Detekcia zraniteľnosti koncových obslužných bodov (projekt NASES)

NASES dal do pripomienkovania dokumenty (level štúdia uskutočniteľnosti) pre projekt „Detekcia zraniteľnosti koncových obslužných bodov“.

https://www.nases.gov.sk/verejne-pripomienkovanie-navrhovaneho-projektu-detekcia-zranitelnosti-koncovych-obsluznych-bodov/index.html

Zameranie projektu: Realizáciou projektu Detekcia zraniteľnosti koncových obslužných bodov sa vytvorí modul detekcie hrozieb a prienikov zahŕňa kľúčové techniky pre ochranu aplikácií postavených na moderných architektúrach. Patrí sem samoochrana aplikácii a detekcia hrozieb na strane klienta napr. v podobe RASP (runtine application self-protection), detekcie malware (škodlivých aplikácií), detekcie zmien v správaní klienta (behavioral analysis) a zaradenie platformy na automatizáciu pravidelných bezpečnostných udalostí. Treba si uvedomiť, že Detekcia zraniteľnosti koncových obslužných bodov je iba doplnok a nie náhrada za bezpečnostné testovanie, bezpečný vývoj alebo implementáciu prvkov ako sú firewall a WAF. Navrhovaný modul detekcie hrozieb a prienikov rozšíri poskytované služby na vládnej sieti GOVNET prevádzkovanej NASES.
Modul detekcie zraniteľnosti koncových obslužných bodov bude chrániť aplikáciu z vnútra, bez potreby inštalácie špecializovaného softvéru na strane klientskeho zariadenia (napr. antvirus) prostredníctvom implementácie resp. integrácie do aplikácií, ktoré bežia mimo bezpečného prostredia inštitúcie. Uvedené prostredie sa z princípu musí považovať za prostredie nebezpečné a bez kontroly.

Dajte vedieť čo si o projekte myslíte. Pripomienky je možné zaslať na e-mailovú adresu: michal.seliga@nases.gov.sk do 27.7.2021, 16.00 hod. (formulár k tomu je tam na webe)
Termín verejného prerokovania je naplánovaný na 30.07.2021 v závislosti od aktuálnej pandemickej situácie.

Za S.D samozrejme k projektu pripravíme Red Flags hodnotenie.

Ja som si to precital. Mohli si teda dat trochu vacsiu namahu, napriklad ostranit sablonove texty ked uz chcu kupit HW/SW za 6.5mil.
Relevantnych informacii je tam velmi malo, nerelevantnych a nespravnych pomerne vela. Chyba mi to zasadene do celeho kontextu (minimalne narodny projekt co robi MIRRI).
Toto je zhruba relevantne:

ADC … application delivery controler, v prostredí Govnet sa využívajú produkty F5. Tieto
komponenty musia byť rozšírené z pohľadu výkonu a funkcionality, aby bolo možné
integrovať DSM službu.
DSM … je služba, implementovaná ako PaaS,SaaS ale onPremise riešenie ako súčasť govnetu,
ktorá využíva dáta získané z ADC pre hĺbkovú analýzu a následnú detekciu potencionálneho
rizika. Túto hrozbu, udalosť následne posiela na analýzu do SOC.
Služba SOC je natívna súčasť služby Govnet. Množstvo udalosti, ktoré SOC spracováva sa
rozšíri o veľkú množinu udalostí z DSM. Z dôvodu skvalitnenia, urýchlenia a zníženie false
positive rate eventy budú následne korelované a spracovávané SOAR komponentom, čím sa
zabezpečí udržanie personálnych nákladov potrebných pre analýzu rizík/udalostí.
Dodávkou projektu sa tým pádom rozumie:

  1. ADC komponenty (HW) pre zvládnutie integrácie, tak aby nedošlo k zníženiu kvality
    poskytovaných služieb *.slovensko.sk, resp *.gov.sk
  2. DSM komponent (HW/SW/SaaS) pre analýzu špecifických zraniteľností na úrovni
    koncových zariadení a session
  3. SOAR komponent (SW) ako rozširujúci sw modul/licencia aktuálneho SOC
    podporného systému.
1 Like

V strucnosti k CBA, resp. k tomuto dokumentu https://www.nases.gov.sk/wp-content/uploads/2021/07/Analyza-Benefitov-NP-Detekcia-zranitelnosti-koncovych-obsluznych-bodov_v02.pdf.

Prinos 1. Zníženie času a úsilia potrebného na vykonávanie proaktívneho
monitorovania a vyhodnocovania bezpečnostných incidentov, v skutocnosti nie je prinosom ale alternativou voci navrhovanemu rieseniu. NASES dnes nevynaklada 900 osobohodin tyzdenne, cize ich nemoze usetrit, je to ale alternativny sposob dosiahnutia biznis ciela (Alternativa A - nakup potrebneho HW/SW, Alternativa B - najat zamestnancov aby mohli monitorovat bezpecnostne hrozby).

Za predpokladu ze by NASES namiesto nakupu HW/SW najal tych zamestnancov a tito zamestnanci dosiahnu rovnake alebo lepsie prinosy ako su uvedene v bode 2 a 3, tak by sa podla prepoctov viac oplatilo najat tych zamestnancov ako kupovat HW/SW. (10 rocne naklady na zamestnancov 11 700 000 EUR, 10 rocne naklady na HW SW 12 360 746 EUR plus k tomu treba dopocitat naklady na zamestnancov, ktori budu monitorovat zvysnych 20% casu, ktore nove riesenie nepokryje). Je to velmi zjednoduseny, plytky, priam az populisticky zaver, kedze NASES alternativy A a B neporovnava. Ale prave preto by som si na to dal pozor v studii.

Zvysne prepocty sa daju zhodnotit ked ini odbornici povedia, ci napr. 300 000 endpointov je realne cislo, ci 10 EUR per data je realne cislo atd.

Suhlasim, k CBA sice spracovali samostatny dokument (co chvalim) ale CBA samotna neobsahuje ziadne prepocty kvalitativnych prinosov, to by bolo vhodne doplnit).

1 Like