Sådan etableres en moderne sikkerhedsinfrastruktur, der kan håndtere et skiftende trusselsbilede

Transkript

1 Sådan etableres en moderne sikkerhedsinfrastruktur, der kan håndtere et skiftende trusselsbilede Jacob Herbst, CTO, Dubex A/S DGI Byen, den 3. november 2016

2 Hvad skal vi have ud af dette indlæg? Mine mål med dette indlæg er at give svar på følgende: Hvad er en effektiv digital sikkerhedsinfrastruktur? Hvordan kan det bedst opretholdes? Hvordan vælges blandt den brede vifte af værktøjer og teknologiske løsninger der er til rådighed? Disclaimer: Sikkerhed og sikkerhedsløsninger er et meget stort emneområde, som er i konstant forandring. I løbet af de næste 25 minutter, når vi højest at skrabe en lille smule i overfladen.

3 IT-Sikkerhed Menneskelige & tekniske kontroller Predict & Identify Prevent & Protect Detect Respond & Recover Security capabilities Risk Management Vulnerability Management Fundamental Security Security Monitoring Incident handling Disaster recovery Visibility Analytics Advanced Security Threat Intelligence Containment Forensics

4 HUSK! protection kan ikke stå alene, og er blot en del af en processen og skal fungere i samspil

5 Netværket i gamle dage Internt netværk Servere Firewall Internet

6 Det moderne netværk i 2016 Produktion (SCADA/OT) Internt netværk Servere Leverandør Clientless VPN (SSL browser) Netværkets sikkerhed er sjældent resultat af en sammenhængende og velovervejet designproces Mødelokale Web Server Pool Servere Firewall Internet IPSec-compliant VPN gateway 4G/LTE Remote Users Bærbar PC med VPN Klient Tablet med VPN Klient VPN klient Ofte opbygget som en hård skal med et blødt indre Få virksomheder har et komplet overblik over deres netværk Ofte en blanding af produkter og teknologier Vidtstrakt med afdelingskontorer og hjemmearbejdspladser BYOD - Private enheder Mobiltelefoner og tablets Firewall Broadband Hjemmearbejdspladser Afgræsning af virksomhedens netværk kan være problematisk Men hvad med Internettet, cloud services, BYOD, tablets, mobiltelefoner, memory sticks, ipods, Cloud Services Afdelingskontorer

7 IT Infrastructure evolution Past Servers are standalone Limited mobility Present Partly virtualization Partly mobile Future Cloud Computing Mobile Enterprise

8 Udfordringer Digital transformation Budget vs. reelt behov Medarbejdere, ressourcer og kompetencer Information er blevet strategisk Kundevendte initiativer Ledelsesopbakning Cloud Big Data Social Mobile Avanceret infrastruktur og øget kompleksitet Interne forhold Teknologi Eksterne forhold Alt er forbundet Compliance ISO27001 GDPR og lovgivning Krav om hurtig udnyttelse af nye sikkerhedsteknologier Privacy krav Udfordrende trusselsbillede

9 IoT - Internet of Things Sensors and Devices (Things) Data aggregaters Gateways Communication infrastructure & Cloud Data consumers Enterprise Integrity Data Confidentiality Availability Data Availability Confidentiality 6 out of the 10 popular IoT devices did not use encryption when downloading software updates. 90 % of the devices collected at least one piece of personal information via the device, the cloud, or its mobile application. 70 % of the devices used unencrypted network service and transmitted credentials in plain text Source: HPE 1. Insecure web interface 2. Insufficient authentication 3. Insecure network services 4. Lack of transport encryptions 5. Privacy concerns 6. Insecure cloud interface 7. Insecure mobile interface 8. Insufficient security configurability 9. Insecure software 10. Poor physical security Source: OWASP Safety Pepole & Enviroment Data Integrity

10 Hvorfor sker hændelserne? Angrebene anvender mere eller mindre overbevisende social engineering-metoder Udnytter eksempelvis information fra sociale netværk Mangelfuld endpoint-sikkerhed - værktøjer er ikke brugt effektivt Brugerne har for mange rettigheder De fleste angreb er baseret på udnyttelse af simple metoder Svage passwords, sårbarheder m.m. Vi ved, hvad vi burde gøre, men får det alligevel ofte ikke gjort Fokus er på alt det, vi rent faktisk kan og allerede gør. Men mere eller mindre bevidst glemmer vi alt det, vi ikke kan og ikke gør Fokus bør være på de konkrete problemer, vi har i dag, og ikke det, vi tror bliver problemet om nogle år Angreb udnytter hullerne mellem sikkerhedsmekanismerne Manglende integration og intelligens på tværs af værktøjer Angrebstrafik minder om normal netværkstrafik Udnytter de åbninger til fx webtrafik, der er i vores infrastruktur It-sikkerhedsbudgettet ofte procentdel af samlede it-budget Reaktiv sikkerhed Implicerer at sikkerhed er afgift Besværligt at beregne ROI hvad koster en afværget hændelse?

