CyberbezpieczeństwoPolecane tematy
I konferencja ITwiz NextGenSecurity za nami!
Bardzo dziękujemy uczestnikom, którzy przybyli tłumnie oraz naszym partnerom – firmom IBM, McAfee Poland part of Intel Security, Integrated Solutions, Orange Polska, Dimension Data Polska, Huawei, Infoblox, Imperva i Veeam- za wniesiony wkład w przygotowanie konferencji.
Partnerami merytorycznymi zostali ISSA Polska, ISACA Warsaw Chapter oraz Cloud Security Alliance. Patronem medialnym zaś it-manager.
Pełna relacja będzie na łamach magazynu ITwiz (w specjalnym raporcie NextGenSecurity) i w serwisie ITwiz łącznie z materiałem wideo. Dziś na razie tylko streszczenie najważniejszych, przekazanych przez prelegentów informacji.
Maciej Grzelak, Senior Security Sales w IBM zwrócił uwagę, że z jednej strony o 30-40 proc. rocznie wzrasta liczba wykrytych zagrożeń, z drugiej zaś nakłady na bezpieczeństwo spadły w ostatnim roku o 4%. Ostatnio okazało się też, że wydatki rzędu 200 mln USD rocznie na bezpieczeństwo w przypadku banku JP Morgan nie były wystarczające. Rosyjscy hakerzy wykradli dane o ok. 76 mln kont jego klientów. Alternatywą – jego zdaniem – może być oddanie zarządzania bezpieczeństwem w outsourcing. IBM we Wrocławiu ma największe na świecie centrum tego typu – Security Operation Center (SOC).
Gość honorowy, Wim van Campen, Regional Vice President w Europie Północnej i Wschodniej w McAfee a part of Intel Security opisał zaś mechanizmy, które stoją za cyberprzestępcami i cały “ekosystem” ich poddostawców. Powoduje to, że cyberprzestępcy działają na coraz większą skalę. W I kwartale 2014 r. powstało ponad 30 mln malwer’ów. Dziś cyberprzestępcy nie potrzebują bowiem zaawansowanej wiedzy. Hakerzy mają dziś do dyspozycji usługi takie, jak Research-as-a-Service, Hacking-as-a-Service, czy Crimeware-as-a-Service (wyszukiwanie exploitów, tworzenie trojanów, czy malware’u, testowanie przygotowanych wirusów – 0,15 USD za jedno „sprawdzenie” lub 30 USD miesięcznie). „Dostawcy” tego typu rozwiązań mają nawet własne call center, ich „klienci” oceniają także jakość ich usług. Ocena ta jest jedną z kategorii wyboru przyszłego „partnera”. Można też wynająć botnet oraz usługi hostingowi dla działalności kryminalnej.
Tomasz Matuła, dyrektor Infrastruktury IT I Bezpieczeństwa Teleinformatycznego, Orange Polska opowiadał zaś o zapewnianiu bezpieczeństwa w nowoczesnej organizacji, której pracownicy i klienci korzystają dziś z wielu kanałów dostępu i urządzeń dotarcia do informacji. Tomasz Matuła zwracał uwagę, że na bezpieczeństwo należy patrzeć całościowo. Składają się na to: ochrona sieci i usług, obszar zasobów ludzkich, separacja zasobów krytycznych, monitoring i nadzór bezpieczeństwa oraz ochrona dostępu.
