1 / 40

OSNOVI BEZBEDNOSTI I ZAŠTITE IKTS

OSNOVI BEZBEDNOSTI I ZAŠTITE IKTS. TEMA 11 UPRAVLJANJE VANREDNIM DOGAĐAJEM I KOMPJUTERSKIM INCIDENTOM Docent, dr Gojko Grubor, dipl. inž. CILJ. DEFINISATI ZNAČAJ I OPISATI GLAVNE KARAKTERISTIKE UPRAVLJANJA VANREDNIM DOGAĐAJEM (VD) I KOMPJUTERSKIM INCIDENTOM (K/I). KLJUČNI TERMINI.

cynthia-strong
Download Presentation

OSNOVI BEZBEDNOSTI I ZAŠTITE IKTS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. OSNOVI BEZBEDNOSTI I ZAŠTITE IKTS TEMA 11 UPRAVLJANJE VANREDNIM DOGAĐAJEM I KOMPJUTERSKIM INCIDENTOM Docent, dr Gojko Grubor, dipl. inž UNIVERZITET SINGIDUNUM - FPI

  2. CILJ DEFINISATI ZNAČAJ I OPISATI GLAVNE KARAKTERISTIKE UPRAVLJANJA VANREDNIM DOGAĐAJEM (VD) I KOMPJUTERSKIM INCIDENTOM (K/I) UNIVERZITET SINGIDUNUM - FPI

  3. KLJUČNI TERMINI • Hitne intervencije (Emergency Response) • Hldna lokacija (Cold Site • Miror lokacija (Mirrored Site) • Operacija bekapovanja (Backup Operacion) • Oporavak (Recovery) • Planiranje vanrednih događaja (Contingency Plans) • Vruća lokacija (Hot Site) UNIVERZITET SINGIDUNUM - FPI

  4. PROCES PLANIRANJA VD • Identifkovanje funkcija IKT SKT kritičnih za org. • Identifikovanje resursa koji podržavaju kritične funkcije IKTS • Procena potencijalnih VD ili nesreća • Izbor strategije planiranja VD u IKTS • Implementacija strategije za upravljanja VD u IKTS • Testiranje i revizija strategije za upravljanja VD u IKTS UNIVERZITET SINGIDUNUM - FPI

  5. Identifkovanje kritičnih funkcija IKTS • Definicija kritične misije/poslova org. - u planu zaštite IKTS • Kriterijumi za određivanje kritičnosti mislije: • vreme oporavka sistema • akumulirani uticaj • kombinaciji ova dva faktora • proceniti promene od negativnog uticaja VD • Za većinu poslovnih funkcija IKTS dostiže se: • tačka u kojoj uticaj VD postaje velik • postaje bespredmetno održavanje kontinuiteta servisa • potreban oporavak servisa IKTS pre ove tačke • vreme je kritičan faktor u procesu upravljanja VD • potpuna redudantnost (zalihost) za svaki kritični servis/e • prioriteti - povećati sposobnost org. da preživi VD UNIVERZITET SINGIDUNUM - FPI

  6. Identifikovanje kritičnih resursa IKTS i procena VD • Ljudski resursi • IKTS kapaciteti za procesiranje • Automatizovane aplikacije i podaci • Servisi bazirani na IKT sistemu • Fizička IKT infrastruktura • Dokumentacija • Razvoj višestrukog scenarija pomaže • Ne razvoja planova za svaki scenario VD UNIVERZITET SINGIDUNUM - FPI

  7. Izbor strategije za upravljanja VD 1. Svaka strategija sadrži tri dela : • Hitne intervencije • Oporavak sistema • Nastavljanje rada • Ili • hitne intervencije, • operacije bekapovanja • oporavak sistema UNIVERZITET SINGIDUNUM - FPI

  8. Kapaciteti IKTS za procesiranje u VD • Glavna (primarna) lokacija • Rezervna (hladna) lokacija • Rezervna (vruća) lokacija • Redundantna (miror) lokacija • Recipročni ugovori(uzajamno bekapovanje) • Udaljena (online) iznajmljena transacija • Bilo koja kombinacija (hibridni sistemi) • osnovni aksiom oporavka IKTS - bekapovanje UNIVERZITET SINGIDUNUM - FPI

