Velkomst og praktiske informationer

Transkript

1 Velkomst og praktiske informationer

2 Dubex A/S Højt specialiserede it-sikkerhedseksperter Kvalitet Service Kompetence Managing risk Enabling growth First mover Konsulent- og sikkerhedsydelser lokalt og globalt Eftertragtet arbejdsplads Motiverede medarbejdere Største it-sikkerhedspartner i Danmark Selvfinansierende og privatejet siden 1997

3 Danske og internationale kunder har tillid til os Vi leverer og supporterer sikkerhedssystemer på mere end 500 lokationer i verden AFRIKA ANGOLA / MOZAMBIQUE / SYDAFRIKA / TANZANIA ASIEN-PACIFIC AUSTRALIEN / KINA / INDIEN / INDONESIEN / JAPAN / SINGAPORE / THAILAND / TURKMENISTAN EUROPA ØSTRIG/ CYPERN / TJEKKIET / DANMARK / FÆRØERNE / FINLAND / FRANKRIG / TYSKLAND / GRØNLAND / UNGARN / ITALIEN / KAZAKHSTAN / LETLAND / LITAUEN / LUXEMBOURG / HOLLAND / NORGE / POLEN / RUSLAND / SKOTLAND / SLOVAKIET / SVERIGE / SCHWEIZ / TYRKIET / ENGLAND LATIN AMERIKA ARGENTINA / BRASILIEN / CHILE MELLEMØSTEN BAHRAIN / DUBAI / OMAN / QATAR NORDAMERIKA CANADA / USA

4 Danmarks førende it-sikkerhedsspecialist Technology focus Process focus Business focus Managing risk, enabling growth Vi er altid på udkig efter muligheder for at styrke vores kunders forretning og understøtte vækst. Vi hjælper med at balancere dine forretningsmål og et acceptabelt risikoniveau for it-sikkerhed.

5 Dagens program Registrering Velkomst Risici ved cloud-baserede løsninger, Peter Sode, Senior Security Consultant, Dubex 9.30 Sikring af Office 365 på tværs af netværk og enheder, Henrik Larsson, Senior Security Consultant, Dubex Pause Check Point 365 graders sikkerhed i skyen, Kim Thostrup, Team Lead SE, Check Point & Peter Sode, Senior Security Consultant, Dubex Kundecase Fra cloud til fog, Preben Mejer, it-guru & fremtidsforsker Afrunding Frokost

6 Husk mobiltelefonerne Husk at sætte telefonen på lydløs

7 Evalueringsskemaet Husk venligst at udfylde evalueringsskemaet

8 Risici ved cloud-baserede løsninger Peter Janum Sode, Senior Security Consultant, Dubex A/S Aarhus, den 4. februar 2016

9 Moderne virksomheder bygger på informationer Virksomheder bygger i dag på data virksomheder fremstiller og anvender massive mængder data som en forudsætning for det daglige arbejde Digital Disruption Mobility Cloud Big Data Disse data bliver stadig mere strategiske for organisationen og giver hvis håndteret rigtigt - en strategisk konkurrencefordel i markedet Robotics Sociale medier 3D Printing Den kritiske natur af disse data gør dem værdifulde og dermed til at oplagt mål Software Defined Anything BYOx Webscale IT Data er blevet vanskeligt at kontrollere Data i cloud Data på mobile devices Data hos samarbejdsparter Internet time Internet of Things AI

10 Hvad er Cloud Computing? Clown Computing? Cloud == Internet Det er blot outsourcing Det er virtualisering Hype og marketing Ikke noget nyt Cloud? Computing Cloud Computing En helt ny service model *aas P = as a Service On-demand / Pay-as-you-go Fleksibelt og skalerbart Abstrakt ressource begreb Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model promotes availability and is composed of five essential characteristics, three service models, and four deployment models NIST - Definition of Cloud Computing