Beata Marek, prawnik i właściciel Cyberlaw, dyrektor ds. prawnych w ISSA Polska, autorka bloga cyberlaw.pl, opisała procedury związane ze ściganiem cyberprzestępców, w tym w szczególności te związane ze współpracą z organami ścigania. Postępowanie poincydentalne to m.in. zabezpieczenie dowodów oraz zawiadomienie organów ścigania. W tym przypadku często występuje problem właściwości miejscowej. Pomocny może być Art. 5 Kodeksu Karnego – Ustawę karna polską stosuje się do sprawcy, który popełnił czyn zabroniony na terytorium Rzeczypospolitej Polskiej, jak również na statku wodnym lub powietrznym, chyba, że umowa międzynarodowa, której Rzeczpospolita Polska jest stroną, stanowi inaczej oraz Art. 6 §2 KK – Czyn zabroniony uważa się za popełniony w miejscu, w którym sprawca działał lub zaniechał działania, do którego był obowiązany, albo gdzie skutek stanowiący znamię czynu zabronionego nastąpił lub według zamiaru sprawcy miał nastąpić. Ważny jest też Art. 31 Kodeksu Postępowania Karnego, w którym zapisano w §1 – Miejscowo właściwy do rozpoznania sprawy jest sąd, w którego okręgu popełniono przestępstwo, a w §3 Jeżeli przestępstwo popełniono w okręgu kilku sądów, właściwy jest ten sąd, w którego okręgu najpierw wszczęto postępowanie przygotowawcze. Warto też zwrócić uwagę na Art. 32 §1 KPK, który mówi, że: Jeżeli nie można ustalić miejsca popełnienia przestępstwa, właściwy jest sąd, w którego okręgu: 1) ujawniono przestępstwo, 2) ujęto oskarżonego, 3) oskarżony przed popełnieniem przestępstwa stale mieszkał lub czasowo przebywał – zależnie od tego, gdzie najpierw wszczęto postępowanie przygotowawcze. W ostateczności pozostaje sąd właściwy dla dzielnicy Śródmieście M. St. Warszawy.
Czesław Romek, specjalista ds. zarządzania kryzysowego w Polskiej Agencji Żeglugi Powietrznej opowiadał o bezzałogowych statkach powietrznych oraz sposobach ich wykorzystania, w tym do zapewnienia bezpieczeństwa infrastruktury krytycznych.
Kamil Kowalczuk, IT Security Architect, PKP Energetyka, mówił o tworzeniu architektury systemów bezpieczeństwa. Jego zdaniem, przede wszystkim należy odpowiedzieć sobie na pytanie co chronimy, a co powinniśmy chronić. Oceniać trzeba np. wartość chronionej informacji i dostosowywać do niej środki bezpieczeństwa. Kamil Kowalczuk wskazał też na genezę błędów zabezpieczeń IT. Są to: błędy projektowe – założenia dla oprogramowania opierały się na błędnych przesłankach, na przykład na mylnym rozumieniu zasad funkcjonowania sieci komputerowych i budowy wykorzystywanych protokołów komunikacyjnych np. użycie protokołu „http” a nie „https” lub zastosowanie huba a nie switcha; błędy implementacyjne – pomyłki techniczne popełniane przez programistów na skutek ich niewiedzy lub nieuwagi np. może prowadzić do podatności na ataki typu przepełnienie bufora; błędy konfiguracyjne – obejmuje pomyłki popełniane przez administratorów, którzy przygotowują oprogramowanie do wykorzystania przez użytkowników np. ustawienie trywialnych haseł dla uprzywilejowanych kont, albo udostępnienie zbędnej funkcjonalności bez adekwatnej kontroli dostępu; błędy użytkownika – zachowania użytkowników, którzy nie rozumieją w pełni funkcji oprogramowania i zasad działania systemów komputerowych np. uruchamianie załączników od niepewnych nadawców przysłanych w poczcie elektronicznej.
Patryk Gęborys, menedżer w zespole Cyber Security Team w PwC Polska opowiadał o hybrydowych cyberatakach. „Jesteśmy mobilni, używamy tabletów i smartfonów do komunikacji prywatnej i służbowej, na co dzień korzystamy z Facebooka, LinkedIn, GoldenLine, pracujemy z domu, czy w pociągu… Jaki ma to wpływ na istotne dla naszej firmy informacje?” – zastanawiał się. Ekosystem biznesu to zarówno szanse jak i ryzyko, czyli architektura oparta na zaufaniu i współpracy, wzrost zależności od technologii oraz powszechność informacji i danych. Współczesny haker wykorzysta powyższe cechy. Z perspektywy hakera największy potencjał i jednocześnie najłatwiejszego ataku można dokonać na Centrum Usług Wspólnych, często są to centra oferowane w outsourcingu. Tymczasem tylko nieco ponad 50% ankietowanych firm wymaga formalnie od dostawców stosowania się do własnych polityk w zakresie prywatności i bezpieczeństwa informacji. Równolegle obecne serwisy społecznościowe (Facebook, Twitter, GoldenLine, LinkedIn) to niewyczerpane źródło informacji na temat pracowników firmy, którą chcemy zaatakować, oraz zakresu ich odpowiedzialności. Zatrważające są wyniki testów przeprowadzonych przez PwC Cyber Security. Prawie 100% pracowników ujawniło swoje hasła. Tylko w jednym przypadku zgłosił tę próbę do działu bezpieczeństwa.
