Dohledové centrum eGovernmentu – DCeGOV SOCCR (Security Operation Centre for Cyber Reliability) KYBERNETICKÁ BEZPEČNOST.

Prezentace na téma: "Dohledové centrum eGovernmentu – DCeGOV SOCCR (Security Operation Centre for Cyber Reliability) KYBERNETICKÁ BEZPEČNOST."— Transkript prezentace:

1 Dohledové centrum eGovernmentu – DCeGOV SOCCR (Security Operation Centre for Cyber Reliability)
KYBERNETICKÁ BEZPEČNOST

2 Ministerstvo vnitra České republiky Kybernetická bezpečnost
Agenda Ministerstvo vnitra České republiky Kybernetická bezpečnost Dohledové centrum eGovernmentu – SOCCR Účel Principy fungování Plán dalšího rozvoje KYBERNETICKÁ BEZPEČNOST

3 Ministerstvo vnitra České republiky
Ministerstvo vnitra je ústředním orgánem státní správy zřízené zákonem Pod Ministerstvo vnitra spadá také Policejní prezidium a Generální ředitelství Hasičského záchranného sboru Do kompetencí Ministerstva vnitra patří zejména: veřejný pořádek a bezpečnost, krizové řízení, územní členění státu, cestovní doklady, povolování pobytu cizinců a postavení uprchlíků, státní symboly, evidenci obyvatel a matriky, státní občanství, občanské průkazy shromažďovací právo, sdružování v politických stranách a hnutích, zbraně a střelivo, požární ochranu a další Po sloučení s Ministerstva Informatiky s Ministerstva vnitra v roce převzalo Ministerstvo vnitra také koordinační úlohu v oblasti informačních a komunikačních technologií a rozvoje a bezpečnosti služeb eGovernmentu

4 Strategická role MV v oblasti ICT
„Ministerstvo vnitra si je vědomo své klíčové řídící a strategické role v oblasti ICT státu, a proto usiluje o jednotnost, centralizaci a bezpečnost základních služeb eGovernmentu, zejména prostřednictvím budování komplexních a propojených infomačních a komunikačních systémů včetně dohledových systémů pro zajištění jejich plynulého provozu a bezpečnosti.“

5 Kybernetická bezpečnost resortu MV
Celkem 27 prvků kritické informační infrastruktury a významných informačních systémů v resortu MV 10 významných informačních systémů (VIS) 17 prvků kritické informační infrastruktury (KII) Dalších cca 120 informačních a komunikačních systémů a aplikací Tvorba bezpečnostní dokumentace pro KII a VIS Zavádění opatření a napojení na Dohledové centrum eGovernmentu SOCCR – bezpečnostní monitoring Hlášení kybernetických bezpečnostních incidentů na NCKB a komunikace s NBÚ a NCKB Zajištění bezpečnosti celého kybernetického prostoru resortu MV

6 Dohledové centrum eGovernmentu SOCCR Definice cílů projektu
Vybudovat a zajistit moderní jednotné bezpečnostní a provozní dohledy a monitoring ICT resortu Ministerstva vnitra ČR (dále jen MV) z důvodu zajištění bezpečnosti a provozní spolehlivosti ICT resortu MV (dohledové centrum eGovernmentu – SOCCR). Naplnit především technické a organizační opatření vyplývající ze zákona č. 181/2014 Sb., o kybernetické bezpečnosti a souvisejících právních předpisů. Nabídnout dostatečně variabilní architekturu se snadnou možností dalšího rozvoje. Nákladově efektivní centralizace bezpečnostních a provozních dohledů a monitoringu ICT resortu MV synergickým využitím odpovídajících technologií v rámci resortu MV. Postupně bezpečnostně a provozně dohledovat a monitorovat ICT resortu MV. KYBERNETICKÁ BEZPEČNOST

7 DCeGOV SOCCR – harmonogram projektu

8 DCeGOV SOCCR – základní parametry
SOCCR tvoří 3 funkční částí, které jsou navzájem procesně propojeny: L1 call centrum – příjem a zaznamenávání událostí od uživatelů, předání událostí na další úroveň podpory, uzavírání již vyřešených událostí; L2 bezpečnostní a provozní monitoring a dohled včetně odpovídajících analýz a komunikace s NCKB, monitorování průběhu událostí, reporting dosahovaných výsledků; L3 technická a odborná podpora – příjem událostí od L1 a L2, řešení událostí dle výsledků analýz. Procesy zajištění bezpečnostních a provozních dohledů a monitoringu musely být z větší části nově navrženy a následně implementovány, většina rozsahu nebyla doposud pro potřeby resortu MV vykonávána.

