Security & Risk Management Summit

Transkript

1 Security & Risk Management Summit

2 Modernisering af virksomhedens fundamentale sikkerhed Jacob Herbst, CTO Søborg, den 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014

3 Netværket i gamle dage Internt netværk Servere Firewall Internet

4 Det moderne netværk i 2014 Produktion (SCADA/OT) Internt netværk Servere Leverandør Clientless VPN (SSL browser) Servere Firewall IPSec-compliant VPN gateway Remote Users Bærbar PC med VPN Klient Web Server Pool 3G/LTE Tablet med VPN Klient Mødelokale Internet VPN klient Broadband BYOD - Private enheder Mobiltelefoner og tablets Firewall Hjemmearbejdspladser Cloud Services Afdelingskontorer

5 Dagens netværk Netværkets sikkerhed er sjældent resultat af en sammenhængende og velovervejet designproces Ofte opbygget som en hård skal med et blødt indre Få virksomheder har et komplet overblik over deres netværk Ofte en blanding af produkter og teknologier Vidtstrakt med afdelingskontorer og hjemmearbejdspladser Afgræsning af virksomhedens netværk kan være problematisk Netværksinfrastruktur Fysisk kabling Netværksudstyr Servere og klienter Eksterne forbindelser Men hvad med Internettet Hjemmearbejdspladser og tilhørende netværk og forbindelser PDA er, mobiltelefoner, memory sticks, ipods,

6 Sikkerhedstendenser Udfordrende trusselsbillede APT-angreb Dag-0 og polymorfisk angreb Målrettede angreb Avanceret infrastruktur Konvergens på IP-netværk Virtualisering Mobile enheder Organizations face an evolving threat scenario that they are ill-prepared to deal with.advanced threats that have bypassed their traditional security protection techniques and reside undetected on their systems. Øget kompleksitet Sikkerhed er komplekst - flere opgaver Manglende interne ressourcer og kompetencer Angreb bliver mere komplekse og hyppige Information er blevet strategisk Vores virksomheder bygger på information Kommunikation er vital Dataeksplosion Big Data

7 Angreb - aktuel status Malware søger målrettet efter informationer Formålet er tyveri af følsom information Som oftest simpel økonomisk berigelseskriminalitet Målrettede angreb - tyveri af intellektuelle værdier Angrebsmål og -metoder Angreb, der omgår perimeterforsvaret Angreb mod brugere Social engineering angreb f.eks. phishing Angreb målrettet sociale netværk Truslerne er blevet webbaserede Indirekte angreb rettet mod klienter Indirekte angreb via betroede eksterne tredjeparter Sårbarheder og avancerede dag-0 angreb Hurtig udnyttelse af sårbarheder Udnyttelse af ukendte sårbarheder dag-0

8 Hvorfor bliver vi angrebet? Kriminelle Terrorisme Tilfældige angreb Politiske Spionage Konkurrenter Virus og orme Portscanninger Phishing De-facement Målrettede angreb Interne Angreb Cyberkrig Denial-of-Service Tyveri af IP Tyveri af service Angreb på brand Forretningshemmeligheder stjæles og misbruges - mistede konkurrencefordele Tab af kundedata - Ansvar / risiko for handlinger Regulatoriske krav - "Breach Notification" lovgivning Negativ indvirkning på Brand Value - Tab af værdifulde informationer Tab af troværdighed- Tab af offentlighedens tillid

9 Threat actors motives, methods and impact Malicious actors Motives Targets Impact Nation state Organized crime Hacktivists? Insiders Economic, political, and/ or military advantage Immediate financial gain Collect information for future financial gains Influence political and/or social change Pressure business to change their practices Personal advantage, monetary gain Professional revenge Patriotism Trade secrets Sensitive business information Emerging technologies Critical infrastructure Financial/Payment systems Personally Identifiable Information Payment Card Information Protected Health Information Corporate secrets Sensitive business information Information related to key executives, employees, customers and business partners Sales, deals, market strategies Corporate secrets, IP, R&D Business operations Personnel information Loss of competitive advantage Disruption to critical infrastructure Costly regulatory inquiries and penalties Consumer and shareholder lawsuits Loss of consumer confidence Disruption of business activities Brand and reputation Loss of consumer confidence Trade secret disclosure Operational disruption Brand and reputation National security impact