Po lunchu rozpoczęły się sesje równoległe. Bartosz Chmielewski, Sales Systems Engineer EMEA w McAfee Poland part of Intel Security opowiadał o zaawansowanych technikach obejścia inspekcji firewall’owej i metodom przeciwdziałania atakom typu AET (Adavanced Evasion Techniques). AET to technika pozwalająca na zastosowanie kombinacji działań hakerów, zmieniającą się dynamiczne w trakcie trwania ataku oraz używającą wielu warstw i protokołów. Wszystko po to, aby dostarczyć podejrzaną zawartość lub exploit w strumieniu danych, który pozornie wygląda na prawidłowy z punktu widzenia mniej zaawansowanych rozwiązań bezpieczeństwa sieci. W celu przetestowania podatności na AET McAfee poleca narzędzie Evader (evader.mcafee.com).
Łukasz Formas, Główny Inżynier Sprzedaży, Integrated Solutions miał prezentację na temat ewolucji zagrożeń oraz technik i rozwiązań zapobiegania im. Szczególną uwagę zwrócimy na różnorodność i wielopoziomowość ataków oraz wyjątkowe miejsce „czynnika ludzkiego” w strukturze bezpieczeństwa. Jednocześnie nakłada się na to „webifikacja” aplikacji. 69% użytkowników korzysta z aplikacji Web, a aż 71% ekspertów uważa, że większość aplikacji zostanie przeniesiona do wersji Web do roku 2020. To zaś powoduje zwiększone narażenie firm i ich działalności związane z atakami typu DDoS. „Najczęściej pochodzą one z Chin, USA, Rosji, Indii, ale także Niemiec i Francji. Do tej pory zaobserwowaliśmy w Polsce ataki do 10 Gb/s. Są ataki na pasmo – zużywają całe dostępne pasmo lub zasoby urządzeń sieciowych, ale też na aplikacje – zużywają zasoby poprzez dużą liczbę błędów w protokole” – tłumaczył Łukasz Formas. Ochronę przed atakami typu DDoS oferuje Security Operation Center (SOC) Integrated Solutions i Orange Polska. Jednocześnie wzrasta trudność wykrycia innego typu ataków, tym bardziej, że współczesne aplikacje często omijają tradycyjne firewalle. Wymagana jest więc całościowa ochrona aplikacji.
Ciekawą debatę poświęconą wdrożeniu rekomendacji D i aspektom bezpieczeństwa mieli przedstawiciele BNP Paribas. Leszek Bizoń (z lewej), dyrektor Departamentu Strategii i Koordynacji IT, BNP Paribas stwierdził, że największe wyzwania związane z rekomendacją D dotyczyły zarządzania danymi oraz zarządzania elektronicznymi kanałami dystrybucji (EKD). W pierwszym wypadku wymagało to uzgodnienia zakresu danych istotnych, właścicelstwa danych oraz obowiązków właściciela danych zgodnie z Rekomendacją 8.3. W drugim przypadku wymagało to kompleksowej analizy ryzyka EKD, ze względu na szeroką definicję systemów obecnych w obsłudze elektronicznych kanałow dystrybucji. Z kolei Paweł Nowak (z prawej), menedżer ds. bezpieczeństwa systemów informatycznych, BNP Paribas stwierdził, że rekomendacja D zwraca uwagę na zapewnienie bezpieczeństwa danych i środków ich klientów. Tymczasem dziś największe zagrożenie jest nie po stronie systemów działających w bankach, lecz po stronie klientów, na ich komputerach i smartfonach, gdy korzystają z dostępu przez przeglądarkę lub aplikacje mobilne do swoich środków. Hakerzy mogą przechwycić zarówno nasze dane do logowania, jak i dane do autoryzacji. „Rada? Czytajmy SMSy, zwłaszcza te z hasłami potwierdzającymi transakcje” – podsumował Paweł Nowak. Warto też wykorzystywać rozwiązania klasy Fraud Detection System i Web Fraud Detection.
