V Aquaparku v Čestlicích u Prahy se konal další ročník semináře pořádaného společností Comguard, distributorem s přidanou hodnotou, který se specializuje na oblast bezpečnosti a síťových řešení. Zpestřením semináře byla soutěž „Přineste si svůj malware“, zakončená vyhodnocením pomocí řešení McAfee.
Seminář uvedl Jan Dymáček, ředitel společnosti Comguard, který představil obchodní zástupce společnosti a zástupce výrobců, jejichž produkty a řešení byly na semináři prezentovány – Barracuda Networks, Sophos, LogRhythm, Brocade a Intel Security – McAfee.
Jedním z témat, které se trochu vymykalo, byla ochrana řídících systémů SCADA – napadení průmyslových řídících systémů, nebo také systémů připojených v tzv. „internetu věcí“, což může mít v budoucnu větší dopad, než krádeže informací z IS – viz. ukradený Jeep Cherokee i s šerifem. Rovněž překvapila úspěšnost síťových řešení Brocade proti dominantní konkurenci.
Jan Dymáček, Comguard, představuje obchodní zástupce společnosti Comguard a přednášející výrobce
Většina generálů dříve zpravidla budovala budoucí strategii na základě poznatků z minulého konfliktu, což už dnes neplatí ani ve vojenství, zejména však ne v oblasti kybernetické bezpečnosti. Hned první přednáška se proto týkala problematiky „zero-day attack“.
Úspěšný bankovní phishing
Robert Šefr z Comguardu proto hned na začátku demonstroval nedávnou bankovní phishingovou malwarovou kampaň Dridex, kterou byli napadeni čeští klienti dopisem ve formátu MS .doc, vyvedeným v obstojné češtině (čemuž také řada bankovních klientů naletěla). Signaturní řetězce běžných antivirů nezareagovaly, útok byly detekovány pouze dvěma nepříliš známými antimalwary, které detekovaly právě (a pouze) makra. Lepší situace nebyla ani při detekci druhé vlny druhý den. Pragmatickým rozhodnutím expertů Comguardu bylo doporučení klientům: „umístit do karantény maily, ve kterých byly detekovány makra v přiložených souborech a raději riskovat, že některý z důležitých neinfikovaných dokumentů k adresátovi nedojde“.
Mýtus o nezranitelnosti Apple
Dalším představeným incidentem byl útok na Apple App Store, který nabízel infikované aplikace. Šlo o kód XcodeGhost, kde z podvrženého infikovaného kompilátoru Xcode staženém z Baidu, který prošel schvalovacím procesem Apple, šířili relevantní vývojáři infikované aplikace. Některé zdroje zmiňují phishing hesel iCloudu, některé zmiňují „pouze“ identifikující metadata.
Android a jeho kostlivec ve skříni
Jde o dlouho udržovanou zranitelnost Androidu – Stagefright, která sedí v jádře systému a je dostupná od verzí Android v2.1 až v5, takže zranitelných je až 95 % zařízení s Androidem. Zneužití zranitelnosti je možné zasláním SMS, vyvoláním zranitelnosti aplikace, případně otevřením stránky s exploitem.
Mobily a tablety ve firmě
Michal Mezera pokračoval aktuálními novinkami v oblasti správy chytrých telefonů a tabletů. Při ochraně uživatelů jde o vynucení vhodných bezpečnostních politik a kam až lze přitom zajít, například s ohledem na uživatelský komfort, z čehož vyplývá volba správného řešení. Jedno z nich nabízí například výrobce Sophos – systém centrální správy Sophos MDM (Mobile Device Management), umožňujícím jak správu mobilního telefonu, tak správu bezpečnostních politik. Sophos se jako jedna z mála předních bezpečnostních firem opakovaně umísťuje v hodnocení řešení MDM analytickou společností Gartner. Pro zákazníky, kteří nechtějí „další centrální správu“ ve svém datacentra, tak může být vhodným řešením konsolidujícím ochranu koncových stanic, serverů a mobilních zařízení, navíc obohacenou o vulnerability management, šifrování nebo DLP.
