlivost se stává přímo vlastností IT infrastruktury a jako takovou ji není možné obejít, případně narušit.
Klíčovými a integrovanými komponentami Konceptu jsou:
• Behaviorální analýza sítě (automatická detekce bezpečnostních i provozních incidentů).
• Monitoring (napříč všemi vrstvami datové sítě – L2 monitoring, L3/L4 monitoring
datového provozu, L7 monitoring aplikací).
• Řízení přístupu do sítě (omezení přístupu pouze pro povolená zařízení).
• SIEM (komplexní vyhodnocování a řízení informační bezpečnosti).
Prvním krokem pro aplikaci Konceptu v organizaci je vždy bezpečnostní analýza, která umožňuje zmapovat stávající stav a navrhnout konkrétní řešení.
PS: Jak byste definoval bezpečnostní analýzu?
LP: Bezpečnostní analýzy jsou jednou ze specializovaných činností zabývajících se dekompozicí bezpečnostního problému z pohledu procesu, organizace zdrojů a technického řešení. Bezpečnostní analýza se zabývá evidencí aktiv, což je soubor procesních či datových vstupů a výstupů a soubor všech komponent technických řešení k zajištění vykonávaných procesních workflow.
V rámci zajištěné evidence aktiv lze v dalším kroku bezpečnostní analýzy postoupit k analýze vztahů aktiv vůči procesům společnosti – analýza rizik. Jejím cílem je identifikace slabých míst ve společnosti a doporučení k jejich minimalizaci či eliminaci. Synergickým efektem je identifikace kritických workflow a procesů společnosti či identifikace skutečných vlastníků workflow a procesů.
Hlavním výstupem bezpečnostní analýzy je dokumentace stávajícího IS/IT systému označovaná často jako tzv. Configuration Management Database (CMDB). V praxi jde o seznam komponent IS/IT a jejich vzájemných vztahů, na základě kterého mohu teprve zodpovědět otázku co a jakým způsobem chráním.
PS: A jak důležité je mít také bezpečný perimetr – je to podmínka nutná, nebo pouze postačující?
LP: Tradiční firewall pracující pouze na úrovni třetí a čtvrté síťové vrstvy je dnes již překonaným řešením. Moderní řešení pro ochranu perimetru musí být v reálném čase schopno rozpoznat a blokovat desetitisíce verzí škodlivého kódu při neustálé aktualizaci databáze známých hrozeb tak, aby byly schopny zachytit co nejvíce nových hrozeb a snížit riziko úniku citlivých dat organizace. Moderní firewally často integrují systémy označované jako Intrusion Detection/Prevention System (IDS/IPS) schopné v reálném čase vyhodnocovat rizika spojená s běžnými zranitelnostmi, jako je např. virem infikovaná příloha e-mailové zprávy nebo útok využívající známou zranitelnost operačního systému. V případě systému IPS je možné detekovaný útok přímo zablokovat.
Dalším logickým krokem je monitorování provozu lokální/vnitřní datové sítě tak, aby bylo možné reagovat na útoky, které perimetr překonají nebo jsou způsobeny přímo zaměstnanci organizace a na perimetru tyto útoky není možné zachytit.
Mít zabezpečený perimetr je tedy opravdu nutností.
PS: Co přinese podnikům monitoring a analýza provozu datové sítě?
LP: Monitorování provozu (Flow Monitoring) a jeho následná analýza (NBA – Network Behavior Analysis) představuje moderní prostředek pro správu a bezpečnost IT infrastruktury označovaný jako tzv. next-generation monitoring. Na rozdíl od tradičního sledování dostupnosti aktivních prvků, serverů a služeb přináší úplný přehled o provozu datové sítě, jeho struktury, využívaných aplikací, chování uživatelů, provozních problémech a bezpečnostních incidentech.
Hlavní výhodou tohoto přístupu je v provozní oblasti kompletní viditelnost do sítě a rychlé vyhledávání skutečných příčin provozních problémů, v oblasti bezpečnosti pak automatická detekce pokročilých hrozeb, útoků a malware bez použití signatur. Efektivně tak doplňuje tradiční řešení, jako jsou firewally, antiviry a systémy detekce/prevence průniků. Oproti řešením na straně klienta (tzv. host-based) přináší kompletní pokrytí IT infrastruktury bez nutnosti cokoliv instalovat na jednotlivé stanice, vysokou škálovatelnost a nezávislost na platformě nebo operačním systému.
