STIKPRØVEKONTROL AF TRUSSELSBILLEDET OG IT-SIKKERHEDEN I DANSKE OFFENTLIGE OG PRIVATE VIRKSOMHEDER

Transkript

1 STIKPRØVEKONTROL AF TRUSSELSBILLEDET OG IT-SIKKERHEDEN I DANSKE OFFENTLIGE OG PRIVATE VIRKSOMHEDER Udarbejdet af: Check Point Software Technology i samarbejde med Henry Corporation Dato: Oktober 2012

2 Indholdsfortegnelse Indholdsfortegnelse Resumé It-sikkerhedsudfordringer i offentlige og private virksomheder Aktuelt trusselsbillede og it-sikkerhedsniveau i danske virksomheder Konklusioner om aktuelt trusselsbillede og it-sikkerhedsniveau Hvordan identificerer og kontrollerer man sikkerhedstruslerne? Hvordan kan Check Point hjælpe med trusselshåndtering? IT-sikkerhedsanalysens forudsætninger og metode Tekniske beskrivelser af Check Points sikkerhedsløsninger Referencer Kontakt

3 Resumé Dette whitepaper tager temperaturen på det nuværende trusselsbillede og it- sikkerhedsniveau i de danske offentlige og private virksomheder på baggrund af en stikprøvekontrol blandt 16 større danske virksomheder. Stikprøvekontrollen viser, at 100 pct. af alle virksomheder har været udsat for kritiske eller alvorlige angrebsforsøg, og ligeledes har alle oplevet lækage. Dertil kommer, at der hos 87,5 pct. af virksomhederne har kunnet konstateres botnet-aktivitet, og hos alle virksomheder har der kunnet konstateres brug af problematiske eller skadelige apps. På baggrund af stikprøvekontrollen konkluderes det derfor i whitepaperet, at der er behov for, at danske offentlige og private virksomheder opnår et bedre overblik over deres trusselsbillede og får bedre styr på it-sikkerheden, hvad angår kritiske eller alvorlige angrebsforsøg, lækage, botnet-aktivitet samt problematiske eller skadelige apps. I whitepaperet gives der ligeledes anvisninger til, hvordan virksomhederne kan kortlægge deres trusselsbillede og gribe it-sikkerhedsudfordringerne an. It-sikkerhedsudfordringer i offentlige og private virksomheder Med den stigende digitalisering af processer og services i private og offentlige virksomheder, er afhængigheden af velfungerende it-systemer øget markant. En nedetid for itsystemet på dage eller timer i nogle tilfælde blot minutter vil ofte være afgørende for kundens, borgerens, medarbejderens eller samarbejdspartnerens oplevelse af virksomheden og dens ydelser med store potentielle økonomiske og prestigemæssige tab til følge for virksomheden. It-systemerne i sig selv er efterhånden blevet meget pålidelige og driftsstabile på trods af en særdeles høj grad af specialisering og integration. Desværre har den øgede kompleksitet dog også gjort det nemmere for cyberkriminelle at finde sårbarheder og huller i systemerne, der kan udnyttes til at ødelægge eller stjæle data og information. Det faktum, at stort set alle økonomiske transaktioner finder sted via en netforbindelse, har skabt en underskov af enkeltpersoner og grupper, der lever af via internettet at skaffe sig adgang til de økonomiske transaktioner, konti og andre person- eller virksomhedsfølsomme oplysninger bl.a. via svindel, aflytning og ulovlig indtrængning i digitale systemer osv. Desværre er kreativiteten og hastigheden, hvormed nye sikkerhedstrusler udvikles, enorm, og mange virksomheder har vanskeligt ved at skabe sig et overblik over trusselsniveauet og over de sikkerhedsmæssige foranstaltninger, der er tilgængelige på markedet. Ofte kræver det ikke nødvendigvis dyre, tekniske løsninger, men derimod en fornuftig kombination af virksomhedens it-sikkerhedspolitik, medarbejdernes forståelse af sikkerhedspolitikken og dens vigtighed samt den rette brug af tekniske sikkerhedsløsninger. 100 pct. af alle virksomheder har været udsat for kritiske eller alvorlige angrebsforsøg Der er behov for, at danske offentlige og private virksomheder opnår et bedre overblik over deres trusselsbillede 3

