Databeskyttelse: Data er valuta i høj kurs! Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Transkript

1 Databeskyttelse: Data er valuta i høj kurs! Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

2 Dubex A/S Højt specialiserede it-sikkerhedseksperter Kvalitet Service Kompetence Managing risk Enabling growth First mover Konsulent- og sikkerhedsydelser lokalt og globalt Eftertragtet arbejdsplads Motiverede medarbejdere Største itsikkerhedspartner i Danmark Selvfinansierende og privatejet siden 1997

3 Danske og internationale kunder har tillid til os Vi leverer og supporterer sikkerhedssystemer på mere end 500 lokationer i verden AFRIKA ANGOLA / MOZAMBIQUE / SYDAFRIKA / TANZANIA ASIEN-PACIFIC AUSTRALIEN / KINA / INDIEN / INDONESIEN / JAPAN / SINGAPORE / THAILAND / TURKMENISTAN EUROPA ØSTRIG/ CYPERN / TJEKKIET / DANMARK / FÆRØERNE / FINLAND / FRANKRIG / TYSKLAND / GRØNLAND / UNGARN / ITALIEN / KAZAKHSTAN / LETLAND / LITAUEN / LUXEMBOURG / HOLLAND / NORGE / POLEN / RUSLAND / SKOTLAND / SLOVAKIET / SVERIGE / SCHWEIZ / TYRKIET / ENGLAND LATIN AMERIKA ARGENTINA / BRASILIEN / CHILE MELLEMØSTEN BAHRAIN / DUBAI / OMAN / QATAR NORDAMERIKA CANADA / USA

4 Danmarks førende it-sikkerhedsspecialist Technology focus Process focus Business focus Managing risk, enabling growth Vi er altid på udkig efter muligheder for at styrke vores kunders forretning og understøtte vækst. Vi hjælper med at balancere dine forretningsmål og et acceptabelt risikoniveau for it-sikkerhed.

5 Moderne virksomheder bygger på informationer Virksomheder bygger i dag på data virksomheder fremstiller og anvender massive mængder data som en forudsætning for det daglige arbejde Digital Disruption Mobility Cloud Big Data Disse data bliver stadig mere strategiske for organisationen og giver hvis håndteret rigtigt - en strategisk konkurrencefordel i markedet Robotics Sociale medier 3D Printing Den kritiske natur af disse data gør dem værdifulde og dermed til at oplagt mål Data er blevet svære at kontrollerer Data i cloud Data på mobile devices Data hos samarbejdsparter Software Defined Anything Internet time BYOx Internet of Things Webscale IT AI

6 Data i den digital virksomhed Google håndterer 3.5 mia. søgninger pr. dag Hvert minut uploades ca. 100 timers video til YouTube 12 TB Twitter beskeder hver dag Volume Store mængder data Velocity Hurtig behandling Variety Forskellige typer Large Hadron Collider generer 150 million petabytes pr. år % smides væk Voksende datamængde Global datamængde fordobles hvert 1.2 år En kr. harddisk kan gemme al musik i verden Ustruktureret data 80% af alle data er ustruktureret Dynamisk kommunikation 30 mia. opdateringer på Facebook hver måned Applikationer og kommunikation Social medier Mobile devices ~ ca. 5. mia. i verden Brugere, kunder, partnere Komplekse rettigheder

7 Digitial sikkerhed Informationssikkerhed It-sikkerhed ICS-sikkerhed Fysisk sikkerhed IoTsikkerhed Cybersikkerhed Digital sikkerhed

