Trusler, IT sikkerhed og awareness

Transkript

1 Trusler, IT sikkerhed og awareness

2 INTRODUKTION

3 C-cure etableret i 1993 Danske og internationale leverandører Stort internationalt netværk af sikkerhedsspecialister. Leverandør til stat, kommuner, internationale organisationer, små og store virksomheder og organisationer i Danmark og udland. Medlem af Dansk Industri (DI) Medlem af Sikkerhedsudvalget i DI og bl.a. rådgiver ved høringer til EU Kommissionen og den Danske Regering I NC3SKYT Advisory Board, der faciliterer et styrket samarbejde mellem Politiet og erhvervslivet. Arrangerer en række større og mindre konferencer og seminarer, samt individuelle foredrag omkring IT sikkerhed

4 Løsningsområder Vulnerability management Antivirus Patching Penetrationstest Kryptering Sårbarhedstest MDM Back-up Load Balancing Mailfiltering Fibertapping beskyttelse Autentificering DDoS Prevention Firewall Log management Intrusion Prevention System Netværksovervågning Webfiltering Sikker DNS Privileged Access Control

5 Producenter

6 Konsulentydelser Vikariater Projektledelse efter Scrum eller Prince2 principper Support Incident Respons Konsulentbistand i netværk Risk Management Udarbejdelse af IT Politikker Risk Assessment Security Baseline Fysisk sikkerhedsafprøvning

7 Tjenester Firewall overvågning Antivirus overvågning t Portscanninger Penetrations tests Patch management Web application security tests Netværksovervågning Sårbarheds skanninger

8 Fortsættelse af sidste års gennemgang Tendenser i trusselbilledet og hvilke menneskelige og teknologiske tiltag, der skal til for at dæmme op bedst muligt, under hensyntagen til brugervenlighed, driftsoptimering og administrationsoverblik. NC3Skyt samarbejdet Om anmeldelse af IT kriminalitet til NC3 Best practices for informations sikkerhed gode råd fra bl.a. FBI Interne og eksterne trusler Security awareness EU forordningen er trådt i kraft kort opsummering Der er lagt op til debat og diskussioner indimellem de forskellige emner der berøres dog med forbehold for yderligere dialog til sidst

9 Symantecs årlige sikkerhedsrapport Internet Security Threat Report på gaden. Rapporten giver en status på hvad Symantec har set af sikkerhedshændelser på Internettet i 2015, f.eks.: Professionalisering af hackere Kraftig stigning i zero day sårbarheder Voldsom stigning i ransomware angreb Tilgængelig juni 2016

10 i

11 Udfordringer International grænseoverskridende kriminalitetsform Konstant metodemæssig bevægelse i vækst kræver høj grad af agilitet Anonyme tjenester (Tor) og skjult internet (Silk Road / dark web) Virtuel valuta (bitcoin) der ikke kan spores Skift fra IPv4 til IPv6 -> ( (4 mia) til ) Flere får smartphones og bærbare enheder, der kan hacke og hackes Langsom reaktion hos myndigheder Forskellige nationale prioriteringer og lovgivninger i

12 Sager Seksuelt misbrug af børn Narkotikahandel via Silk Road (Tor og Bitcoin) Scareware/Ransomware/cryptolocker DDoS som afpresning / eller som hacktivisme Hackning af kundedatabaser (Password/UserID/kreditkort) Hackning af dansk politi s mainframe system (CSC sagen) Hacktivisme generelt (bl.a. rettet mod fødevareindustrien, energisektoren, pelsdyrsopdrættere, politikere) Svindel såsom falske websites, man in the middle angreb m.m. i

13 i

14 Fremtiden for politiet Ny national strategi for bekæmpelsen af cyberkriminalitet Forhåbentlig en styrket lovgivning på området Bedre uddannet politi både i NC3 og lokalt Uddannelse af anklagere og retsvæsen Bedre nationalt overblik over kriminalitetsområdet Strategiske træk omkring forebyggelse, skadesbegrænsning og disruption Etablering af styrket dialog mellem politi og erhvervsliv via NC3SKYT. Yderligere styrkelse af det nationale / internationale samarbejde med myndigheder og politi i DIGST Digitaliserings styrelsen PET Politiets Efterretnings Tjeneste NC3 Nationalt Cyber Crime Center CFCS Center for Cybersikkerhed Andre offentlige eller private aktører

