vytautas bučinskas. Šalies kibernetinis saugumas – didžiausio lietuvos telekomunikacijų...
DESCRIPTION
Kodėl saugus valstybinis vidaus tinklas nesaugant pagrindinio telekomunikacijų operatoriaus yra utopija? Atvejis – stambi kibernetinė ataka. Kodėl lokalių elektroninės informacijos saugos sprendimų nepakanka? Kibernetinis saugumas ir krašto apsauga. Kaip tai susiję? Pranešimo autorius – Vytautas Bučinskas. TEO LT, AB Rizikų valdymo skyriaus direktorius (Lietuva). Pranešimas skaitytas konferencijoje – INFORMACINIŲ SISTEMŲ SAUGUMAS, vykusioje 2013 m. balandžio 11d., skirtoje valstybės institucijų ir valstybinės reikšmės organizacijoms.TRANSCRIPT
/
ŠALIES KIBERNETINIS SAUGUMAS: DIDŽIAUSIO LIETUVOS TELEKOMUNIKACIJŲ
OPERATORIAUS VAIDMUO
Konferencija „INFORMACINIŲ TECHNOLOGIJŲ SAUGUMAS.
Globalūs iššūkiai valstybės institucijoms ir valstybinės reikšmės
organizacijoms“
Vytautas Bučinskas,Rizikų valdymo
skyriaus direktorius
2013-04-11
PRIEŠ PRADEDANT...
● Žiūrėti kaip į TINKLUS, o ne kaip į įmones● Prisiminti, kad informacijos perdavimas yra itin svarbus, o šiais laikais labai
daug kas priklauso būtent nuo interneto● Suprasti, kad lokali tam tikrų institucijų veikla yra neprasminga, jei neveiks
TINKLAS ir vartotojai bus nepasiekiami● Suvokti, kad ne tik operatorius turi saugoti, bet reikia saugoti ir patį
operatorių● Klausti, ar dar turim laiko laukti
22013-04-11
Šaltiniai: „TheSecDevGroup“, „Arbor“, NATO
GEOPOLITINĖ APLINKA
Pagrindiniai žaidėjai kibernetinėje sferoje● Valstybės
JAV, Rusija, Kinija, Prancūzija
● Nevalstybinės organizacijos Organizuotas nusikalstamumas
- pvz., RBN – „Russian Business Network“ Hakeriai ir (arba) kibernetiniai teroristai
- Estijos, Gruzijos kibernetiniai karai, „Anonymous“ grupė, ...
32013-04-11
Šaltinis: „Bound to Fail“
INFRASTRUKTŪRA GALI TAPTI SAUGI
● Barako Obamos įsakymas „Improving Critical Infrastructure Cybersecurity“ Esmė – bendradarbiaujant privačiam ir valstybiniam sektoriams, pagerinti
apsikeitimą kibernetinio saugumo informacija ir įdiegti rizikos valdymo priemones valstybės „kritinėse infrastruktūros sistemose“
Bet yra niuansų:
- „tradicinis“ rizikos valdymo modelis privačiame sektoriuje (atsipirkimo klausimas)
- „pažeidžiamų“ sistemų pakeitimas
- kritinės infrastruktūros apimtys
● Ką spręsti pirmiausia? Privataus ir valstybinio sektorių partnerystė Šalies saugumo klausimas – politinis klausimas Techniškai išsprendžiama / ekonomiškai neapsimoka Kas yra ta kritinė šalies infrastruktūra?
42013-04-11
„From Offence to Deffence“
● Operatoriui didžiausias vaidmuo tenka DDoS rizikai suvaldyti
● Manome, kad be operatoriaus įsikišimo, jokia institucija nebus pajėgi susidoroti su šiuolaikine gerai organizuota DDoS ataka
Šaltinis „NATO Perspective on Cyber Defence and Botnet“
GRĖSMIŲ KATEGORIJOS PAGAL NATO
52013-04-11
Šaltiniai: „Arbor“ (http://pinterest.com/pin/307933693241040245) ir „BBC News“
DDoS ATAKOS PASAULYJE
● ARBOR skelbiama statistika Jau užfiksuota atakų, kurioms vykstant viršytas 100 Gb/s
greitis tinkle
● Taip buvo apie 10 metų iki 2013 m. kovo 27 d.!