  9. Bekapovanje To= f(Rl) UNIVERZITET SINGIDUNUM - FPI

  10. Implementacija strategije za upravljanje VD 1.Broj scenarija i verzija planova VD? 2. Pojedinačna odgovornost za pripremu plana? • strategiju i način impl.-dokumentovati u politici i proced. org. 3. Za male IKTS: plan za VD deo plana zaštite IKS 4. Za velike IKTS: • plan zaštite – sadrži kratak pregled plana za VD • plan za VD poseban dokument • Samo jedan plan VD: • kritična koordinacija (menadžera resursa i funkcionalnih) • odrediti koordinatora za upravljanje VD • Više planova VD: ispitati i eliminisati preklapanja UNIVERZITET SINGIDUNUM - FPI

  11. Dokumentovanje plana za VD • Plan za upravljanje VD: • napisan jasno i jednostavno, • redovno ažuriran • ažurna kopija plana VD skladištena na nekoliko sigurnih i dostupnih lokacija UNIVERZITET SINGIDUNUM - FPI

  12. Obuka zaposlenih za VD • Svi zaposleni - da prođu obuku za slučaj VD • Novo zaposlene -obučiti po dolasku u org. • Periodično – uvežbavatiVD • Najvažnije: • simulacije prirodnih katastrofa • uvežbavanje ponašanja i postupaka zapolsenih za VD • Održavanje plana za VD - ugraditi u procedure za upravljanje promenama u IKTS • Hitne intervencije - posebno važna obuka • odgovor treba biti izvežban do automatizma • posebno u slučajevima spašavanja ljudskih života UNIVERZITET SINGIDUNUM - FPI

  13. Testiranje, revizija i međuzavisnoasti plana VD • Tipovi testiranja: • Kontrolni pregled • Analiza • Simulacija krizne situacije • Međuzavisnosti: • Fizička i zaštita od uticaja okruženja • Upravljanje incidentom • Operativne kontrole zaštite • Politika zaštite UNIVERZITET SINGIDUNUM - FPI

  14. UPRAVLJANJE KOMPJUTERSKIM INCIDENTOM KLJUČNI TERMINI: • Kompjuterski događaj • Bezbednosni kompjuterski incident (K/I) • Indikacije K/I • Interventni tim • Kapaciteti za upravljanje K/I • Forenzička analiza računara UNIVERZITET SINGIDUNUM - FPI

  15. Kompjuterski događaj i incident • Kompkiterski događaj: • bilo koje uočljivo dešavanje u IS • negativni događaj - sa negativnim posledicama • Kompjutrski incident (KI): • ranije: bezbednosno relevantan događaj koji dovodi do gubitka poverljivosti podataka, narušavanja integriteta podataka i odbijanja raspoloživosti servisa • danas: povreda ili pretnja za povredu politike zaštite • Upravljanje K/I incidentom: • samo neg. događaj u sistemu zaštite • isključuju vanredne negativne događaje UNIVERZITET SINGIDUNUM - FPI

  16. Primeri KI • maliciozni napad na web server (pad sistema) • ubačen crv inficira sve radne stanice u LANu • hakerski napad iskorišćava ranjivost sistema za pristup datoteci pasvorda u serveru • anonimni korisnik preti drugoj osobi preko e-mail-a • trojanac na hostu koristi se za neovlašćeni pristup sistemu, zombiranje računara • rootkit prikriva prisustvo trojanca .... UNIVERZITET SINGIDUNUM - FPI

  17. Životni ciklus procesa upravljanja KI UNIVERZITET SINGIDUNUM - FPI

  18. Proces upravljanja KI -PRIPREMA- 1. Uspostavljanje kapaciteta: • uspostavljanje politika i procedura • formiranje interventnog tima • identifikovanje članova proširenog tima • upravljanje incidentom (priprema – analize) 2. Upravljanje specifičnim tipovima incidenata • odbijanje izvršavanja servisa -DoS • maliciozni napadi (virusi, crvi, Trojanci ili drugi kodovi) • neovlašćeni pristup • nepropisno korišćenje • kombinovani napad. UNIVERZITET SINGIDUNUM - FPI

  19. Proces upravljanja KI -PRIPREMA- • Struktura Politike za upravljanja KI: • izjava uprave o angažovanju • namena i ciljevi politike • obim i granice politike • identifikacija incidenta i posledica • definisanje interventnog tima (uloge, odgovornosti) • izveštavanje o incidentu i sankcije za nesprovođenje • određivanje prioriteta saniranja incidenata • merenje performansi kapaciteta • načini i forme izveštaja • Procedure: iz Politike za upravljanje incidentom UNIVERZITET SINGIDUNUM - FPI

