Databeskyttelse - DLP Lækage af følsomme data udfordringer og krav. Jacob Herbst jhe@dubex.dk

Transkript

1 Databeskyttelse - DLP Lækage af følsomme data udfordringer og krav Jacob Herbst jhe@dubex.dk

2 It er forretningen It er grundlaget for alt Recessionen sætter fokus på effektivisering Mission for it-afdelingen: Øge virksomhedens indtjening og vækst The Six Styles of the Money- Making CIO 1) Entrepreneurial CIO 2) Cost Optimization CIO 3) Revenue-Creating CIO 4) Business Innovation CIO 5) Business Development CIO 6) Public-Serving CIO Kilde: The 2011 Gartner Scenario: Current States and Future Directions of the IT Industry Kilde: Gartner Executive Programs - Reimagining IT: The 2011 CIO Agenda

3 It-udfordringer Interne krav - forretningen Reduktion af omkostninger Grøn it Fleksibilitet Tilgængelighed og performance Interne krav - brugere Adgang til sociale netværk Mobil adgang overalt Work/life balance Consumerization og user empowerment Applikationer Web baserede applikationer Peer-to-peer applikationer Web 2.0 (sociale, wiki, blogs) Nye mobile operativ systemer og applikationer Trusler Organiseret kriminalitet Målrettede angreb - APT Tilfældige angreb og datatab Dag-0 sårbarheder Eksterne krav Compliance Forventninger fra kunder Aftaler og SLA er Teknologisk udvikling Trådløse teknologier og mobile enheder Båndbredde, netværk og IPv6 Telepresense Open Source

4 Drivere moderne virksomheder bygger på data Voksende datamængde Global datamængde vokser med ca. 40% pr. år En kr. harddisk kan gemme al musik i verden Ustruktureret data 80% af alle data er ustruktureret Dynamisk kommunikation 30 mia. opdateringer på Facebook hver måned Applikationer og kommunikation Social medier Mobile devices ~ ca. 5. mia. i verden Brugere, kunder, partnere Komplekse rettigheder Voksende og dynamisk datamængde

5 Forskellige typer følsom information Data man indsamler Data man fremstiller Kreditkort informationer Personfølsomme informationer Patient informationer Forskningsresultater Forretningshemmeligheder Finansielle oplysninger In motion Webmail IM/Chat File sharing In use USB nøgler CD/DVD ipods External HDD Printouts At rest Desktops Databases Mail arkiver Fileshares DMS

6 Drivere Al information har en værdi Personfølsom information Kan misbruges til Internet-kriminalitet Afpresning og identitetstyveri Forretningshemmeligheder Kan misbruges af konkurenter Konsekvenser Kunder har krav på fortrolighed og integritet Tab af kunders data er uacceptabelt Erstatningsansvar/risiko for søgsmål Lovgivningsmæssige krav (USA) State 'Breach Notification' Laws (ie SB1386) USA Federal Laws: FTC Act, SOX, GLB, HIPAA osv. Negativ indflydelse på varemærkeværdi, tab af værdifuld information, tab af troværdighed, mistet offentlig tillid m.m. Mistede konkurrencemæssige fordele 6

7 Information lækage - typer Uforsætlige lækage Uheld og uvidenhed ` Customer_Info.xls Customer_Intel.xls (U)forsætlige lækage Ondsindet hensigt ` Trojan Key logger (U)forsætlige lækage Dårlige forretnings processer ` Data in Motion Data at Rest ` Forsætlige lækage Ondsindet hensigt `

8 Hvordan mister vi vores data?

9 Sårbarheder og angribere Hvordan er vi sårbare? Tekniske Sårbarheder og svagheder i software Fysiske Brand, lynnedslag, oversvømmelse m.m. Operationelle Fejlkonfiguration, fejlbetjening m.m. Menneskelige Social engineering, ubetænksomhed m.m. Hvem er angribere? National interesse Økonomisk kriminalitet Hactivisem Personlig prestige Nysgerighed Vandal Størst i tab Uvelkommen gæst Flest resourcer brugt på beskyttelse Cyberwar IT-kriminelle Anonymous Størst i antal Synlige Inspiration: Microsoft Script- Kiddy Studerende Ekspert Specialist

10 Angreb - aktuel status Malware søger målrettet efter informationer Formålet er tyveri af følsom information Som ofte simpel økonomisk berigelseskriminalitet Målrettede angreb En række eksempler på tyveri af intellektuelle værdier Angrebsmål og -metoder Angreb, der omgår perimeterforsvaret Angreb mod brugere Social engineering angreb fx phishing Angreb målrettet sociale netværk Truslerne er blevet web-baserede Indirekte angreb rettet mod klienter Indirekte angreb via betroede eksterne tredjeparter Sårbarheder og avancerede dag-0 angreb Hurtig udnyttelse af sårbarheder Udnyttelse af ukendte sårbarheder dag-0

11 Angreb - målrettede angreb Sandsynlighed Orme og botnet Datatab APT Mål Tilfældige Internet brugere Kreditkort-håndterende virksomheder Regeringer og kritisk infrastruktur Metode Simple angreb SPAM, orme og botnet Avanceret datatyveri Avancerede målrettede angreb spear phishing Mere sofistikerede angreb - APT Kriminalitet og profitdreven Cyber warfare og spionage Cyber terrorisme og hacktivisem RSA Via spear phishing kompromiteres information om SecurID tokens Omkostninger: USD mio. Epsilon Oplysninger om stjålet efter spear phishing angreb Omkostninger: USD 100 mio. USD 4 mia. Sony Playstation Network Anonymous angreb mio. brugere kompromitteret Omkostninger: USD 13.4 mia.