10 Hvordan bliver vi angrebet?

11 Malware - udviklingsproces Sløring og kvalitetstestning Malware er vidt udbredt og kan fremstilles så det omgår det traditionelle perimeterforsvar og anden beskyttelse Original malware Permutationer Kvalitetstestning Deployering Afvist hvis detekteret af anti-virus software Mange forskellige varianter af samme malware fremstilles automatisk forud for et angreb Kun varianter, der kommer igennem kvalitetstestningen (=omgår antivirus) bruges i selve angrebet De nye varianter frigives med jævne mellemrum for konstant at være foran antivirus mønster opdateringerne August 2014 ca. 18 mio. nye malware = ca. 7 i sekundet

12 APT Advanced Persistent Threats Typisk forløb for et APT-baseret angreb Phishingangreb 0-dagsangreb Trojansk hest Interne sårbarheder Dataindsamling Dataudtræk En række brugere modtager målrettet phising-mail Bruger åbner vedhæftet fil eller tilgår link Brugerens maskine inficeres med malware - Trojanskhest Angriberen udnytter sårbarheder til at få flere rettigheder Data samles sammen og gøres klar til at blive hentet Krypterede data sendes fx via ftp til et eksternt kompromitteret system

13 Udfordringer Nuværende setup afspejler ikke det reelle trusselsbillede Evnen til hurtigt at inddæmme trusler er ikke tilstrækkelig Ikke korrekt konfiguration af infrastruktur og endpoints Sårbarheder automatiseres og spredes hurtigt Brugere vil klikke på et attachment med et billede af hvad som helst Segmenteringen i netværket er dårlig og begrænser nye initiativer Manglende opdatering af applikationer og programmer er en underkendt faktor Webbeskyttelse er mangelfuld

14 Udfordringer Signaturbaseret beskyttelse er ikke tilstrækkeligt Mange virksomheder er ikke klar over det ændrede trusselsbillede Mange virksomheder er kompromitteret og lækker data uden at vide det Evnen til at detektere og reagere på hændelser er blevet vigtigere end evnen til at beskytte og blokere Ændring af tankegang fra "incident response til "continuous response" Løsningerne er nødt til at være integreret og intelligente Monitorering og analyse skal være en integreret del af alle next-generation løsninger

15 APT Advanced Persistent Threats Udfordringer - angreb og metoder 66% af kompromitteringerne opdages først efter flere måneder Selve angrebet tager typisk højst ganske få timer 36% af kompromitteringerne er først fjernet flere uger efter opdagelse

16 Udfordringer Udfordrende trusselsbillede Teknologi Avanceret infrastruktur og kompleksitet Adaptability Information er blevet strategisk Forretningsmæssig risikostyring Management & drift

17 Løsninger - Security in Depth Kontrol og overblik Flere forskellige redundante og uafhængige sikkerhedsmekanismer Sikkert design proaktiv/generisk sikkerhed Anvend forebyggende teknologier Indbyg sikkerhed i systemerne Aktiv beskyttelse reaktiv sikkerhed Supplér den indbyggede sikkerhed Overvåg intern trafik for afvigende mønstre Overvågning Overvågning af handlinger på systemer og netværk Konsolidering, sammenstilling og intelligent analyse af logfiler Politikker og procedurer Management Overvågning & korrelation Perimeter Netværk Host Applikation Data Brugere Murphy's Law: Anything that can go wrong will go wrong.