8 Hændelser GovCERT: 250 alvorlige angreb mod ministerier og virksomheder på tre år Siden 2010 har GovCERT registreret flere hundrede alvorlige angreb på de ministerier, styrelser og virksomheder, der er en del af netsikkerhedstjenesten. Nu vil GovCERT have loven ændret. Af Christian Loiborg Torsdag, 6. februar :29 Mere end sikkerhedshændelser er blevet registreret af GovCERT siden Det fremgår af et udkast af en evaluering af GovCERT-loven. GovCERT er det danske forsvars it-sikkerhedsorganisation og opererer den såkaldte netsikkerhedstjeneste, som statslige organisationer og myndigheder og styrelser frivilligt kan tilslutte sig. Herudover kan kommuner samt private virksomheder med kritisk infrastruktur tilslutte sig. Eksempelvis har 16 ud af 19 ministerier, Region Hovedstaden, Hillerød Kommune og Odense Kommune meldt sig til, ligesom Dong, KMD og TDC også er en del af netsikkerhedstjenesten. Ifølge GovCERT er en fjerdedel af de sikkerhedshændelser alvorlige. Det omfatter bl.a. overbelastningsangreb, som eksempelvis DDoS-angreb, og APT-angreb - Advanced Persistent Threat. GovCERT er en del af Center for Cybersikkerhed. Centeret har tidligere vurderet, at APT-angreb er den største trussel mod dansk cybersikkerhed. De resterende angreb omfatter fund af tegn på virusinfektioner - eksempelvis med malware. Menneskelig fejl kan være årsag til cyberangreb mod kommuner Angreb som det, der har ramt Gribskov kommune, skyldes oftest menneskelig men Danmark kan være i sigtekornet netop nu, mener ekspert. Af Mads Allingstrup / 22. JAN KL Mens Gribskov, Nordfyns og måske endnu flere kommuner netop nu kæmper med a fri af et nedrigt angreb mod deres IT-systemer, er der sansynligvis en eller flere ansa kommunerne, der går rundt med røre øren Ransomware-angreb skyldes nemlig oftest menneskelige fejl, hvor folk kommer til he fil, de ikke skulle have hentet, eller klikker på et link eller en vedhæftet fil i en mail, de

9 Sikkerhedshændelse En sikkerhedsbrud er en hændelse, der medfører uautoriseret adgang til data, applikationer, services, netværk og/eller enheder af en angriber der omgår de underliggende sikkerhedsforanstaltninger Integrity Data Confidentialit Availability

10 Angreb - aktuel status Malware søger målrettet efter informationer Formålet er tyveri af følsom information Som ofte simpel økonomisk berigelseskriminalitet Målrettede angreb - tyveri af intellektuelle værdier Angrebsmål og -metoder Angreb, der omgår perimeterforsvaret Angreb mod brugere Social engineering angreb f.eks. phishing Angreb målrettet sociale netværk Truslerne er blevet webbaserede Indirekte angreb rettet mod klienter Indirekte angreb via betroede eksterne tredjeparter Sårbarheder og avancerede dag-0 angreb Hurtig udnyttelse af sårbarheder Udnyttelse af ukendte sårbarheder dag-0

11 Hvem angriber os? Spionage Konkurrenter Terrorisme Politiske Cyberkrig Kriminelle Angreb Interne IP, financial, production information, plans, strategies National/Industrial plans, secrets, strategies Personal ID info., banking information, fraud, ID theft Industrial sabotage, planning, strategic secrets Gain device control, repurpose, rent, sell processing, fraud, industrial espionage Software maintenance or upgrade, operational errors

12 Hvordan bliver vi angrebet?

13 Avancerede angreb kill chain Typisk forløb for et avanceret og målrettet angreb Dataudtræk Phishingangreb Trojansk hest Interne sårbarheder Informationsindsamling 0-dagsangreb Dataindsamling Angriberen indsamler information om målet En række brugere modtager målrettet phishingmail Bruger åbner vedlagt fil eller tilgår link Brugerens maskine inficeres med malware trojansk hest Angriberen udnytter sårbarheder til at få flere rettigheder Data samles sammen og gøres klar til at blive hentet Krypterede data sendes fx via ftp til et eksternt komprommitteret system