Důležitým předpokladem pro zajištění bezpečnosti sítě je také její náležitá řádná správa. Ta se v dnešní době neobejde bez řízení přístupu do datové sítě.
PS: Jakým způsobem lze pojmout a co vše má obsahovat tzv.„Řízení přístupu a adresní plánování“?
LP:Centrální správa IP adresního prostoru (IPAM) formou vedení IP adresního plánu a vynucování IP adresní politiky (DDI) – kombinací integrovaného L2 monitoringu a řízením základních síťových služeb DHCP a DNS, je pro rozsáhlé datové sítě nezbytností. Integrované řízení přístupu do sítě (NAC), díky podpoře standardu 802.1x pro autentizaci a autorizaci oprávněných zařízení formou prokázaní se suplikantem nebo MAC adresou s kontrolou proti podvržení, umožňuje efektivně řídit přístup do datové sítě vč. automatického vynucování politik (např. zařazení zařízení do VLAN) a to až na úrovni koncového bodu pro připojení k síti. Velkou výhodou je možnost využití rovněž dalších částí integrovaného DDI/NAC řešení, jako jsou L2 monitoring nebo správa BYOD zařízení pro dosažení vysoce efektivní správy sítě, zvýšení provozní spolehlivosti a bezpečnosti interní sítě. V kombinaci s dalšími integrovanými nástroji Konceptu (NBA, SIEM), rovněž zkrácení doby odpojení nežádoucích síťových zařízení.
Výše uvedené prostředky zajišťují bezpečnost napříč datovou infrastrukturou od perimetru datové sítě přes centrální prvky až po přístupové switche. Dalším úkolem IT oddělení je bezproblémový a spolehlivý provoz systémů a aplikací.
Provozní monitoring
Hlavním účelem provozního monitoringu je aktivní sledování dostupnosti klíčových prvků IT infrastruktury (serverů, tiskáren, aktivních prvků) a jejich systémových prostředků (zatížení procesoru, volné místo na disku, množství toneru, apod.). Podobně je možné simulovat a kontrolovat komplexní procesy jako je funkčnost e-mailového systému nebo měřit dobu pravidelného testovacího průchodu webovou aplikací. Na všechny výše uvedené metriky je možné definovat a následně vyhodnocovat SLA, tedy dosaženou kvalitu služby. Provozní monitoring tak snižuje kapacitní nároky na IT podporu, riziko pozdržení nebo neprovedení procesních operací, dále zvyšuje produktivitu práce uživatelů a umožňuje detekovat výskyt, identifikovat původce a lokalizovat místo problému.
Provozní monitoring pracuje na principu simulování chování uživatele, z čehož vyplývá zásadní omezení. Poskytované informace mohou být zkreslené, neboť odezva skutečných uživatelů v různých částech IT infrastruktury se může významně odlišovat od hodnot získaných syntetickým testem. Řešením je monitoring aplikací a jejich odezvy vůči skutečným uživatelům.
Monitoring aplikací
Monitoring aplikací v reálném čase sleduje, jak se aplikace “chová” ke všem svým uživatelům, signalizuje celkové zdraví systému a určuje zdroje zhoršené výkonnosti, umožňuje odstranění úzkých míst v komplexních systémech a poskytuje reporting z pohledu business procesů i technologie. V ideálním případě by měl být založen na neinvazivní analýze síťového provozu, neboť instalace agentů na jednotlivé systémy může představovat ohrožení stability a funkčnosti monitorovaných aplikací.
Mezi monitorované metriky patří doba odezvy centrálního systému pro jednotlivé části aplikace, latence transportní vrstvy (uživatel – centrální systém), velikost přenesených dat nebo počet uživatelů a transakcí.
Téměř každá komponenta informačního systému je schopna generovat záznam o svém provozu, tzv. log záznam, ve kterém je uveden čas záznamu, identifikace komponenty a vlastní provozní status či detekovaný bezpečnostní stav. Sběr log záznamů a práce s nimi je procesně řízená činnost, která spadá pod proces Log management.