11 Udfordringer Nuværende setup afspejler ikke det reelle trusselsbillede Evnen til hurtigt at inddæmme trusler er ikke tilstrækkelig Ikke korrekt konfiguration af infrastruktur og endpoints Sårbarheder automatiseres og spredes hurtigt Brugere vil klikke på et attachment med et billede af hvad som helst Segmenteringen i netværket er dårlig og begrænser nye initiativer Manglende opdatering af applikationer og programmer er en underkendt faktor Webbeskyttelse er mangelfuld Signaturbaseret beskyttelse er ikke tilstrækkeligt Mange virksomheder er ikke klar over det ændrede trusselsbillede Mange virksomheder er kompromitteret og lækker data uden at vide det Evnen til at detektere og reagere på hændelser er blevet vigtigere end evnen til at beskytte og blokere Ændring af tankegang fra "incident response til "continuous response" Løsningerne er nødt til at være integreret og intelligente Monitorering og analyse skal være en integreret del af alle next-generation løsninger

12 Hvordan findes det rigtige sikkerhedsniveau? Værdier og truslerne Du skal kender dine værdier og truslerne Inventory: Hvilke aktiver du beskytter - Ikke så nemt som det umiddelbart ser ud Hvem angriber dig og hvorfor? Hvordan bliver du angrebet? Malware, APT, DDoS, økonomisk gevinst, etc. Historien er en stor indikator for fremtidige angreb Ikke alle aktiver og data bør beskyttes lige så Hvad er dine "gyldne æg" aktiver? Ofte er defineret af fysiske aktiver Bedre at definere ved anvendelse & service Omfatter alle del an den understøttende infrastruktur Hvorfor tale risici? Giver et dokumenteret grundlag for beslutninger Også når man skal vælge mellem forskellige løsninger/muligheder Fokuserer ledelsen på de forretningsmæssige risici og gevinster Ledelsen og bestyrelsen skal forøge og beskytte værdien af virksomheden It er grundlaget for alle forretningsprocesser Synliggørelse af den risiko som itanvendelsen medfører Risikostyring er det værktøj vi kan bruge til beskytte værdien af virksomheden Viser at sikkerhed ikke bare er ITs ansvar

13 Opfattelsen af it-sikkerhed It-sikkerhed som risikostyring Relateres til den forretningsmæssige risiko Optimering af omkostninger i forhold til potentielle forretningsmæssige tab It-sikkerhed som enabler fx understøtter forretningscase gennem nye indtægter It-sikkerhedsbudgettet bliver forretningsmæssigt begrundet Sikkerhed som en forretningsomkostning Sikkerhed som resultat af en strategi Sikkerhed som en forretningsenabler Guards, Guns and Gates Reaktiv sikkerhed Vigtigste drivere: Lovgivning Forsikring Sikkerhed og ansvar Mere proaktivt Formaliserede processer Forretningscasen baseres på besparelser og forhindre tab Sikkerhed indgår strategisk i forretningen Risk management som ledelsesværktøj Forøge produktivitet Investering i løsninger med fordel for både forretningen og sikkerhed

14 Høj fart kræver gode bremser og en erfaren kører

15 Moderne sikkerhedsinfrastruktur En moderne sikkerhedsinfrastruktur bør: Sikre synlighed, sammenhæng og forståelse af sikkerhedshændelser Fleksibel og robust i forhold til nye trusler og anvendelser Sikre at analytikere mulighed for at forstå konsekvenserne af sikkerhedshændelser i relation til forretningen Dybere integration i en sikkerhedsinfrastruktur der er er defineret af software og hvor servere og systemer ofte ligger i cloud eller hos andre tredjepart Fleksibel og åben adgang til data og funktioner så automatisering kan udnyttes til hurtigere reaktion, mere effektiv drift og skalerbarhed Være baseret på erfaring og best practise

16 Security in Depth Kontrol og overblik Flere forskellige redundante og uafhængige sikkerhedsmekanismer Sikkert design proaktiv/generisk sikkerhed Anvend forebyggende teknologier Indbyg sikkerhed i systemerne Aktiv beskyttelse reaktiv sikkerhed Supplér den indbyggede sikkerhed Overvåg intern trafik for afvigende mønstre Overvågning Overvågning af handlinger på systemer og netværk Konsolidering, sammenstilling og intelligent analyse af logfiler Politikker og procedurer Management Overvågning & korrelation Perimeter Netværk Host Applikation Data Brugere Murphy's Law: Anything that can go wrong will go wrong.