18 Strategi i forhold til APT-angreb Strategies for Dealing With Advanced Targeted Attacks June 2013 Figure 1. Magic Quadrant for Network Access Control Defending Against Targeted Attacks Requires Lean-Forward Technologies and Processes Source: Gartner (June 2013) Targeted attacks, often called APTs, penetrate existing security controls, causing significant business damage. Enterprises need to focus on reducing vulnerabilities and increasing monitoring capabilities to deter or more quickly react to evolving threats. DAM = digital asset management; DAST = dynamic application security testing; DLP = data loss prevention; IPS = intrusion prevention system; NAC = network access control; SIEM = security information and event management

19 Detektion af Advanced Persistent Threats Continuous Monitoring and Analytics Predict Prevent Detect Respond Network-wide Detection Custom Sandboxes Threat Intelligence Advanced Threat Analysis Automated Security Updates Threat Tools and Services Model Observation Forstå hvordan ondsindet ser ud, og find ligheder: Model Observation Antivirus IDS/IPS = Ondsindet systemer Tærskelværdier = Ondsindet Forstå hvordan venligsindet ser ud, og find væsentlige forskelle: Baseline Afvigelser Fejlanalyse

20 Prioritering af it-sikkerhed Udfordringerne er mange Der er trusler og behov Der er krav og forventninger fra myndigheder, samarbejdspartnere og kunder Man kan drukne i løsninger, muligheder og aktiviteter Det er vigtigt at målrette sikkerheden til de forretningsmæssige behov Ledelsesopbakning og brugerinddragelse er kritisk for successen Risikovurderinger er et vigtigt hjælpemiddel til prioritering af it-sikkerhed - også når man skal vælge mellem forskellige løsninger/muligheder

21 Risikobaseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger Risikostyring er en løbende proces

22 Sikkerhed og risiko Sikkerhed betyder ikke nogen risiko eller fare Fuldstændig sikkerhed ingen risiko eller fare - kan ikke opnås Sikkerhed drejer sig om risikostyring Risiko er det potentielle tab Vurdering af risikoen baseres fx på de finansielle omkostninger, tab af menneskeliv, mistet omdømme m.m. Hacker Konkurrent Terrorist Utilfreds medarbejder Software fejl Dårlige passwords Default værdier Design fejl Sårbarheder forstærker trusselspotentialet Risiko = Trussel * Sårbarheder Foranstaltninger Sikkerhedsløsninger Backup Uddannelse Procedurer Foranstaltninger mindsker trusselspotentialet * Konsekvenser / værdi Katastrofal Alvorlig Forstyrrende Ingen Konsekvenser forstærker trusselspotentialet Omkostninger Besvær / forsinkelse Omdømme

23 Risikovurderinger eksempel Risikovurdering Beregnet risiko værdi Tilgængelighed Rang i dag Fortrolighed Intregitet Navn Sikring af hjemmearbejdspladser BYOD ,5 1 Sikker brug af Webmail Mobile enheder Firewall og VPN miljø 20 11,3 8 4 Antivirus Webservices for kunder Segmentering af netværket 15 12,5 5 7 Sikkerhed ifm. webtrafik Administration af brugeridentiteter 15, SIEM og loghåndering Trådløse netværk

24 Hvad er ISO 27001? ISO er ikke bare en standard for et ledelsessystem ISO er også en generel proces, der hjælper med forankring, behovsanalyse og prioritering af it-sikkerheden Ledelsessystem for informationssikkerhed (ISMS) ISMS politik Informationsaktiver og klassifikation Risikovurdering og planer Sikkerhedshåndbog Awareness Interne ISMS audits Hændelser og forbedringer Vedligeholdelse Grundlaget er ledelsens commitment og accept Fokus er på forretningen og de forretningskritiske aktiver Valg af kontroller baseret på risikovurdering Udvælgelsen er en vigtig del af processen Procesorienteret (Plan-Do-Check-Act) Der lægges vægt på rapportering

