Angreb og forsvar i en digital verden

Transkript

1 Angreb og forsvar i en digital verden Keld Norman, Senior Security Consultant & Jacob Herbst, CTO, Dubex A/S DGI Byen, den 3. november 2016

2 Digital business Trust & Resilience

3 Fysisk Digital Digital business Trust & Resilience Mennesker Teknologi

4 Mere af alting Flere brugere 3 mia. i mia. i 2019 $90 billioner i tabt gobalt BNP, worst case mod 2030 Flere tablets 248 mio. i mio. i 2019 Flere SmartPhone brugere 3,5 mia. i ,9 mia. i 2020 $3 billioner i samet tabt innovation pga, cyber-risks i 2020 Flere wareables 72 mio. i mio. i 2019 Flere IP forbundne enheder 16,3 mia. i ,4 mia. i 2019 ~$450 milliarder i årlig tab pga. cyber-crime IoT devices 15 mia. i mia. i 2020 Mere netværkstrafik 72,4 exabyte pr. mdr. i exabyte pr. mdr. i % stigning i cyber-crime i de sidste 5 år Global cloud marked $97 mia. i 2015 $159 mia. i 2020 Mere data 8,8 zetabyte i zetabyte i % af organizationer rapporterer cybercrime Exabyte = Zetabye = #dsrm16

5 Informations -sikkerhed ICSsikkerhed Cybersikkerhed It-sikkerhed Digital sikkerhed Digitial sikkerhed IoTsikkerhed Fysisk sikkerhed

6 ...If security breaks down, technology breaks down, business breaks down

7 Det sårbare Internet Denial of Business

8 V.S.

9 Distributed Denial of Service angreb Angriber - Command & control server #dsrm16

10 Miria botnet Mange IoT-enheder har offentligt eksponerede administrative porte kun beskyttet med standard password Enhederne mangler sikkerhedssoftware såsom firewall og anti-virus Private og mindre virksomheder, der mangler sikkerhedsforståelse til at beskytte enhederne Typisk IoT udstyr er forbundet til Internettet hele tiden Angribere behøver ikke at beskæftige sig med social engineering, spoofing eller dyre zero day angreb #dsrm16

11

12

13 Internettet er grundlæggende sårbart og det er vi nødt til at forholde os til, og sikre den krævne robusthed i vores løsninger

14 Politisk manipulation

15 Politisk manipulation From Russia with love Forsøg på at påvirke resultatet af det amerikanske præsidentvalg Hacker angreb på bl.a. The Democratic National Committe (DNC) Kompromittering af Hilary Clinton via lækkede s WikiLeaks // Julian Assange platform for afsløringerne Angreb på det amerikanske valgsystem Angreb på selve valgprocessen Angreb på og kompromittering af elektroniske valgmaskiner Angreb på vælgerregistreringssystemer We are doing an awful lot of work through our counter-intelligence investigators to understand just what mischief is Russia up to in connection with our elections, James Comey, FBI Director #dsrm16

16 From Russia with love konkurrerende Russiske hackergrupper Fancy Bear Baggrund: Også kendt som Sofacy, APT 28 Omfattende målrettede angreb på forsvarsministerier og militære mål Mistænkt GRU, Ruslands primære militære efterretningstjeneste Stjæler offer login information ved spoofing af web-baserede tjenester Bag angreb på den tyske Forbundsdag og Frankrigs TV5 Monde samt World Anti- Doping Agency - WADA DNC angrebet Kompromitterede DNC i april 2016 Anvendte seks dag-0 sårbarheder i DNC angrebet Cozy Bear Baggrund: Også kendt som CozyDuke, APT 29 Omfattende angreb bl.a. knyttet til angreb på uklassificerede netværk hos det Hvide Hus, State Department og amerikanske Joint Chiefs of Staff Mistænkt for at være tilknyttet den rusiske Federal Security Service (FSB) Bruger sofistikerede Remote Access Kit med omfattende anti-analyseteknikker Brede målrettede spearphish angreb DNC angrebet Kompromitterede DNC i sommeren 2015 #dsrm16