17

18 Dubex Awareness Program Artikler Phishing test Foldere Plakater Nyhedsbreve Foredrag Eksamen Social platform Portal "Many of the most damaging security penetrations are, and will continue to be, due to Social Engineering, not electronic hacking or cracking... Social Engineering is the single greatest security risk in the decade ahead." Gartner 91% of data breaches start with a spear-phishing * *research from security software firm Trend Micro 79% of people that work with information security in Denmark experience that users in their organisations are the greatest security challenge! - DK CERT

19 Anbefalinger til en moderne sikkerhedsinfrastruktur (1/2) Anvend Best Practices på alle niveauer Remote Access Firewalls Intrusion Prevention Anvend nyeste versioner af endpoint protection platform (EPP) typisk kan AV meget mere i dag Anvend løsninger der bruger IP-adresse, host, URL & File reputation services Anvend DLP hvor det er muligt og giver mening Anvend løsninger med SSL dekryptering for at sikre synlighed af al trafik... og sørg for at alle løsninger er integreret med en SIEM løsning Begræns hvad der gives adgang til via VPN efter behov - tænk evt. i microsegmentering Anvend stærk brugervalidering - helst to faktor baseret løsning Monitorer VPN trafikken - fx med IDS/IPS Anvend en eller anden form for enterprise mobility management (EMM) til at styre og tjekke endpoints... og sørg for at løsningen er integreret med en SIEM løsning Udnyt mulighederne i nextgeneration firewall (NGFW) & unified threat management (UTM) Stram op på firewall politikken så det kun er krævet trafik som tillades - og husk logning Integrerer løsningen med threat intelligence information hvis muligt Etablerer intern netværkssegmentering segmentering Overvej microsegmentation af east-west trafik Integrerer løsningen med sandbox skanning af ukendte filer og objekter Udstræk firewall løsningen til Cloud IaaS miljøer så der sikres en konsistent politik Terminer alle indgående krypterede forbindelser så trafikken kan bliver inspiceret Sikring af at al kritisk trafik og segmenter bliver monitoreret med IDS/IPS Hold øje med botnet og C&C server kommunikation Blokerer for alle trusler som har en høj kritikalitet Sørg for at monitorer trafikken i virtuelle miljøer også Anvend evt. mulighed for "virtual patching" hvis muligt... og sørg for at løsningen er integreret med en SIEM løsning... og sørg for at løsningen er integreret med en SIEM løsning

20 Anbefalinger til en moderne sikkerhedsinfrastruktur (2/2) Web Application Sikkerhed Network & Cloud-Based Sandboxes Sikkerhed Web-sikkerhed Kontroller applikation fx med en Web application sårbarhedsscanning Styrk sikkerheden med en Web application firewall (WAF) Integerer gerne WAF løsninger med threat intelligence Foretræk WAF løsninger som understøtter "virtual patching"... og sørg for at løsningen er integreret med en SIEM løsning Implementere advanced threat detection/prevention (sandboxing) på og webtrafik Kontroller at alle indgang for web- og mailtrafik er beskyttet - incl. SSL beskyttet trafik Sørg for at Incident Respons processen hænger sammen med alarmer fra advanced threat detection Sørg for at løsningen også dække labtops o.a. mobile devices... og sørg for at løsningen er integreret med en SIEM løsning Anvend flere forskellige AV-teknologier til at scanne mailtrafik Overvej håndtering af privat mail modtaget fx på mobile devices Sørg for at løsningen blokkerer for såvel malware som Phising Sørg for integration med sandbox baseret scanning... og sørg for at løsningen er integreret med en SIEM løsning Sørg for at der sker content scanning af webtrafik Sørg for integration med sandbox baseret scanning Sørg for at anvende opdateret trusselsinformation på URL-niveau Overvej håndtering af web browsing udenfor netværket og fra mobile devices... og sørg for at løsningen er integreret med en SIEM løsning

21 Strategi i forhold til APT-angreb Defending Against Advanced Threatsontrol Defending Against Targeted Attacks Requires Lean-Forward Technologies and Processes Targeted attacks, often called APTs, penetrate existing security controls, causing significant business damage. Enterprises need to focus on reducing vulnerabilities and increasing monitoring capabilities to deter or more quickly react to evolving threats. Source: Gartner (June 2013)