12 The TJX Companies Massivt identitetstyveri Information om angrebet offentliggjort januar 2007 Selve kompromitteringen skete i juli 2005 (17 måneder tidligere) Følsom information om 46 mio. kunder stjålet bl.a. navne, SSN, kreditkortnumre, kørekortsnumre m.m. Informationen brugt til diverse former for svindel Selve indbruddet sket via et dårligt beskyttet (WEP) trådløst netværk i en butik i Florida Trådløst netværk anvendes til håndscannere Centrale servere blev kompromitteret TJX anvendte forældet trådløs sikkerhed, manglede segmentering, ingen yderligere sikkerhedsmekanismer m.m. TJX forventer en samlet udgift på over 1 mia. USD Hertil kommer indirekte omkostninger, tabt renomme, kundetillid m.m. Havde i en lang periode en IMPORTANT CUSTOMER ALERT på hjemmesiden The TJX Companies driver over butikker i primært USA og Canada (bl.a. TJ Maxx, Marshalls og HomeGoods i USA og Puerto Rico - Winners og HomeSense i Canada.)

13 Sikkerhedsbrud - mennesker Uvidenhed Interne brugere kender ikke/forstår ikke sikkerhedspolitikken Manglende forståelse af konsekvenserne af egne handlinger Uheld Manglende forståelse af elementær sikker it-håndtering Ligegyldighed Interne brugere kender sikkerhedspolitikken, men er ligeglade med den Manglende omtanke der sker jo nok ikke noget Ignorering af sikkerhedspolitikken Forsøg på at gøre ens hverdag lettere Kopiering af data Etablering af egne lokale trådløse netværk Ondskabsfuldhed Utilfredse ansatte med fuldt overlæg Personlig økonomisk vinding Personlig tilfredsstillelse IT SIKKERHED MENNESKER FYSISK SIKKERHED

14 Udfordringer applikationer gør datadeling nem Web 2.0 det nye Internet Applikationer er webbaserede http og https Alle applikationer bruger samme protokoller Avancerede webapplikationer Rich Internet Applications (RIA) Mobile brugere Anvender forskellige enheder og devices Er på forskellige lokationer og netværk Brugerne bestemmer applikationerne Social Netværk Applikationerne er Internet baserede Brugergenereret indhold Brugerne er ofte ikke bevidste om hvad de deler Mulighed for at sammenholde information fra mange brugere fra samme organisation Databeskyttelse svært at omfatte i en sikkerhedspolitik

15 Århus Amt Følsom information (navne, personnumre og diagnoser) om patienter offentliggjort i en PowerPoint præsentation ved en fejl

16 Advarsel med Dropbox Kendelse fra Datatilsynet Dropbox brugt til backup af patientjournaler Dropbox placeret i USA og under amerikansk lovgivning Overtrædelse af persondataloven

17 Udfordringer Consumerization og Mobility Mobile/transportable enheder anvendes til at opbevare og behandle virksomhedens data Mobile enheder blive let væk, glemt og stjålet Med fysisk adgang er det som regel simpelt at få fuld adgang En mistet enhed vil ofte medføre kompromittering af de data, der findes på enheden Enheden gør brug af cloud services o.a. Enheden betragtes som - eller er - personlig ejendom Enheden kobles konstant op til fremmede netværk/computere ipods, USB nøgleringe, mobiltelefoner De ansatte mangler viden om at beskytte enheden Virksomheden har vanskeligt ved at administrere enheder Over halvdelen af alle hændelser med informations-lækage skyldes mistede enheder, der indeholder data Labtops, mobiltelefoner, USB nøgleringe, backup-medier, cdrommer m.m.

