Regulace řízená novou evropskou směrnicí NIS2 vzbuzuje v mnohých obavy, jde ale zejména o snahu EU reagovat na rostoucí intenzitu kybernetických útoků. Ačkoliv směrnice obsahuje také povinnosti procesní, my se tentokrát podíváme na problematiku NIS2 z pohledu technického zabezpečení.

Stručně o směrnici NIS2
 

Co je směrnice NIS2?

NIS2 (Network and Information Security) je nová směrnice EU o kybernetické bezpečnosti, která má za cíl vytvořit jednotnou úroveň ochrany v oblasti kybernetické bezpečnosti v celé EU prostřednictvím zavedení požadavků a opatření ve všech členských státech.

Národní legislativa adoptuje směrnici prostřednictvím nového zákona o kybernetické bezpečnosti s vykonávacími vyhláškami, který vejde v platnost nejpozději 17. října 2024.

Kdo spadá pod NIS2

Novela zavádí pojem poskytovatel regulované služby, pod nehož budou spadat organizace důležité pro fungování kritické infrastruktury.

NÚKIB definuje: Poskytovatelem regulované služby je kdokoliv, kdo poskytuje alespoň jednu regulovanou službu, tedy službu, jejíž narušení by mohlo mít významný dopad na zabezpečení důležitých společenských nebo ekonomických činností a jejíž kritéria je potřeba hledat ve vyhlášce o regulovaných službách.

Zdroj: https://osveta.nukib.cz/pluginfile.php/58365/mod_page/content/332/Prilo…

Přesná kritéria pro dotčené subjekty bude definovat teprve nový zákon o kybernetické bezpečnosti. Přesto už teď můžeme říct, že novela zákona se bude týkat více než 6000 firem a státních institucí a ty budou spadat do jednoho ze dvou režimů:

  • režim vyšších povinností: kategorie „základní subjekt“ – přerušení fungování těchto sektorů by mělo vážné dopady na ekonomiku země nebo celou společnost. Spadají sem sektory jako zdravotnictví, energetika nebo doprava.
  • režim nižších povinností: kategorie „důležitý subjekt

Podle režimu se tedy budou liši i povinnosti, ale pokud jde o technické zabezpečení, neexistují mezi nimi významné rozdíly. Spíše se jedná o procesní rozdíly, jako je například povinnost řízení dodavatelů, řízení změn nebo provádění auditů. Definice detekce kybernetických hrozeb nebo požadavky na řízení přístupů do sítě zůstávají stejné jak pro základní, tak pro důležité subjekty. A na ty se teď pojďme podívat.
 

NIS2 v praxi: Jak pomůže splnit požadavky GREYCORTEX Mendel

Povinnosti a bezpečnostní opatření poskytovatele regulované služby najdete zatím v návrzích dvou samostatných vyhlášek – v režimu nižších povinností a v režimu vyšších povinností. My se na vybrané povinnosti, které se týkají kybernetické bezpečnosti, teď podíváme blíže.
 

Řízení aktiv

Identifikace primárních a podpůrných aktiv, včetně vazeb mezi nimi

Organizace musí mít přehled o všech zařízeních a systémech ve své infrastruktuře a o jejich vzájemné komunikaci. Stejně tak musí vědět o jakémkoliv jejich výpadku.

Pomocí GREYCORTEX Mendel provedete snadno a rychle audit všech aktiv a zjištěný stav můžete následně porovat s inventárními záznamy své organizace.

Mendel detekuje a ukládá informace o každém zařízení komunikujícím v síti. S jeho pomocí zobrazíte seznam sítí a podsítí a podrobně se podíváte, která zařízení do nich patří. Tento přehled je doplněn informacemi o úrovni rizika těchto zařízení a podsítí, a dále jsou doplněny detailní informace o hostname, tagy, operační systém a další parametry.

V systému uvidíte vizualizaci jednotlivých propojení mezi zařízeními a sítěmi i přehled o uživatelích. Integrací se zdroji identit, jako například Active Directory nebo LDAP server, Mendel spojí konkrétní komunikaci s jednotlivými uživateli.

Analýza rizik

V rámci řízení aktiv ukládá NIS2 také povinnost identifikovat kritická aktiva a služby, jejichž výpadek může ohrozit provoz společnosti.

GREYCORTEX Mendel pomáhá jednoduše zmapovat, která zařízení jsou kritická a jaké budou následky, když toto zařízení přestane fungovat.

Mendel umožňuje vyfiltrovat komunikační klienty, které přistupují k určité službě nebo aplikaci, jako podklad pro stanovení kritičnosti těchto služeb a aplikací.

Bezpečnost lidských zdrojů

Řízení životního cyklu zaměstnance a kontrola dodržování bezpečnostní politik

GREYCORTEX Mendel pomáhá s auditem chování uživatelů v síti. Například identifikuje situace, kdy uživatel komunikuje se systémem, ke kterému nemá mít oprávnění, nebo když přistupuje přes VPN, přestože by jeho účet či vzdálený přístup měl být zablokován. Mendel také odhalí přístup externího dodavatele do vnitřní sítě podniku, ke kterému dochází po ukončení smlouvy.

Díky integraci GREYCORTEX Mendel s nástroji pro správu aktiv nebo zdroji identit, je možné vytvořit seznam uživatelů a prozkoumat jejich komunikaci s ostatními uživateli a službami. Tím lze ověřit, zda se v síti nenachází uživatel, který by tam neměl být.