Andrzej Sobczak, Senior Information Security Analyst w Royal Bank of Scotland, zastanawiał się kto jest i kto powinien być odpowiedzialny za bezpieczeństwo. Pytanie o tyle istotne, że – jak wynika z badań – dziś de facto nikt nie czuje się odpowiedzialny za bezpieczeństwo. Najczęściej wymieniani są menedżerowie odpowiedzialni za bezpieczeństwo, CIO oraz CEO i CFO. Z drugiej strony z 21% w roku 2011 do 60% w roku 2013 wzrosła świadomość zagrożenia atakami i naruszeniami z wewnątrz, co jest o tyle ważne, że kosz incydentów wewnętrznych jest wyższy niż ataków z zewnątrz. Choć z drugiej strony stanowią one jedynie ok. 20% wszystkich ataków. „Warto pamiętać, że nadużycia, sabotaż i kradzież danych dotykają organizacje we wszystkich sektorach. Nie tylko banki i telekomy, które w znacznym stopniu polegają na technologii informatycznej. Także handel detaliczny, administracja publiczna, przemysł, ochrona zdrowia czy usługi pocztowe są narażone na ataki wewnętrzne” – mówi Andrzej Sobczak. „Trzeba pamiętać, że bezpieczeństwo to procesy, ludzie i narzędzia” – dodaje.
Bartłomiej Wodziński, Kierownik Handlowy Grupy Produktowej – Bezpieczeństwo w Dimension Data Polska opisał na początku swojej prezentacji obecny stan na rynku bezpieczeństwa. Dziś aż 95% wykradzionych informacji zawiera dane personalne. „Szacunkowy koszt bycia zgodnym z obowiązującymi regulacjami dotyczącymi bezpieczeństwa to 222 USD, a niezgodności aż 820 USD na jednego pracownika” – tłumaczy Bartosz Wodziński. Warto zwrócić uwagę, że w 2012 roku było ponad 14 tys. tego typu regulacji. Zagrożeń jest zaś bez liku, zwłaszcza ze strony mediów społecznościowych i powszechnej mobilności pracowników. Aż 2 na 3 firmy są narażone na incydenty pochodzące z mediów społecznościowych. Jednocześnie 6 na 10 pracowników w wieku 18-35 lat używa prywatnych urządzeń do pracy. “Podstawową odpowiedzią jest kompleksowa podejście do bezpieczeństwa. W naszym przypadku to współpraca z czołowymi dostawcami w 15 różnych kategoriach produktów, w tym WebApplication Firewall, SIEM, APT, Endpoint protection, BYOD, NextGeneration Firewall, czy ochrona przed DDoS” – podsumował Bartosz Wodziński.
Piotr Głaska, Senior Product Manager w Huawei EBG, w dziale Enterprise Networking opowiadał o tym, w jaki sposób zapewnić bezpieczeństwo dostępu do sieci w różnych jej fragmentach (prezentowane było rozwiązanie Huawei Agile Controller oferujące m.in. dynamiczną autoryzację opartą na politykach związanych z dostępem do sieci korporacyjnej za pośrednictwem różnych terminali) oraz zastanawiał się, czy Software-Defined Networking może coś zmienić w tym zakresie. Z rozwiązań SDN korzystają już przełączniki oferowane przez Huawei.
