IT drošības seminārs "Esi drošs" decembrī

Datums: 2022. gada 14. decembris
Laiks: 13.00 – 17:00
Vieta: TIEŠRAIDĒ

Mērķauditorija: Valsts un pašvaldību iestāžu atbildīgās personas par IT drošību, pamatpakalpojumu sniedzēji, digitālo pakalpojumu sniedzēji, kā arī citi interesenti, kuri darbojas IT drošības jomā.

Darba valoda: latviešu

Programma:

Pieteikšanās: līdz 13. decembrim. Pēc pieteikuma iesniegšanas gaidiet e-pastu ar apstiprinājumu par dalību.

Pieteikties

Apstiprinātie dalībnieki saņems apliecinājumu par dalību seminārā. Pasākums atbilst IT drošības likuma prasībām par CERT.LV organizētajiem IT drošības semināriem.

Jautājumu gadījumā aicinām rakstīt uz kursi.

Laktoru atbildes uz semināra jautājumiem

J: Tiek minēts, ka ir jāveic serveru backupošana, kā arī to atjaunošanas veiktspējas pārbaudes. Tomēr nekur nevar atrast vismaz kādas vadlīnijas par dažādu serveru (aplikāciju, WEB, failserveru utt.) minimālajiem backupošanas termiņiem. Gads? Divi?

A.Filatovs: Runājot par vadlīnijām, tiešām var piekrist, ka precīzas vadlīnijas IS sistēmu "bekapošanā" nav noteiktas, taču vadīties varam gan pēc risku analīzes, kas ir noteikta procedūra MK442 standartos, gan pēc sistēmu pieejamības prasībām kas ir noteiktas arī MK442. Tātad, ja mēs skatāmies pēc risku vadības/analīzes principiem tad tajos mēs nosakām RTO (recovery time objective). RTO ir sistēmu atkopšanas laika mērķis, kas ir maksimālais pieļaujamais laiks, ko dators, sistēma, tīkls vai lietojumprogramma var nedarboties pēc kiberincidenta vai kiberkrīzes. Līdz ar to, veicot riska analīzi, mēs paši varam izvērtēt, kurām sistēmām kāds ir RTO un pēc tā veidot arī backup politikas un DRP (atjaunošanās plāna) darbību. Tāpat MK442 3. pantā 33. punktā ir minēts, kam ir jābūt gatavam no procesu un dokumentu ziņas sistēmu darbības atjaunošanai.

Ja runājam par MK442 noteikumiem, tad tie regulē, kuras sistēmas mums ir pamatdarbības un kuras ir kritiskās. Tāpat MK442 1. panta 7.punktā līdz 8. punktam  nosaka, kā mēs iedalām sistēmas un kādai pieejamībai kurām sistēmas grupai ir jābūt. Līdz ar to mēs varam noteikt arī datu backup funkciju pēc šiem kritērijiem, jo, ja sistēmas pieejamībai ir jābūt līdz 24h, vai citos gadījumos var būt pat lielāka, tad arī atjaunošanās politikai ir jābūt tādai pašai, līdz ar to arī backup politikai. Tātad, ja mums 24h ir maksimālais termiņš, kurā sistēmai ir jābūt pieejamai pēc incidenta, tad arī backup pieejamībai jābūt būtu tādai pašai, un mums 24h laikā ir jāuzliek atpakaļ sistēma no bakcup. Protams vēl ir runa par datu pieejamību, kas nosaka to, kad mums vajag būt jaunākiem datiem, kurus palaist no Backup.

J: Saprotams, ka RDP izmantošana nav labākais risinājums, bet kā Jūs ieteiktu organziēt attālināto darbu (piem., valsts iestādē), gadījumos, kad RDP ir tas vienīgais variants?

G.Mālkalnietis: Atstāt RDP pieejamu no interneta ir ļoti slikta izvēle. Stingri ieskām izmantot VPN savienojumu ar iestādes tīklu, un tikai pēc tā izveides veikt RDP pieslēgumus. VPN servera funkcijas nodrošina pat ļoti vienkārši un lēti maršrutētāji, piemēram, Mikrotik ražotie (https://help.mikrotik.com/docs/display/ROS/IPsec#IPsec-RoadWarriorsetupusingIKEv2withRSAauthentication). Iesakām nepaļauties tikai uz parolēm, bet VPN autentifikācijā izmantot arī ar klienta piekļuves sertifikātus.

J: Vai tiešām Windows Defender Application Control un Applocker, kas ir pieejami jau ilgstoši, nav gana efektīvi cīņā ar piesūtīto (vai lejuplādēto) izpildāmo saturu?