4 I forbindelse med virksomhedens fortløbende arbejde med it-sikkerhed er en af de mest basale krav at kende til det aktuelle trusselsniveau. Desværre konkluderer virksomhederne ofte fejlagtigt, at det, de ikke kan se, ikke kan betragtes som en trussel. Trusselsniveauet har mange ansigter, men en væsentlig faktor er den trafikstrøm, der 24 timer i døgnet flyder mellem internettet og virksomhedens interne netværk. Ofte kan systemer som databaser, mail- og webservere på virksomhedens netværk tilgås af kunder og forretningspartnere via internettet. I denne trafikstrøm findes altid ondsindede forsøg på misbrug af virksomhedens systemer. Mange virksomheder benytter sig i dag af effektive værktøjer som firewall og antivirus, der modvirker dette misbrug, men disse værktøjer alene er ikke altid fuldt tilstrækkelige. En endnu større trussel findes blandt de brugere i virksomheden, som fra deres pc-arbejdsplads har adgang til internettet. På trods af en måske velkendt sikkerhedspolitik og antivirus-klienter på medarbejdernes pc, aktiveres der desværre ofte uden medarbejdernes vidende store mængder af ondsindet kode, når de bevæger sig rundt i cyberspace. Denne kode er designet til at leve et meget stille liv, dvs. at den er særdeles vanskelig at opdage, men samtidig kan den sprede sig og opsamle relevante informationer fra brugeren såsom adgangskoder, dokumenter, kreditkortinformation osv. En stor procentdel af de danske offentlige og private virksomheder har på den konto uvidende fået installeret i tusindvis af varianter af bagdørsprogrammer, botnet-kode og virus på medarbejdernes pc-arbejdspladser. Aktuelt trusselsbillede og it-sikkerhedsniveau i danske virksomheder Cyberangreb Samtlige offentlige og private virksomheder i stikprøvekontrollen (16 ud af 16) har været udsat for kritiske eller alvorlige angrebsforsøg. Dertil kommer at det gennemsnitlige antal hændelser* pr. virksomhed, der har oplevet angrebsforsøg, er på 340 (min/maks: 7/2004). En stor procentdel af de danske offentlige og private virksomheder har på den konto uvidende fået installeret i tusindvis af varianter af bagdørsprogrammer, botnet-kode og virus på medarbejdernes pcarbejdspladser. Eksempler på detekterede hændelser: Microsoft Windows Media Player PNG Chunk Handling Stack Overflow (MS06-024) Microsoft Kerberos Implementation Spoofing Elevation of Privilege (MS11-013) BIND 9 DNS Server Dynamic Update Denial of Service JavaScript Document Write Synonym Obfuscation FreeBSD nfsd NFS Mount Request Denial of Service CVE Microsoft Internet Explorer Uninitialized Pointer Dereference (MS11-081) * Det nævnte antal hændelser er ikke korrelerede, dvs. at der kan gemme sig flere tilfælde af samme hændelse i tallene, f.eks. flere pc ere inficerede med samme malware. Dog er der typisk konstateret mellem 2 og 10 forskellige hændelser pr. organisation i kategorien critical og high. 4

5 Datalækage Samtlige offentlige og private virksomheder i stikprøvekontrollen (16 ud af 16) har været udsat for lækager. Det gennemsnitlige antal hændelser pr. virksomhed, der har oplevet lækage er 137 hændelser. Eksempler på lækager: PCI kreditkortnumre s sendt med internt synlige modtagere (til og cc) samt eksterne modtagere i bcc-feltet. Disse s af intern karakter sendes ud af virksomheden Kildekoder Løndokumenter Password-beskyttede filer Store virksomhedsfiler sendt til ekstern webmail CPR-numre Botnet-aktivitet Hos hele 87,5 pct. af offentlige og private virksomheder i stikprøvekontrollen (14 ud af 16) har der kunnet konstateres botnet-aktivitet. Det gennemsnitlige antal hændelser* pr. virksomhed er 368. Eksempler på bot-angreb: Operator.ScarredWhale.k Samtlige offentlige og private virksomheder i stikprøvekontrollen (16 ud af 16) har været udsat for lækager. Operator.EndangeredCartoon.h Backdoor.Win32.Rebhip.A Trojan-Banker.Win32.Zeus.B Trojan-downloader.Win32.Smoaler.A Operator.LonesomeFlange.u Malicious Binary.jvytd Operator.DifficultOtter.bj Operator.ForcedParsnip.u * Det nævnte antal hændelser er ikke korrellerede. Dvs. der kan gemme sig flere tilfælde af samme hændelse i tallene, eksempelvis at flere pc ere er inficerede med samme botnet. Dog er der typisk fundet op til 5 forskellige bots hos de virksomheder, hvor der er konstateret botnet-relateret aktivitet. Benyttede apps/web2.0 Hos samtlige offentlige og private virksomheder i stikprøvekontrollen (16 ud af 16) har der kunnet konstateres brug af problematiske eller skadelige apps (der er udelukkende filtreret på critical eller high). Følgende kategorier og apps er et udpluk af den identificerede trafik: 5