9 Informační systémy resortu MV (KII, VIS, …)
DCeGOV – schéma Informační systémy resortu MV (KII, VIS, …) Krajské kolektory (14 lokalit po celé ČR) Sdílená infrastruktura CMS a ITS Řízení rizik a kontinuity Sběr a hlášení události BCM Antivirus AntiDDos NetFlow 2FA HoneyNet Skener IPS/IDS Risk Mgmt REDUNDANTNÍ INFRASTRUKTURA Komunikace Call Centrum - Service Desk Řízení a hlášení incidentů Řízení a realizace změn DC SPCSS DC ČP SIEM

10 DCeGOV SOCCR – rekapitulace výstupů projektu
Soulad se ZoKB (Zák.č.181/2014 Sb.) a ISO standardy Bezpečnostní a provozní monitoring Geograficky redundantní řešení - vysoká dostupnost 14 kolektorů na úrovni krajů pro napojení krajských prvků a rozšíří monitoring do všech přípojných uzlů síti MV Provoz 24x7x365 Řídí bezpečnost systémů v aktivním a pasivním módu Zajišťuje proaktivní dohled Vytváří efektivní procesy pomocí portálu Service Desk Koordinace týmů (SOCCR, TKB, …) Modulární architektura, vlastní aktivní ochrana, znalostní databáze Více než prvků v jednotlivých perimetrech resortu MV

11 Organizační zapojení DCeGOV SOCCR
Odbor rozvoje projektů a služeb eGovernment MV ČR Organizační zapojení DCeGOV SOCCR MV krizové řízení operativní řízení eskalace metodika Výbor pro řízení KB Další složky MV Manažer kybernetické bezpečnosti Architekt kybernetické bezpečnosti Auditor kybernetické bezpečnosti Manažer bezpečnosti - PČR Tým kybernetické bezpečnosti Manažer bezpečnosti - HZS DCeGOV - SOCCR Vládní CERT (NCKB) Manažer bezpečnosti - ZR Garanti primárních aktiv Garanti podpůrných aktiv KYBERNETICKÁ BEZPEČNOST

12 DCeGOV - služby Primární služby Bezpečnostní služby Podpůrné služby
LOG MANAGEMENT PROVOZNÍ MONITORING Bezpečnostní služby ŘÍZENÍ A IDENTIFIKACE BEZPEČNOSTNÍCH UDÁLOSTÍ ŘÍZENÍ KONTINUITY PROVOZU ŘÍZENÍ RIZIK IDENTIFIKACE A ANALÝZA HROZEB ANALÝZA DATOVÝCH TOKŮ ZABEZPEČENÍ PERIMETRU ZAVÁDĚNÍ OPATŘENÍ PROAKTIVNÍ DOHLED Podpůrné služby PATCH MANAGEMENT IDM RELEASE MANAGEMENT ARCHIVACE ZÁLOHOVÁNÍ VÍCEFAKTOROVÁ AUTENTIZACE SMS NOTIFIKACE NETWORK TIME PROTOCOL OVÉ SLUŽBY ZABEZPEČENÝ VZDÁLENÝ PŘÍSTUP

13 Bezpečnostní dohledy KII/VIS
Pasivní - dohlíží bezpečnost Aktivní - řídí bezpečnost SOCCR je bezpečnostní administrátor systému SOCCR analyzuje, vyhodnocuje a dává informace zpět do systému, aktivně řeší incident (technicky, procesně), ve spolupráci s administrátory zasahuje do konfigurace SIEM - v systému je implementována sonda/agent, sbírá události, vyhodnocuje, do SOCCR zasílá agregované údaje SOCCR vyžaduje plný přístup do systému, implementaci nástroje PIM/PAM + 2FA (administrátorské přístupy) SOCCR provádí automatizované skenování zranitelností s autentizací HoneyNet - aktivní návnada pro potenciální útočníky Podpora procesů řízení rizik a kontinuity (SOCCR má nástroj) SOCCR je dohlížitel - dostává informace ze systémů KII, VIS SOCCR analyzuje, vyhodnocuje a dává informace zpět do systémů KII, VIS, dává doporučení na reakci SIEM - monitoruje události na perimetru systémů ITS, CMS N/A - SOCCR má pouze přístup „pro čtení“ SOCCR (ne-)pravidelně skenuje zranitelnosti bez autentizace (s povolením správce systému) HoneyNet - aktivní návnada pro potenciální útočníky Podpora procesů řízení rizik a kontinuity (SOCCR má nástroj)

14 Procesní schéma DCeGOV
KYBERNETICKÁ BEZPEČNOST

15 Zpracování události v SD DCeGOV
Analytická skupina je zodpovědná za zanalyzování situace ve spolupráci s manažerem KB a Oprávněnými osobami, evidenci zaslaných KBU/KBI a zasílá potvrzené KBI na NCKB Manažer kybernetické bezpečnosti rozhoduje o zaslání KBI na NCKB, o způsobu zastavení kybernetického útoku na základě návrhů Analytické skupiny DCeGOV (návrh opatření) KYBERNETICKÁ BEZPEČNOST

16 Vyřešení a uzavření události v SD DCeGOV
Fyzické vyřešení události provede Administrátor systému dle instrukcí Analytické skupiny Analytická skupina ověří zrealizování opatření Administrátorem Událost je Operátorem uzavřena až po ověření jejího vyřešení Zadavatelem události. KYBERNETICKÁ BEZPEČNOST

