Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός Διαχείριση περιστατικών ασφάλειας
Διαπιστώσεις… Θεωρείται ως επιχειρησιακό τμήμα της διαχείρισης κινδύνων. Είναι εξειδικευμένο αντικείμενο που δεν μπορεί να λείπει από κανένα σχεδιασμό ασφαλείας. Ο προσδιορισμός των αντιδράσεων σε ένα περιστατικό ασφαλείας έχει σκοπό να δώσει μια κοινή γραμμή-κατεύθυνση για τα μέχρι στιγμής γνωστά θέματα ενώ για άγνωστα θέματα να δώσει το πλαίσιο κινήσεων-αντιδράσεων. 2 Τμήμα Ψηφιακών Συστημάτων
Ορισμός Περιστατικό ασφάλειας πληροφοριών (Information security incident), ή απλώς περιστατικό, είναι ένα μοναδικό γεγονός ή μια ακολουθία ανεπιθύμητων ή απρόσμενων γεγονότων που έχουν σημαντική πιθανότητα να θέσουν σε κίνδυνο τις επιχειρησιακές λειτουργίες του οργανισμού ή να απειλήσουν την ασφάλεια πληροφοριών του. 3 Τμήμα Ψηφιακών Συστημάτων
Κύκλος ζωής διαχείρισης περιστατικού 4 Τμήμα Ψηφιακών Συστημάτων
Σκοπός Ο σκοπός της διαχείρισης και αντιμετώπισης περιστατικών είναι η ανίχνευση περιστατικών που προκαλούν διακοπές εργασιών και η αντιμετώπισή τους, με στόχο τη διατήρηση των επιπτώσεών τους σε αποδεκτά επίπεδα. 5 Τμήμα Ψηφιακών Συστημάτων
Στόχοι… Να εμποδίσει ένα περιστατικό να εξελιχθεί σε πρόβλημα… …και ένα πρόβλημα να εξελιχθεί σε καταστροφή. Εξισορρόπηση του πεδίου εφαρμογής της διαχείρισης περιστατικών με τα πεδία εφαρμογής της βασικής, ελάχιστης ασφάλειας, της επιχειρησιακής συνέχειας και της ανάκαμψης από καταστροφές. 6 Τμήμα Ψηφιακών Συστημάτων
Στόχοι… Ο σχεδιασμός της Διαχείρισης περιστατικών χρειάζεται να λαμβάνει υπόψη το σχεδιασμό: επιχειρησιακής συνέχειαςκαι ανάκαμψης από καταστροφή για να είναι γνωστά τα επίπεδα ελάχιστης ασφάλειας του οργανισμού και συνεπώς τα περιθώρια αντίδρασης. 7 Τμήμα Ψηφιακών Συστημάτων
…Στόχοι… Η ταχεία ανίχνευση περιστατικών Η ακριβής διάγνωση του περιστατικού Η ορθή διαχείριση των περιστατικών Ο περιορισμός και η ελαχιστοποίηση της ζημιάς 8 Τμήμα Ψηφιακών Συστημάτων
…Στόχοι Η αποκατάσταση των πληγεισών υπηρεσιών Ο εντοπισμός των αιτίων Η υλοποίηση βελτιώσεων που θα προλάβουν την επανεμφάνιση παρόμοιου περιστατικού Η τεκμηρίωση και αναφορά του περιστατικού. Τα γεγονότα που δεν καταγράφονται ως «περιστατικά» δεν μπορούν να διερευνηθούν και συνεπώς δεν μπορούν να προβλεφθούν προληπτικά μέτρα ώστε να μην επανεμφανιστούν 9 Τμήμα Ψηφιακών Συστημάτων
Περιστατικά Άρνησης υπηρεσίας Συλλογής πληροφοριών Μη εξουσιοδοτημένης πρόσβασης 10 Τμήμα Ψηφιακών Συστημάτων
