Vejen til en succesfuld APT-sikkerhed. Jacob Herbst Søborg, 23. maj 2013

Transkript

1 Vejen til en succesfuld APT-sikkerhed Jacob Herbst Søborg, 23. maj 2013

2 Erfaringer fra APT angreb Kilde: Cyber Espionage: Defending Your Enterprise Tim McKnight, Vice President & CISO, NORTHROP GRUMMAN

3 Ændret trusselsbillede Konventionelle angreb Advanced Persistent Threat Hvilke? Tilfældig hacker eller kriminel Målrettet og beslutsom angriber Hvad? Personlige data og kreditkortnumre Intellektuelle værdier Hvem? Organisationer med personfølsomme data Nøje udvalgte virksomheder og organisationer Hvorfor? Økonomisk gevinst Spionage eller konkurrencemæssige fordel Hvordan? Angreb via perimeteren Social Engineering og endpoints Metoder Simpel standard malware Specifik malware til den enkelte organisation Kundskab Tekniske Tekniske og organisatoriske Reaktion på forsvar Finder et andet mål Justerer angrebet og prøver igen

4 Hvorfor lykkes APT angreb? Angrebene anvender overbevisende social engineering metoder Udnytter eksempelvis information fra sociale netværk Mangelfuld Endpoint sikkerhed - værktøjer er ikke brugt effektivt Brugerne har for mange rettigheder APT angreb udnytter hullerne mellem sikkerhedsmekanismerne Manglende integration og intelligens på tværs af værktøjer APT trafik kan ligne normal netværkstrafik i forhold til overvågningsværktøjer

5 Tilgang til APT beskyttelse Forstå det nye trusselsbillede Erkende at beskyttelse kræver en ændring i den måde, vi arbejder på Hvordan opdager og efterforsker man hændelser? Hvordan laver man en politik og følger op på den? Hvordan håndterer vi brugerne? Hvordan kommunikerer vi med den øverste ledelse? Conventional vs. Advanced Approaches to Information Security Kilde: Security for Business Innovation Council Report

6 Risikobaseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger Risikostyring er en løbende proces

7 It-sikkerhed der enabler forretningen Forøg værdien af forretningen Forbindelse med kunder Integration med samarbejdspartnere Myndiggør medarbejderne Understøtter dataintegritet og tilgængelighed Sikre dataintegritet Forbedre beslutningskvalitet Undgå civile / strafferetlige sanktioner Forbedring af brand / omdømme Optimer og beskyt værdien af informationsaktiver Administrer omkostninger ROI (Return On Investment) Forbundet Produktive Pålidelig Omkostningsbevidst Besparelser Omkostniger

8 Forretningsmæssig værdi Værdi: Risikostyring Værdi: Forretningsunderstøttelse Produktivitetstab - Indirekte konsekvenser (mistet salg, mistet konkurrenceevne, mistet troværdighed) Juridiske konsekvenser (manglende overholdelse af kontrakter, lovgivning m.m.) Udvidelse af forretningen Flere salgskanaler, kundeservice, fastholdelse af kunder Nye kundesegmenter og forøget omsætning, billigere leverance og konkurrencemæssige fordele Understøttelse af brand Hurtigere reaktionsevne SLA overholdelse til kunder og leverandører Interne compliancekrav Persondataloven Regulatorisk compliance PCI DSS EU Data Protection Act Konkurrencemæssige compliance Standarder - COBIT, ISO27002 Besparelser forbedring af forretningsprocesser Undgåede udgifter skalerbarhed Brug af eksisterende ressourcer Effektivitet behov for færre ressourcer, nye og forbedrede forretningsprocesser Værdi: Opretholde Compliance Værdi: Optimering af omkostninger

9 Valg af strategi Prioritering af indsatsen Vigtigt at de basale kontroller er på plads Se realiteterne i øjnene Ingen mirakelkur Starter og slutter ikke med en it-investering Forudsætter en løbende proces Fokuser din sikkerhedsorganisation på mennesker, processer og teknologi Strategies for Dealing With Advanced Targeted Threats Published: 5 August 2011 Figure 1. Realistic Approach to Neutralizing Advanced Targeted Threat Impact

10 Best practice Ikke nogen simpel løsning til beskyttelse mod APT angreb What Best Practices Must Be Adopted to Reduce the Threat of ATAs? Keep Up to Date With the Threat Landscape Thwart Social Engineering Techniques Through Eucation Best Practices That Apply to All Layers Upgrade Your Perimeter and Network- Based Security IPsec & SSL VPN Remote Access Connections Firewalls Intrusion Prevention Devices Advanced Threat Detection/Prevention Focus Your Strategy Toward Malicious Content Uplift Your Endpoint Security Controls and Detection Stance Improve Your Automated Monitoring, Correlation and Analysis Improve Your Incident Response Capabilities Best Practices for Mitigating Advanced Persistent Threats Published: 18 January 2012 Best-Practice Strategies Use a defense-in-depth approach; no one single technology will stop advanced targeted attacks. Ongoing integration and sharing of security intelligence among your security controls should be a stated security program goal. Context-aware security controls (see "The Future of Information Security is Context-Aware and Adaptive") should be a key requirement when evaluating the next generation of security protection platforms (network, endpoint, edge and so on) Review all security technologies and existing controls and, if necessary, update or uplift them, and utilize advanced features in the latest products or services to keep up with changes in the threat landscape. Acknowledge that technology alone won't stop ATAs. Review the best practices below, but do so with the mind-set of unifying the security processes between each technology so that effective management of threats is possible and reduction of breach events is the more likely result. Staff appropriately to ensure you can operate all the latest technologies and, if necessary, engage third parties to manage or operate more commodity security controls

11 Løsninger - Security in depth Kontrol og overblik Flere forskellige redundante og uafhængige sikkerhedsmekanismer Sikkert design proaktiv/generisk sikkerhed Anvend forebyggende teknologier Indbyg sikkerhed i systemerne Aktiv beskyttelse reaktiv sikkerhed Supplerer den indbyggede sikkerhed Overvåger intern trafik for afvigende mønstre Overvågning Overvågning af handlinger på systemer og netværk Konsolidering, sammenstilling og intelligent analyse af logfiler There is no silver bullet to mitigate APTs. A defense-indepth strategy must be used across network, edge, endpoint and data security Gartner, Best Practices for Mitigating Advanced Persistent Threats Politikker og procedurer Management Overvågning & korrelation Perimeter Netværk Host Applikation Data Brugere

12 Beskyttelse mod sårbarheder - eksempel Advanced Threat Protection Metoder til at detektere dag-0 angreb Emulering af ukendte filers opførsel i et sandbox-miljø Blokerer for indgåede dag-0 angreb via web og mail Blokering af callback funktioner Karantæne af mistænkelige filer og Detaljeret rapportering om mistænkelige hændelser IPS - Intrusion Prevention System Signaturbaseret overvågning af trafik til netværk og klienter Mulighed for at blokere for trafik i realtid Beskyttelse af systemer med manglende opdateringer virtuel patching - inddæmning af et udbrud/angreb, mens det sker IDS/IPS leverandører frigiver mønstre der kan detekterer og blokerer for sårbarheder samtidig med patchen TID Dag-0 sårbarhed Ukendt Opdagelse Offentliggørelse Patch tilgængelig IPS Signatur frigives Patch Management Patchen fjerner den grundlæggende root cause sårbarhed Sikring af patches installeres på alle systemer Sikrer opdatering af operativsystem, applikationer og alle plug-ins Understøttelse for alle anvendte applikationer Rapportering af compliance og patchniveau Patch installeret

13 Advanced Threat Protection Generisk beskyttelse mod ukendte sårbarheder og malware Målrettede angreb anvender unik malware Miljø til virtuel afvikling af mistænkelige filer Forskellige operativ systemer, programmer og versioner Opsamling af information om kommunikation så efterfølgende angreb kan genkendes Kontrol af alle kommunikationskanaler Web Mail Filer Blokering af mistænkelig kommunikation Rapportering Information om mistænkelig filer Information om inficerede maskiner

14 360 it-sikkerhed Dubex tilbyder: Analyse af behov Sikkerheds- og risikoanalyser Rådgivning og analyse af sikkerhedsløsninger Specifikation og design af sikkerhedsløsning og system Sikkerhedsløsninger Support, projekt- & konsulentydelser Overvågning Drift & vedligeholdelse Security as a Service

15 Konsulentbistand & projektledelse DUBEX PROJEKTFORLØB

16 Dubex & APT beskyttelse Hvilke ressourcer investerer Dubex i APT-beskyttelse? Løbende opfølgning på det aktuelle trusselsbillede Løbende research af sikkerhedsmarkedet Studier af Gartner rapporter, Forrester m.fl. Interne test og benchmarking af markedsførende løsninger Feedback fra vores kunder Brede kompetencer der dækker alle aspekter i forhold til APT beskyttelse Netværk, gateway, malware, sandbox, endpoint, patch, SIEM m.m. Træning af teknisk personale - deltagelse i produktkurser og særlig træning kombineret med 15 års erfaring med it-sikkerhed

17 Trend Micro Trend Micro Platinum Partner Dubex har arbejdet med Trend Micro siden 1999 Den største eller næststørste danske forhandler Cloud and Datacenter specialization Trend Micro xsp Service Provider Partner Trend Micro Endpoint and Mobility Security Specialist Den forhandler med størst kompetencer/flest certificeringer i Europa Trend Micro Certified Security Master (flere forskellige) Dubex er Danmarks største Trend Micro kompetencecenter Vores Trend Micro uddannede konsulenter besidder tilsammen over 30 tekniske Trend Micro certificeringer

18 Samarbejde Sådan kan et stærkt samarbejde begynde 1. Vi afstemmer behov, ønsker og udviklingsmuligheder på et indledende møde 2. Dubex løsningsspecialister tager udgangspunkt i specifikke behov 3. Gennemførelse af PoC der giver overblik og synlighed 4. Workshop med lederteamet i din virksomhed

19 TAK! For mere information kontakt