18

19 Risiko baseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger

20 Hvad er Data Leakage Prevention? Teknologi til at indentificerer vigtig eller følsom information Overvågning af informations strømmen Forhindre tab eller uautoriseret anvendelse af data Products that, based on central policies, identify, monitor, and protect data at rest, in motion, and in use through deep content analysis. Rich Mogull (securosis.com) former Gartner analyst for DLP Data In motion Webmail IM/Chat File sharing In use USB nøgler CD/DVD ipods External HDD Printouts At rest Desktops Databases Mail arkiver Fileshares DMS DLP Netværk Endpoint Discovery

21 Beskyttelse af data - DLP Fokus ændres til beskyttelse af data i stedet for beskyttelse af netværket Mange kommunikationskanaler via netværket Mange forskellige kritiske aktiviteter på klienten Krav om overholdelse af compliance Krav om opfølgning og rapportering Krav om redegørelse for håndtering af data Håndtering af mobilitet og kommunikation USB, ipods, cd/dvd medier Mail, instant messaging, web Krav om klassifikation af data Forståelse for forretningsmæssige behov Identifikation og klassifikation af følsomme data Etablering af politikker på baggrund af klassifikation Håndhævning af den fastlagte politik tillad flytning af data i forhold til forretningsmæssig krav Rapportering, opfølgning, incident håndtering

22 Forretningsmæssig værdi Værdi: Risikostyring Værdi: Forretnings understøttelse Produktivitetstab - Indirekte konsekvenser (mistet salg, mistet konkurrenceevne, mistet troværdighed) Juridiske konsekvenser (manglende overholdelse af kontrakter, lovgivning m.m.) Udvidelse af forretningen Flere salgskanaler, kundeservice, fastholdelse af kunder Nye kundesegmenter og forøget omsætning, billigere leverance og konkurrencemæssige fordele Understøttelse af brand Hurtigere reaktionsevne SLA overholdelse til kunder og leverandører Interne compliancekrav Persondataloven Regulatorisk compliance PCI DSS EU Data Protection Directive Konkurrencemæssige compliance Standarder - COBIT, ISO27002 Besparelser forbedring af forretningsprocesser Undgåede udgifter skalerbarhed Brug af eksisterende ressourcer Effektivitet behov for færre ressourcer, nye og forbedre forretningsprocesser Værdi: Opretholde Compliance Værdi: Optimering af omkostninger

23 Fysisk sikring platform og porte Sikring af data ved mistede eller stjålne enheder Kryptering til beskyttelse af data Husk kryptering af hele disken er et krav operativ system og applikationer lægger data alle vegne Portsikkerhed Sikring i forhold til USB-tokens, transportable harddiske m.m. Beskyttelse mod uhensigtsmæssig datakopiering Mulighed for kryptering

24 Fokusering & prioritering Skab overblik over informationer, trusler og risici Udarbejd og vedligehold en risikovurdering Juster risikovurdering og foranstaltninger ved ændringer i trusselsbilledet Beskyt brugerne mod simple fejltagelser Fokus på beskyttelse af kritiske data End-point beskyttelse bl.a. diskkryptering Klassifikation af data og tilsvarende beskyttelse Automatiske løsninger til overvågning af web- og mail- kommunikation Vær opmærksom på risikoen for interne trusler Monitorering og audit trail K-I-S-S - Keep It Simple and Stupid Simple og forståelige løsninger, politikker og regler

25 SANS 20 Critical Controls List Of Critical Controls Fokus på simple kontroller med stor effekt Hver kontrol har anvisninger på implementering og hvordan der følges op Specifikt udarbejdet til offentlige myndigheder i USA, men er bredt anvendelige Retningslinjer for prioritering af sikkerhedsarbejdet Fokus på automatiseing af kontroller 1 Inventory of Authorized and Unauthorized Devices 2 Inventory of Authorized and Unauthorized Software 3 Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers 4 Secure Configurations for Network Devices such as Firewalls, Routers, and Switches 5 Boundary Defense 6 Maintenance, Monitoring, and Analysis of Security Audit Logs 7 Application Software Security 8 Controlled Use of Administrative Privileges 9 Controlled Access Based on the Need to Know 10 Continuous Vulnerability Assessment and Remediation 11 Account Monitoring and Control 12 Malware Defenses 13 Limitation and Control of Network Ports, Protocols, and Services 14 Wireless Device Control 15 Data Loss Prevention 16 Secure Network Engineering 17 Penetration Tests and Red Team Exercises 18 Incident Response Capability 19 Data Recovery Capability 20 Security Skills Assessment and Appropriate Training to Fill Gaps

26 SANS Critical Control 17: Data Loss Prevention Harddrive encryption software Network monitoring analyze outbound traffic looking for a variety of anomalies Automated tool on network perimeters that monitors for certain sensitive information Periodic scans of server machines Outbound proxies to monitor and control all information leaving an organization Use secure, authenticated, and encrypted mechanisms to move data Data stored on removable storage media such as USB tokens should be encrypted Do not write data to USB tokens or USB hard drives if not needed Network-based DLP solutions to monitor and control the flow of data within the network Monitor all traffic leaving the organization and detect any unauthorized use of encryption

27 Risikobegrænsning Risikoen kan ikke fjernes, kun begrænses Sikkerhed kan ikke købes som produkt Sikkerhed opnås ved en blanding af Procedure & ledelse / (Management issues) Design, værktøjer og tekniske løsninger Løbende overvågning og vedligeholdelse Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem

28 TAK Jacob Herbst