6 Kategori P2P File Sharing App Sopcast Vuze BitTorrent Emule Anonymizer HideMyAss File Storage Remote Admin Tor HotSpot Shield Hamachi Hopster Curl DropBox SugarSync TeamViewer RDP * Generelt er der en meget bred vifte af apps i brug hos de analyserede organisationer. Desuden fremgår det tydeligt, at hvis en virksomhed har blokeret for brugen af f.eks. Dropbox, så benyttes blot en tilsvarende fillagrings/-delings applikation, som virksomheden ikke har blokeret for. Båndbreddeforbrug Nedenfor ses et eksempel på båndbreddeforbrug i en af de 16 virksomheder (i MB over en given analyseperiode samt den procentvise fordeling): Hvis en virksomhed har blokeret for brugen af f.eks. Dropbox, så benyttes blot en tilsvarende fillagrings/-delings applikation, som virksomheden ikke har blokeret for. I dag kan det være særdeles vanskeligt at differentiere mellem forretningsmæssig og privatrelateret brug af internettet, fordi sociale medier i høj grad benyttes til forretningsmæssig promovering. Af stikprøvekontrollen er det dog tydeligt at spore et kraftigt båndbreddeforbrug relateret til sociale medier og streaming-tjenester også fra virksomheder, som må antages ikke aktivt benytter disse services i markedsførings- eller forretningssammenhæng. I den forbindelse kommer det nok som en overraskelse for mange it-chefer, at virksomhedens internetforbindelse i en række tilfælde er mere end 50 pct. belagt i dagtimerne med trafik, som ikke er forretningsrelateret. 6

7 Konklusioner om aktuelt trusselsbillede og it-sikkerhedsniveau Analysen viser, at samtlige virksomheder har været udsat for kritiske eller alvorlige angrebsforsøg, og ligeledes har alle oplevet lækage. Dertil kommer, at der hos 87,5 pct. af virksomhederne har kunnet konstateres botnet-aktivitet, og hos 100 pct. af virksomhederne har der kunnet konstateres brug af problematiske eller skadelige apps. Generelt er der stor variation i de detekterede former for trusler, hvilket formentlig afspejler forskellige produktløsninger, varieret tilgang til it-sikkerhedspolitikken og ikke mindst hvorledes denne fortolkes i forhold til de praktiske regelsæt i sikkerhedsudstyret. Desuden viser stikprøvekontrollen, at det er de færreste it-chefer, der har det fulde overblik over kommunikationsindholdet på deres systemer og netværk og endnu færre er i stand til at dokumentere og rapportere vedr. sikkerhedsniveauet. Dertil kommer, at de fleste virksomheder inden stikprøvekontrollen mener, at de har godt styr på datasikkerheden over for det faktum, at stikprøvekontrollen viser, at åben kommunikation indeholdende kritisk information som f.eks. CPR-numre, kreditkortnumre og andre personlige oplysninger lækkes. Det er desuden et gennemgående træk, at andelen af ukendte trusler og benyttede kritiske apps ligger et godt stykke over kendskabs- og acceptniveauet i de fleste af virksomhederne. Virksomhederne vil derfor ikke være i stand til at blokere for den uønskede trafik, den dag den virkelig alvorlige trussel viser sig, hvor antivirus på pc er og servere ikke alene kan stå imod. Analysen viser, at samtlige virksomheder har været udsat for kritiske eller alvorlige angrebsforsøg, og ligeledes har alle oplevet lækage. Hvordan identificerer og kontrollerer man sikkerhedstruslerne? Den første forudsætning for, at de offentlige og private virksomheder kan kontrollere sikkerhedstrusler er naturligvis, at de kender omfanget og alvoren af truslerne. Som gengivet i konklusionen på stikprøvekontrollen ovenfor, er der for mange virksomheders vedkommende tale om manglende dokumentation af netværkstrafikken. Det skyldes, at det eksisterende udstyr ikke er i stand til at identificere eller klassificere, om den aktuelle trafik er legal og forretningsrelateret, eller f.eks. forårsaget af ondsindede bagdørsprogrammer på brugernes pc ere. I nogle tilfælde vil det være nødvendigt, at virksomheden har meget stringente krav til identifikation af personrelaterede data, inden de lukkes ud af virksomheden, og i andre tilfælde er det mere relevant at kunne modvirke, at medarbejderne ofte ubevidst besøger uønskede websites med skadeligt indhold. Det er desuden et gennemgående træk, at andelen af ukendte trusler og benyttede kritiske apps ligger et godt stykke over kendskabs- og acceptniveauet i de fleste af virksomhederne. 7

