Dellei László GyörgyMBA, C|CISO, CISA, CGEIT, CRISC, ISO27LA, CDPO

KERUBIEL LTD.

CEO

laszlo.dellei@kerubiel.com

Protecting the critical infrastructure

1. Kezdetek

2. Jelenlegi helyzet

3. Lehetőségek

0. Bemutatkozás

KERUBIEL

Privately owned SME

Founded in 2017

Industry: Information Technology and services

Focus areas: Cyber Security, Security, IT development (VR, AI, IoT)

Main activities: Audit, Digital Forensics, Cyber Security professional

services

Certs: C|CISO, CISA, CISM, CGEIT, CRISC, ITIL, CISSP, ISO27LA,

OSCP, CEH, CCSE, OCA, Expert Witness (DS, IT)

Memberships:

AI coalition HUNGARY

Gold members of ISACA

EC-Council, ISC2

John von Neumann Computer Society

Hungarian Chamber of Judicial Experts

The Art of War

A kiberbiztonsági helyzet fokozódik - a hadviselés 5. területe

Az ICS / SCADA elleni fenyegetések tavaly megduplázódtak, a Dell és a Kaspersky új jelentése szerint (új fenyegetések, védjegyek)

Egyetlen szervezet sem túl nagy vagy túl kicsi ahhoz, hogy adatszivárgás áldozatává váljon.

Új megoldásokra van szükség a hatékony védelem eléréséhez

A NATO számítógépes szerverei naponta 200 millió gyanús számítógépes eseményt észlelnek

Project SHINE Reveals Magnitude of Internet-connected Critical Control Systems

Two year study on devices exposed on

Internet

Sampled ~2.2 Million devices exposed

• >25% (587,000) ICS, SCADA systems,

HVAC systems

SHODAN reveals a device’s:

• IP address, geo coordinates, owner,

service port header, firmware details, and

more

require 'msf/core'

class Metasploit3 < Msf::Auxiliary

include Msf::Exploit::Remote::Tcpinclude Rex::Socket::Tcpinclude Msf::Auxiliary::Scanner

def initialize(info = {})super(update_info(info,

'Name'=> 'Siemens Simatic S7-300/400 CPU START/STOP Module',

'Description' => %q{The Siemens Simatic S7-300/400 S7 CPU start

and stop functions over ISO-TSAPthis modules allows an attacker to perform

administrative commands without authentication.This module allows a remote user to change

the state of the PLC betweenSTOP and START, allowing an attacker to end

process control by the PLC.

Számos kiberbiztonsági behatolás általában a vállalati hálózaton keresztül működik, és a hálózatba belépő és onnan kilépő adatok megfigyelése révén az egyik módja a kiberbiztonsági fenyegetések felismerésének. Az elemzők számára a vállalati hálózatok kommunikációjának részét képező minden egyes adatcsomag figyelése szinte lehetetlen.

A biztonsági szakértők nem képesek megfelelni annak a sebességnek és mértéknek, amellyel az AI szoftver képes végrehajtani ezeket az adatelemzési feladatokat. Ezenkívül az AI-alapú kiberbiztonsági adatelemző szoftver a feladatot következetesen nagyobb pontossággal tudja elvégezni, mint az emberi elemzők. A nagyszabású adatelemzés és a rendellenességek észlelése néhány olyan terület, ahol az AI ma hozzáadott értéket jelenthet a kiberbiztonság szempontjából.

A támadás következményeinek és a társaság által igényelt válaszok megértéséhez további adatelemzésre van szükség. Az AI algoritmusok kiképezhetők bizonyos előre meghatározott lépések megtételére támadás esetén, és az idő múlásával megtanulhatják, hogy mi legyen a legideálisabb válasz a kiberbiztonsági szakértők részéről.

A gépi tanuláson alapuló szoftverek több technikát is használhatnak, például statisztikai elemzést, kulcsszó-egyezést és rendellenesség-észlelést annak meghatározására, hogy egy adott adatcsomag eléggé különbözik-e a betanulási adatkészletben használt adatcsomagoktól.

Forrás: Capgemini Report on Reinventing Cybersecurity with Artificial

Intelligence

Forrás:

Capgemini

Report on

Reinventing

Cybersecurit

y with

Artificial

Intelligence

Shadow Firewall (SFW)

2000-es évek elején fejlesztett célszoftver, melynek alapja (korábban UHU, ma jellemzően

Debian) Linux, ami eredetileg kliens operációsrendszer alkalmazásként jött létre.

SPAM szűrő funkcionalitás

A stabil operációs rendszerre építkezve született meg egy spamszűrésre, és kis mail

szerver forgalom menedzselésére (Exchange szerű) alkalmas Linux alapú szoftver, mely a

jelenleg SFW 1.0 nevet kapta. A szoftver fejlesztésére állami támogatást sikerült elnyerni

még a 2000 években, melyet a szoftver stabilitására, illetve a funkciók kifejlesztésére

fordítottunk, illetve fordított az akkori csapat.