11 The NIST Cloud Definition Framework Deployment Models Private Cloud Hybrid Clouds Community Cloud Public Cloud Service Models Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS) Essential Characteristics On Demand Self-Service Broad Network Access Rapid Elasticity Resource Pooling Measured Service Common Characteristics Massive Scale Homogeneity Virtualization Low Cost Software Resilient Computing Geographic Distribution Service Orientation Advanced Security

12 Karakteristika On-demand self-service Broad network access Resource pooling Rapid elasticity Measured Service Brugeren kan i realtid selv tildele ressourcer Automatiseret - Ingen involvering af serviceudbyderen Service tilgås via Internettet Anvendelse af standard mekanismer Ressourcer (for)deles mellem flere brugere, abstraheret fra selve implementeringen Kunden har ikke kendskab til infrastrukturen Fleksibel, simpel og enkel realtidsservice ressourcer tildeles efter behov Pay-as-you go - Ressourceforbrug måles, overvåges, styres og afregnes løbende Forretningen er interesseret i processer og information - Ikke teknologi, applikationer og infrastruktur. IT er et værktøj og ikke et mål i sig selv Det er forretning der genereres der er er værdien, alt andet er blot understøttelse. Fra et forretningssynspunkt har IT i sig selv ingen værdi - værdien ligger i hvor effektivt IT kan understøtte forretningen.

13 Enabling teknologier Virtualisering Effektiv udnyttelse af ressourcer Hurtig provisonering Stordriftsfordele Lavere omkostninger Management Automatisering Åbne standarder Fælles protokoller Web 2.0 brugervenlige web applikationer Management Virtual Machines Hypervisor Servers Storage Internet & båndbredde Billige båndbredde Global mulighed for opkobling

14 Software as a Service (SaaS) Anvender udbyderens applikationer over netværket Eksempler Webmail,SalesForce, Google Docs Brugeren har ingen adgang til den underligere Cloud infrastruktur Virtual Machines Management Hypervisor Servers Storage Dine data Dit problem

15 Infrastructure as a Service (IaaS) Adgang til processor, storage og netværk Mulighed for selv at tildele og styre alle ressourcer brugeren kan afvikle vilkårlige operativ systemer og applikationer Eksempler Amazon Webservice og Rackspace Brugeren har ingen adgang til den underligere Cloud infrastruktur, men kontrol over egne ressourcer Management Virtual Machines Hypervisor Servers Dine Servere Dit problem Storage

16 Deployment Models Enterprise Community cloud Enterprise Private cloud Private cloud Hybrid cloud Private cloud Virtual Private cloud Public cloud Private cloud Cloud Infrastruktur for en organisation - administreret af organisationen selv. Community cloud Cloud Infrastruktur for flere kendte organisationer med samme mål og krav - administreret af organisationerne selv. Public cloud Cloud Infrastruktur tilgængelig for alle - administreret af cloud service leverandøren Hybrid cloud Cloud Infrastruktur der en blanding af clouds (private, community eller public) og bundet sammen så data og applikationer kan flyttes rundt Internt Eksternt

17 Hvad er Cloud sikkerhed? Sikkerhed med skyen Cloud Computing bruges til at opnå et højere sikkerhedsniveau Sikkerhed fra skyen Sikkerhed services leveres fra skyen Virtual Machines Management Hypervisor Servers Sikkerhed afviklet via skyen Storage Sikkerhed afvikles i skyen Sikkerhed i skyen Sikring af selve cloud infrastrukturen