15 Sikkerhed som forebyggelse Få styr på tingene Højrisiko sårbarhederne i IT miljøerne, skal altså elimineres / fjernes løbende (målkrav) Segmentering af netværk hold internet afsondret fra kritisk infrastruktur (diode fw) Styr på perimeteren (bredeste forstand) og hvad man lader passere ind og ud til brugerne Særlig beskyttelse omkring system-adgangsområdet inkl. priviligerede brugere Multi-lags non-standard sikkerhed med digitale snubletråde der omgående alarmerer Altomfattende logindsamling og kontinuérlig analyse af disse Anomalitets-detektering Hold øje med de eksterne leverandører (uanset størrelse og navn) Cybersikkerhedsoperation til øjeblikkelig og kompetent respons Løbende ledelsesrapportering Awarenesstræning af ALLE I organisationen i

16 Det ganske elementært Løsningen er styrkelse af disse 4 faktorer Kompetence Kapacitet Teknologi Processor i

17 i

18

19 Ransomware Spearphishing s Drive by angreb Milliard industri for de kriminelle Tekniske og meneskelige metoder til at omgå sikkerheden

20 Ransomware - opdæmning Awareness og træning. Lær brugerne om basal informations sikkerhed, hvorfor den er vigtig og processer for hvordan der skal reageres ved et incident Patching og opgradering af software og firmware Antivirus og antimalware, opdateringer og skanninger Styring af priviligerede brugeres adgange og begrænsede brugere Adgangskontroller også på fil niveau. Skelnen mellem læse og skrive rettigheder Tekniske begrænsninger, f.eks. Brug af Office viewers der ikke kan afvikle makroer Software restriction policies forhindre programmer I at køre fra bestemte steder, temp foldere, AppData foldere mm.

21 Business continuity Regelmæssig backup check integriteten af backuppen (kan den reetableres, er det en nøjagtig backup der ikke er udsat for ændringer) Sikring af backuppen må ikke konstant være connected til de systemer de skal tage backup af (Ransomware kan spredes til backuppen) Sikring af backup i cloud (husk egen kryptering) eller offline Noget ransomware kan låse cloud baserede real time backup løsninger Backup er kritisk ved ransomware angreb og er den bedste måde at reetablering af kritiske data Den gamle vits er omskrevet: Rigtige mænd tager ikke backup de mister deres forretning!

22 Andre tiltag Application whitelisting tillad kun de applikationer der er godkendt af sikkerhedspolitikken Kør programmer i et virtualiseret, afgrænset miljø (husk patching af host og gæster, VM escapes kan forekomme) Data klassifikation baseret på værdien for jeres virksomhed fysisk / logisk adskillelse af netværk og data på tværs af organisationen Betal aldrig til bagmændene bag ransomware. Du sponserer dem og opildner til at fortsætte med at angribe din virksomhed du er jo en god kunde

23 Disse interne faktorer udgør trusler

24 Beskyttelse af virksomhedens Credentials Svage passwords, lemfældig omgang med passwords og for hyppigt brug af samme passwords flere steder, kan udgøre en meget stor risiko for at virksomhedens systemer udsættes for et cyberangreb. Interne passwords til f.eks. Exchange må aldrig deles. Kompromitteres en enhed f.eks. pga. Af svage password og den samtidigt har lokale administratorrettigheder, kan hackeren bruge disse rettigheder

25 Bruger/enhed kontrol og rettigheder 96% af alle kritiske sårbarheder kan undgås ved at begrænse brugeres rettigheder (fjerne administrator rettigheder) 60% af alle sårbarheder i Windows i 2013 kunne undgås alene ved at begrænse brugeres rettigheder Meget malware kan ikke gøre mere end brugerne giver dem lov til (Der er dog undtagelser) Det estimeres at 90% af alle virksomheder på et tidspunkt har haft uautoriseret besøg

26 Hvor udbredt er dette problem?

27 Men hvordan nedbringes risikoen? Implementer Least Privilege Begræns lokale accounts Begræns lateral movement Admin Access Segregation Admin Access protection Admin accounts & s Stærk autentifikation Log Administrator brug Log administrator tools