17 Opfølgning USA: Det er officielt - Rusland står bag hacking af vores valg Amerikanske myndigheder er overbeviste om Rusland står bag hacking-angreb mod det amerikanske præsidentvalg FREDAG D. 7. OKTOBER 2016 KL. 22:09 // Poul Høi Sound technicians work on their boom mike as stage construction continues for the 2nd US Presidential debate, on October 7, 2016, at Washington University in St. Louis, Missouri. US Presidential Republican nominees Donald Trump and Democrat nominee Hillary Clinton will debate for the second time October 9, / AFP PHOTO / PAUL J. RICHARDS De amerikanske efterretningsmyndigheder siger nu direkte, at det er russiske statshackere, som står bag forsøgene på at påvirke det amerikanske præsidentvalg. Konklusionen kommer i en fællesudtalelse fra sikkerhedsministeriet DHS og UCIS, som er paraplyorganisationen for samtlige amerikanske efterretningsorganisationer, bl.a. NSA, CIA og FBI. De fastslår også, at statshackerne gemmer sig bag forskellige aliaser, og at de lækker oplysningerne hos Julian Assange og Wikileaks, og at de er overbeviste om, at ordren kommer helt fra toppen i Kreml, formentlig fra præsident Putin.»UCIS er sikker på, at den russiske regering står bag de nylige kompromitteringer af s fra amerikanske enkeltpersoner og organisationer, heriblandt amerikanske politiske organisationer. De nylige afsløringer af hackede s på site ssom DCLeaks og Wikileaks og af online-synonymet Guccifer 2.0 er i tråd med de metoder og motiver, som Rusland bruger. Tyverierne og afsløringerne søger at påvirke det amerikanske valg.den slags er ikke nyt for Moskva - russerne har brugt tilsvarende taktikker og teknikker flere steder i Europa og Asien, bl.a. for at influere den offentlige mening der. Vi er overbeviste om - baseret på rækkevidden og følsomheden i disse initiativer - at kun de allerøverste politiske organer i Rusland kan have givet ordre om disse aktiviteter.«udgiftsbilag og dødslister: Nu er det Putin, der bliver hacket Ukendte hackere lækker følsomme s fra en af Vladimir Putins nærmeste rådgivere. Muligt amerikansk svar på russiske hackerangreb, siger efterretningsekspert. TORSDAG D. 27. OKTOBER 2016 KL. 09:01 // Simon Kruse I kølvandet på de mange hackerangreb mod USA har en af Vladimir Putins nære medarbejdere nu fået samme metode at føle. Tusinder af beskeder fra en konto i det russiske regeringsapparat er blevet stjålet og offentliggjort af ukrainske hackere. Kontoen tilhører ifølge hackerne Vladislav Surkov, en af Vladimir Putins nærmeste rådgivere. Vladislav Surkov har i to år haft indrejseforbud i EU på grund af sin rolle under Ruslands annektering af Krim-halvøen i Det vakte derfor stor opmærksomhed, da Vladimir Putin i sidste uge tog Surkov med til Berlin til et topmøde med blandt andre Angela Merkel om fredsprocessen i Ukraine. Her sad han og Putin side om side ved forhandlingsbordet på de officielle fotografier. Amerikansk modsvar Det er en hidtil ukendt ukrainsk hackergruppe ved navn CyberHunta, der tager æren for det seneste læk. Ifølge efterretningseksperter tyder meget dog på, at aktionen i virkeligheden er første runde af en amerikansk hævnaktion efter spektakulære hackerangreb på det Demokratiske Parti og på valgsystemer i to amerikanske stater. Så sent som i sidste uge varslede CIA-kilder over for den amerikanske tv-station NBC en "cyberaktion uden fortilfælde" i kølvandet på de tilsyneladende russiske hackerangreb. #dsrm16 Foto: VLADIMIR RODIONOV

18 Cyber-angreb påvirker og manipulerer med de grundlæggende demokratiske strukturer i vores samfund

19 Hvem og hvorfor bliver vi angrebet? Organiserede kriminelle Stater og regeringer (efterretningstjenester) Politiske aktører (aktivister & terrorister) Vandaler Interne #dsrm16

20 Hvem og hvorfor bliver vi angrebet? Organiserede kriminelle Økonomisk berigelseskriminalitet Stater og regeringer (efterretningstjenester) Industrispionage Politiske aktører (aktivister & terrorister) Politisk motiveret Vandaler Interne Vandalisme #dsrm16

21 Hvem og hvorfor bliver vi angrebet? Organiserede kriminelle Stater og regeringer (efterretningstjenester) Politiske aktører (aktivister & terrorister) Vandaler Interne Økonomisk berigelseskriminalitet Industrispionage Politisk motiveret Vandalisme Internetsvindel (CEO fraud) Tyveri af kreditkortinformation Identitetstyveri Denial of Business DDoS & Ransomware Målrettede angreb efter fortrolige informationer Informationlækage Sabotage #dsrm16