Įtariama kova tarp „CyberBunker“ ir „Spamhaus“ Atakos srautas pasiekė iki 300 Gb/s spartą Priemonės tos pačios: „Botnet“, „Open DNS“, „Spoofed IP“ Atakos metu pakeista atakos kryptis, nukreipiant srautą į
vieną iš „Internet Exchange“ taškų Klaida IX konfigūracijoje įtakojo tai, kad kai kuriose Europos
šalyse buvo interneto sutrikimų
„<...> Obviously the jump from 100 to 300 is pretty massive <...>“, Dan Holden, „Arbor“
62013-04-11
GALIMI BLOGIAUSI SCENARIJAI
INTERNETO IŠJUNGIMAS● Neveikia
Tarptautinė bei tarptinklinė komunikacija, IP telefonija „Debesų“ paslaugos, prieiga prie socialinių tinklų Visos paslaugos, klientai, kuriems darbui reikalingas
internetas bei prieiga prie kitų tinklų Dėl to galimi dideli nuostoliai
● Veikia Tradicinė telefonija Vidinės ISP paslaugos (MPLS VPN, vidinė telefonija, L2
paslaugos) Operatoriaus tinkle esančios tarnybos bei internetiniai
puslapiai; informacijos sklaida vidiniame tinkle nesustoja Vidiniai komunikacijos šaltiniai operatoriaus viduje Dalis bankomatų, el. prekyviečių, esančių operatoriaus tinkle
Kuo didesnis ir svarbesnis operatorius, tuo daugiau vidinės komunikacijos ir informacijos sklaidos išsaugoma
72013-04-11
GALIMI BLOGIAUSI SCENARIJAI
TINKLO IŠJUNGIMAS-UŽGROBIMAS● Neveikia
Visa komunikacija (telefonija, internetas, vidinių tinklų sujungimai)
Visi procesai, tarnybos, informacijos šaltiniai, kurie naudojasi operatoriaus paslaugomis
Operatoriaus tinkle esantys bankai Beveik visos operatoriaus paslaugos Valstybinės organizacijos operatoriaus tinkle Visi mažesni operatoriai, kurie naudojasi paslaugomis Sustoja informacijos sklaida
● Veikia Lokali tradicinė telefonija Lokalūs (regioniniai) MPLS tinklai ir paslaugos
Kuo didesnis ir svarbesnis operatorius, tuo didesnė žala = reikia saugoti operatorių
82013-04-11
BE APSAUGOS NUO DDoS ATAKOS
● Galutiniai vartotojai jungiasi prie viešųjų paslaugų teikėjo serverio
● Prasideda DDoS ataka, tinklas apkraunamas● Nutrūksta paslaugų teikimas galutiniams vartotojams
Be apsaugos tinklas yra visiškai pažeidžiamas
92013-04-11
APSAUGA NUO DDoS ATAKOS UGNIASIENE
● Galutiniai vartotojai jungiasi prie viešųjų paslaugų teikėjo serverio
● Prasideda DDoS ataka● Perkrauta prisijungimo prie operatoriaus jungtis.
Nutrūksta paslaugų teikimas galutiniams vartotojams
Lokalios ugniasienės didelės DDoS atakos metu nepakanka.