SFW 2.0

99% spamszűrési, és 100% vírusszűrési képesség

dobozos alkalmazás

Az SFW 2.5 verzió már tartalmazta a grafikus statisztikai modult, melynek segítségével, sokkal

színesebb és „eladhatóbb” statisztikai elemzéseket lehetett előállítani. Ezen túl tartalmazza a Nagios

funkciót, mely a hálózat menedzsmentben – SFW-re vonatkozóan -, nyújt segítséget.

Az SFW 3.0 verzió fogja tartalmazni a „távolról telepítés” funkciót. Ennek jelentősége a world wide

vállalatok vagy országon belüli számos telephellyel rendelkező vállalatok egyszerre történő, minden

telephelyen, teljes, egy azonos idejű bevezetését teszi lehetővé, ami annyit tesz, hogy előre

definiált, meghatározott kernellel ellátott szerverre a magyarországi –vagy bárhonnan bárhová -,

bázisról telepítjük fel a kiválasztott szerverre az SFW szoftvert. Így nem történik helyszínre utazás, a

telepítést követően az alkalmazást lezárjuk, így hoztuk létre az appliance alkalmazást. A

beüzemelés, a telepítést követően valósul meg.

• Külföldi egyetemekkel konzorciumban fejlesszük tovább a terméket• A jelenleg ismert verzió a fejlesztés befejezését követően tartalmazni fogja:

• továbbfejlesztett mesterséges intelligencia modult, melynek feladata, egy

meglévő, megközelítőleg 1000 szót tartalmazó alapadatbázisból történő

automatikusan újuló és épülő spamadatbázis felépítése. Ennek célja, hogy ne

legyenek előre kiépített spam és egyéb adatbázis kapcsolatok, (blacklist, white list,

tüköradatbázis) hanem amilyen környezetbe helyezik az eszközt (egészségügy,

ipar, informatika, stb..) ott maga készítse el a black list, illetve tükör adatbázisát,

mely által mind tökéletesebb, és kifinomultabb – akár külön értékesíthető

termékként – létrejövő adatbázist kapunk. Ezáltal nem kell speciális algoritmusokkal

előre definiálni, hogy mi a szűrési alap algoritmus, hanem „megtanulja”, a kiszűrni

kívánt tartalmakkal kapcsolatos elvárásokat.• a vírusszűrő/irtó funkcióját – alap esetben -, 6 előre megválasztható motorral képes

megvalósítani, melynek a szoftveres integrációja (belinkelhetősége) kész. Választható CA,

Kaspersky, Mcafee, Symantec motorokkal a telepítés, alapesetben CA és Kaspersky a

vírusszűrő motor, mely egyszerre két lépésben szűr.

Az SFW integrált biztonságtechnikai rendszer egy 5 modulból álló appliance:

Firewall (meglévő)

Webfilter

Spamfilter

MI modul

Obfuszkáció modul (szoftver vízjel)

AI for Network Threat Identification

AI Email Monitoring

AI-based Antivirus Software

AI-based User Behavior Modeling

A jelenlegi modulok, önállóan ismert és bevezetett szoftverkomponensek, mely piacon számos szervezetnél vállalatnál működnek, maximális üzleti kihasználtság mellett. A jelenleg ismert igények között szerepel, hogy a jelenleg párhuzamosan működő modulokat egy integrált MI modullal összekötött egységes hardveres appliance rendszerbe szervezve létrehozzuk a Első Magyar Biztonsági Elemi Rendszer (EMBER) Layer 7 biztonsági szinttel.

A rendszer tervezett bevezetését követően a teljes államigazgatási hálózat biztonsági szempontok szerint értékelve lefedhető, melynek alábbi előnyei jelentkezhetnek:

Hazai fejlesztés, licensz díjak az ország költségvetési körforgásában maradhatnak Hazai fejlesztői csapat, hazai nyelv és azonnali fizikai elérése a fejlesztői csapatnak Nincs nemzetbiztonsági kockázat, idegen országok termékeinek bevezetése és egyéb

fejlesztési kiszolgáltatottság kapcsán Piacon egyedi integrált megoldás Hazai internet és adatkezelési szokásokhoz alkalmazkodás Államigazgatási szokások miatt specializáció Layer 7 biztonsági szint Nemzeti adatvagyon megőrzése Nemzetközi vizeken értékesíthető integrált megoldás A jelenleg ismert hálózatbiztonsági igényeknek, maradéktalan megfelelő

A vállalkozásoknak meg kell értenie, hogy ezek a rendszerek csak annyira jók, mint a számukra táplált adatok.

A kiberbiztonsági alkalmazások ma a legnépszerűbb AI-alkalmazások. Ez nagyrészt annak köszönhető, hogy ezek az alkalmazások olyan rendellenességek felismerésére támaszkodnak, amelyekre a gépi tanulási modellek nagyon alkalmasak.

A vállalkozások 61% -a mondja, hogy ma nem tudja felderíteni a betörési kísérleteket AI technológiák használata nélkül. (Forbes)

48% szerint a kiberbiztonsági AI-költségvetés átlagosan 29% -kal növekszik a 2020-as költségvetési évben. (Forbes)

Dellei László GyörgyMBA, C|CISO, CISA, CGEIT, CRISC, ISO27LA, CDPO

KERUBIEL KFT.

Member of GDPR WG of ISACA HQ

laszlo.dellei@kerubiel.com

https://kerubiel.com

+36(30)691 6421