G.Mālkalnietis: Ja  uzbrucēji var izveidot savu direktoriju ar vēlamo saturu (tipiski - .lnk fails + izpildāms .exe fails ar Microsoft digitālo parakstu + kaitīgs .dll fails)  tad, gadījumos ja ir atļauta digitāli parakstītu programmu palaišana no jebkuras vietas, .lnk kas izsauc šajā direktorijā esošo .exe failu reizē ar to var panākt uzbrucēja .dll izpildi. https://insights.sei.cmu.edu/blog/bypassing-application-whitelisting/ Lai nepieļautu šādu scenāriju ir jāaizliedz jelkādu, arī digitāli parakstītu, programmu izpilde no netipiskām direktorijām.

J: Kāpēc valsts nevar uzlikt par pienākumu interneta pakalpojumu sniedzējiem, kas var nodrošināt DDoS aizsardzību, to veikt visiem klientiem? Vai tas prasa nesamērīgus finansiālus ieguldījumus DDoS pakalpojuma sniedzējiem?

G.Mālkalnietis: DDOS aizsardzība ir jāpielāgo katram klientam/servisam individuāli. Šī pielāgošna ir gana sarežģīta un rada lielas izmaksas IPS. Aizsardzība pret liela apjoma DDOS prasa trafika "tīrīšanu" ilgi pirms tas sasniedz mērķa IPS tīklu, tāpēc šādas aizsardzības pakalpojumi ir dārgi, to ieviešana un uzturēšana nav vienkārša.

J: Vai nav domāts par ārpakalpojuma sniedzēju pieslēgšanās tiesību vai tehnisko risinājumu vienādošanu vismaz valsts sektorā (piemēram, MK noteikumos), lai netiktu pieļauta vecu, nedrošu pieslēgšanās sistēmu izmantošana?

G.Mālkalnietis: Iesakām izpildīt visas MK noteikumos 442 noteiktās minimālās drošības prasības un arī ārpakalpojumu pieslēgumiem izmantot vismaz šos , minimālos, drošības standartus.

J: Cik lielā mērā atbildīga ievainojamību atklāšana var kalpot kā aizstājējs iegādātiem drošības testiem?

G.Mālkalnietis: Šīs metodes vienu otru pilnvērtīgi aizstāt nespēs, iesakām tomēr izmantot abas.
 
J: Klausoties to, ka var nezināt, ka šobrīd sistēmā jau notiek uzbrukums, vai ir ieteicams varbūt uzstādīt lokālajā tīklā pfsense, tieši, pakešu/valstu bloķēšanai?

G.Mālkalnietis: Iestādēm kas kvalificējas CERT.LV ABS sensoru uztādīšanai iesakām pie mums interesēties par šo iespēju. Ja jūs veidojat savu tīkla monitoringa sistēmu,  uz pfsense vai citas bāzes, galvenais izaicinājums ir tās ilgstoša uzturēšana, detekcijas kārtulu atjaunināšana un fiksēto notikumu pilnvērtīga analīze.

J: Kā Jūs apmācītu cilvēkus (vecākus, radiniekus), lai cilvēki neliek paroles (pieņemsim wifi), savus telefona numurus?

G.Mālkalnietis: Ieteiktu iemācīties wifi pieslēgumus uzstādīt izmantojot WPS, to paroles ir jāievada tik reti ka nav nekādas vajadzības tās veidot vienkāršas. Daudziem ir vieglāk ja parole skanīga un gara (mīļas dziesmas vārdi) ko var viegli ierakstīt.

J: Varam precizēt ? Vai PENTERA (Automated Security Validation Platform), vai līdzvērtīga tirgū pieejamā risinājuma ietvaros veiktie risinājumu testi un pārskati, var tikt uzskatīti kā tādi, kas atbilstoši MK.442 prasībām attiecībā uz paaugstinātas drošības IS.

V.Teivāns: Iespējams, jautājums vairāk kvalificējās auditoriem. Neesmu lietojis šādu rīku. Iespējams, tas ir kaut kas līdzīgs Tenable Nessus - gadījumā, ja tā, tad lietojots arī automatizētus ievainojamību un atbisltības skenēšanas rīkus var iegūt darbam noderīgus rezultātus, ja inženieris skaidri zina kādas kontroles ar tiem vēlās panākt. Ar pilnībā automatizētiem drošības pārbaužu veikšanas rīkiem nevar pilnvērtīgi aizstāt kvalificētu ielaušanās testu, taču šīs darbības var viena otru papildināt. Diemžēl ir gadījumi, kad komerciāli ielaušanās testi arī aprobežojās tikvien kā ar automatizēta rīka palaišanu un rezultāta nodošanu klientam.