8 Det 3D-analyseværktøj, som Check Point har udviklet til at kunne identificere de relevante cybertrusler, som en moderne virksomhed udsættes for i dag, er et nyttigt redskab til at få overblik over trusselbilledet og give et solidt beslutningsgrundlag for at trimme eller implementere yderligere sikkerhedsmæssige foranstaltninger. Skitsen herunder viser hvorledes værktøjet tilsluttes i et typisk netværksmiljø: Ved at anbringe Check Point-boksen på indersiden af virksomhedens netværk opnås, at der kun opsamles hændelser, som er relevante for trusselsniveauet. Boksen kan tilsluttes uden at skulle afbryde eller gøre indgreb i det eksisterende netværk. Efter nogle dage eller en uge, er der typisk opsamlet tilstrækkelig trafik til at kunne foretage en analyse og kategorisering af hændelser. Trusselsniveauet dokumenteres efterfølgende i en oversigtsrapport. 3D-analyse kan udføres af Check Point eller en af Check Points certificerede partnere. Ved at anbringe Check Point-boksen på indersiden af virksomhedens netværk opnås, at der kun opsamles hændelser, som er relevante for trusselsniveauet. Hvordan kan Check Point hjælpe med trusselshåndtering? Cyberangreb Check Points udgangspunkt for sikring af data, netværk og systemer har i mange år været den klassiske firewall baseret på stateful inspection, der har været det mest anerkendte princip inden for netværkssikring. Firewallen har dog udviklet sig dramatisk de senere år og tilbyder i dag helt i tråd med Gartners anbefalinger en lang række inspektions-teknologier, der markant øger kontrollen med den trafik, som flyder igennem firewallen. I adskillige år har IPS-teknologien (Intrusion Prevention System) været en fast bestanddel af firewallen hos de mere seriøse leverandører. IPS er en teknologi, der scanner datapakkerne for skadeligt indhold (typisk portscanninger, cyberangreb m.v.) og blokerer for uønsket trafik. 8

9 Benyttelse mod apps/web2.0 Som en følge af den enorme udvikling af webbaserede tjenester har der været behov for en metode til at identificere og kontrollere web-relateret indhold i internettrafikken. Denne teknologi kaldes oftest Application Control og betyder, at man via et fast defineret regelsæt kan bestemme, hvilke applikationer og i nogle tilfælde dele af applikationer brugerne skal have adgang til. Eksempelvis kan det tillades, at brugerne generelt har adgang til deres Facebook-væg, men at de ikke har mulighed for at streame potentielt skadeligt videoindhold. Tæt forbundet med Application Control er desuden URL-filtrering, der kan afskære brugerne fra at besøge websites med skadelig kode eller uønsket indhold. Botnet-beskyttelse Antivirus er efterhånden en basis sikkerhedsforanstaltning på enhver pc-arbejdsplads eller server. Alligevel kan det i visse tilfælde være hensigtsmæssigt at afvise virusinficeret data allerede ved indgangsdøren. Dvs. at der spærres af for s og andre typer datapakker, der indeholder virusinficeret materiale helt ude ved firewallen. På denne måde mindsker man risikoen og reducerer belastningen på de øvrige systemer internt i netværket. En afart af virus er botnets, der udover skadelig kode også vil forsøge at etablere kontakt til såkaldte command-and-control servere på internettet (servere, der kan bringes til at fjernstyre botnet-inficerede systemer). En effektiv antibotnet-løsning vil både udpege inficerede systemer, men også afskære disse fra at kunne kommunikere med de ondsindede botnet-servere. Beskyttelse mod datalækage Lækagebeskyttelse (DLP Data Leakage Protection) er en teknologi, der identificerer udvalgte datatyper og blokerer for at sende netop disse data ud af huset. Der kan være tale om information, som allerede er klassificeret, eller blot data som har et bestemt indhold, der gør at de skal betragtes som fortrolige. Check Point understøtter, som den ledende firewall-leverandør, alle ovenstående teknologier som en del af det koncept Gartner har betegnet som Next Generation Fire- Wall. IT-sikkerhedsanalysens forudsætninger og metode Eksempelvis kan det tillades, at brugerne generelt har adgang til deres Facebookvæg, men at de ikke har mulighed for at streame potentielt skadeligt videoindhold. For at identificere de trusler, der er rettet mod virksomhedens it-systemer, har Check Point udviklet et 3D-analyseværktøj. Værktøjet har været benyttet globalt til at afdække trusselsniveauet i mere end 1000 forskellige virksomheders it-netværk og identificeret en næsten uoverskuelig liste af trusler, som allerede havde indfundet sig på virksomhedernes netværk og it-systemer. 3D-sikkerhedsanalyse udføres uden indgriben i den eksisterende it-installation. På baggrund af den trafik, der flyder igennem de eksisterende sikkerhedsløsninger over nogle dage eller en uge, evalueres trussels- og sikkerhedsniveauet og resultaterne dokumenteres i en rapport. Dette whitepaper har samlet de overordnede resultater fra en stikprøvekontrol af sikkerheden i en række danske offentlige og private virksomheders netværk. 9