22 Angreb omgår perimeterforsvaret Angreb mod brugere og klienter Social engineering f.eks. phishing Angreb via sociale netværk Regeringers cybervåben overfører avanceret teknologi til kriminelle Kode genbruges af andre angribere Angribere behøver ikke selv at investere i avanceret teknologi Avancerede angreb er normale Hurtig udnyttelse af sårbarheder Udnyttelse af dag-0 sårbarheder Unik og målrettet dag-0 malware Webbaserede angreb Indirekte angreb via betroede eksterne tredjeparter Angreb sløret i krypteret sslkommunikation

23 CFO SCAM

24

25 Økonomidirektøren (også kaldet Chief Financial Officer, forkortet CFO)

26

27 Faktisk lykkes scams som det her ret tit, fordi modtageren ikke gennemskuer, at afsenderen er spoofet og mailen modtages på en mobiltelefon.

28 Mailen her viser ikke den rigtige afsender

29

30 .exe

31 SANDBOXING En mundskænk, kaldes også kredenser (af latin, credere, at indgyde tillid) er person, der er ansat til at skænke mad og drikke for en fyrste eller anden person, smage på den inden serveringen, for derved at sikre, at den ikke var forgiftet.

32 Inficerer PC en eller telefonen

33 Makro henter malware fra internettet

34 Makro henter malware fra internettet eller bruger powershell

35 HACKEREN FINDER ET LINK DER LIGNER..

36

37 Men.. SIEM (Security Information Event Management) og SAC (Security Analytics Center) teamet opdagede de udgående kald der downloader malwaren, kontaktede CFO en og fik stoppet phishing forsøget..

38

39

40

41

42 TOGET TAXI LUFTHAVNEN HIMALAYA BJERGET

43

44

45

46 Denne NANO kan erhverves for ca. 700,- DKK

47

48 MAILS KODEORD URLS DNS SPOOF SSL STRIP

49 Ændring af data mellem afsender og modtager

50 EN FALSK KOPI AF DEN RIGTIGE OFFICE 365 LOGIN SIDE

51 NU SENDER HACKEREN EN MAIL INDEFRA AFSENDER ER NU EN MEDARBEJDER. DET GØR PHISHINGEN MERE TROVÆRDIG.

52

53

54

55 VPN SIKRER AT MAN ER FORBUNDET VIA EN KRYPTERET FORBINDELSE TIL ET SIKKERT STED AT TILGÅ INTERNETTET FRA

56 - OVERFØRSEL KAN IKKE FORETAGES UDEN ET TELEFONOPKALD. - AFTAL ET KODEORD DER SKAL OPLYSES I TELEFONEN - BANKEN MÅ OVERFØRE BELØBET OVER EN ACCEPTERET TABSSTØRRELSE UDEN GODKENDELSE FRA TO UAFHÆNGIGE PERSONER I VIRKSOMHEDEN

57

58 INTERNET OF THINGS

59

60

61

62 1. En robot må ikke gøre et menneske fortræd, eller, ved ikke at gøre noget, lade et menneske komme til skade 2. En robot skal adlyde ordrer givet af mennesker, så længe disse ikke er i konflikt med første lov 3. En robot skal beskytte sin egen eksistens, så længe dette ikke er i konflikt med første eller anden lov

63

64

65 Det kinesiske firma Hangzhou Xiongmai Technology

66

67 DVR en er tilsluttet to netværk hospitalets LAN og et lukket net som også bruges af computeren, der styrer strålekanonen her..

68

69 Kali, Metasploit and Armitage #dsrm16

70 Mens personalet er ubeskyttet i rummet tænder maskinen og stråler - patienten ligger passificeret og dør af strålingen.