Περιστατικά άρνησης υπηρεσίας… διακοπή της ομαλής λειτουργίας ενός συστήματος ή μιας υπηρεσίας ή ενός δικτύου και, συνήθως, πλήρη διακοπή της πρόσβασης στους εξουσιοδοτημένους χρήστες. Διακριτοί τύποι (με τεχνικά μέσα) : περιστατικά αφαίρεσης πόρων περιστατικά εξάντλησης πόρων 11 Τμήμα Ψηφιακών Συστημάτων
…Περιστατικά άρνησης υπηρεσίας… Παραδείγματα Η αποστολή μηνυμάτων βολιδοσκόπησης (pinging) σε δικτυακές διευθύνσεις, με σκοπό την εξάντληση των δυνατοτήτων μετάδοσης του δικτύου λόγω υπερβολικά αυξημένης κίνησης η αποστολή δεδομένων με μη αναμενόμενη από το σύστημα, την υπηρεσία ή το δίκτυο μορφοποίηση, με σκοπό να προκληθεί κόλλημα (crash) ή διακοπή της λειτουργίας άνοιγμα πολλών συνόδων επικοινωνίας με ένα σύστημα, υπηρεσία ή δίκτυο, με σκοπό την εξάντληση των πόρων του, δηλαδή τη μείωση της ταχύτητάς του, το κλείδωμα ή τo κόλλημά του. 12 Τμήμα Ψηφιακών Συστημάτων
…Περιστατικά άρνησης υπηρεσίας… Τυχαία ή σκόπιμα Πολλά σκόπιμα εκδηλώνονται ως ανώνυμα Προκαλούνται και από μη-τεχνικές αιτίες παραβίαση των μέτρων φυσικής ασφάλειας του οργανισμού, με αποτέλεσμα κλοπή ή σκόπιμη ζημιά ή καταστροφή εξοπλισμού 13 Τμήμα Ψηφιακών Συστημάτων
…Περιστατικά άρνησης υπηρεσίας τυχαία ζημιά στο υλικό (ή στο χώρο εγκατάστασής του) από πυρκαγιά ή πλημμύρα ακραίες συνθήκες περιβάλλοντος, όπως π.χ. υψηλές θερμοκρασίες λειτουργίας που προκαλούνται από βλάβη του κλιματισμού δυσλειτουργίες ή υπερφόρτωση του συστήματος μη ελεγχόμενες αλλαγές στο σύστημα δυσλειτουργίες του υλικού ή του λογισμικού. 14 Τμήμα Ψηφιακών Συστημάτων
Περιστατικά συλλογής πληροφοριών… Περιλαμβάνει αναγνωριστικού χαρακτήρα ενέργειες, οι οποίες στοχεύουν: στην αναγνώριση της ύπαρξης στόχου, τη χαρτογράφηση της τοπολογίας του δικτύου γύρω από τον στόχο, τον εντοπισμό των μερών με τα οποία ο στόχος επικοινωνεί τακτικά και την εξεύρεση δυνητικών ευπαθειών στον στόχο ή στο δίκτυο που τον περιβάλλει, τις οποίες θα μπορούσε ο επιτιθέμενος να αξιοποιήσει. 15 Τμήμα Ψηφιακών Συστημάτων
…Περιστατικά συλλογής πληροφοριών… Βολιδοσκόπηση δικτυακών διευθύνσεων με σκοπό τον εντοπισμό ενεργών συστημάτων Διερεύνηση του συστήματος με σκοπό την αναγνώριση του λειτουργικού συστήματος Σάρωση των διαθέσιμων δικτυακών θυρών του συστήματος με σκοπό την αναγνώριση των σχετιζόμενων με αυτές υπηρεσιών και την έκδοση του λογισμικού που υλοποιεί τις υπηρεσίες Αναζήτηση υπηρεσιών με γνωστές ευπάθειες, με σάρωση ολόκληρων διαστημάτων δικτυακών διευθύνσεων (οριζόντια σάρωση). 16 Τμήμα Ψηφιακών Συστημάτων