22 Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint-beskyttelse Netværkssegmentering Data & systemer Fundamentals Endpoint-beskyttelse Websikkerhed

23 Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint-beskyttelse Netværkssegmentering Data & systemer Advanced Technology Whitelisting/Blacklisting Next Generation Firewall Fundamentals Endpoint-beskyttelse Websikkerhed Advanced Technology Mobile Device Security Whitelisting/Blacklisting

24 Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint beskyttelse Netværkssegmentering Data & systemer Advanced Technology Whitelisting/Blacklisting Next Generation Firewall Lean forward Sandboxing DLP Fundamentals Endpoint beskyttelse Web-sikkerhed Advanced Technology Mobile Device Seurity Whitelisting/Blacklisting Lean forward DLP Sandboxning

25 Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint beskyttelse Netværkssegmentering Data & systemer Overvågning SIEM Threat Intelligence Advanced Technology Whitelisting/Blacklisting Next Generation Firewall Lean forward Sandboxing DLP Fundamentals Endpoint beskyttelse Web-sikkerhed Advanced Technology Mobile Device Seurity Whitelisting/Blacklisting Lean forward DLP Sandboxning

26 Risikovurderinger eksempel Risikovurderingen - processen 1. Risikovurderingen udarbejdes ved at sammenholde det vurderede sikkerhedsniveau med det aktuelle trusselsbillede 2. Derefter analyseres sandsynligheden for udnyttelse af de væsentligste sårbarheder, samt konsekvenserne ved sådanne brud 3. Risikovurderingen gennemførtes som en dialog mellem Dubex sikkerhedskonsulenter og Kundens deltagere, samt en efterfølgende analysefase hos Dubex 4. For hver område diskuteredes også de muligheder for forbedringer, der har været vendt med Kundens deltagere Risikovurdering Navn Beregnet risiko værdi Fortrolighed Sikring af hjemmearbejdspladser BYOD ,5 1 Sikker brug af Webmail Mobile enheder Firewall og VPN miljø 20 11,3 8 4 Antivirus Webservices for kunder Segmentering af netværket 15 12,5 5 7 Sikkerhed ifm. webtrafik Administration af brugeridentiteter 15, SIEM og loghåndering Trådløse netværk Intregitet Tilgængelighed Rang i dag

27 Hvad er ISO 27001? ISO er ikke bare en standard for et ledelsessystem ISO er også en generel proces, der hjælper med forankring, behovsanalyse og prioritering af it-sikkerheden Ledelsessystem for informationssikkerhed (ISMS) ISMS politik Informationsaktiver og klassifikation Risikovurdering og planer Sikkerhedshåndbog Awareness Interne ISMS audits Hændelser og forbedringer Vedligeholdelse Grundlaget er ledelsens commitment og accept Fokus er på forretningen og de forretningskritiske aktiver Valg af kontroller baseret på risikovurdering Udvælgelsen er en vigtig del af processen Procesorienteret (Plan-Do-Check-Act) Der lægges vægt på rapportering

28 SANS 20 Critical Controls Fokus på simple kontroller med stor effekt Hver kontrol har anvisninger på implementering, og hvordan der følges op List Of Critical Controls 1 Inventory of Authorized and Unauthorized Devices 2 Inventory of Authorized and Unauthorized Software 3 Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers 4 Secure Configurations for Network Devices such as Firewalls, Routers, and Switches 5 Boundary Defense 6 Maintenance, Monitoring, and Analysis of Security Audit Logs Specifikt udarbejdet til offentlige myndigheder i USA, men er bredt anvendelige 7 Application Software Security 8 Controlled Use of Administrative Privileges 9 Controlled Access Based on the Need to Know 10 Continuous Vulnerability Assessment and Remediation Retningslinjer for prioritering af sikkerhedsarbejdet 11 Account Monitoring and Control 12 Malware Defenses 13 Limitation and Control of Network Ports, Protocols, and Services Fokus på automatisering af kontroller 14 Wireless Device Control 15 Data Loss Prevention 16 Secure Network Engineering 17 Penetration Tests and Red Team Exercises 18 Incident Response Capability 19 Data Recovery Capability 20 Security Skills Assessment and Appropriate Training to Fill Gaps

29 Prioritering af indsatser i forhold til SANS 20 CC

30 SANS Top 20 CSC 3-3 Limit administrative privileges to very few users who have both the knowledge necessary to administer the operating system and a business need to modify the configuration of the underlying operating system. This will help prevent installation of unauthorized software and other abuses of administrator privileges. Quick win (One of the "First Five") CSC 13-7 Require all remote login access (including VPN, dial-up, and other forms of access that allow login to internal systems) to use two-factor authentication. Visibility/Attribution First Five Quick Wins 1. Application whitelisting (found in CSC 2); 2. Use of standard, secure system configurations (found in CSC 3); 3. Patch application software within 48 hours (found in CSC 4); 4. Patch system software within 48 hours (found in CSC 4); 5. Reduced number of users with administrative privileges (found in CSC 3 and CSC 12).

31

32 Understøttelse af sikkerhedsprocessen Predict & identify Prevent & protect Detect Respond & recover Security capabilities Risk management Vulnerability management Fundamental security Security monitoring Incident handling Disaster recovery Visibility Analytics Advanced security Threat intelligence Containment Forensic Dubex Security Professionals & Consulting Security Operations & Analytics Centers Dubex Managed Services Dubex Support options Technology providers

33 Anbefalinger Forberedelse Awareness Basale kontroller Opdateringer Rettigheder Backup

34 Sandbox emuleret afvikling De indsamlede data kan afprøves i en sandbox for at verificere om de er skadelige. Vil afsløre exploits, download af yderligere malware og call back. Mistænkelig adfærd eller trafik bliver synlig. Virtual Analysis Win 7 Office10 Adobe 11 Win XP Office07 Adobe 10 Windows Server

35 Hvad kan vi gøre? - Praktiske anbefalinger (1) Sikkerhed i dybden: Anvend forskellige og overlappende sikkerhedsforanstaltninger, så der beskyttes med single-point-of-failure i enkelte foranstaltninger eller teknologier Basale kontroller: Hold fokus på basale kontroller husk den løbende opfølgning Overvågning: Mange organisationer opdager først brud på sikkerheden, når de får et opkald fra politiet eller en kunde. Overvågning af logfiler og change management kan give tidligere advarsel Antivirus er ikke nok: Antivirus fanger stadig mange angreb, men I oplever også mange angreb med unik malware og udnyttelse af dag-0-sårbarheder, som kræver andre værktøjer Endpointbeskyttelse: Endpoints skal beskyttes af mere end antivirus - husk opdateringer, begrænsede rettigheder, websikkerhed, device kontrol Patch straks: Angribere får ofte adgang ved hjælp af simple angrebsmetoder, som man kan beskytte sig mod med et opdateret og godt konfigureret it-miljø samt opdateret anti-virus Krypter følsomme data: Hvis data bliver tabt eller stjålet, er det meget sværere for en kriminel at misbruge Beskyt krypteringsnøgler: Hvis krypteringsnøglerne kompromitteres, kompromitteres sikkerheden også To-faktor-autentifikation: Dette vil ikke eliminere risikoen for, at passwords bliver stjålet, men det kan begrænse de skader, der kan ske ved misbrug af stjålne legitimationsoplysninger

36 Hvad kan vi gøre? - Praktiske anbefalinger (2) Mennesker: Awareness er stadig vigtigt. Undervis dine ansatte i vigtigheden af sikkerhed, hvordan man opdager et angreb, og hvad de skal gøre, når de ser noget mistænkeligt Hold adgangen til data på et need-to-know niveau: Begræns adgangen til systemerne til det nødvendige personale. Sørg for, at have processer på plads til at lukke for adgangen igen, når folk skifter rolle eller job Husk fysisk sikkerhed: Ikke alle datatyverier sker online. Kriminelle vil manipulere med computere, betalingsterminaler eller stjæle dokumenter Backup: Hvis alle andre foranstaltninger fejler, kan en backup redde data. Husk beskyttelse af backup medierne Incident response: Planlæg efter, at der vil ske hændelser - følg løbende op på hvordan, og hvor hurtigt, incidents opdages og håndteres, så reaktionen løbende kan forbedres Opfølgning: Glem ikke de basale kontroller. Hold fokus på bedre og hurtigere opdagelse gennem en blanding af mennesker, processer og teknologi Trusselsbilledet: Hold øje med trusselsbilledet for løbende at kunne tilpasse sikkerhedsløsningen. Husk at one-size fits all ikke holder i virkeligheden Riskovurdering: Er du mål for egentlig spionage, så undervurder ikke vedholdenheden, ekspertisen og værktøjerne hos din modstander

37 Risikobegrænsning Risikoen kan ikke fjernes, kun begrænses Sikkerhed kan ikke købes som produkt Sikkerhed opnås ved en blanding af Procedure & ledelse (Management issues) Design, værktøjer og tekniske løsninger Løbende overvågning og vedligeholdelse Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem

38 TAK!