Mange sikkerhedsprocesser har samme relevans i dag som for 10 år siden, lad os nu se at få dem implementeret

Transkript

1 Mange sikkerhedsprocesser har samme relevans i dag som for 10 år siden, lad os nu se at få dem implementeret Sikkerhed og Revision 3. september 2015 DKCERT Henrik Larsen henrik.larsen@cert.dk

2 Agenda DKCERT Hvem er vi og hvad gør vi? Hvad er status? Tal og statistikker fra DKCERT Aktuelle trends Tiltag til at forbedre informationssikkerheden - som vi har talt om længe Udfordringer for informationssikkerheden - hvordan kommer vi videre? Fremtidige trends men stadig de gode gamle sikkerhedsråd 2

3 Hvem er DKCERT? - Historie DKCERT blev grundlagt i 1991 efter en af de første store hackersager i Danmark DKCERT var oprindeligt en del af UNI-C, som var en styrelse under undervisningsministeriet. Inspirationen kom fra det amerikanske CERT Coordination Center (CERT/CC). DKCERT er i dag en tjeneste fra DeiC (Danish e-infrastructure Cooperation) og er placeret på DTU i Lyngby. 3

4 Hvem er DKCERT? Vision og mission Vision DKCERT bygger på en vision om at skabe værdi for uddannelses- og forskningssektoren i form af øget informationssikkerhed. Det sker gennem offentliggørelse af viden om it-sikkerhed skabt gennem samarbejde med den offentlige og private sektor, forsknings- og undervisningsverdenen, samt internationale samarbejdspartnere Mission Det er DKCERTs mission at skabe øget fokus på informationssikkerhed i forsknings- og uddannelsessektoren ved at opbygge og skabe aktuel, relevant og brugbar viden. Denne viden gør DKCERT i stand til at offentliggøre og udsende advarsler og anden information om potentielle risici og begyndende sikkerhedsproblemer 4

5 Hvem er DKCERT? - Opgaver DKCERT følger sikkerheden på internettet og advarer om potentielle it-sikkerhedsproblemer. DKCERT tager imod henvendelser om sikkerhedshændelser på internettet fra forskningsnettet og andre danske og udenlandske kilder. DKCERT indgår i FIRST, et verdensomspændende netværk bestående af over 300 CERT/CSIRT teams, samt i den europæiske organisation Trusted Introducer. 5

6 Hvem er DKCERT? - Tjenester Informationstjenesten. Webnyheder, nyhedsbreve, advarsler, tweets, awareness, trendrapport mv. Sagsbehandlingen. Modtager og behandler rapporter om sikkerhedshændelser på eller relateret til forskningsnettet Sårbarhedsscanninger Otte parallelle Nessus-scannere Omfattende rapport til institutionen Også on-demand scanning 6

7 Tal og statistikker

8 Tendenser fra Trendrapport DKCERT håndterede i 2014 i alt sikkerhedshændelser, hvoraf langt de fleste havde tilknytning til forskningsnettet. Det er en stigning på 250 procent i forhold til Væksten skyldes flere faktorer: vi har modtaget flere henvendelser, flere af vores samarbejdspartnere indrapporterer nu hændelser automatisk, og vi har effektiviseret og automatiseret vores sagsbehandling yderligere. 8

9 Tendenser fra Trendrapport 2015 Halvdelen af hændelserne var portscanninger. Ny område, steg kraftigt i december: scanning efter åbne NTPservices, der kan bruges til reflection-angreb 12 procent af sikkerhedshændelserne var brud på ophavsretten, primært piratkopiering af film Andre 12 procent handlede om computere, der uden deres ejers vidende blev fjernstyret og misbrugt af it-kriminelle i botnet det er en firdobling i forhold til 2013! Spam og phishing udgjorde 3,7 % 9

10 Tendenser fra Trendrapport 2015 På verdensplan voksede mængden af registrerede sikkerhedshuller i 2014 med 53 procent til sårbarheder Alvorlige sårbarheder udgjorde en fjerdedel På grund af redesign og opgradering af DKCERTs scanningstjeneste har DKCERT ikke foretaget scanninger efter sårbare systemer i 2014 men er nu i fuld gang igen 10

11 Aktuelle trends

12 Afpresning Ransomware tager til. Hidtil pc er, nu også disksystemer (Synolocker). DDoS-angreb som afpresning betal, eller vi lukker dit websted! 12

13 Fra Borgernes informationssikkerhed 2014: Har du været ramt af ransomware? Yes No Don't know/unanswered 1% 8% 91% 13

14 Fra Borgernes informationssikkerhed 2014: Ramt af ransomware hvordan reagerede du? 2% 2% 22% 56% 18% Paid ransom and got access to data Got access to data by other means Did not get access to data Got access to data using security software Don't know/unanswered 14

15 Den endnu ukendte trussel Fire eksempler fra det seneste halvandet år: HeartBleed hidtil ukendt hul i OpenSSL giver adgang til potentielt fortrolige data. Shellshock hidtil ukendt hul i bash lader udefrakommende køre kommandoer på servere. POODLE man-in-the-middle-angreb mod den forældede SSL v. 3. FREAK (Factoring RSA Export Keys) ny sårbarhed i OpenSSL (genbrug af svage nøgler) giver risiko for man-in-the-middle-angreb i Safari og Android Hav en beredskabsplan, der siger, hvem der gør hvad hvor og hvornår, når den ukendte viser sig 15

16 Tiltag til at forbedre informationssikkerheden

17 Passwordsikkerhed Nu, som for 10 år siden: Brug forskellige passwords til forskellige tjenester Borgernes informationssikkerhed 2014: 41% af deltagerne svarede, at de bruger samme password til flere onlinetjenester Brug komplekse passwords Kravene til komplekse passwords har udviklet sig Del aldrig dine passwords med andre heller ikke med phishere.. 17

18 To-faktor-autentifikation Brugeren skal indtaste en engangskode sammen med sit brugernavn/password. Gør det sværere at misbruge et stjålet password Eksempler: Kodekortet til NemID, sms-koder til netbanker, autentifikations-app på Android til Google-tjenester Apple udvidede brugen af to-faktor-autentifikation til icloud efter offentliggørelsen af berømtheders private nøgenfotos. 18

19 Biometri To-faktor-autentifikation kan også være biometrisk: Fingeraftryk Irisscanning Stemmeprøve Ansigtsgenkendelse Der har været arbejdet meget med området i gennem årene kun få systemer har fået videre udbredelse 19

20 Adgangskontrollister Processer, regler, politikker er vigtige og nødvendige De kan ikke stå alene: Tekniske kontroller Adgangskontrol på filniveau 20

21 Begræns administratorrettigheder Hvis brugerkontoen har rettigheder som lokaladministrator, kan man alt på computeren: Installere programmer, installere drivere, ændre firewall-opsætning og hvad man ellers har lyst til KPMG-undersøgelse 21

22 Logning Log, hvem der tilgår hvad Log, hvem der ændrer hvad Gennemgå og kontroller loggerne Reager på afvigelser 22

23 Krypter s En er som et åbent postkort andre kan læse med Send aldrig følsomme eller fortrolige oplysninger i ukrypterede mails 23

24 Kryptering Snowden-afsløringerne viser: Hvis du ikke krypterer dine data, deler du dem med NSA/PET/GCHQ - eller andre Men kryptering kan også have huller (Heartbleed i OpenSSL, POODLE i SSL v.3) NSA er aktiv i udviklingen af kryptering mistanke om bagdøre Behov for uafhængige audits af udbredte krypteringssystemer 24

25 Hvad skal vi kryptere? Mailserver Filserver Hele disken på pc en Smartphone bliver standard i ios, Android. Det virker en af de dømte i hackersagen om angrebet på CSC havde brugt kryptering på sin bærbare. Politiet har ikke kunnet knække den. Politisk tendens til at forbyde kryptering for private? 25

26 Udfordringer for informationssikkerheden

27 It-funktionens behovspyramide 27

28 Det skal virke Det vigtigste er, at it-systemet virker. Uanset om du er It-chef Udvikler Driftsmedarbejder Vi bruger så megen tid på brandslukning, at vi ikke har tid til sikkerhed. Hvornår har du sidst Tjekket logfiler fra firewallen? Tjekket login-forsøg i Active Directory? Tjekket jeres web-applikationer for SQL-indsætning? 28