…Περιστατικά συλλογής πληροφοριών Μερικές φορές εξελίσσονται σε περιστατικά μη εξουσιοδοτημένης πρόσβασης Εκδηλώνονται και με μη-τεχνικά μέσα (παραβίαση φυσικής ασφάλειας) ή από κακώς διαμορφωμένα λειτουργικά συστήματα που έχουν προκύψει από μη ελεγχόμενες αλλαγές στο σύστημα ή από δυσλειτουργίες του λογισμικού ή του υλικού. 17 Τμήμα Ψηφιακών Συστημάτων
Περιστατικά μη εξουσιοδοτημένης πρόσβασης Απόπειρες ανάκτησης αρχείων συνθηματικών Επιθέσεις υπερχείλισης καταχωρητή προκειμένου να επιτευχθεί προνομιακή ( π.χ. επιπέδου διαχειριστή συστήματος ) πρόσβαση στον στόχο Εκμετάλλευση ευπαθειών πρωτοκόλλων δικτύων με σκοπό την κατάληψη δικτυακών συνδέσεων ή την ανακατεύθυνση νόμιμης κίνησης Απόπειρες αναβάθμισης δικαιωμάτων πρόσβασης σε πόρους ή πληροφορίες, πέρα απ’ αυτά που έχει ήδη ο χρήστης ή ο διαχειριστής. 18 Τμήμα Ψηφιακών Συστημάτων
Ομάδα αντιμετώπισης περιστατικών… Συγκεντρωτικό ή αποκεντρωμένο μοντέλο Στελέχωση in house ή outsourcing (pros and cons) Συμμετέχουν στελέχη από τη μονάδα ασφάλειας πληροφοριών (επικεφαλής), μονάδα πληροφορικής, μονάδα ελέγχου (ανεξάρτητος παρατηρητής), νομική μονάδα, μονάδα δημοσίων σχέσεων, μονάδα φυσικής ασφάλειας, μονάδα ανθρώπινων πόρων. 19 Τμήμα Ψηφιακών Συστημάτων
…Ομάδα αντιμετώπισης περιστατικών Τεχνική ομάδα και ομάδα διαχείρισης Outsourcing του έργου της παρακολούθησης (Managed security services providers) Παρακολούθηση in house και αντιμετώπιση outsourced Πλήρες outsourcing 20 Τμήμα Ψηφιακών Συστημάτων
21 Τμήμα Ψηφιακών Συστημάτων
Φάση προετοιμασίας… Στήριξη της διοίκησης Δέσμευση πριν από την εκδήλωση του περιστατικού Ανάπτυξη μέτρων πρόληψης και ανίχνευσης περιστατικών Διαμόρφωση σχεδίων, μηχανισμών και διαδικασιών για την αντιμετώπιση περιστατικών Καθορισμός της προσέγγισης που θα χρησιμοποιείται για τη διαχείριση περιστατικών 22 Τμήμα Ψηφιακών Συστημάτων
…Φάση προετοιμασίας… Καθιέρωση πολιτικής και τοποθέτηση κατάλληλων προειδοποιητικών μηνυμάτων στα πληροφοριακά συστήματα, για να αποτρέψουν επίδοξους εισβολείς και να επιτρέψουν τη συλλογή πληροφοριών Διαμόρφωση του σχεδίου επικοινωνιών με τους μετόχους Θέσπιση κριτηρίων για τη λήψη απόφασης σχετικά με το πότε ένα περιστατικό πρέπει να δηλώνεται στις αρμόδιες αρχές 23 Τμήμα Ψηφιακών Συστημάτων
…Φάση προετοιμασίας Διαμόρφωση της διεργασίας ενεργοποίησης της ομάδας αντιμετώπισης περιστατικών Καθορισμός μιας ασφαλούς τοποθεσίας ως τόπο εφαρμογής του σχεδίου αντιμετώπισης περιστατικών Διασφάλιση της διαθεσιμότητας του απαραίτητου εξοπλισμού. 24 Τμήμα Ψηφιακών Συστημάτων