10 Grundlaget for stikprøvekontrollerne er et udvalg på 16 mellemstore danske organisationer med en ligelig fordeling mellem private og offentlige virksomheder. For hver virksomhed er der udført en 3D-analyse over 7 dage og efterfølgende udarbejdet en rapport. Nedenstående grundlag er konsolideret på baggrund af resultaterne fra disse 16 rapporter. 3D-analysen sigter på at identificere de alvorligste trusler inden for en række kategorier: Cyberattacks målrettede angreb direkte mod virksomhedens firewall eller bagvedliggende systemer. Oftest genereret af robotter, automatiske værktøjer eller i sjældnere tilfælde specialiserede hackere, der går målrettet efter den pågældende virksomhed. Datalækage fortrolig eller intern information, som med eller uden medarbejdernes og virksomhedens vidende flyder ud med mail-beskeder, website uploads, fildeling til sociale medier osv. Det typisk indhold er kreditkortinformation, regnskaber/årsrapporter, helbredsinformation, personalelister, CPR-numre osv. Botnet-aktivitet botnet er skadelig kode, der har inficeret én eller flere pc-systemer. Botnets benyttes bl.a. til udsendelse af spam, målrettede ude-af-drift angreb på websites samt informationsindsamling fra værtscomputeren. Benyttede apps/web2.0 en meget stor del af internettet benytter aktive client-server principper, der involverer eksekvering af kode i brugerens browser. Dette gør det forholdsvis nemt at injicere skadelig kode hos en bruger, hvis denne tilfældigt surfer forbi en webside med ondsindet indhold. De fleste virksomheder har en forholdsvis åben politik omkring kontrol med Web2.0-trafik. Båndbreddeforbrug eftersom båndbreddetilgængelighed også er en vigtig faktor for virksomhedens effektivitet, er det relevant at identificere, hvad virksomhedens internetforbindelse bliver brugt til i dagtimerne, som evt. ikke er forretningsrelateret. Den overordnede konklusion er, at det snarere er undtagelsen end reglen, at virksomheden har overblik over trusselsniveauet og kontrol med it-sikkerheden. Tekniske beskrivelser af Check Points sikkerhedsløsninger Check Point udvikler og leverer sikkerhedsløsninger til alle behov på det professionelle marked. Fra det mindste afdelingskontor til de største datacentre. Løsningerne kan leveres som færdige appliances, eller som softwarelicenser til åbne servere eller virtuelle miljøer. Der er mulighed for fuld skalérbarhed og modularitet, så det på enkel vis altid er muligt at tilføje mere performance til en virksomheds eksisterende løsning eller udvide sikkerhedsfunktionaliteten uden re-installation og udskiftning af allerede implementerede løsninger. 10

11 I det følgende beskrives kort en række af Check Points sikkerhedsløsninger: Netværksfirewall og security gateway En firewall med båndbreddekrav på 1 eller 100Gbps? der findes en appliance til alle behov. De færdiginstallerede appliances er hurtige at idriftsætte og kan leveres med basisfunktionalitet eller med hele sikkerhedspakken. Security Management Check Point er kendt for at have det bedste security management på markedet, der ikke blot omfatter netværks- og klientsikkerhedsmanagement i samme platform, men også tilbyder multidomæne funktionalitet, så forskellige administratorer kan arbejde på hver deres del af netværket. I tillæg hertil fås SmartEvent, der giver mulighed for konsekvent og veldokumenteret revisions- og compliance-rapportering. Klientsikkerhed Check Point leverer 360 -sikkerhed til pc-platformen, der bl.a. indeholder følgende sikkerhedsfunktioner: Kryptering af harddisk Programkontrol ifølge black- eller whitelist VPN Portkontrol (USB, WiFi, Firewire osv.) Kryptering af data, der skrives til eksterne medier Antivirus Desktop firewall Compliance-check af pc-platformen 11

12 Referencer Opslagsværk vedrørende internet-trusler: Applikationsdatabasen: AppWiki: Kontakt Check Point Software Technologies Ragnagade København Ø Tlf: rmatell@checkpoint.com 12