  20. PRIPREMA -Uspostavljanje kapaciteta- 1. Formiranje interventnog tima: • Osnovni kriterijumi: • dobro razumevanje obima i granica procesa • edukativna komponenta korisnika • centralizovano upravljanje (komunikacija i izveštavanje) • stručni kadrovi za primenjene tehnologije (uključujući specjalistu za digitalnu forenzičku istragu, tehnike i alate) • dobre veze sa drugim entitetima (po potrebi). UNIVERZITET SINGIDUNUM - FPI

  21. PRIPREMA -Uspostavljanje kapaciteta- • Modeli struktura interventnih timova: • Centralni interventni tim • Distribuirani interventni tim • Koordinirani tim • Model popune: • Interno zaposleni članovi tima • Delimično iznajmljeni spoljni članovi tima • Potpuno iznajmljeni članovi tima UNIVERZITET SINGIDUNUM - FPI

  22. PRIPREMA -Uspostavljanje kapaciteta- • Prednosti formiranja kapaciteta za upravljanje KI: • Saniranje posledica i oporavak IKTS (kontrola štete) • Preventivne mere sprečavanja potencijalne štete: • Upravljanje bezbednosnim popravkama (zakrpama) • Zaštita hosta • Zaštita računarske mreže • Sprečavanje malicioznih kodova • Svest o potrebi zaštite i obuka korisnika u zaštiti • Korišćenje podataka za analizu rizika • Poboljšanje kapaciteta organizacije za VD • Poboljšanje programa obuke UNIVERZITET SINGIDUNUM - FPI

  23. Upravljanje incidentom- Detekcija i analiza KI- • IDS (Intrusion Detector Systems) • IPS (Intrusion Protection Systems) • IDPS – konvergencija IDS i IPS • Detekcija i analiza KI: • nagoveštaji KI: • predznaci i indikatori (pratiti, analizirati) • težak proces: veliki broj, lažni alarmi, teško prepoznavanje indikacija,... UNIVERZITET SINGIDUNUM - FPI

  24. Upravljanje incidentom -Preporučena procedura- • Izrada profila mreža i sistema • Razumevanje normalnog rada i ponašanja IKTS • Centralizovano logovanje • Izrada politike zadržavanja log podataka • Analiza korelacije događaja • Održavanje sinhronizacije časovnika svih hostova • Korišćenje informacija iz baze znanja • Korišćenje Internet brauzera za pretraživanje • Aktiviranje snifera paketa za skupljanje dodatnih podataka UNIVERZITET SINGIDUNUM - FPI

  25. Upravljanje incidentom -Preporučena procedura- • Filtriranje i analiza indikatoraKI • Formiranje dijagnostičke matrice KI: • kolona - kategorija KI, red- simptom, ćelija - najčešći simptom • Traženje pomoći od drugih CIRT i CERT • Dokumentovanje incidenta • Određivanje prioriteta u upravljanju incidentom • tekući i potencijalni tehnički efekti incidenta • kritičnost pogođenih objekata • Obaveštavanje o incidentu (koga i kako) UNIVERZITET SINGIDUNUM - FPI

  26. Upravljanje KI-SANIRANJE POSLEDICA I OPORAVAK SISTEMA- 1. Strategija zavisi od tipa KI: • virusna infekcije preko e-maila • mrežno distribuirani DoS napad Preopruka: razviti strategiju najmanje za glavne kategorija KI 2. Kriterijume za strategiju - eksplicitno dokumentovati: • Potencijalna oštećenja i krađu objekata • Obavezu čuvanja dokaza za forenzičku analizu i veštačenje • Raposloživost servisa • Vreme i resursi potrebni za implementaciju strategije • Efektivnost stragtegije (delimično, potpuno sanira) • Trajnost rešenja (hitno, privremeno, permanentno rešenje) UNIVERZITET SINGIDUNUM - FPI

  27. Upravljanje KI -Opšti zahtevi za istragu KI- • Razumeti kako je napadač ušao u IKTS (DF istraga) • Ući u trag napadaču (tel centrala) ., ISP, angažovanje specijalnih organa za istragu KI i kriminala) • Otkriti motiv napadača • Skupiti što više posrednih dokaza o napadu • Suziti listu osumnjičenih (nije interni) • Dokumentovati štetu nanetu žrtvi napada • Doneti odluku za dalju istragu (ne/angažovati policiju) • Uvek tretirati da će slučaj završiti na sudu UNIVERZITET SINGIDUNUM - FPI

