KMD s tilgang til cybertrussler. Public

Transkript

1 KMD s tilgang til cybertrussler Public

2 SIMON THYREGOD Afdelingsleder, Information Security KMD, 2014 Civilingeniør, CISSP, CISM Information Security Manager Takeda, Group Risk Consultant DONG Energy, IT-Security Specialist A.P. Moller - Maersk Group, Derudover erfaring fra forsvaret og Novozymes.

3 Ca ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer KMD s systemer milliardbeløb, der svarer til mere end 25% af Danmarks bruttonationalprodukt 1 million danskere i den private og offentlige sektor modtager hver måned deres løn via KMD s lønsystemer Kilde: kmd.dk

4 UDPLUK FRA KMD S SIKKERHEDSSTRATEGI KMD A/S Sikkerhed er vores DNA Sikkerhed er en kombination af teknologi, processer og personer Vi tager vores egen medicin vi går til markedet med de produkter vi selv benytter Vi vælger stratetiske partnere blandt de bedste (e.g. Symantec, RSA, LogPoint, Cisco) Vi baserer vores leverancer på kendte standarder, men også egen ekspertise (bl.a. ISO27001, ISO9001, ISO20000) Sikkerhed skal gøre forretningen agil ikke være en hindring

5 ÅRSAG TIL SIKKERHEDSHÆNDELSER? Lack of overview Weak change mng. Firewall Configuration Lack of logging Shadow IT Poor access control Vulnerabilities Basis Malware ISO 27001

6 HVEM ER I RISIKOGRUPPEN FOR FORSKELLIGE TYPER AF ANGREB? KMD A/S Kilde: Verizon 2014 IT Offentlig Energi Transport Retail Finans

7 SKIFT I ANGREBSTEKNIKKER Ikke længere chikane, men motiverede angreb (ønsker ikke at blive opdaget) Starter med det svageste led Herefter eskaleres rettigheder (Jumping from host to host) Svært at opdage!

8 GAMMELDAGS TILGANG

9 I DAG: PREVENT DETECT RESPOND

10 TEKNOLOGI - UNDERSTØTTET AF PROCESSER OG MENNESKELIG KOMPETENCE

11 ET LAG ER IKKE NOK EKSEMPLER PÅ BESKYTTELSESLAG Perimeter Network Systems/ Applications Endpoint DDoS Network IDS/IPS Virtual Patching Anti-malware Firewalls gateways Web gateway Network Security Analysis SIEM Vulnerability Identity & Access Vulnerability Advanced Intrution Detection IDS/IPS Advanced Intrusion Detection Mobile Device

12 EKSEMPEL FRA KMD ADVARSEL FRA CFCS FEB Øget risiko for DDoS Øget risiko for defacements Udnyttelse af sårbare 3.parts applikationer og plugins Kendte kompromitterede domæner

13 CFCS - HÅNDTERING I PRAKSIS Perimeter Network Systems/ Applications Endpoint DDoS Network IDS/IPS Virtual Patching Anti-malware Firewalls gateways Web gateway Network Security Analysis SIEM Vulnerability Identity & Access Vulnerability Advanced Intrution Detection IDS/IPS Advanced Intrusion Detection Mobile Device

14 CFCS HANDLINGSPLAN Trusselsniveau løftet til GUL (øget bemanding/overvågning) Øget overvågning af DDoS system Spærring af kompromitterede domæner i web gateway Øget overvågning af Network Security Analytics og SIEM Ekstra sårbarhedsskanning af alle eksterne domæner Tvangs-patching eller virtual patching af servere Tvangs-patching af klienter Dagligt statusmøde

15 EKSEMPEL FRA KMD PHISHING Phishing sendt til KMD medarbejder og rapporteret til Group Security. Link til ondsindet kode (malware) fx informationstyv. Ikke fanget af anti-malware løsninger

16 PHISHING - HÅNDTERING I PRAKSIS Perimeter Network Systems/ Applications Endpoint DDoS Network IDS/IPS Virtual Patching Anti-malware Firewalls gateways Web gateway Network Security Analysis SIEM Vulnerability Identity & Access Vulnerability Advanced Intrution Detection IDS/IPS Advanced Intrusion Detection Mobile Device

17 PHISHING YDERLIGERE UNDERSØGELSER Hvem/hvor mange har modtaget en? Hvem har klikket på linket? ER VI SÅRBARE?

18 PHISHING HANDLINGSPLAN Trusselsniveau bibeholdes på GRØN Afsender spærres (gerne på IP/server-niveau) Link spærres Malware sample analyseres (fx Cuckoo Sandbox) Sample sendes til anti-virus og signaturer opdateres RSA Network Security Analytics opdateres Data Packets gennemsøges Advanced Intrusion Detection på klienter og servere gennemgås for aktive processer med samme fingerprint Potentielt inficerede klient renses eller geninstalleres

19 EKSEMPEL CRYPTOLOCKER Cryptolocker prøver at kryptere lokale filer og fildrev Nøgle skal købes mod løsepenge (?) Eksempelvis havde vi en kunde hvor KMD har ansvaret for filserverne, men ikke klienterne eller deres gateways.

20 CRYPTOLOCKER - HÅNDTERING I PRAKSIS Perimeter Network Systems/ Applications Endpoint DDoS Network IDS/IPS Virtual Patching Anti-malware Firewalls gateways Web gateway Network Security Analysis SIEM Vulnerability Identity & Access Vulnerability Advanced Intrution Detection IDS/IPS Advanced Intrusion Detection Mobile Device

21 CRYPTOLOCKER HANDLINGSPLAN Trusselsniveau bibeholdes på GRØN Stop ulykken! Filer genskabes vha. backup hvor muligt KMD ikke har klient eller mail gateway ansvar > det er svært at forebygge! SIEM > Antal filændringer Advanced Intrusion Detecion -> Filnavne el. informationsfil Network Security Analytics -> Beacon Pattern

22 ANBEFALINGER Get the basics right! Husk de opdagende kontroller Informationssikkerhed er alles ansvar, men bør være et uafhængigt organ Informationssikkerhed kræver ledelsesengagement

23