Šiuo atveju ugniasienė tik palengvina ataką
102013-04-11
APSAUGA NUO DDoS ATAKOS, NAUDOJANT OPERATORIAUS INFRASTRUKTŪRĄ
● Galutiniai vartotojai jungiasi prie viešųjų paslaugų teikėjo serverio
● Prasideda DDoS. Aptinkama DDoS● Atakuojamojo srautas nukreipiamas per didelio našumo
operatoriaus ugniasienę ir (ar) UTM apsaugos serverį
● Naudojant operatoriaus ugniasienę ir (ar) UTM apsaugos serverį, paslaugų teikimas nenutrūksta
Didelio našumo ugniasienė bei jungtys operatoriaus tinkle gali apsaugoti vartotoją nuo didelių DDoS atakų
112013-04-11
LABAI DIDELĖS APIMTIES DDoS ATAKA
● Galutiniai vartotojai jungiasi prie viešųjų paslaugų teikėjo serverio
● Prasideda DDoS, aptinkama; srautas nukreipiamas per operatoriaus ugniasienę ir (ar) UTM
● Perkraunama ugniasienė ir (ar) UTM, našumas krenta
● Atjungiamas užsienio tinklas ar tinklai arba tarptinklinė jungtis, per kurią vyksta ataka
● Ryšys su užsienio arba kitais tinklais apribojamas, tačiau viešų paslaugų teikimas tinkle nenutrūksta
Esant labai didelio srauto DDoS atakai, operatorius gali nutraukti jungtį pagrindine atakos kryptimi
122013-04-11
DDoS ATAKA IŠ PATIES TINKLO
• Galutiniai vartotojai jungiasi prie viešųjų paslaugų teikėjo serverio
• Prasideda DDoS iš operatoriaus tinklo, ataka aptinkama, atakuojamojo srautas
nukreipiamas per didelio našumo operatoriaus ugniasienę ir (ar) UTM
• Ataka tęsiasi, perkraunama ugniesienė ir (ar) UTM, našumas krenta
• Identifikuojami ir atjungiami tinkle
esantys „užkrėsti“ kompiuteriai, per
kuriuos vyksta ataka
• Daliai vartotojų ryšys apribojamas,
tačiau likusiesiems viešųjų paslaugų
teikimas tinkle nenutrūksta
Esant labai didelei DDoS atakai iš tinklo, operatorius turi galimybę atjungti atakos šaltinius atskirai
132013-04-11
● KAIP? Tarptautinio, nacionalinio ar vietinio srauto, skirto aukai, nukreipimas į didelę
ugniasienę ir jo neutralizavimas Ypač didelės apimties atakos iš kitų tinklų neutralizavimas, užblokuojant
tarptautines jungtis arba nacionalinį tranzitą Ypač didelės atakos iš vietinių vartotojų neutralizavimas, atjungiant atskirus
vartotojus
● KODĖL operatorius? Diversifikuota, galinga infrastruktūra Apsaugomi ne tik viešųjų paslaugų teikėjai, bet ir vartotojai Galimybės:
- anksčiau pastebėti ataką
- panaudoti galingas kolektyvinės apsaugos priemones
- valdyti tarptinklines ir (ar) lygiavertes (angl. peer) jungtis
- valdyti savo tinklo vartotojus
OPERATORIUS GALĖTŲ APSAUGTI
142013-04-11
KO TRŪKSTA?
PASLAUGŲ IR INFRASTRUKTŪROS APSAUGAI REIKALINGOS TECHNINĖS PRIEMONĖS
● Aptikti ataką Būtina įdiegti analizatorių tinklą, kurie aptiktų DDoS
ataką iš išorės ir vidaus
● Nukreipti infekuotą srautą Reikalingas srauto ir vartotojų valdymo įrankis,
infekuotam srautui nukreipti į ugniasienes
● Neutralizuoti infekuotą srautą Privalomos didelio pajėgumo ugniasienės arba UTM
atakoms neutralizuoti iš tinklo išorės ir vidaus
152013-04-11
GALIMI TOLIMESNI ŽINGSNIAI
● Kibernetinio saugumo įstatymas ir (arba) kito tipo aktai ar jų pakeitimai Elektroninių ryšių įstatyme ir (arba) kituose įstatymuose
● Atsakingos institucijos paskyrimas● Kritinės infrastruktūros apibrėžimas● Kritinės infrastruktūros inventorizacija (iš pradžių ITT)● Sprendimai dėl kritinės infrastruktūros saugos ir
priemonių parinkimas● Viena priemonių – kritinės infrastruktūros sutelkimas
šalies viduje
● Priemonių diegimas numatant lėšų ir jų šaltinius nuolatinei priežiūrai ir tolimesnei plėtrai
Orientuotis į galutinį (pvz., padidėjęs saugumas), o ne vien į tarpinius rezultatus (pvz., norminiai aktai, politikos, strategijos)
162013-04-11
KIBERNETINIS SAUGUMAS IR KRAŠTO APSAUGA
● Kas valdo informaciją – tas valdo pasaulį (Napoleono bendražygis)
1917 m. bolševikai užiminėjo telegrafą Sausio 13-ają sovietų armija šturmavo televizijos
bokštą ...
● Ar nebūtų vienas iš šiuolaikinių agresorių (kibernetinių atakų organizatorių) pagrindinių tikslų šalies interneto sustabdymas?
Didžiausi operatoriai, kurie yra šalies informacijos sklaidos garantas, turėtų būti apsaugoti
172013-04-11
DĖKUI UŽ JŪSŲ DĖMESĮ!
Jūsų klausimai