Audit kybernetické bezpečnosti

Provádění pravidelné kontroly dodržování bezpečnostních politik a opatření

GREYCORTEX Mendel jednoduše a rychle pomáhá kontrolovat správné nastavení bezpečnostních politik a opatření a jejich dodržování, a to i na denní bázi.
 

Bezpečnost komunikačních sítí

Zajištění segmentace komunikační sítě a řízení komunikace v rámci interní sítě, vzdáleného přístupu a vzdálené správy

Díky vizualizaci komunikace v GREYCORTEX Mendel lze ověřit, zda zařízení z jedné podsítě nekomunikují neoprávněně se zařízeními z jiné podsítě nebo zda jsou přístupná z internetu, i když by neměla být. 

Příkladem mohou být výrobní zařízení, která by měla být běžně přístupná pouze v rámci interní oddělené sítě, ale kvůli aktualizacím nebo nutnému vzdálené servisnímu zásahu a opravám může být dočasně umožněn jejich přístup k internetu. Pokud se tento přístup zapomene zrušit, Mendel na danou nechtěnou komunikaci upozorní. Díky zpracování protokolu MODBUS a dalších OT protokolů je totiž schopen vizualizovat komunikaci výrobních zařízení a ověřit, kam komunikují.

V Mendel lze jednoduše vyfiltrovat komunikaci přes službu RDP (vzdálené plochy), která může být firemně zakázána nebo odhalit nelegitimní připojení. Stejně snadno lze vyfiltrovat i TeamViewer.

Využití nástroje, který zajistí integritu komunikační sítě

Takovým nástrojem je myšlen nástroj využívající například mechanismus na bázi protokolu 802.1x, který umožňuje připojení pouze automatizovaným technickým aktivům. Mendel lze integrovat s NAC systémy, například Cisco ISE nebo jiné. Zároveň Mendel umožňuje vynucování akčních kroků pomocí NAC, jako je například izolace zařízení.
 

Detekce kybernetických bezpečnostních událostí

Použití nástroje, který je schopen detekovat kybernetické bezpečnostní události

Detekce kybernetických bezpečnostních událostí a zároveň jejich účinná prevence je jednou z hlavních schopností nástroje GREYCORTEX Mendel, který pro detekci využívá analýzu síťového provozu. 

Mendel detekuje známé hrozby na základě signatur ale i projevy nebezpečného nebo chování. Díky širokému rozsahu signatur a behaviorální analýzy rozlišuje různé fáze jednotlivých kybernetických útoků.

Mendel detekuje následující projevy nebezpečného chování:

  • C&C odchozí komunikace
  • Útoky hrubou silou
  • Skeny
  • Tunely
     

Vyhodnocování kyberneticky bezpečnostních událostí

Využívání nástroje pro nepřetržité vyhodnocování kybernetických bezpečnostních událostí

Dle směrnice je nutné detekované kybernetické bezpečnostní události kontinuálně a centralizovaně vyhodnocovat, což zahrnuje i vyhledávní korelací, vyhodnocování relevance zdrojů a také vytváření varování, ať už v reálném čase automaticky nebo na základě manuálního nastavení.

V nástroji Mendel se můžete se podívat do detailů všech detekovaných událostí a následně je podrobně analyzovat. Všechny detekované události jsou přehledně kategorizovány podle MITRE ATT&CK Framework, využít můžete ale i řadu dalších vizuálně srozumitelných pohledů a filtrů na vaše data.

Kryptografické algoritmy

Zajištění ochrany technických aktiv a jejich komunikace prostřednictvím nástrojů a mechanismů, které využívají kryptografii

Pomocí nástroje Mendel zjistíte, zda se ve vaší infrastruktuře využívají aktuální a silné kryptografické algoritmy. Ověříte, zda se nepoužívá nešifrovaná komunikace a zda nedochází k přenosu hesel v plain-text formě. Mendel také kontroluje platnost komunikačních certifikátů.
 

Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv

Zajištění ochrany jednotlivých technických aktiv před využitím známých hrozeb a zranitelností

Nová směrnice klade důraz také na zabezpečení průmyslových sítí, které v mnoha případech stále pokulhává. Mendel zpracovává protokoly jako MODBUS, OMRON, BACnet a další. Kromě analýzy síťového provozu v IT infrastrukturách tak umí vizualizovat také komunikaci zařízení až do úrovně 2 dle Purdue modelu. Těmi mohou být senzory, čidla, motory a další. Pomocí správného nastavení lze získat informace ze síťové komunikace o OT zařízeních jako teplota pece, otáčky centrifugy, tlaky v potrubí, výška hladiny vody v nádobě a další.

Mendel poskytuje kritické informace pro provoz výrobní infrastruktury:

  • Common Vulnerabilities and Exposures (CVE) na OT zařízeních, 
  • konfigurační nastavení zařízení, 
  • informace o firmwaru.
     

Připravte se včas

Směrnice NIS2 musí být přenesena do české legislativy do 16. října 2024 a bude účinná od 17. října 2024. Není důvod k panice, ale nepodceňujte zabezpečení své firmy nebo intituce bez ohledu na to, jaké bude finální znění českého zákona o kybernetické bezpečnosti a jeho prováděcích vyhlášek.

Podrobnější ukázky toho, jak GREYCORTEX Mendel pomůže se splněním technických požadavků NIS2 najdete v záznamu webináře NIS2 v praxi.

Kategorie