Jeep Cherokee ukraden i s šerifem – systémy SCADA a jejich ohrožení
Společnost Asseco Central Europe se stala jedním z nejvýznamnějších dodavatelů do oblasti průmyslu, kam spadají také průmyslové řídící systémy SCADA (Supervisory Control And Data Acquisition systems) – jedním z nejznámějších napadení bylo systémů Siemens a vyřazení íránského jaderného programu nákazou Stuxnet. Této problematice se věnoval Radoslav Bartošík z Asseco Central Europe. Jde o systémy určené pro dohled, řízení a sběr dat, na rozdíl od systémů ICS – průmyslových řídících systémů (Industrial Control Systems). Primární funkcí SCADA je řízení jakýchkoliv technologií, zpravidla se dají přepínat i do manuálního provozu. Řídící systémy SCADA jsou už dnes používány pro čištění odpadních vod, řízení tepláren a elektráren, ale i v autech a domácnostech (tzv. internet věcí), například pro řízení topení a stahování žaluzií v „chytrých domácnostech“. Mezi průmyslovými a spotřebitelskými („domácími“) systémy SCADA už nejsou přesné hranice. Původně šlo o telemetrické systémy se speciálními protokoly, které byly v počátcích nasazeny ve Spojených státech a šlo o uzavřené systémy, bez napojení na okolní svět a všichni výrobci si vyráběli svá proprietární řešení. S jejich standardizací a propojování s návaznými systémy, zejména pro zpracování informací a řízení procesů, se logicky zvyšuje možnost napadení systémů SCADA. Při zpracování informací jde zejména o ochranu informačního systému, při řízení technologických procesů zase jde o dostupnost systému a dat. Proto také musí být rozdílný přístup ve využití těchto systémů a jejich ochrany – organizace musí identifikovat kritický systém a zavedení odpovídajících bezpečnostních řešení. Hlavním problémem bývají nevhodné aktivní prvky a jejich konfigurace, nezabezpečená komunikace, ale také personální problémy kvůli nízké bezpečnostní kvalifikaci. Systémy SCADA se dodávají jako komplexní systém, který má dobu životnosti 20 až 30 let, takže je nelze po pár letech vyměnit jako běžný informační systém.
Stuxnet už byl zmíněn, humornější variantou bylo dálkové převzetí řízení automobilu Jeep Cherokee i s šerifem za jeho volantem. Jedním za dalších incidentů bylo vylití několika milionů tun splašků do jiného města.
Radoslav Bartošík z Asseco Central Europe na těchto příkladech prohlásil, že napadení průmyslových řídících systémů může mít v budoucnu větší dopad, než krádeže informací z IS. Certifikovaná řešení pro ochranu systémů SCADA lze rovněž nalézt v portfoliu společnost Comguard.
Účastníci konference Comguard
S Barracudou o e-maily v cloudu nepřijdete
Michal Mezera z Comguardu představil řešení Barracuda Networks určené pro archivaci a ochranu dat, zejména souborů pst a jejich migraci do bezpečného úložiště. Barracuda nabízí jak hardwarovou applianci, tak cloudové řešení, které může být clusterované. Uživatelé mohou díky tomuto řešení přistupovat k e-mailům i při přechodu e-mailového systému do cloudu, což efektivně řeší jeden z možných problémů vznikajících při užívání samotného Office 365. Další výhodou tohoto řešení je, že uživatel nepozná, kdy se pohybuje v archivu a kdy ve svém mailboxu – je to velmi příjemná vlastnost, proti konkurenčním řešením, u kterých musí uživatel při vyhledávání přecházet mezi mailboxem a archivem.
Brocade zvítězila nad Cisco
Případovou studii – náhradu starých přepínačů Cisco novými od Brocade v datovém centru zákazníka přednesl Igor Ftáček ze společnosti AutoCont SK. Důvodem bylo, že stávající řešení narazilo na hranice výkonu síťové konektivity, a že jeho rozšíření by bylo neekonomické. Výsledkem nasazení nového řešení Brocade, bylo zvýšení propustnosti sítě díky dostatečné šířce pásma (10G a 40G porty), dosažení vysoké dostupnosti, stability, jednoduchosti konfigurace, flexibility správy (Ethernet Fabric), redundance zapojení a kapacity 160 Gb/s se 16 redundantními trasami.
Kontrola zásahu externích správců
Radim Kupka z Comguardu představil řešení na základě technologie ObserveIT pro úplnou vizuální a textovou informaci o jakémkoliv i nelogovaném zásahu systémových správců nebo interních privilegovaných uživatelů na kritických systémech, a to jak při vzdáleném přístupu, tak pokud zásah proběhl lokálně s fyzickým přístupem k serveru. ObserveIT tedy mimo sekvenční komprimovaný videozáznam veškerých monitorovaných aktivit ještě paralelně popisuje informace pomocí metadat tak, aby se s výstupy mohlo efektivně pracovat a full-textově vyhledávat kritická místa v záznamu. Systém je v praxi nejčastěji využíván pro zpětný audit, například při nějaké havárii sledovaného serveru, pro evidenci činnosti a času externích partnerů, nebo pro rychlou tvorbu dokumentace.
Jednodušší a bezpečná autentizace – nepotřebujete hesla!
Radim Kupka z Comguardu seznámil s autentizací uživatelů jednorázovými hesly na základě technologie SecurEnvoy, včetně živé ukázky z kompetenčního centra s využitím autentizace pomocí QR kódu. Představil i novinku – autentizaci s využitím NFC technologie, jejíž uvedení plánuje ještě v průběhu roku.