71

72 FYSISK ADGANG

73 Pas på nøglerne.. Sneakey: #dsrm16

74 Bankenøgle Hammer Takker filet helt ned #dsrm16

75 MouseJacking.com og Keysniffer.net En Crazyradio koster 25$ (gratis fragt), hvis man køber den på ebay Vil du se en demo så søg på YouTube efter:

76 Fysisk adgang: RubberDuck stjæler data eller installerer en RAT The Rubber Ducky Attack Reconnaissance: Computer Information User Information USB Information Shared Drive Information Program Information Installed Updates User Document List Basic Network Information Network Scan Port Scan Copy Wireless Profile Take Screen Captures Copy FireFox Profile Extract SAM File Exploitation: Find and Upload File (FTP) Disable Firewall Add User Open Firewall Port Start Wi-Fi Access Point Share C:\ Drive Enable RDP Create a Reverse Shell Local DNS Poisoning Delete a Windows Update Reporting: Save Report to Target Machine FTP Report to External Host Report to GMAIL Account #dsrm16

77 KOMPROMITEREDE PERSONDATA

78

79 Gratis sårbarhedsscanning RESULTATER DE RØDE PRIKKER VISER HVOR SAP INSTALLATIONEN ER FUNDET #dsrm16

80 #dsrm16

81 En søgning på Sharepoint og DK finder Region Hovedstadens Apotek

82

83 Angreb opdages stadig - langsomt og tilfældigt Opdagelse af angreb - hastighed Opdagelse af angreb - hvordan 146 dage tager det i gennemsnit at opdage en kompromittering 320 dage for en eksternt opdaget kompromittering 56 dage for en internt opdaget kompromittering 53% af alle hændelser blev opdaget af eksterne 47% af alle hændelser blev opdaget internt så det normale er, at der efter nogle måneder kommer nogle eksterne og fortæller, at vi er blevet hacket #dsrm16

84 Tilgang til sikkerhed Alvorlig hændelse! Luk hullerne NU! Ok, hvad er vores egentlige behov? Investering i compliance Nemt og billigt #dsrm16

85 Udfordringer Digital transformation Budget vs. reelt behov Medarbejdere, ressourcer og kompetencer Information er blevet strategisk Kundevendte initiativer Ledelsesopbakning Cloud Big Data Social Mobile Avanceret infrastruktur og øget kompleksitet Interne forhold Teknologi Eksterne forhold Alt er forbundet #dsrm16 Compliance ISO27001 GDPR og lovgivning Krav om hurtig udnyttelse af nye sikkerhedsteknologier Privacy krav Udfordrende trusselsbillede

86 Prioritering af sikkerhed INFORMATION er blevet virksomheders vigtigste asset Managing risk Beskytte følsomme oplysninger for at forbedre og opretholde markedsposition og sikre overholdelse af regulativer samtidig med en kontrol af omkostningsniveauet CIO Enabling growth Forbedre og sikre forretningens agilitet ved at give hurtig og intuitiv adgang til de rigtige informationer, værktøjer og applikationer #dsrm16

87 Predict & identify Prevent & protect Detect Respond & recover

88 Hvordan ændrer vi vores tankegang omkring sikkerhed? Fra prevent og protect til detect og response Fra compliance (tjekbokse) til risikobaseret sikkerhed Fra teknologi til forretningsudbytte Predict & identify Prevent & protect Detect Respond & recover Information Risiko Foranstaltninger Managing risk Enabling growth Fra forsvar til facilitering Mennesker Proces Fra snævert it-fokus til fokus på alle digitale aktiver Politik Teknologi Forretning Informationssikkerhed It-sikkerhed ICS Cybersikkerhed Digital sikkerhed Fysisk IoT Fra informationskontrol til informationsudveksling Fra fokus på teknologi til fokus på mennesker Fra absolut risiko til god og dårlig risiko Risikovurdering Beregnet risiko værdi Fortrolighed Intregitet Tilgængelighed Rang i dag Navn Sikring af hjemmearbejdspladser BYOD Sikker brug af Webmail Mobile enheder Firewall og VPN miljø , ,5 1 Antivirus Webservices for kunder Segmentering af , netværket 4 webtrafik Administration af brugeridentiteter SIEM og loghåndering Trådløse netværk Sikkerhed ifm. 15, #dsrm16

89 Dagens emner Formiddag Eftermiddag Managing Risk, Enabling Growth at Business Level Trusler og hackernes metoder EUpersondataforordning en & Privacy Secure Cloud & Mobility Sikkerhedsprocessen tænk stort, start småt Security Trends & Solutions #dsrm16

90 Brug resten af dagen til at komme videre Få inspiration fra indlæg og kundecases Besøg vores samarbejdspartnere på deres stand Netværk med dine kolleger fra andre virksomheder Kom i dialog med Dubex om dine sikkerhedsudfordringer #dsrm16

91 TAK!