25 Τμήμα Ψηφιακών Συστημάτων
Φάση ανίχνευσης… Σκοπός: Να ανιχνευθεί εάν πραγματικά είναι περιστατικό ασφάλειας και να βρεθούν όσο το δυνατόν περισσότερες λεπτομέρειες ή εάν είναι ψευδής συναγερμός Αναστάτωση ή καταστροφή; Διαφορά βρίσκεται: Στην έγκαιρη ανίχνευση, Την αξιολόγηση της κατάστασης, Τον εντοπισμό των αιτίωνκαι Την παροχή λύσεων 26 Τμήμα Ψηφιακών Συστημάτων
Φάση ανίχνευσης… Ανατίθεται η ευθύνη χειρισμού του περιστατικού (ή ενδεχόμενου περιστατικού) σε κάποιον χειριστή του περιστατικού Επιβεβαιώνεται ότι οι αναφορές που έχουν ληφθεί ή τα γεγονότα που έχουν παρατηρηθεί συνιστούν περιστατικό Καθορίζεται η αλληλουχία προσώπων που επιμελούνται τα δεδομένα που μπορεί να αποτελούν αποδεικτικά στοιχεία Καθορίζεται –και αν χρειαστεί κλιμακώνεται- η σοβαρότητα του περιστατικού. 27 Τμήμα Ψηφιακών Συστημάτων
…Φάση ανίχνευσης… Συμπτώματα Ύπαρξη νέων λογαριασμών χρηστών που δεν έχουν δημιουργηθεί από εξουσιοδοτημένους διαχειριστές Ασυνήθιστη δραστηριότητα ενός λογαριασμού (π.χ. σύνδεση ενός χρήστη που είναι γνωστό ότι είναι σε διακοπές, ή χρήση του λογαριασμού σε περίεργες ώρες) Μη αναμενόμενες αλλαγές στο μήκος χρονοσφραγίδων αρχείων του λειτουργικού συστήματος 28 Τμήμα Ψηφιακών Συστημάτων
…Φάση ανίχνευσης… Ασυνήθιστα υψηλή δραστηριότητα στο δίκτυο ή στους εξυπηρετητές ή χαμηλές επιδόσεις συστημάτων, σαρώσεις θυρών (port scanning) Πολλαπλές προσπάθειες σύνδεσης σε ρόλο διαχειριστή συστήματος ή root user. 29 Τμήμα Ψηφιακών Συστημάτων
…Φάση ανίχνευσης… Εργαλεία Αρχεία καταγραφής «Ελεγκτές ακεραιότητας» IDS Host based, Network based, Anomaly detection, Misuse detection, Attack signatures Προσδιορισμός σοβαρότητας περιστατικού (κλίμακα 1-3) όπου το πιο σημαντικό περιστατικό έχει δείκτη Τμήμα Ψηφιακών Συστημάτων
…Φάση ανίχνευσης… Περιστατικό σοβαρότητας 1 Διακοπή λειτουργίας δικτύου ή συστήματος με σημαντική επίπτωση στους χρήστες ή στη λειτουργία του οργανισμού. Υψηλή πιθανότητα επέκτασης. Πιθανή ή βεβαιωμένη αποκάλυψη ή θέση σε κίνδυνο ευαίσθητων δεδομένων (οικονομικά στοιχεία, προσωπικά δεδομένα, συνθηματικά κλπ.). Απαιτούνται αμέσως επανορθωτικές ενέργειες ώστε να προληφθούν περαιτέρω παραβιάσεις της ασφάλειας πληροφοριών και αρνητικές επιπτώσεις στο δίκτυο ή σε άλλες οντότητες. Απαιτείται ειδοποίηση οντοτήτων εκτός του οργανισμού. Κλιμάκωση 31 Τμήμα Ψηφιακών Συστημάτων
32 Τμήμα Ψηφιακών Συστημάτων