Intel a bezpečnost dat na úrovni hardwaru
Jak Intel garantuje svými hardwarovými prostředky, že klient nebyl napaden, přednesl František Fait z Intelu. Pokud škodlivý software napadne hypervisor, má přístup ke všem na něm běžícím virtuálním strojům. Nebo když napadne BIOS, firmware si otevře cestu k napadení jakékoliv softwarové části serveru. Bezpečnostní řešení firmy Intel, které takovýmto útokům dokáže čelit, se nazývá Intel Trusted Execution Technology (TXT). Tato kombinace procesoru, čipové sady a speciálního kódu, jehož první část obsahuje procesor Intel Xeon již z výroby, provede při každém startu serveru kontrolní součet zaváděného kódu ještě před jeho spuštěním a hodnoty uloží bezpečně do modulu TPM. Atestační služba následně porovná tyto hodnoty s údaji, které byly označeny za důvěryhodné (trusted) při první čisté instalaci serveru a hypervisoru.
František Fait, Intel
Na základě tohoto porovnání je přidělen serveru status „důvěryhodný“ (trusted) nebo „nedůvěryhodný“. Tyto trusted servery se pak sdruží do skupiny TCP Trusted Compute Pool. Atestační služba je dále dotazována na status hostů administračním rozhraním, které řídí umístění a migraci virtuálních strojů. Na základě uživatelem definovaných politik atestační služba vybírá servery splňující podmínky důvěryhodnosti pro citlivá data. Tento koncept lze rozšířit o informace specifikující geografickou lokaci serveru, nebo jeho technické parametry. Následně se dá rozšířit sada politik tak, aby uživatel splnil například legislativní podmínku, že jeho data nesmějí opustit hranice daného státu, anebo třeba jen hranice firmy v případě hybridního cloudu.
Nasazení technologie TXT je možné jak v prostředí VMware vSphere, tak OpenStack, a to za pomoci atestační služby poskytnuté firmou Intel jako open source – OAT, nebo jako součást komerčního balíku, například firmy Hytrust. V případě zájmu se obraťte na zástupce firmy Intel či na stránky http://www.intel.com/go/txt.
Dalším bezpečnostním tématem Intelu jsou nové bezpečnostní technologie (například vzdálené mazání), které integruje do svých úložišť Intel SSD.
Intel Security – jak dál?
Kurt Schoenmaekers z Intel Security představil novou generaci ochrany koncových systémů McAfee Endpoint Security v10, navrženou primárně s ohledem na zlepšení detekčních schopností, zvýšení rychlosti, jednoduchost a přehlednost. Viditelnou změnou je přímá spolupráce všech bezpečnostních modulů na ochraně systému, vzájemná výměna dat a provázané výstupy, což umožňuje rychle odpovídat na otázky kdo, kdy a proč v rámci popisu jedné události bez nutnosti dohledávat souvislosti.
Firewall Sophos XG
Radim Kupka z Comguardu uvedl nový firewall – Next Generation Firewall Sophos XG. Vznikl jako výsledek projektu Sophos Copernicus sjednocením Sophos SG (resp. Astaro) a Cyberoam CR, do kterého Sophos dal to nejlepší z obou platforem, včetně funkce provázání firewallu s ochranou koncových stanic. Jde o unikátní vlastnost řešení výrobce, který má jak endpoint ochrany, tak UTM Firewall v leader kvadrantu analytiků Gartner.
Zavírání zadních vrátek – patchování
U aplikací třetích stran pro Windows se kvůli nehomogennímu a složitému aplikačnímu prostředí nelze spolehnout na Microsoft SCCM a WSUS. Proto Robert Šefr z Comguardu proto ukázal, jak lze s řešením Secunia řídit celý životní cyklus zranitelnosti díky jejímu odhalení, zvážení rizik, vytvoření záplaty, otestování a aplikování. Základem je databáze více než 20 tisíc aplikací pokrývající prakticky vše, co běží pod MS Windows. Comguard má řešení Secunia nasazeno ve svém kompetenčním centru, kde jej předvádí – s přehledným rozhraním, možností integrace do infrastruktury a procesů do infrastruktury a do procesů organizace, s propojením s nástroji Microsoft.
Ztráta dat v automobilovém průmyslu
Na závěr Michal Mezera z Comguardu předvedl na případové studii z automobilového průmyslu – výroby komponent, jak chránit organizaci před zaměstnanci. Tato napadení se týkají krádeží dat, lidských chyb – například záměny e-mailové adresy, nedodržením regulatorních a smluvních požadavků apod. Případová studie byla demonstrována na příkladu komplexního nasazení systému McAfee DLP – Data Loss/Leak Prevention.
Mohlo by vás zajímat: