Fra IT-sikkerhedsovervågning til security intelligence

Transkript

1 Fra IT-sikkerhedsovervågning til security intelligence Lær hackerne at kende, før de angriber

2 Agenda Udfordringer i nutidens traditionelle Cyber Risk tilgang Kort om det generelle trusselbillede i Danmark 2017 Demo: Hackerangreb mod Deloittes SOC Deloittes Cyber Intelligence Framework Fra it-sikkerheds overvågning til Cyber risk monitoring Demo: Watson Security Lone Flohr Director, Security Managed Services Niels Bødkerholm Sr. Manager, Security Managed Services Christian Sørensen Konsulent, Cyber Operations Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 2

4 Global Defense Outlook 2016 by Deloitte Ten economies the Cyber Ten appear to be most heavily dependent on internet-based interactions. As a group, the Cyber Ten are six times more vulnerable to cyberattack than the ten least vulnerable Top 50 countries. Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 4

5 Ny teknologi, nye trusler Den digitale revolution fremdriver forretningsmæssig innovation og vækst men eksponerer os samtidig for nye trusler. Mere kompleksitet og mindre kontrol Den eksisterende teknologiske innovation medfører enestående muligheder: Reducerer omkostninger Øger integration Højner effektivitet Opbygger nye omsætningsmuligheder Overvinder geografiske begrænsninger Men muligheder medfører risici: Det er i dag normalen altid at være koblet på. Et så højt niveau af forbundethed giver virksomhederne en unik mulighed, men det eksponerer dem samtidig også for betydelige risici. Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 5

6 Gaps i nutidens traditionelle Cyber Risk tilgang Mange virksomheder har i dag en grundlæggende reaktiv sikkerhedstilgang, bestående af traditionelle signatur detektions-kontroller. Disse mekanismer er alle nødvendige, men hver for sig giver de ikke tilstrækkelig beskyttelse mod nutidens trusselniveau. Nedenfor ses en beskrivelse af nogle af manglerne ved en traditionel reaktiv tilgang til risikostyring af organisationens it-sikkerhedsdrift. Manglende overblik og visibilitet Kompleksitet Teknologi giver falsk tryghed Manglende cyber specialister Ufuldstændig visibilitet på tværs af organisationens infrastruktur for detektion af anormaliteter. Umuligt for vores medarbejdere at korrelere alt struktureret og ustruktureret security data. Manglende korrelering af data og utilstrækkelig viden om cyber analyse. Alt for mange it-alarmer fortolkes som falsk/positive og lukkes uden den fornødne analyse. Der uddannes for få cyber specialister til at konsulentvirksomheder, myndighederne og private virksomheder kan ansætte efter behov. Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 6

7 Reducer risikoen for Denial of Business i den fagre, nye cybercrime-verden. Med et stigende trusselsbillede og stigende IT-afhængighed er tiden måske inde til at stoppe op og vurdere, om man får fuld valuta for sine investeringer i sikkerhed. Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 7

9 2012 FBI: There are two types of companies: those that have been hacked, and those that will be FBI: There are two kinds of companies: those that know they've been hacked, and those that have been hacked and don't yet know it. 2016: Politiets Efterretningstjeneste (PET) vurderer i dag at cyber kriminalitet til at udgøre en større trussel end terror Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 9

10 Cyber security drivers i den digitale æra Trussels aktører Motivation Angrebsmetode Realitet Organiserede it-kriminelle Statssponsorerede Hacktivister Indsider Konkurrenter Økonomi Data / IP Politisk motivation Fortrolig data Berømmelse på Dark Net Konkurrencefordele Ransomware Social Engineering Phishing, Exploit Kits Målrettede angreb, APT Denial of Service, DDOS Cloud, mobile, IoT Human error Manglende ledelsesforankring Gap, cyber kompetencer Gabs, intelligente immune system af it-løsninger Gabs, robust it-arkitektur Copyright 2016 Deloitte Development LLC. All rights reserved. Deloitte Cyber Risk Services, Danmark 10

11 Danmark ramt gange på 8 måneder af Ransomware Svarende til: på 8 mdr gange pr. mdr. 625 gange pr. dag 26 gange i timen Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 11

12 CFO Fraud har kostet Danmark 180 millioner på 6 måneder Svarende til: 180 mil. på 6 mdr. 30 mil. pr. mdr. 1 mil. pr. dag Kr i timen Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 12

13 Cybertruslen mod danske virksomheder og myndigheder Truslen fra cyberspionage: Truslen fra cyberkriminalitet: Truslen fra cyberaktivisme: Truslen fra cyberterroisme: MEGET HØJ MEGET HØJ MEDIUM LAV Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 13

15 Mandiant M-trends 2017 reports that average time to detect a compromise is 99 days 47% external notification of breach, 107 days in average 53% internal discovery of the breach, in average 80 days Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 15

19 Detektering af hvad der er vigtigst, er blevet den største udfordring I nutidens big data æra De mange it-sikkerhedshændelser, som opdages af eksterne samarbejdspartnere er en klar indikation på, at vores nuværende security monitorering er utilstrækkelig. De mennesker som har øjne på målet ser og evaluere flere hundrede tusinder af alarmer dagligt. Talentmangel på de rette kompetencer forværre problemet. Værre er det at antallet af alarmer konstant stiger. Cisco vurderer, at internettrafikken vil vokse med en sammensat årlig vækstrate på 23 procent fra 2014 til All that data and data-sharing and the maze of connectivity that moves it all, are the heart of the security problem. Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 19

20 Identificering af trusler kræver bedre automatiseret intelligens for at finkæmme alle data. Men de nyeste teknologier, alene, vil ikke løse problemet. Fra sikkerhedsovervågning til Cyber Risk-overvågning Ud over blot at se efter ondsindet aktivitet, har virksomhederne brug for overvågning som proaktivt identificerer de mest skadelige aktiviteter ud fra en forretningsmæssig rikobaseret tilgang. Fremtidens Cyber Risk overvågning fokuseres på forretnings risk. For at opnå denne transformation, er der behov for ændringer i fire centrale funktionelle områder: Alignment om cyber risk i hele organisationen, horisontalt and vertikalt Data som understøtter detektering af forretnings risk fremfor tekniske alarmer Analytik i transformation fra en alarm-drevet approach til en mønster-detektering approach Talenter og talentudvikling, som skal sikre udviklingen fra reaktiv til proaktiv monitorering Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 20

21 Identificering af Risikoprofil Indsamling rå logs Datakorrelatio n Databerigelse Security intelligence analyse Værdiskabende kunde indsigt Identificering af eksterne krav til logning, fx Persondata-forordningen Direktiv om net- og informations-sikkerhed, NIS Etc. Endpoint Detection & Monitoring Servers, AV Endpoint, AV Web Client Vulnerability Data, Patch level Asset Data Manuel analyse Watson Security Risikoprofil Identificering af trusselbillede Identificering af kritisk data, følsom persondata og kritiske systemer Network Detection & Monitoring (NDM) Firewall IDS & IPS Web Filters Netflow Identity & Data Monitoring (NDM) Threat Data Konfigurations parametre Cloud Solutions Machine learning Kognitiv analyse Risk prioriterede alarmer Real Time Dashboard SIEM governance struktur Roller & ansvarsbeskrivelse Proces for security incident Udarbejdelse af Use Cases DNS and DHCP Database Active Directory Asset & Configuration Management Systems Deloittes Threat database IBM X-Force Honeypots Risikobaseret ledelses rapportering Copyright 2016 Deloitte Development LLC. All rights reserved. Deloitte Cyber Risk Services, Danmark 21

22 Our Approach to Cyber Risk Solution Domains Secure Evnen til at beskytte organisationens kritiske assets for stigende kendte trusler. Vigilant Evnen til at reducere tiden for at detektere kendte og ukendte trusler. Resilient Evnen til hurtigt at komme tilbage til normal drift efter en hændelse og reducere organisationens tab. Cyber Governance Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 22

23 Beskrivelse af Deloittes Cyber Strategy Framework Vores metodiske tilgang Vores Cyber Strategy Framework er baseret på best practice standarder samt bidrag fra en lang række af Deloittes cyber eksperter over hele verden. Frameworkets trusselmodel tager således udgangspunkt i Mitres CAPEC (Common Attack Pattern Enumeration and Classification). Frameworket for Cyber Security kapabiliteter er en hybrid model, som omfatter de mest anerkendte og centrale sikkerhedsstandarder, herunder: - NIST cybersikkerhed Framework - ISO 27001: CIS 20 kritiske sikkerhedskontrol Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 23

24 Vores Cyber Strategy Framework - fire centrale komponenter 1. En metode, der sikrer en systematisk tilgang til at validere organisationens holistiske Cyber security program baseret på organisationens risikoappetit. 2. Vores platform giver en alsidig og intuitiv måde at samle, analysere og visualisere oplysningerne ud fra organisationens risikoappetit og industri benchmarks. En værdifuld suite af dashboards og rapporter præsenterer data i en forretningsmæssig letforståelig kontekst. 4 Domains 12 Capabilities 34 Sub capabilities 3. Deloittes kompetencer. Alle data som frameworket beriges med, indsamles via interviews og workshops af erfarne kollegaer med dybe og brede kompetencer inden for cyber security governance. Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 24

30 Identificering af Risikoprofil Indsamling rå logs Datakorrelatio n Databerigelse Security intelligence analyse Værdiskabende kunde indsigt Identificering af eksterne krav til logning, fx Persondata-forordningen Direktiv om net- og informations-sikkerhed, NIS Etc. Endpoint Detection & Monitoring Servers, AV Endpoint, AV Web Client Vulnerability Data, Patch level Asset Data Manuel analyse Watson Security Risikoprofil Identificering af trusselbillede Identificering af kritisk data, følsom persondata og kritiske systemer Network Detection & Monitoring (NDM) Firewall IDS & IPS Web Filters Netflow Identity & Data Monitoring (NDM) Threat Data Konfigurations parametre Cloud Solutions Machine learning Kognitiv analyse Risk prioriterede alarmer Real Time Dashboard SIEM governance struktur Roller & ansvarsbeskrivelse Proces for security incident Udarbejdelse af Use Cases DNS and DHCP Database Active Directory Asset & Configuration Management Systems Deloittes Threat database IBM X-Force Honeypots Risikobaseret ledelses rapportering Copyright 2016 Deloitte Development LLC. All rights reserved. Deloitte Cyber Risk Services, Danmark 30

31 Cyber Risk Platform med indbygget Business Intelligence, Incident Response Playbook, Watson Security og Ledelsesrapportering Data korrelering og Threat Detection Vulnerability Management Incident response User Behavior Analyse Ledelsesrapportering Watson Security Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 31

32 Security Operations and Response Platform in action Risk prioriterede alarmer Service portal Real Time Dashboard Risikobaseret ledelses rapportering Ticketing system Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 32

33 Kognitiv intelligens vil revolutionere vores tilgang til den digitale æras nye trusselbillede Opbygning af skjold Pre-2005 Security Intelligence Kognitiv Security Ønsker at holde it-kriminelle ude med et defensiv forsvarsværk bestående af firewalls, antivirus og web beskyttelse Fokus på realtids trusler via analyse af anormal adfærd og mønstre på tværs af alle organisationens it-sikkerheds løsninger. Mulighed for at accelerere fortolkningen af enorme mængder strukturerede og ustrukturerede data I en hastighed som endnu er os ukendt. Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 33

34 En enorm mængde af sikkerhedsviden genereres af cyber security eksperter, men det meste materiale er uudnyttet Traditional Security Data Security events and alerts Logs and configuration data User and network activity Threat and vulnerability feeds Human Generated Knowledge Et univers af sikkerhedsviden som er et blind spot for os i dag Typical organizations leverage only 8% of this content* Eksempler: Research documents Industry publications Forensic information Threat intelligence commentary Conference presentations Analyst reports Webpages Wikis Blogs News sources Newsletters Tweets Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 34

35 Kognitiv intelligens: Vil revolutionere Cyber analytikeres arbejde Kombinationen af matematiske algoritmer som kan korrelere data i en hastig hvor menneskets hjerne ikke kan være med Watson identificere den specifikke malware Locky, opdager flere smittede devices, og sender resultatet til incident response teamet Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 35

37 EFFECTIVENESS of Blocked Threats Kombiner machine learning og menneskelig analyse i jagten på nye cyber trusler i den nye digitale æra Level of Effectiveness Versus Investment Tier 3 Threat Tier 2 Threat Complex Cyber Analysis Advanced Security Intelligence Tier 1 Threat Security Framework Tier One SOC Analyst Tier Two SOC Analyst Incident Responders Threat Researchers Cyber Analysts INVESTMENT in Personnel and Technology Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 37

38 Cyber Risk is a Business Issue, NOT an IT Issue - det handler kun i mindre grad om teknik, men i væsentlig grad om mennesker, adfærd og ansvarlighed Copyright 2016 Deloitte Development LLC. All rights reserved. Deloitte Cyber Risk Services, Danmark 38

41 Spørgsmål? Lone Flohr Director, Security Managed Services Mail: Niels Bødkerholm Sr. Manager, Security Managed Services Mail: Christian Sørensen Konsulent, Cyber Operations Mail: Copyright 2016 Deloitte Development LLC. All rights reserved. Presentation title 41