18 Sikkerhed er en udfordring

19 Cyberspionage mod danske virksomheder Cyberspionage mod danske virksomheder Center for Cybersikkerhed ved FE løfter i ny rapport sløret for konkret cyberangreb mod to danske virksomheder. Truslen er reel det sker derude! kl. 08:52 Center for Cybersikkerhed udgav den 6. januar 2016 en trusselsvurdering på cyberområdet. Det fremgår heraf, at den største trussel mod danske interesser er cyberspionage mod virksomheder og myndigheder. I dag udgiver Undersøgelsesenheden en rapport med et konkret cyberangreb mod to anonymiserede danske virksomheder. Rapporten KingOfPhantom Bagdør til Hovedmålet gennemgår i detaljer et tilfælde af cyberspionage mod en dansk virksomhed og dennes kunde. Angrebet stod på gennem mere end et år og var desuden kendetegnet ved, at angriberne brød ind i én virksomhed for at opnå adgang til det egentlige mål, nemlig en af virksomhedens kunder. Den centrale del af malwaren lå skjult i et digitalt foto af tre kattekillinger, og angrebet må karakteriseres som avanceret uden at være særegent. CFCS karakterisede angrebet som et statsstøttet cyberangreb. Begge virksomheder var i stand til at håndtere angrebet professionelt, men har brugt betydelige ressourcer til at imødegå og rydde op efter angrebet. Angrebet mod de danske virksomheder blev opdaget og standset efter et tip fra en af Center for Cybersikkerheds partnere. På baggrund af CFCS s analyser af angrebet på virksomhederne kunne FE efterfølgende identificere en række udenlandske virksomheder, der ligeledes var kompromitteret af samme aktør. Som det fremgår af rapporten, er hackergrupperne, der bedriver cyberspionage, villige til at kaste betydelige ressourcer og tid i et angreb, når målet er vigtigt nok. Den konkrete sag understreger behovet for, at man i myndigheder og virksomheder tager udfordringen op på ledelsesniveau og forholder sig aktivt til den. For at støtte virksomhedernes og myndighedernes indsats giver rapporten med udgangspunkt i det konkrete angreb en række anbefalinger til, hvordan cyberspionage kan opdages og imødegås, siger chef for Center for Cybersikkerhed Thomas Lund-Sørensen. Om Undersøgelsesenheden Center for Cybersikkerheds Undersøgelsesenhed blev etableret som led i den nationale strategi for cyber- og informationssikkerhed og har som formål at udrede og analysere mere alvorlige cybersikkerhedshændelser. På baggrund af analyserne vil undersøgelsesenheden offentliggøre rapporter med beskrivelser af konkrete tilfælde af cyberangreb og anbefalinger baseret på de erfaringer, der er gjort. I Undersøgelsesenhedens offentlige rapporter vil de virksomheder, der omtales, være anonymiseret af hensyn til risikoen for, at virksomhederne vil kunne blive udsat for fornyede lovovertrædelser, hvis eventuelle nye angrebsaktører bliver opmærksomme på de pågældende virksomheder og eventuelle sårbarheder i virksomhedernes IT-sikkerhed. Læs hele rapporten 'KingOfPhantom - bagdør til hovedmålet'. For yderligere oplysninger og eventuelt interview kontakt Center for Cybersikkerheds pressevagt på telefon

20 Top trusler mod Cloud Computing # Overskrift Beskrivelse 1 Misbrug af Cloud Computing Ressourcer Den simple tilgang til Cloud Computing ressourcer giver Internet kriminelle mulighed for at misbrug til fx spam, distribution af malware m.m. 2 Usikker interfaces og API'er 3 Ondsindede medarbejdere Risiko for misbrug af interfaces til Provisioning, management og overvågning En ondsindet medarbejder hos leverandøren har adgang til alle ens systemer og data 4 Delt infrastruktur Risikoen for fejl og problemer ifm. isolationen mellem de forskellige brugere på en delt infrastruktur 5 Mistede data eller data lækage 6 Kompromittering af adgangen til service 7 Manglende overblik over risiko profil Risikoen for manglende backup, forkert håndtering af data, herunder krypterings nøgler, samt risikoen for kompromittering af data fortroligheden Risikoen for at en angriber får adgang til ens Cloud løsning Ingen eller ringe indsigt i sikkerhedsforanstaltninger

21 Eksempler på overvejelser Hvor i verden er mine data? Hvordan er mine data beskyttet overholdes mine krav til fortrolighed? Hvad er risikoen ved at jeg deler applikation, platform og infrastruktur med andre? Hvordan laver jeg auditering og penetrationstest af min Cloud baserede infrastruktur? Har min Cloud leverandører fokus på sikkerhed? Må jeg opbevare min virksomhedens data på fremmed udstyr?