25 SANS 20 Critical Controls List Of Critical Controls Fokus på simple kontroller med stor effekt Hver kontrol har anvisninger på implementering og hvordan der følges op Specifikt udarbejdet til offentlige myndigheder i USA, men er bredt anvendelige Retningslinjer for prioritering af sikkerhedsarbejdet Fokus på automatisering af kontroller 1 Inventory of Authorized and Unauthorized Devices 2 Inventory of Authorized and Unauthorized Software 3 Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers 4 Secure Configurations for Network Devices such as Firewalls, Routers, and Switches 5 Boundary Defense 6 Maintenance, Monitoring, and Analysis of Security Audit Logs 7 Application Software Security 8 Controlled Use of Administrative Privileges 9 Controlled Access Based on the Need to Know 10 Continuous Vulnerability Assessment and Remediation 11 Account Monitoring and Control 12 Malware Defenses 13 Limitation and Control of Network Ports, Protocols, and Services 14 Wireless Device Control 15 Data Loss Prevention 16 Secure Network Engineering 17 Penetration Tests and Red Team Exercises 18 Incident Response Capability 19 Data Recovery Capability 20 Security Skills Assessment and Appropriate Training to Fill Gaps

26 Prioritering af indsatser i forhold til SANS 20 CC

27 Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint-beskyttelse Netværkssegmentering Data & systemer Fundamentals Endpoint-beskyttelse Websikkerhed

28 Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint-beskyttelse Netværkssegmentering Data & systemer Advanced Technology Whitelisting/Blacklisting Next Generation Firewall Fundamentals Endpoint-beskyttelse Websikkerhed Advanced Technology Mobile Device Security Whitelisting/Blacklisting

29 Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint beskyttelse Netværkssegmentering Data & systemer Advanced Technology Whitelisting/Blacklisting Next Generation Firewall Lean forward Sandboxing DLP Fundamentals Endpoint beskyttelse Web-sikkerhed Advanced Technology Mobile Device Seurity Whitelisting/Blacklisting Lean forward DLP Sandboxning

30 Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint beskyttelse Netværkssegmentering Data & systemer Overvågning SIEM Threat Intelligence Advanced Technology Whitelisting/Blacklisting Next Generation Firewall Lean forward Sandboxing DLP Fundamentals Endpoint beskyttelse Web-sikkerhed Advanced Technology Mobile Device Seurity Whitelisting/Blacklisting Lean forward DLP Sandboxning

31 Hvad kan vi gøre? - Praktiske anbefalinger (1) Sikkerhed i dybden: Anvend forskellige og overlappende sikkerhedsforanstaltninger, så der beskyttes med sigle-point-of-failure i enkelte foranstaltninger eller teknologier Basale kontroller: Hold fokus på basale kontroller husk den løbende opfølgning Overvågning: Mange organisationer opdager først brud på sikkerheden, når de får et opkald fra politiet eller en kunde. Overvågning af logfiler og change management kan give tidligere advarsel Antivirus er ikke nok: Antivirus fanger stadig mange angreb, men vi oplever også mange angreb med unik malware og udnyttelse af dag-0 sårbarheder som kræver andre værktøjer Endpoint-beskyttelse: Endpoint skal beskyttes af andet end kun antivirus - husk opdateringer, begrænsede rettigheder, websikkerhed, device kontrol Patch straks: Angribere får ofte adgang ved hjælp af simple angrebsmetoder, som man kan beskytte sig mod med et opdateret og godt konfigureret it-miljø samt opdateret antivirus Kryptér følsomme data: Hvis data bliver tabt eller stjålet, er det meget sværere for en kriminel at misbruge Beskyt krypteringsnøgler: Hvis krypteringsnøglerne kompromitteres, kompromitteres sikkerheden også To-faktor-autentificering: Dette vil ikke eliminere risikoen for at passwords bliver stjålet, men det kan begrænse de skader, der kan ske ved misbrug af stjålne legitimationsoplysninger

32 Hvad kan vi gøre? - Praktiske anbefalinger (2) Mennesker: Awareness er stadig vigtigt. Undervis dine ansatte i vigtigheden af sikkerhed, hvordan man opdager et angreb, og hvad de skal gøre, når de ser noget mistænkeligt Hold adgangen til data på et need-to-know niveau: Begræns adgangen til systemerne til det nødvendige personale. Sørg for, at have processer på plads til at lukke for adgangen igen, når folk skifter rolle eller job Husk fysisk sikkerhed: Ikke alle datatyverier sker online. Kriminelle vil manipulere med computere, betalingsterminaler eller stjæle dokumenter Backup: Hvis alle andre foranstaltninger fejler, kan en backup redde data. