Naslov prispevka

STORITVE SOC ŠT.3 ter SOC ŠT.4

Peter Šprajc, Ministrstvo za javno upravo

Andrej Skamen, S&T Slovenija d.d.. 10.12.2018

2

AGENDA

pravna podlaga za izvajanja storitev

opis SOC storitve 3

opis SOC storitve 4

primer incidenta

obveznosti deležnikov

plan razvoja

SOC = operativno središče za informacijsko varnost

3

4

Pravna podlaga za izvajanje storitev

Uredba o inf. varnosti (UIVDU, členi 4,17, 18, 19, 20, 23)

Generalne tehnološke zahteve (GTZ)

Zakon o državni upravi (ZDU, člen 74 a)

Zakon o informacijski varnosti (ZIV)

ZVOP-1, uredba GDPR

5

STORITVE SOC

SOC št. 3: Upravljanje ranljivosti v inf. sistemih

zaznavanje ranljivosti storitev informacijskih sistemov ter pripadajoče IT infrastrukture

celotni življenjski cikel upravljanja ranljivosti (zaznava, ocena, odprava, verifikacija)

poenotenje nivoja varnosti centraliziranega okolja DRO in organov DU ob selitvi

SOC št. 4: Upravljanje in odziv na incidente v inf. sistemih

spremljanje, zaznavanje, analiza, odziv, poročanje (upravljanje incidentov)

čim hitrejše zaznavanje, identificiranje in reagiranje na incidente (že v fazi priprave napada)

pripravljenost na incidente ter zmanjševanje posledic

6

SOC št.3 – Upravljanje ranljivosti v inf. sistemih

ZačetekZahteva

naročnikaZahteva SOC

Analiza projekta in priprava VDP za

Kickoff

Kickoff sestanek

Izvajanje aktivnosti

Zaključno poročilo Posredovanje deležnikom

Potrebna verifikacija

NE

Sestanek z naročnikom

Izvajanje aktivnosti

Verifikacijsko poročilo

Posredovanje deležnikom

Proces:

Opis:

periodično varnostno preverjanje ranljivosti omrežij in

IT infrastrukture

namensko varnostno preverjanje ranljivosti naprav,

storitve ali omrežja

ročno potrjevanje zaznanih ranljivosti s pomočjo

orodij

potrjevalni penetracijski testi (po potrebi)

pasivno spremljanje in zajem prometa

dve poročili (za vodstvo in upravljalce infrastrukture)

upravljanje zahtevkov za odpravo ranljivosti

7

STATISTIKA STORITVE št 3: l. 2018

Povprečno število odkritih ranljivosti glede na stopnjo resnosti:

18,5

51

1

visoke srednje nizke

Povprečni čas izvajanja projekta: 14 dni

8

OBVEZNOSTI DELEŽNIKOV

SOC št. 3: Upravljanje ranljivosti v informacijskih sistemih

posredovanje podatkov

priprava infrastrukture za izvedbo storitve

sodelovanje na koordinacijskih sestankih

verifikacija vmesnih in končnega poročila

izvedba priporočil iz končnega poročila (skrbniki in upravljalci informacijskih

sistemov)

redno nameščanje popravkov

9

SOC št.4 – Upravljanje in odziv na incidente v inf. sistemih

Opis:

človeško in avtomatizirano zaznavanje (SIEM)

spremljanje alarmov za dnevniške zapise varnostnih naprav

centralna vstopna točka za prijavo incidentov: EKC; 01 4788778, ekc@gov.si;

https://podpora.sigov.si/maximo

organizacija: 1. raven podpore (EKC) in 2. raven podpore (DI-SIV) za odziv

informacijska podpora za upravljanje incidentov (register, klasifikacija, poročila, statusi, odzivni ukrepi,

postopek odziva)

pred definirani postopki za odziv na posamezne tipe incidentov (namenska orodja, vključenost

skrbnikov IT infrastrukture)

Proces:

12

STATISTIKA STORITVE št. 4: l. 2018

Vrste incidentov:

2

15

1

5

1 1

52

2 2

1 2

2

8

1 1

30

Kraja \ Napad z ribarjenjem(Phishing)Nenamerna škoda \ Napaka priuporabi ali administraciji sistemovOstalo

Poskusi vdora \ Izkoriščanjeneznanih ranljivostiPridobivanje informacij \ SocialniinženiringRanljivost \ Zaznana ranljivoststoritveRazpoložljivost \ Izpad delovanja

Zlonamerna koda

Zlonamerna koda \ IzsiljevalskivirusZlonamerna koda \ Trojanski konj

Klasifikacija incidentov Število incidentov

Informacijska varnost 2

Kraja \ Napad z ribarjenjem (Phishing) 15

Nenamerna škoda \ Napaka pri uporabi ali administraciji sistemov 1

Ostalo 5

Poskusi vdora 1

Poskusi vdora \ Izkoriščanje neznanih ranljivosti 1

Pridobivanje informacij \ Socialni inženiring 52

Ranljivost \ Zaznana ranljivost storitve 2

Razpoložljivost \ Izpad delovanja 2

Zlonamerna koda 1

Zlonamerna koda \ Izsiljevalski virus 2

Zlonamerna koda \ Trojanski konj 2

Zlonamerna koda \ Virus 8

Žaljiva vsebina 1

Žaljiva vsebina \ Nasilje 1

Žaljiva vsebina \ Vsiljena pošta (Spam) 30

Grand Total 126

13

STATISTIKA STORITVE št. 4: l. 2018

Resnost incidentov:

Resnost Število incidentov

0 zanemarljiva 10

1 manjša 101

2 zmerna 14

4 zelo velika 1

Grand Total 126

10

101

14 1

0

1

2

4

14

PRIMER INCIDENTA

NAZIV: Škodljiva priponka OZADJE:

- prijavljena anomalija

- uporabnik prejme e-pošto s škodljivo izvršljivo kodo (Word .doc)

- posledica je okužena delovna postaja s katero lahko upravlja „heker“ POSTOPEK ODZIVA: Omejitev komunikacij izolacija

- izolacija okužene delovne postaje

- analiza priponke

- blokada komunikacij do ciljev v škodljivi priponki

- zamenjava gesel vseh vpletenih UGOTOVITVE:

- prišlo je do razkritja podatkov

- ocena vpliva incidenta

- izvedena prijava in predaja incidenta Policiji

15

OBVEZNOSTI DELEŽNIKOV

SOC št. 4: Upravljanje in odziv na incidente v informacijskih

sistemih

zaznavanje in prijava incidentov (vsi zaposleni; pogodbeni izvajalci)

posredovanje ustreznih podatkov (prijava incidenta, analiza incidenta)

zavarovanje dokazov (ne brisati / spreminjati vsebine)

upoštevanje navodil in priporočil (obveščanje prijavitelja, zaključno poročilo)

16

PLAN RAZVOJA STORITEV ŠT. 3 IN ŠT.4

vzpostavitev SIGOV CSIRT

vzpostavitev naprednega okolja za analizo škodljive kode

razširitev nabora vključenih virov v SIEM

avtomatizirano upravljanje zahtevkov

samodejni obdobni pregledi omrežij organov

ozaveščanje in usposabljanje uporabnikov