Log management
Log management představuje základní nástroj pro zajištění ochrany informací a bezpečnosti provozu ICT centralizací provozních a bezpečnostních informací z prostředí informačního systému organizace. Protože k rozsáhlé instalaci síťových serverů, pracovních stanic, mobilních zařízení se navíc přidává i rostoucí počet hrozeb z datových sítí i provozovaných systémů, tak počet log záznamů i výsledný datový objem výrazně narostl. Tím se vytváří aktuální potřeba řízeného procesu Log managementu, což je proces o vytváření, přenosu, uchování, analýzy a odstranění nepotřebných log záznamů. V případě potřeby, např. vyšetřování bezpečnostního incidentu, jsou tak všechny záznamy na jednom místě s možností provést např. jejich audit. Proces log managementu je možné dále automatizovat prostřednictvím tzv. SIEM systému.
PS: Posledním bodem vašeho konceptu je SIEM, co si pod tímto pojmem máme představit?
LP: SIEM (Security Information and Event Management) je management bezpečnostních informací a událostí, který vychází z dlouhodobého ukládání událostí (logů), jejich analýzy, hlášení problémů, monitoringu infrastruktury, korelací událostí a alertování v reálném čase. Obsluze přehledným způsobem prezentuje informace o zaznamenaných anomáliích a předkládá návrhy na potřebné reakce.
Mezi hlavní funkcionality SIEM patří automatická archivace logů a událostí na zabezpečené platformě, event management, převod logových záznamů do událostí s flexibilním filtrováním, analýza událostí v reálném čase s jejich automatickou klasifikací, korelací, detekcí anomálií a identifikací příčiny problému, dále automatické generování a prioritizace alertů z korelovaných událostí ve vztahu k důležitým systémům a komplexní reporty pokrývající regulačními požadavky jako SOX, PCI, FISMA, GLBA, HIPAA, ISO 27 00X, s možností jejich pravidelného doručování uživatelům SIEM systému.
Naplnění Konceptu aktivní bezpečnosti a spolehlivosti IT infrastruktury
Problematikou monitorování IT systémů a aplikací, dohledovými nástroji a řízením informační bezpečnosti se v České republice zabývá celá řada subjektů. Najdeme zde i specializované výrobce, jejichž technologie umožňují představený Koncept efektivně realizovat.
Jedná se o následující produkty, služby a řešení:
· Analýza stavu bezpečnosti IT: analýza stavu kyberbezpečnosti v dané organizaci vč. ohodnocení aktiv a klíčových procesů a vč. návrhů na zlepšení. Možno doplnit školením kyberbezpečnosti pro zaměstnance i management.
· Log Management: nástroj pro sběr, archivaci a vyhledávání nad logy z IT infrastruktury. Logy jsou uchovávány v nezměněné podobě.
· MoNet: nástroj pro pokročilý provozní monitoring IT infrastruktury přes všechny vrstvy s průběžným vyhodnocováním SLA.
· AddNet: nástroj pro adresní plánování a řízení přístupu do sítě s integrovanými síťovými službami DHCP, DNS, Radius.
· SIEM: nástroj pro vyhodnocení logů a pro alerting událostí v souladu s interními procesy dle požadavků ZoKB.
· SOC: špičkové dohledové pracoviště s integrovanými nejmodernějšími kyberbezpečnostními technologiemi obsluhované vysoce profesionálním týmem expertů v režimu 24/7/365. Připojené organizaci umožňuje sledovat kybernetickou bezpečnost v reálném čase s možností neprodlené reakce na kybernetické bezpečnostní incidenty. Toto pracoviště má význam jak v oblasti prevence, tak i analýzy a reakce
PS: V čem vidíte výhodu českých výrobců a dodavatelů v oblasti bezpečnostních produktů a řešení?
LP: Nespornou výhodou českých výrobců a dodavatelů řešení je mimo ceny i vzájemná provázanost a kompatibilita jednotlivých systémů.
Závěr
Koncept aktivní bezpečnosti a spolehlivosti IT infrastruktury je příkladem, jak zabezpečit ICT v organizaci v souladu se současnými právními normami a s vysokou účinností. Koncept je pouze doporučeným přístupem. Samotnou aplikaci jednotlivých komponentů do konkrétního počítačového systému organizace je nutné řešit vždy individuálně podle požadavků TOP managementu organizace a nároků dané sítě.
Autoři: Petr Smolník šéfredaktor KYBEZ a Ing. Lukáš Přibyl, předseda představenstva, AXENTA a.s.