Jarosław Sordyl | jaroslaw.sordyl@pse.pl | Zastępca Dyrektora ds. Cyberbezpieczeństwa | PSE S.A.

SIwE’18 Wisła | 20-23 listopada 2018 r.

Praktyczna współpraca i zamierzenia w zakresie cyberbezpieczeństwa

/ założenia pracy energetycznego ISAC-PL

2

Dlaczego warto współpracować?

3

KSE: Zespół naczyń połączonych

1. Poziom fizyczny: duża awaria u jednego

dystrybutora wpływa na funkcjonowanie całego KSE

2. Poziom teleinformatyczny: atak na jednego

dystrybutora może oznaczać rychły atak na

pozostałych

4

• Kilku dystrybutorów i jeden OSP dostają te same wiadomości phishingowe

• Infekcja wirusem następuje w kilku firmach na kilka miesięcy przed atakiem

• Zmasowany atak następuje w jednym momencie, powodując poważną awarię

Ataki na Ukrainę w 2015 roku

5

• Ministerstwo Energii, OSP oraz OSD

zauważyli potrzebę współpracy przy usuwaniu

skutków awarii sieci elektroenergetycznej

• 8 sierpnia 2018 - porozumienie o współpracy

• Cel: przyspieszenie przywracania dostaw

energii elektrycznej

• Jak szybko jesteśmy się w stanie

odbudować po ataku w cyberprzestrzeni?

• sami?

• współpracując?

Współpraca przy awariach

6

USA E-ISAC

EuropaEE-ISAC

Japonia JE-ISAC

Dobre praktyki

7

Rekomendacja SANS po PolEx 2018

„Pursue E-ISAC like structure and capability”

8

Założenia współpracy

9

3 filary

Reakcja na incydenty

Wymiana informacji i

analiza

Regularne spotkania

10

1. Analiza ataków

• W razie ataku organizacja zbiera próbki i przesyła do analizy partnerom

• Partnerzy analizują jakie dodatkowe cechy ma atak i dzielą się IoC

2. Koordynacja działań

• współpraca z organami państwowymi (CERTy, służby, organy ścigania itp.)

Cel: szybkie usuwanie skutków ataku i zapobieganie propagacji

= ratownictwo

Reakcja na incydenty

11

1. Analiza informacji

• Przekazywanie istotnych informacji z otwartych (OSINT) i zamkniętych źródeł

• Dzielenie się IoC od partnerów zagranicznych

• Kalendarz konferencji i szkoleń

2. Analiza podatności

• Organizacja pyta o podatności produktów partnerów

• Partnerzy informują o swoim stanie wiedzy, mogą (w miarę możliwości) przeprowadzić testy

Cel: przygotowanie organizacji na nadchodzące ataki

= uodpornianie

Wymiana informacji i analiza

12

Regularne spotkania

1. Spotkania na poziomie menadżerskim

• omówienie zagrożeń i kierunków pracy

• eliminowanie problemów z komunikacją

2. Grupy robocze

• wymiana doświadczeń (m. in. PoC, opinie o szkoleniach i konferencjach)

• ustalenie aspektów technicznych współpracy

Cel: utrzymanie spójnego stanu wiedzy o cyberbezpieczeństwie

= profilaktyka

13

Aspekty techniczne i organizacyjne

14

• ISAC = ang. Information Sharing and Analysis Centre

• wzorowane na amerykańskim E-ISAC i europejskim EE-ISAC

• zadania:

• zbieranie i współdzielenie informacji o zagrożeniach bezpieczeństwa sieci IT i

OT

• prowadzenie badań nad nowymi zagrożeniami

• wspieranie i koordynacja prac zespołów bezpieczeństwa w spółkach

elektroenergetycznych

• dostęp do zasobów na równych zasadach (partnerstwo)

• współpraca na poziomie organizacyjnym (umowy) i technicznym (narzędzia)

Elektroenergetyczne Centrum Analityczno-Informacyjne

E-ISAC-PL

15

MISP = ang. Malware Information Sharing Platform

MISP

platforma open-source struktura rozproszona

współpraca z IDS i SIEM dostęp przez UI i API

obsługa STIX, OpenIoC,

JSON, XML i CSVrozbudowana kolaboracja

16

MISP – zastosowanie

Organizacja A znajduje złośliwy plik o skrócie N pod adresem xyz.com

Organizacja B znajduje złośliwy plik o skrócie N pod adresem abc.com

Organizacje A i B blokują adresy xyz.com i abc.com oraz skrót N

17

• Rozszerzenie (aneksowanie) umów o współpracy – 2H 2018

• Uruchomienie instancji testowej MISP – listopad 2018

• próbne podłączenie instancji współpracujących

• Definiowanie wymagań platformy współpracy – grudzień 2018 / styczeń 2019

• testowanie platformy TheHive + Cortex

• dodanie (zakup) źródeł zasilających Cortex

• rozszerzenie TheHive o dodatkowe moduły (forum?)

• Wybór i testowanie wspólnej „piaskownicy” – 1Q 2018

• dostęp online

• zasilanie danymi TheHive/Cortex

Harmonogram E-ISAC-PL

18

• cotygodniowe biuletyny: OSINT, podatności, IoC

• kanały informacyjne: WWW, Twitter

Wymiana informacji

19

• Spotkania kwartalne

• Wspólne ćwiczenia

• sztabowe (table-top)

• blue team vs. red team

• Szkolenia ICS

Regularne spotkania

Jarosław Sordyl | jaroslaw.sordyl@pse.pl | Zastępca Dyrektora ds. Cyberbezpieczeństwa | PSE S.A.