Naslov prispevka STORITVE SOC ŠT.3 ter SOC ŠT.4 Peter Šprajc, Ministrstvo za javno upravo Andrej Skamen, S&T Slovenija d.d.. 10.12.2018
AGENDA pravna podlaga za izvajanja storitev opis SOC storitve 3 opis SOC storitve 4 primer incidenta obveznosti deležnikov plan razvoja SOC = operativno središče za informacijsko varnost 2
3
Pravna podlaga za izvajanje storitev Uredba o inf. varnosti (UIVDU, členi 4,17, 18, 19, 20, 23) Generalne tehnološke zahteve (GTZ) Zakon o državni upravi (ZDU, člen 74 a) Zakon o informacijski varnosti (ZIV) ZVOP-1, uredba GDPR 4
STORITVE SOC SOC št. 3: Upravljanje ranljivosti v inf. sistemih zaznavanje ranljivosti storitev informacijskih sistemov ter pripadajoče IT infrastrukture celotni življenjski cikel upravljanja ranljivosti (zaznava, ocena, odprava, verifikacija) poenotenje nivoja varnosti centraliziranega okolja DRO in organov DU ob selitvi SOC št. 4: Upravljanje in odziv na incidente v inf. sistemih spremljanje, zaznavanje, analiza, odziv, poročanje (upravljanje incidentov) čim hitrejše zaznavanje, identificiranje in reagiranje na incidente (že v fazi priprave napada) pripravljenost na incidente ter zmanjševanje posledic 5
SOC št.3 Upravljanje ranljivosti v inf. sistemih Proces: Zahteva naročnika Začetek Zahteva SOC Opis: periodično varnostno preverjanje ranljivosti omrežij in Analiza projekta in priprava VDP za Kickoff IT infrastrukture namensko varnostno preverjanje ranljivosti naprav, Kickoff sestanek storitve ali omrežja Izvajanje aktivnosti Zaključno poročilo Potrebna verifikacija Posredovanje deležnikom Sestanek z naročnikom ročno potrjevanje zaznanih ranljivosti s pomočjo orodij potrjevalni penetracijski testi (po potrebi) pasivno spremljanje in zajem prometa dve poročili (za vodstvo in upravljalce infrastrukture) NE Izvajanje aktivnosti upravljanje zahtevkov za odpravo ranljivosti Verifikacijsko poročilo Posredovanje deležnikom 6
STATISTIKA STORITVE št 3: l. 2018 Povprečno število odkritih ranljivosti glede na stopnjo resnosti: 1 18,5 51 visoke srednje nizke Povprečni čas izvajanja projekta: 14 dni 7
OBVEZNOSTI DELEŽNIKOV SOC št. 3: Upravljanje ranljivosti v informacijskih sistemih posredovanje podatkov priprava infrastrukture za izvedbo storitve sodelovanje na koordinacijskih sestankih verifikacija vmesnih in končnega poročila izvedba priporočil iz končnega poročila (skrbniki in upravljalci informacijskih sistemov) redno nameščanje popravkov 8
SOC št.4 Upravljanje in odziv na incidente v inf. sistemih Proces: Opis: človeško in avtomatizirano zaznavanje (SIEM) spremljanje alarmov za dnevniške zapise varnostnih naprav centralna vstopna točka za prijavo incidentov: EKC; 01 4788778, ekc@gov.si; https://podpora.sigov.si/maximo organizacija: 1. raven podpore (EKC) in 2. raven podpore (DI-SIV) za odziv informacijska podpora za upravljanje incidentov (register, klasifikacija, poročila, statusi, odzivni ukrepi, postopek odziva) pred definirani postopki za odziv na posamezne tipe incidentov (namenska orodja, vključenost skrbnikov IT infrastrukture) 9
STATISTIKA STORITVE št. 4: l. 2018 Vrste incidentov: 1 8 2 2 1 2 30 2 2 Klasifikacija incidentov Število incidentov 15 Informacijska varnost 2 Nenamerna škoda \ Napaka pri uporabi ali administraciji 1 sistemov 1 Ostalo 5 Poskusi vdora 5 1 Poskusi vdora \ Izkoriščanje neznanih ranljivosti 1 1 Pridobivanje informacij \ Socialni inženiring 1 52 52 Kraja \ Napad z ribarjenjem (Phishing) Nenamerna škoda \ Napaka pri uporabi ali administraciji sistemov Ostalo Kraja \ Napad z ribarjenjem (Phishing) 15 Poskusi vdora \ Izkoriščanje neznanih ranljivosti Pridobivanje informacij \ Socialni inženiring Ranljivost \ Zaznana ranljivost storitve Razpoložljivost \ Izpad delovanja Ranljivost \ Zaznana ranljivost storitve 2 Razpoložljivost \ Izpad delovanja 2 Zlonamerna koda 1 Zlonamerna koda \ Izsiljevalski virus 2 Zlonamerna koda \ Trojanski konj 2 Zlonamerna koda \ Virus 8 Žaljiva vsebina 1 Žaljiva vsebina \ Nasilje 1 Zlonamerna koda Žaljiva vsebina \ Vsiljena pošta (Spam) 30 Grand Total 126 Zlonamerna koda \ Izsiljevalski virus Zlonamerna koda \ Trojanski konj 12
Resnost incidentov: STATISTIKA STORITVE št. 4: l. 2018 14 1 10 Resnost Število incidentov 0 zanemarljiva 10 1 manjša 101 2 zmerna 14 4 zelo velika 1 0 1 2 4 Grand Total 126 101 13
PRIMER INCIDENTA NAZIV: Škodljiva priponka OZADJE: - prijavljena anomalija - uporabnik prejme e-pošto s škodljivo izvršljivo kodo (Word.doc) - posledica je okužena delovna postaja s katero lahko upravlja heker POSTOPEK ODZIVA: Omejitev komunikacij izolacija - izolacija okužene delovne postaje - analiza priponke - blokada komunikacij do ciljev v škodljivi priponki - zamenjava gesel vseh vpletenih UGOTOVITVE: - prišlo je do razkritja podatkov - ocena vpliva incidenta - izvedena prijava in predaja incidenta Policiji 14
OBVEZNOSTI DELEŽNIKOV SOC št. 4: Upravljanje in odziv na incidente v informacijskih sistemih zaznavanje in prijava incidentov (vsi zaposleni; pogodbeni izvajalci) posredovanje ustreznih podatkov (prijava incidenta, analiza incidenta) zavarovanje dokazov (ne brisati / spreminjati vsebine) upoštevanje navodil in priporočil (obveščanje prijavitelja, zaključno poročilo) 15
PLAN RAZVOJA STORITEV ŠT. 3 IN ŠT.4 vzpostavitev SIGOV CSIRT vzpostavitev naprednega okolja za analizo škodljive kode razširitev nabora vključenih virov v SIEM avtomatizirano upravljanje zahtevkov samodejni obdobni pregledi omrežij organov ozaveščanje in usposabljanje uporabnikov 16