J: Pa pentestiem un Stigs: Vai varbūt pirms militārā drošības līmeņa konfigurācijas vadlinijām ieteicams sàkotneji būtu cisecurity Benchmarks?

V.Teivāns: Arī "militārie" drošības līmeņi ir dažādi un STIGs, gluži tā pat kā CIS ir pielāgojami jebkurai videi un abi uzskatāmi kā drošības prasību un labās prakses pamatkopa uz kā bāzes veidot savai videi atbilstošu konfigurāciju.
Nav būtiski kuru no "baseline" STIGs, vai CIS izmanto.
"STIG and CIS are the two primary third-party baselines adopted across public and private organizations. Even when you’re required to adhere to an industry standard (NIST 800-53, CMMC, PCI, HIPAA, etc.), using a baseline like STIG or CIS is a great starting point."

J: Ko darīt, ja esi nelegāli ieguvis piekļuvi valsts informācijas sistēmai un lejupielādējis datus?

V.Teivāns: Ziņot par veidu kādā ir bijis iespējams piekļūt datiem uz cert. To iespējams darīt arī anonīmi un CERT.LV ar prioritāti strādās, lai drošības trūkumus novērstu.

J: Par pentestiem: tad nav jādara tikai Nessus palaišana, bet jāmāk, izmantojot owasp testing guide, visu pārbaudīt "ar rokām". Šis vai kas ir jàprasa no pentestera?

V.Teivāns: Jebkurai ievainojamībai ir jāveic arī validācija, jeb pārbaude. Gadījumos, kad automatizēts skeneris ir konstatējis iespējamu drošības trūkumu, tas ir jāpārbauda un apstiprināšanas gadījumā jānovērš. Apstiprinoties ievainojamībai produkcijā esošai sistēmai ir jāveic auditācijas pierakstu analīze, lai pārliecinātos par to vai kāds cits jau nav paguvis ievainojamību izmantot un incidents jau ir noticis. Pēc ievainojamības novēršanas ir jāveic atkārtota pārbaude un jāpārliecinās, ka datu validācija notiek korekti, testējot arī dažādus apiešanas scenārijus, ja tādi iespējami.

J: Vai kā aktuāla probēma novērota API keys (vai citas piekļuves info) pieejamība (publiskos) repozitārijos?

V.Teivāns: Jā, tā ir pietiekami izplatīta problēma arī Latvijā gan sistēmu turētājiem, gan IS izstrādes pakalpojumu sniedzējiem.

J: Vai openDNS veic līdzīgu funkciju kā dnsugunsmūris?

A.Palms: Jā, līdzīgu.
Taču vēlos piemetināt, ka DNSmūrī domēni nokļūst daudz ātrāk nekā citur, ja ir kiberuzbrukuma vilnis Latvijā.
PIemēram, atbildes rakstīšanas brīdī ir aktuāls bankas karšu izkrāpšanas viltus lapa, kas tiek izplatīta Latvijas pasta vārdā.
DNS ugunsmūrī šī lapa ir ievietota jau kopš pirmās indikācijas. OpenDNS šis domēns netiek bloķēts
$ dig pasts-lv.dynv6.net @208.67.222.123 +short
42.96.2.156
$ dig pasts-lv.dynv6.net @8.8.8.8 +short
42.96.2.156
$ dig pasts-lv.dynv6.net @208.67.222.123 +short
42.96.2.156

J: Ik pa laikam saskaramies ar potenciāli bīstamiem domēniem un veicām bloķēšanu iestādes lietotājiem. Vai  arī Jums pieteikt aizdomīgo domēnu analīzei un potenciālai iekļaušanai?

A.Palms: Mums interesē kaitīgie domēni. Pat ja mums viņš ir zināms, jūsu ziņojums piedot volumetrisko rādītāju, kas palīdz noteikt kiberuzbrukuma viļņa ietekmi.
Ir svarīgs domēna piegādes konteksts. Ja potenciāli kaitīgs domēns ir saistīts ar reklāmu piegādi vai lapu, kur reklamē uzturvielas, šeit nav viss tik viennozīmīgi. CERT.LV neanalizē saturu, līdz ar to domēni, kas piegādā informāciju, lielākoties netiek ievietoti DNSmūrī. Šādiem domēniem ir attiecīgās instances - NEPLP, Veselības inspekcija, Izložu un azartspēļu uzraudzības inspekcija.