Praktyczna współpraca i zamierzenia w zakresie...
-
Upload
nguyenminh -
Category
Documents
-
view
217 -
download
0
Transcript of Praktyczna współpraca i zamierzenia w zakresie...
Jarosław Sordyl | [email protected] | Zastępca Dyrektora ds. Cyberbezpieczeństwa | PSE S.A.
SIwE’18 Wisła | 20-23 listopada 2018 r.
Praktyczna współpraca i zamierzenia w zakresie cyberbezpieczeństwa
/ założenia pracy energetycznego ISAC-PL
3
KSE: Zespół naczyń połączonych
1. Poziom fizyczny: duża awaria u jednego
dystrybutora wpływa na funkcjonowanie całego KSE
2. Poziom teleinformatyczny: atak na jednego
dystrybutora może oznaczać rychły atak na
pozostałych
4
• Kilku dystrybutorów i jeden OSP dostają te same wiadomości phishingowe
• Infekcja wirusem następuje w kilku firmach na kilka miesięcy przed atakiem
• Zmasowany atak następuje w jednym momencie, powodując poważną awarię
Ataki na Ukrainę w 2015 roku
5
• Ministerstwo Energii, OSP oraz OSD
zauważyli potrzebę współpracy przy usuwaniu
skutków awarii sieci elektroenergetycznej
• 8 sierpnia 2018 - porozumienie o współpracy
• Cel: przyspieszenie przywracania dostaw
energii elektrycznej
• Jak szybko jesteśmy się w stanie
odbudować po ataku w cyberprzestrzeni?
• sami?
• współpracując?
Współpraca przy awariach
10
1. Analiza ataków
• W razie ataku organizacja zbiera próbki i przesyła do analizy partnerom
• Partnerzy analizują jakie dodatkowe cechy ma atak i dzielą się IoC
2. Koordynacja działań
• współpraca z organami państwowymi (CERTy, służby, organy ścigania itp.)
Cel: szybkie usuwanie skutków ataku i zapobieganie propagacji
= ratownictwo
Reakcja na incydenty
11
1. Analiza informacji
• Przekazywanie istotnych informacji z otwartych (OSINT) i zamkniętych źródeł
• Dzielenie się IoC od partnerów zagranicznych
• Kalendarz konferencji i szkoleń
2. Analiza podatności
• Organizacja pyta o podatności produktów partnerów
• Partnerzy informują o swoim stanie wiedzy, mogą (w miarę możliwości) przeprowadzić testy
Cel: przygotowanie organizacji na nadchodzące ataki
= uodpornianie
Wymiana informacji i analiza
12
Regularne spotkania
1. Spotkania na poziomie menadżerskim
• omówienie zagrożeń i kierunków pracy
• eliminowanie problemów z komunikacją
2. Grupy robocze
• wymiana doświadczeń (m. in. PoC, opinie o szkoleniach i konferencjach)
• ustalenie aspektów technicznych współpracy
Cel: utrzymanie spójnego stanu wiedzy o cyberbezpieczeństwie
= profilaktyka
14
• ISAC = ang. Information Sharing and Analysis Centre
• wzorowane na amerykańskim E-ISAC i europejskim EE-ISAC
• zadania:
• zbieranie i współdzielenie informacji o zagrożeniach bezpieczeństwa sieci IT i
OT
• prowadzenie badań nad nowymi zagrożeniami
• wspieranie i koordynacja prac zespołów bezpieczeństwa w spółkach
elektroenergetycznych
• dostęp do zasobów na równych zasadach (partnerstwo)
• współpraca na poziomie organizacyjnym (umowy) i technicznym (narzędzia)
Elektroenergetyczne Centrum Analityczno-Informacyjne
E-ISAC-PL
15
MISP = ang. Malware Information Sharing Platform
MISP
platforma open-source struktura rozproszona
współpraca z IDS i SIEM dostęp przez UI i API
obsługa STIX, OpenIoC,
JSON, XML i CSVrozbudowana kolaboracja
16
MISP – zastosowanie
Organizacja A znajduje złośliwy plik o skrócie N pod adresem xyz.com
Organizacja B znajduje złośliwy plik o skrócie N pod adresem abc.com
Organizacje A i B blokują adresy xyz.com i abc.com oraz skrót N
17
• Rozszerzenie (aneksowanie) umów o współpracy – 2H 2018
• Uruchomienie instancji testowej MISP – listopad 2018
• próbne podłączenie instancji współpracujących
• Definiowanie wymagań platformy współpracy – grudzień 2018 / styczeń 2019
• testowanie platformy TheHive + Cortex
• dodanie (zakup) źródeł zasilających Cortex
• rozszerzenie TheHive o dodatkowe moduły (forum?)
• Wybór i testowanie wspólnej „piaskownicy” – 1Q 2018
• dostęp online
• zasilanie danymi TheHive/Cortex
Harmonogram E-ISAC-PL
18
• cotygodniowe biuletyny: OSINT, podatności, IoC
• kanały informacyjne: WWW, Twitter
Wymiana informacji
19
• Spotkania kwartalne
• Wspólne ćwiczenia
• sztabowe (table-top)
• blue team vs. red team
• Szkolenia ICS
Regularne spotkania
Jarosław Sordyl | [email protected] | Zastępca Dyrektora ds. Cyberbezpieczeństwa | PSE S.A.