28 Software Upgrades & Updates

29 Software Upgrades & Updates Client Server Firewall AV VPN servers Web servers Servers Alle kommunikation s baserede dimser

30 Brug af uautoriseret software og opdateringskilder Brugere der selv har lov til at installere software, får det simpelthen ikke gjort. Rouge software eller kompromitteret software kan hentes og uvidende Installeres af brugeren. Mulighed Det samme kan ske ved opdateringer af softwaret, hvis det er overladt til brugeren selv. Problemet med individuelt brug af software og eget ansvar for opdateringer er derudover at IT administrator mister overblikket og de operationelle muligheder for sikkerheden i virksomheden. Hvad så med operativsystemer, der ikke længere er supporteret af producenterne?

31 Zero-day attacks

32 Next-Generation firewalls Applikations kontrol Avanceret IPS Deep packet inspection Reputation malware detection Advanced threat protection Bruger styring, LDAP integration Transperant mode traffic management, monitorering og rapportering

33 Next-Generation firewalls

34 Uautoriseret adgang netværk eller enheder Kobler man sig op fra usikre netværk på stationer, cafe er, hoteller eller i lufthavne udgør dette en risiko for hacking, hvis beskyttelsen på PC en er ringe. Anvender man andre udstyr til opkobling til virksomhedens netværk, kan dette udgøre en trussel mod virksomheden, hvis ikke udstyret er tilstrækkeligt beskyttet og hvis ikke virksomheden har NAC (Network Access Control).

35 Cloud/Hosting

36 Automatisering og management

37 Interne Processer Hvem, hvad og hvornår

38 Forandringsparat top 10 fejl

39 Forandringsparat top 10 fejl

40 Manglende viden og awareness Brugere med ringe viden om IT sikkerhed, virksomhedens værdier og konsekvenser Oplagte brugerfejl ( til den forkerte person, stavefejl når der Googles etc.) Udsendelse af interne dokumenter f.eks. Regnskaber, prislister, databaser persondata m.m. via Brug af eksternt udstyr i virksomheden,- privat telefon, PC eller f.eks. Privat eller fundet USB Ligegyldige eller utilfredse medarbejdere Brugeres adfærd i sociale fora,- hvilke informationer deler de? Adgang til konfidentielle data for uautoriserede brugere Manglende kendskab til virksomhedens sikkerhedspolitikker Manglende kendskab til loven

41 Den nemmeste vej

42 Er I i kontrol? Kender I til Jeres dataudveksling med jeres kunder og holdes det op mod trusselsbilledet? Ved I hvad der sker på Jeres netværk? Kan jeres forretningsforbindelser være trygge i kommunikationen med Jer og brugen af Jeres løsninger? Udsættes I eller kunderne, for APT angreb, hacking, spearphishing, ransomware eller f.eks. misbrug af jeres datakraft til kriminelle formål? Foregår der, eller har der foregået noget ulovligt på Jeres servere? Er I direkte eller indirekte underlagt compliance bestemmelser? Hvis en af Jeres kunder har et sikkerhedsproblem, kan det muligvis sprede sig ind i Jeres egen infrastruktur, eller til andre af jeres kunder. Er der tænkt et forsvar og en handlingsplan ind i den sammenhæng?

43 Hvilke tiltag har I truffet? Har I signaleret tydelige retningslinjer til medarbejdere og samarbejdspartnere omkring Jeres IT Politik? Hvordan informeres der om trusselsbilledet og IT Politikkerne til de nødvendige parter? Er der repressalier hvis IT politikkerne ikke overholdes? Hvis I udsættes for kriminalitet har I så værktøjer til at logge og dokumentere det? Er der nødvendige værktøjer og procedurer på plads for at beskytte virksomheden, værdierne og medarbejderenes identitet? Er der faste og centralt styrede procedurer for patching og opdatering/opgradering ved autentifiserede softwareleverandører?

44 Risikovurderinger

45 Hvad er Jeres mål? Hvilket et niveau af sikkerhed ønsker I at arbejde med - hvor konfidentielle er de informationer der bæres? Er de omfattet af lovgivning på området? Må medarbejderne tilgå netværket hjemmefra? Evt. Via en fast etableret VPN tunnel og I givet fald, hvordan ser man forskel på om det er medarbejderen der skaber forbindelsen ind til netværket eller om det er en hacker? Må medarbejderne synkronisere mails også til enheder der ikke ejes af virksomheden? Vil man tillade BYOD (Bring Your Own Device)? Hvordan sikrer man at alle anvendte enheder beskyttes af antivirus, kun kan tilgås med sikre passwords og at de eventuelt også er krypteret? Må medarbejdere hente filer og modtage attachments på hjemmepc ere, USB sticks og mobile enheder? Ønsker man snarere at anvende lagring og kryptering af filer i netværket eller på servere i skyen, som kan tilgås via links?

46 Awareness Kæden er ikke stærkere end det svareste led C-cure underviser både udbydere, virksomheder og medarbejdere i awareness. C-cure kan tilbyde en Security Awareness Portal, hvor kan man teste sin almindelige brugerviden om IT Sikkerhed og hvor virksomheder kan bestille awareness kampagner, designet efter individuelle behov.

47 C-cure miniguide opsummering af EU Persondataforordningen

48 Anbefalede links IT Sikkerhed IT Governance

49 Kontakt os gerne for råd og sparring Christian Rutrecht: Kim Weiss-Poulsen: Tlf

50 Lidt gode råd For at beskytte virksomhedens data og de ansattes identitet og integritet, bør IT Politikker, awareness, og korrekte værktøjer vedligeholdes: Sørg for at have styr på- og at så få som muligt-, har lokale administratorrettigheder. Sikkerhed på klientniveau kan udbygges med løsninger der yder sikker patching, whitelisting og/eller yder sikker DNS. Den nemmeste måde at opretholde konfidentialitet på, er ved, at afgrænse læse, skrive og administrationsrettigheder til data. Dette opnås simpelt ved kryptering af filer og drev. Autoriseret adgang til data opretholdes via 2 faktor autentificering, der hindrer uvedkommende adgang ind i jeres systemer og hindrer succes med identitetstyveri. DDOS beskyttelse på web kan desuden også være anbefalelsesværdigt. Med Next Generation Firewall og diverse blades, vil desuden angreb på websites og APT mod netværket kunne opbremses. (Dette har I fået på plads i 2015)

51 Husk at holde jeres IT politik opdateret i forhold til anvendt teknologi Opsæt regler for komplekse passwords, hyppighed i udskiftning og genbrug af passwords Sæt sikkerhedskrav til eksterne enheder, der tillades permanent eller midlertidig adgang til netværket. F.eks. Tillad kun adgang til netværket for opdaterede enheder. Sørg for at de medier der lagres data på, er behørigt beskyttet, uanset hvor de er. Hvis det er konfidentielle data der lagres, så anvend kryptering. Ønsker man at lagre data i skyen, brug da ikke åbne steder som Dropbox, men bedre beskyttede servere (se efter udbyderens sikkerhedpolitikker). Anvend kun servere der er beskyttet af EU lovgivningen (altså opbevaret i godkendte lande). Husk at slette data på PC ere og servere korrekt, når de ikke længere skal bruges af organisationen.

52 Vælg så vidt muligt at indkøbe ensartede platforme der opdateres jævnligt og kan administreres fra centralt hold. Anvend såvidt muligt et administrationsværktøj, hvor det er muligt at opsætte regler for adgang til netværket på mobile enheder f.eks. At en smartphone eller tablet ikke må være jailbroken eller Rootet (fordi den da kan bære på inficerede applikationer) At enheden ikke tillades adgang til netværket med mindre den er opdateret til et bestemt niveau. At der som minimum, er en sikker browser på enheden At der anvendes komplekse og lange nok passwords At der eventuelt er en sikker krypteret container til opbevaring af mails og andet fortroligt materiale. osv. At der man så vidt muligt begrænser Applikationers adgang til kamera, mikrofon, GPS, billeder og video.

53 Håndbog om IT-sikkerhed i forsyningsbranchen Fysisk sikkerhed (enhver med fysisk adgang kan få adgang til servere mm)