14 De kriminelle - specialisering og arbejdsdeling Organised and well funded Coordinated attacks distract big, strike precisely Profile organisations using public data/social media Operational sophistication Leverage tried and true techniques like SQLi, DDoS & XSS Target key POI s via spear phishing Watering hole target groups on trusted sites Black market for software security flaws reaches new highs Warwick Ashford Monday 15 July :28 The black market in previously undiscovered vulnerabilities in commercial software is now so established, the average flaw sells for up to $160,000. One supplier of such so-called zero-day vulnerabilities charges customers an annual $100,000 subscription fee, and then further charges per sale, according to the New York Times (NYT). Costs depend on the sophistication of the vulnerability and the pervasiveness of the operating system or commercial software concerned. In an attempt to counter this rapidly growing problem, many technology companies have started bug bounty reward programmes. Last month, Microsoft finally joined Google, Paypal, Facebook and the Mozilla Foundation in offering cash rewards to prevent bug finders turning to the black market.

15 Værdien af data på det sorte marked

16 Hvorfor sker datalækage? "Velmenende" brugere, der ikke bevidst har til hensigt at kompromittere data, men uforvarende gør det, fordi de undlader at følge sikkerhedspolitikken: Mistede enheder Eksponerede data - ingen foranstaltninger på plads Dårlige forretningsprocesser Målrettede angreb: Velkoordinerede angreb udført af personer eller automatiseret software mod en anden person, enhed eller organisation: System sårbarheder Malware Stjålne legitimationsoplysninger Ondsindede insidere der forsætligt overtræder sikkerhedspolitikken, opsagte medarbejdere m.m. Virksomhedens data lagret på hjemmecomputere til en fremtidig karriere Industrispionage

17 Tendenser Stadig flere data lækage uanset branche og antal ansatte Angreb er ikke længere primært rettet mod kreditkort informationer, men mod alle former for data der kan have en værdi Total Breaches Source: Symantec Datalækage sker bl.a. fordi vi har: Fortrolige og følsomme data med høj værdi Sårbarheder i vores basale sikkerhed - operativ system, applikationer eller konfigurationen Manglende awareness hos vores brugere Top Causes of Data Breach, Source: Symantec

18 KPMG undersøgelse af status i Danmark 2015 Alle er ramt Undersøgelse gennemført i Danmark 2015 af KPMG og FireEye, bl.a. med medvirken fra Dubex Omfattede 18 virksomheder og institutioner med i alt ca brugere Alle der deltog i undersøgelsen var inficeret med malware uden at vide det 80% var inficeret med ukendt malware, altså malware som ikke fanges af noget antivirus software Hos 83% af de undersøgte virksomheder og institutioner, blev der uautoriseret overført data ud fra virksomheden

19 Angreb opdages langsomt og tilfældigt Opdagelse af angreb - hastighed Opdagelse af angreb - hvordan 82% 66% af alle organisationer var flere måneder eller år om at opdage det initiale indbrud af alle hændelser blev opdaget af eksterne 12% af alle hændelser blev tilfældigt opdaget internt Percent of breaches that remain undiscovered for months or more Kun 6% af alle hændelser blev aktivt opdaget internt så det normale er, at der efter nogle måneder kommer nogle eksterne og fortæller, at vi er blevet hacket

20 Datasikkerhed Datasikkerhed er når vi beskytter vores data mod uønskede handlinger fra uautoriserede brugere Udfordringen ved datasikkerhed er at sikre, at de rigtige data, er tilgængelige for de rigtige brugere på det rigtige tidspunkt på de rigtige steder Managing risk Beskytte følsomme oplysninger for at forbedre og opretholde markedsposition og sikre overholdelse af regulativer samtidig med en kontrol af omkostningsniveauet CIO Enabling growth Forbedre og sikre forretningens agilitet ved at give hurtig og intuitiv adgang til de rigtige informationer, værktøjer og applikationer

21 Fokus fra myndigheder

22 Tak!