17 Proces nahlášení podezření na KBU/KBI
Všechny události nahlášené telefonicky jsou po přijetí do SD prověřovány a klasifikovány jako podezření na KBU/KBI, může se stát, že budou překlasifikovány na provozní událost V případě, že se jedná o nekompletní nahlášení události, dojde následně k další telefonické komunikaci mezi Analytickou skupinou DCeGOV a Oprávněnou osobou, která události nahlásila KYBERNETICKÁ BEZPEČNOST

18 Technologické nástroje
DCeGOV – nástroje Technologické nástroje Personál CallCentrum ServiceDesk SIEM Logger HoneyNet Net Flow Vulnerability Management Řízení rizik a kontinuity Antivirus AntiDDos IDS/IPS 2 FA PROCESY Operátoři Analytická skupina Administrátoři Správci Analytici Kompetenční zázemí Architekti Vývoj Bezpečnost Tým kybernetické bezpečnosti Externí podpora Dodavatelé Partneři

19 SIEM Sbírá a vyhodnocuje události ze zařízení CMS2 a z dalších bezpečnostních a provozních technologií (např. IPS/IDS, Netflow, HoneyPot, Vulnerability scanner…) Redundantní nasazení ve dvou datových centrech Analytické nástroje, základní pravidla nastavená výrobcem, postupný rozvoj dalších pravidel

20 Řízení zranitelností Kontroluje technické zranitelnosti na úrovní operačních systémů, databází a síťových prvků Kontroluje na infrastrukturních komponentách správnost nastavení a doporučuje změny nastavení (pokrytí rizika neoprávněného přístupu k systému, zamítnutí služby apod.) Komunikace se SIEM o nalezených zranitelnostech

21 NetFlow analyzer Pokrývá riziko výskytu nestandardní komunikace, změny konfigurací ADS modul analyzuje datové toky a odchylky od standardního IP toku Monitorování síťového provozu na základě IP toků, jako sondy jsou použity centrální routery Cisco, kolektory pro uložení, zobrazení, analýzu síťových aktivit a další moduly

22 Antimalware: Antivirus
Chrání před škodlivým obsahem Aplikace/databázové servery OS servery ​Pracovní stanice dohledového centra

23 HoneyNet Postaveno na technologii „HoneyPot“
Účinná návnada prostřednictvím simulace kritických služeb Umožní studovat a získat vzorce chování útočníka Komplikuje pokusy o kompromitaci systému Technologicky „živé“ prostředí

24 AntiDDOS Chrání síťový perimetr CMS 2.0 před DDoS útoky
Správa AntiDDoS sond prostřednictvím Network Security Manager (NSM) Sondy zapojeny tak, aby i v případě výpadku jednoho z internetových směrovačů, byl provoz směrován přes AntiDDoS sondu v aktivním datovém centru

25 Řízení rizik KII/VIS Analýza rizik na systémech určených k dohledu
Výstup tvoří podklad pro sestavení rozsahu a režimu dohledu Hodnocení aktiv = rámec dohledu Hodnocení hrozeb = platforma stanovení SLA Plán kontinuity = koncept procesů Recovery a Redundance Interaktivní RISK MANAGEMENT Automatizovaný přístup k informacím – aplikace RAMSES Ukazatele rizik a hrozeb jsou aktualizovány ve vazbě na reálný provoz Četnosti a rozsah událostí určují úroveň opatření Dle úrovně znalostí o hrozbách upravován režim dohledu Změny konzultovány a sdíleny s garanty a správci aktiv

26 DCeGOV – přijaté tickety
Počet ticketů přijatých DCeGOV I. – III. Q 2016 23 775

27 DCeGOV – rozložení ticketů v měsících

28 DCeGOV – rozložení ticketů v týdnu

29 DCeGOV – další rozvoj Spolupráce s NCKB a další rozvoj technologií (scrubbing centrum, rozvoj HoneyNetu, bezpečná doména gov.cz …) Nástroje pro analýzy záznamů Analytické nástavby pro vyhodnocování NetFlow Nástroje pro identifikaci botnetů Technologie pro monitoring, filtraci a antimalware ochranu protokolů http, ftp, a to i šifrovaných Nástroje na simulace řízení kritických situací Billing Nástroje forenzní analýzy pro resort Rešerše a sledování aktuálních hrozeb Rešerše a sledování aktuálního technologického rozvoje Spolupráce s významnými pracovišti typu SOC

30 Děkujeme za pozornost. Ing. Miroslav Tůma, Ph.D. Ing. Luděk Tichý
Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra České republiky Nad Štolou 936/3, Praha 7 Ing. Luděk Tichý Vedoucí oddělení informační bezpečnost a BCM NAKIT Národní agentura pro komunikační a informační technologie, s.p. Kodaňská 1441/46, Praha 10 nakit.cz KYBERNETICKÁ BEZPEČNOST