Φάση αναχαίτισης… Ενεργοποιείται η ομάδα διαχείρισης και αντιμετώπισης περιστατικών για να αναχαιτίσει το περιστατικό Ειδοποιούνται όσοι μέτοχοι επηρεάζονται από το περιστατικό Εγκρίνονται δράσεις που είναι δυνατόν να επηρεάσουν τη διαθεσιμότητα μιας υπηρεσίας ή να θέσουν σε κίνδυνο τη διαδικασία αναχαίτισης 33 Τμήμα Ψηφιακών Συστημάτων
…Φάση αναχαίτισης Ενεργοποιείται ο εκπρόσωπος της μονάδας πληροφορικής, προκειμένου να υλοποιηθούν οι δράσεις αναχαίτισης Συλλέγονται και φυλάσσονται στοιχεία σχετικά με το επεισόδιο Τεκμηριώνεται κάθε ενέργεια και λαμβάνονται αντίγραφα ασφαλείας πριν από κάθε επόμενη δράση Η ομάδα δημόσιων σχέσεων αναλαμβάνει τη διαχείριση και τον έλεγχο της επικοινωνίας με το κοινό. 34 Τμήμα Ψηφιακών Συστημάτων
35 Τμήμα Ψηφιακών Συστημάτων
Φάση εξάλειψης… Καθορίζουμε τις ενδείξεις και τα αίτια του περιστατικού Εντοπίζουμε τα πλέον πρόσφατα αντίγραφα ασφαλείας Απομακρύνουμε τα αίτια του περιστατικού· αν πρόκειται για περιστατικό μόλυνσης από κακόβουλο λογισμικό, η απομάκρυνση επιτυγχάνεται μέσω κατάλληλων τροποποιήσεων ή ενημερώσεων του λογισμικού προστασίας 36 Τμήμα Ψηφιακών Συστημάτων
…Φάση εξάλειψης Βελτιώνουμε την άμυνά μας με την υλοποίηση μέτρων προστασίας Διεξάγουμε ανάλυση ευπαθειών, προκειμένου να εντοπίσουμε ενδεχόμενες νέες ευπάθειες που επέτρεψαν την εμφάνιση του περιστατικού. 37 Τμήμα Ψηφιακών Συστημάτων
Φάση ανάκαμψης Επαναφέρουμε όλες τις λειτουργίες στην κανονική τους κατάσταση Επικυρώνουμε την επιτυχία των ενεργειών αποκατάστασης που κάναμε στα πληγέντα συστήματα Ενεργοποιούμε τους ιδιοκτήτες των συστημάτων για να ελέγξουν τη σωστή λειτουργία τους Διευκολύνουμε τους ιδιοκτήτες των συστημάτων προκειμένου να τα κηρύξουν σε κατάσταση κανονικής λειτουργίας. 38 Τμήμα Ψηφιακών Συστημάτων
Φάση ανασκόπησης… Διαμορφώνουμε την έκθεση για το περιστατικό Υπολογίζουμε το κόστος του περιστατικού, συνυπολογίζοντας το άμεσο κόστος λόγω απώλειας δεδομένων, την απώλεια εσόδων, τα νομικά έξοδα, το κόστος αναδημιουργίας συστημάτων και αρχείων, τον χρόνο που αφιέρωσε το προσωπικό για την αντιμετώπιση του περιστατικού και την απώλεια χρόνου του προσωπικού λόγω μη διαθεσιμότητας συστημάτων ή υπηρεσιών 39 Τμήμα Ψηφιακών Συστημάτων
…Φάση ανασκόπησης Αναλύουμε θέματα που προέκυψαν κατά την αντιμετώπιση του περιστατικού Προτείνουμε βελτιώσεις με βάση τις αποκτηθείσες εμπειρίες Παρουσιάζουμε την έκθεση στους μετόχους. 40 Τμήμα Ψηφιακών Συστημάτων
41 Τμήμα Ψηφιακών Συστημάτων
42 Τμήμα Ψηφιακών Συστημάτων Ευχαριστώ!