Rafał Chyży, CSO Grupa Onet.pl podał przykład ciekawej klasyfikacji – ryanair’yzacji – poufności i dostępności poszczególnych usług Onet.pl. Zostały one bowiem sklasyfikowane pod względem dostępności. Najważniejsze serwisy mają oznaczenie BA (skrót od British Airways), te o średnim znaczeniu LH (Lufthansa), a te o najniższym RA (Ryanair). Onet.pl ma także ciekawy sposób radzenia sobie z atakami DDoS. Ponieważ nie ma w Polsce sieci botnetów, które mogłyby zagrozić Onet.pl, w przypadku ataku firma po prostu odcina łącze z zagranicą. Analiza ryzyka doprowadziła do tego, że niektóre z serwisów znajdują się aż w 3 centrach danych – podstawowym i zapasowym Grupy Onet.pl oraz w chmurze Amazona.
Paweł Surmak, kierownik Działu Zwalczania Nadużyć w T-Mobile Polska opowiadał o zintegrowanym podejściu do bezpieczeństwa. Bezpieczeństwo pełni jedną z kluczowych ról w T-Mobile Polska, z jednej strony chroniąc najważniejsze zasoby organizacji, a z drugiej -wspierając biznes. Na bezpieczeństwo firmy składa się wiele powiązanych elementów. Począwszy od warstwy fizycznej, poprzez bezpieczeństwo technologiczne, ochronę informacji, poziom świadomości pracowników oraz aspekty prawne i regulacyjne, np. ustawy o ochronie danych osobowych czy prawo telekomunikacyjne.
Piotr Kluczwajd, Regional Sales Director Eastern Europe, Baltics, Adriatics w Imperva zwrócił uwagę, że aż 75% ataków na aplikacje webowe jest oportunistyczne, a 15 na 16 połączeń skierowanych do strony logowania aplikacji nie pochodzi od rzeczywistych użytkowników aplikacji lecz złośliwych botnetów. Naruszenie poufności informacji zajmuje od minut do pojedynczych godzin. Natomiast, aby stwierdzić taki fakt organizacje potrzebują miesięcy (w 62% przypadków), a niejednokrotnie lat (4%). Aż 69% podmiotów dowiaduje się o naruszeniu bezpieczeństwa informacji od… stron trzecich. Najpopularniejsze ataki, jak SQL Injection, czy Cross Site Scripting towarzyszą nam już drugą dekadę i wciąż biją rekordy popularności wg OWASP. „Wciąż jednak wierzymy, że właściwie chronimy informacje. Czy na pewno, skoro statystyki podpowiadają coś zupełnie odmiennego?” – mówi. „Naszą odpowiedzią jest ochrona tego, co znajduje się w centrach danych – aplikacji Web, plików, np. przechowywanych w systemach SharePoint i baz danych. Jest to o tyle ważne, że dziś za atakami stoją zorganizowane grupy przestępcze i rządy” – dodaje.
Adam Obszyński, Senior Systems Engineer odpowiedzialny za region CEE w Infoblox mówi: „Zabezpieczamy już wszystko. Sieci przewodowe i bezprzewodowe, aplikacje, serwery. Ogromna ilość zagrożeń w dzisiejszych sieciach związana jest z protokołem DNS. Protokołem, który choć wykorzystywany jest wszędzie, to bardzo często traktowany jest po macoszemu”. Ataki na serwery DNS rosną o ok. 200% rocznie. Jest to jeden z elementów ataków typu DDoS, których największymi źródłami są Chiny, USA, Brazylia i Rosja. Aż 42% ataków dotyczy dużych przedsiębiorstw, z czego 13% instytucji finansowych, a 21% dostawców usług biznesowych. Zaatakowano w ten sposób m.in. serwisy LinkedIn i New York Times. Wśród 10 „najpopularniejszych” ataków DNS są: TCP/UDP/ICMP floods, DNS cache poisoning, DNS tunneling, DNS based exploits, DNS reflection/DrDos, DNS amplification, Protocol anomalies, DNS hijacking, Reconnaissance, Fragmentation. Infoblox prezentował rozwiązanie tych problemów, którymi są urządzenia typu appliance – Infoblox PT – chroniące serwery DNS.