29 Ledelsen skal på banen Forudsætning i ISO27001 Vandskel mellem teknikere og forretning Kun ledelsen kan bygge bro Faste, dokumenterede processer der kontrolleres! Lyt til rådgivere og revision Lav risikovurderinger og invester i den nødvendige sikkerhed 29

30 Processer Ændringsstyring Test Backup Logning Sikker softwareudvikling 30

31 Nyhed fra DKCERT: Virksomhedskultur bestemmer sikker udvikling : Hvis kulturen i en virksomhed siger, at softwareudvikling skal tage aktiv stilling til sikkerheden, bruger udviklerne sikkerhedsværktøjer. De er mere tilbøjelige, hvis de ser deres kolleger gøre det. Det fremgår af en undersøgelse, som forskere inden for datalogi og psykologi har foretaget blandt over 250 softwareudviklere. Forskerne fra North Carolina State University og Microsoft Research undersøgte, hvad der får udviklere til at bruge sikkerhedsorienterede værktøjer i deres daglige arbejde. 31

32 Nyhed fra DKCERT: Virksomhedskultur bestemmer sikker udvikling De udviklere, der arbejdede på produkter, hvor sikkerhed er et vigtigt element, var ikke mere tilbøjelige til at bruge sikkerhedsværktøjer end andre udviklere. Derimod viser undersøgelsen, at udviklere påvirkes af deres omgivelser: Hvis de ser deres kolleger bruge sikkerhedsværktøjer, er de mere tilbøjelige til også selv at gøre det. Det næstvigtigste element hos dem, der bruger sikkerhedsværktøjer, er virksomhedskulturen: Deres chefer forventer, at de bruger dem. 32

33 Fremtidige trends

34 Tre trends med betydning for sikkerheden Cloud Automatisering Mobilitet 34

35 Cloud Ansatte, studerende og forskere benytter offentlige cloud-løsninger. Data flyder derude. Nemt at dele data via Dropbox, Facebook-grupper, Instagram men hvad med sikkerheden? Smartphones lagrer data i cloud men hvad med sikkerheden? 35

36 Automatisering Truslerne bliver flere. Truslerne bliver mere avancerede. Truslerne bliver automatiseret. Informationssikkerhedsfolk bliver ikke flere (budgetter). Informationssikkerhedsfolk kan blive mere avancerede (kurser). Informationssikkerheden skal automatiseres for at kunne følge med truslerne. 36

37 Mobilitet Brugerne er mobile (laptops, tablets, smartphones). Truslerne bliver mobile. Nye krav: Hvordan beskytter vi data på en enhed, der kan stjæles fra en jakkelomme? Perimeteren er død som sikkerhedsbegreb. 37

38 Brugerne savner viden om mobilsikkerhed 27% beskytter ikke deres smartphone med kode. To ud af tre er ikke bekymrede for, at deres telefon skal blive hacket. YouGov/Telia 38

39 Hvad gør vi nu? - brugeren At kunne sikre sig handler om viden, viden og viden: Viden om hvad der skal sikres. Informationssikkerhedspolitikken kan hjælpe. Viden om hvad der skal sikres mod. Awareness. Viden om hvordan man sikrer sig. Valg af teknologier til beskyttelse. Brugere vil først og fremmest gøre deres arbejde. De ønsker at være sikre, men ikke hvis det medfører besvær i hverdagen. Hvis et sikkerhedstiltag giver besvær, må det ikke være valgfrit at bruge det så bliver det valgt fra. 39

40 Hvad gør vi nu? institution/virksomhed Indgå aftaler om sikkerhed med jeres leverandører. Og følg op! Få ledelsens opbakning til investering i informationssikkerhed. Samarbejde og deling af aktuel viden og erfaring (med andre i branchen). Kontinuert fokus på opdatering af sårbare systemer. Uddannelse og varsling af brugerne. ISMS. Sikkerhedspolitik og beredskabsplan ISO

41 Hvad gør vi nu? på nationalt plan Var to initiativer: Digitaliseringsstyrelsen og Finansministeriet: Informationssikkerhedsstrategi Forsvaret og Center for Cybersikkerhed: Cyber-sikkerhedsstrategi Nu en samlet national strategi for cyber- og informationssikkerhed, der kom op til jul 41

42 Så hvad gør du ved det?

43 [ Tak for opmærksomheden!] [Spørgsmål?] Henrik Larsen DKCERT