  28. Upravljanje KI -Akvizicija i rukovanjedigitalnim dokazima (DD)- 1. Formirati u čuvati log datoteku za sve digitalne dokaze : • identifikacione informacije • ime, zvanje, broj telefona svakog člana tima za istragu • vreme i datum svakog rukovanja sa dokazom • lokacija skladištenja i čuvanja dokaza 2. Većina forenzičkih alata - za akviziciju i analizu DD: • Identifikovanje/oporavak fragmenata datoteka (unused), (deleted), (slack) i sl. • ispitivanje strukture datoteka, hedera i drugih karakteristika • prikazivanje sadržaja grafičkih datoteka (steganografija) • kompleksna pretraga hardvera, softvera i okruženja • grafičko prikazivanje strukture direktorijuma • generisanje izveštaja UNIVERZITET SINGIDUNUM - FPI

  29. Upravljanje KI -Identifikacija napadača- • Vrednovanje IP adrese napadača • Skeniranje sistema napadača • Istraživanje napadača pretragom web-a • Korišćenje baza informacija o incidentima • Monitorisanje mogućih komunikacionih kanala napadača UNIVERZITET SINGIDUNUM - FPI

  30. Upravljanje KI -Oporavak sistema- • eliminisati preostale komponente incidenta: • brisanje malicioznih kodova, • dezaktiviranje probijenih korisničkih naloga ... • brisanje tragova – nije potrebno ili u toku oporavka • restauracija sistema iz bekapa za normalan rad • poboljšavanje zaštite da se spreče slični incidenti • zamena kompromitovanih datoteka • instalacija zakrpa, jače lozinke i perimetar RM • podizanje nivoa sistema logovanja UNIVERZITET SINGIDUNUM - FPI

  31. Upravljanje KI -ANALIZA ISKUSTAVA- • Šta se tačno desilo i u koje vreme? • Ponašanje uprave/zapolsenih u saniranju KI? • Sproveđenje dokumentovane procedure? • Adekvatnost procedure? • Informacije potrebne neposredno po izbijanju KI? • Preduzete akcije koje su mogle sprečiti oporavak? • Postupak sledeći put sa sličnim incidentom? • Korektivne akcije za sprečavanje sličnih incidenate? • Dodatni alati i resursi za saniranje novih incidenata? UNIVERZITET SINGIDUNUM - FPI

  32. Upravljanje KI -Korišćenje izveštaja- • za proces obuke o zaštiti • za ažuriranje politike i procedura za upravljanje KI (U KI) • za otkrivanje grešaka u procedurama za U KI • za ažuriranje dokumenata za UKI • za izradu analitičkih izveštaja za svaki KI • za izrada formalne hronologije događaja (za sud) UNIVERZITET SINGIDUNUM - FPI

  33. Međuzavisnost sa drugim servisima zaštite • Planranje vanrednih događaja u IKTS • Operativna podrška IKTS • Obuka u zaštiti i stvaranje svesti o potrebi zaštite • Upravljanje bezbednosnim rizikom • Personalna zaštita • Edukacija i obuka članova interventnog tima • Politika zaštite UNIVERZITET SINGIDUNUM - FPI

  34. PREPORUKE • Uspostaviti kapacitete za upravljanje KI u org. • Redukovati učestanost KI merama zaštite • Dokumentovati politiku/procedure/uputstva U KI • Promovisati značaj detekcije i analize incidenta • Izraditi Uputstvo za upravljanje KI sa prioritetima saniranja • Koristiti iskustva iz saniranja KI • Održavati visoko nivo svesti o potrebi izgradnje kapaciteta za U KI UNIVERZITET SINGIDUNUM - FPI

  35. Zaključci • Kritični resursi za planiranje VD: ljudski resursi, IKTS kapaciteti za procesiranje, automatizovane aplikacije i podaci, servisi bazirani na IKT sistemu, fizička IKT infrastruktura, dDokumentacija. 2. Svaka strategija sadrži tri dela: hitne intervencije, oporavak sistema i nastavljanje rada. 3. Kapaciteti IS za procesiranje u VD su: glavna (primarna) lokacija, rezervna (hladna) lokacija, rezervna (vruća) lokacija, redundantna (miror) lokacija, recipročni ugovori(uzajamno bekapovanje), udaljena (online) iznajmljena transacija i bilo koja kombinacija (hibridni sistemi). 4. Osnovni aksiom oporavka IS je bekapovanje. UNIVERZITET SINGIDUNUM - FPI