22 Sikkerhed - Fordele og ulemper Fordele Sikkerhed er en integreret del af leverandørens infrastruktur Stordriftsfordele ressourcer til at sikkerhed bliver lavet rigtigt Standardisering sikkerheden kan blot gentages Hvis offentlig tilgængelige systemer flyttes til en ekstern cloud mindskes eksponeringen af følsomme interne data Man bliver (oftere) tvunget til et aktivt valg omkring sikkerhed Cloud servicen indeholder automatiserede sikkerheds funktioner Redundans og Disaster Recovery er (som regel) del af løsningen Ulemper Nødt til at tro på leverandørens sikkerhedsmodel Man har ikke mulighed for selv at reagerer på hændelser Det kan være besværligt at få hjælp til efterforskning Tillidsfuld sælgers sikkerhedsmodel Manglende mulighed for at reagerer på revisionsanmærkninger Indirekte administrator ansvar Proprietære løsninger kan ikke kontrolleres Tab af fysisk kontrol

23 Cloud Security Alliance (CSA) Non-profit organisation med det formål at fremme anvendelsen af best practices ved implementering af sikkerhed i Cloud Computing Opererer med 13 domæner ifm. sikring af Cloud Computing Cloud Computing Architectural Framework Governance Domains Governance and Enterprise Risk Management Legal and Electronic Discovery Compliance and Audit Information Lifecycle Management Portability and Interoperability Operational Domains Traditional Security, Business Continuity and Disaster Recovery Data Center Operations Incident Response, Notification and Remediation lication Security Encryption and Key Management Identity and Access Management Virtualization

24 CSA - Domain 13: Virtualization Virtualisering er den grundlæggende teknologi for en konsolideret infrastruktur i Cloud Computing Virtualisering af operativ systemer Forudsætning for sikkerhed i Cloud Computing Sammenblanding af sikkerhedsniveauer på samme hardware-platform Sikkerheden baseres på software-komponenter Virtualiseringsteknologien introducerer muligheden for nye angrebsmetoder Anbefalinger (udpluk) Anvend tredjeparts produkter til sikkerhed i dybden Overblik over sikkerhedsfunktioner og konfiguration Validering af templates før de anvendes Sikring af administrativ adgang

25 Cloud sikkerhed Sikkerhed i Cloud Løsninger (IaaS) Sikkerhed på AWS og Azure med Check Point, Trend Micro, F5 m.fl. Sikring af private cloud løsninger Design af sikkerhed i Cloud løsninger Compliance i Cloud løsninger Cloud Enabling Sikring af anvendelsen af Cloud løsninger (SaaS) Sikring af opkoblingen af Cloud løsninger via f.eks. F5 og Blue Coat Kryptering af data i Cloud løsninger Integration af Cloud løsninger fx IAM, Federation (F5), m.fl. Enterprise Private cloud Virtual Private cloud Sikkerhedsservices leveret via Cloud Cloud web sikkerhed fra fx Blue Coat, Zscaler Mobile sikkehed DDoS beskyttelse Threat Emulation fra fx Check Point Dubex Managed Security Services Dubex Security Operation Center: Tufin, Airwave, Check Point, Trend Micro m.m. Dubex Security Analytic Center: Sikkerhedsovervågning (SIEM) Community cloud Enterprise Private cloud Private cloud Hybrid cloud Public cloud Internt Eksternt

26 Håndtering af risici hos cloud leverandører Når man ikke har kontrol over dele af infrastrukturen ændres måden at håndtere risici på Man benytter blandt andet revisionsrapporter udarbejdet af 3. parts virksomheder Dette bør kombineres med scanninger og anden efterprøvning af sikkerheden De indgåede aftaler og den implementerede infrastruktur skal dokumenteres Konsekvens ved brud på fortrolighed, integritet eller tilgængeligheden Normalt vil konsekvensen være høj Sandsynlighed for at der sker brud Ved professionelle Cloud udbydere vil risikoen normalt være lav Foranstaltninger mod brud Revisionsrapporter kombineret med egne sikkerhedskontroller

27 Håndtering af risici hos cloud leverandører Når man selv har kontrol over dele af infrastrukturen skal man håndtere risikostyring som om infrastrukturen stod i eget datacenter Man er selv ansvarlig for at implementere og vedligeholde sikkerhed Cloud-leverandøren har ikke ansvar i forhold til de dele af infrastrukturen man som kunde selv har kontrol over Risiko vurdering Man har (måske) en oplagt mulighed til at starte forfra med design Resultatet er en Shared Responsibility mellem cloud leverandør og kunde Konsekvens Sandsynlighed inkl. Sikkerhedsmiljø

28 Inspiration fra ISO Kap. 15: Outsourcingpartner sikkerhed 15.1 Sikkerhed i outsourcingsaftaler To ensure protection of the organization's assets that is accessible by suppliers Krav til informationssikkerhedspolitikken ifm. outsourcing Information security requirements for mitigating the risks associated with supplier's access to the organization's assets should be agreed with the supplier and documented Sikkerhedskrav til aftalen med outsourcingpartneren All relevant information security requirements should be established and agreed with each supplier that may access, process, store, communicate, or provide IT infrastructure components for, the organization's information Sikkerheden i partnerens supply chain Agreements with suppliers should include requirements to address the information security risks associated with information and communications technology services and product supply chain Ref: Dansk Standard ISO 27002:2013

29 Inspiration fra ISO Kap. 15: Outsourcing partner sikkerhed 15.2 Sikkerheden i den daglige drift hos outsourcingpartner To maintain an agreed level of information security and service delivery in line with supplier agreements Overvågning og audit af outsourcede services Organizations should regularly monitor, review and audit supplier service delivery Ændringshåndtering ifm. outsourcede services Changes to the provision of services by suppliers, including maintaining and improving existing information security policies, procedures and controls, should be managed, taking account of the criticality of business information, systems and processes involved and re-assessment of risks Ref: Dansk Standard ISO 27002:2013

30 EU Persondataforordningen Hvor kommer den nye EU Persondataforordning ind i billedet? Der er generelt ingen forskel på om en virksomhed har data liggende lokalt eller i en cloud Data-protection-by-design, impact assesment, right-to-be-forgotten, portabilitetskrav, hjemmelskrav og samtykkekrav gælder også i cloud Den udnævnte Data Protection Officer (DPO) er ansvarlig for at påtale, hvis data ikke behandles i henhold til reglerne Dette stiller store krav til leverandøraftalen der indgås mellem virksomheden og cloudleverandøren Bødestørrelserne er op til hvad der er størst af 2% af global omsætning eller EUR 10 mio Ved visse overtrædelser (tredjelandsoverførsler, manglende efterlevelse af påbud fra DPO eller datatilsyn) fordobles disse grænser EU-Kommissionen annoncerede d. 2/ en ny aftale om overførsel af personoplysninger, Privacy Shield, mellem EU og USA (afløser for Safe Harbour aftalen).

31 Opsummering Der er åbenlyse fordele ved at anvende cloud løsninger både i forhold til forretningen og i forhold til sikkerhed Trusler og risici ved cloud baserede løsninger er aktuelle og reelle Cloud løsninger kræver mindst lige så meget fokus på sikkerhed som traditionelle løsninger og en høj grad af grundighed Virksomhederne skal til at dokumentere sikkerheden og ikke implementere den Anvend 3. parts produkter/løsninger til at sikre cloud infrastrukturen Man skal som virksomhed løbende foretage opfølgning/audit hos sin cloud leverandør eller købe denne funktion hos 3. part Virksomheder der vil blive underlagt EU Persondataforordningen vil også skulle dokumentere at data behandles i henhold til reglerne Man kan stadig ikke outsource ansvaret

32 Tak!