  36. Zaključci -1 5. Plan za upravljanje VD treba da bude napisan jasno i jednostavno, redovno ažuriran, a ažurna kopija plana VD uskladištena na nekoliko sigurnih i dostupnih lokacija. 6. Kompkiterski događaj je bilo koje uočljivo dešavanje u IS ili negativni događaj - sa negativnim posledicama. 7. Kompjutrski incident je povreda ili pretnja za povredu politike zaštite 8. Za upravljanje kompjuterskim incidentom može se formirati: centralni interventni tim, distribuirani interventni tim ili koordinirani tim. 9. Nagoveštaji KI su predznaci i indikatori koje treba pratiti, analizirati i na njih pravovremeno reagovati. UNIVERZITET SINGIDUNUM - FPI

  37. Pitanja za ponavljanje • Navedite hardverski alat koji omogućava da računar nastavi sa radom i sa kvarom čvrstog diska (HD). • Sredstva za podršku rada IKT sistema kao što je električno napajanje obično nisu uneta u plan za vanredni događaj i nastavljanje kontinuiteta poslovanja zbog toga što su ta sredstva veoma pouzdana (Tačno ili Netačno?). • Koji od sledećih izjava tačno opisuje napore za upravljanje vanrednim događajem i kontinuitetom poslovanja (UVD)? • UVD je proces koji se obavlja u organizaciji i koji mora da obuhvati sve odseke i sve nivoe. • UVD je razmatranje odseka za IKT sisteme koje je posvećeno održavanju operativnosti RS i RM organizacije u slučaju katastrofe (vanrednog događaja). • Svaki rukovodilac odseka u organizaciji mora da napravi zaseban plan za VD i poslovni kontinuitet za svoj odsek. • UVD je projekat vlade koji organizacijama diktira pripremne zahteve za vanredni događaj UNIVERZITET SINGIDUNUM - FPI

  38. Pitanja za ponavljanje 4. Proces planiranja vanrednih događaja odvija se u sledećih šest faza (Zaokružite tačne odgovore): • identifikovanje funkcija IKT sistema kritičnih za misiju organizacije • procena rizika • identifikovanje resursa koji podržavaju kritične IKT funkcije • procena potencijalnih vanrednih događaja ili nesreća • bezbednosna kategorizacija i klasifikacija kritičnih objekata IKT sistema • izbor strategije planiranja vanrednih događaja u IKT sistemu • implementiranje strategije za upravljanja vanrednim događajima • formiranje tima za upravljanje vanrednim događajem i • testiranje i revizija strategije upravljanja vanrednim događajima u IKT sistemu. UNIVERZITET SINGIDUNUM - FPI

  39. Pitanja za ponavljanje 5. Navedite i kratko definišite ključne vrste testiranja plana za VD. 6. IDS sistem je otkrio napadača na RM organizacije. Koju od navedenih mera bi izabrali kao najpogodniju za odgovor na ovu pretnju i zašto? • Pokušati identifikovati napadača. • Sačuvati evidenciju u log datoteci (dnevniku rada) bezbednosno relevantnih događaja za forenzičku analizu. • Izbrisati log datoteku i pokušati uhvatiti određene podatke ako se dogodi novi napad. • Odštampati dnevnik rada i ostaviti kod portira za forenzičara. • Navedite neki od načina borbe protiv DoS napada. • Za koju vrstu napada napadači mogu da koriste napad reemitovanjem? 10. Koji tip napada se može iskoristiti za napad na kriptološke ključeve i bezbedno heširanje? 11. Šta treba uraditi u procesu organizovanja CIRT tima? UNIVERZITET SINGIDUNUM - FPI

  40. Pitanja za ponavljanje 12. Koje su najbitnije stvari o kojima treba voditi računa u procesu IKT veštačenja. 13. Zašto je isključivanje napadnutog računarskog sistema iz mreže obično opravdana i razumna akcija? 14. Koji su standardni strukturne elemente Politike upravljanja kompjuterskim incidentom? 15. Navedite uobičajenu i najčešće korišćenu kategorizaciju kompjuterskih incidenata. 16. Definišite pojam i nabrojte što više primera indikatora kompjuterskog incidenta. 17. Navedite glavne faze procesa upravljanja kompjuterskim incidentom. UNIVERZITET SINGIDUNUM - FPI

More Related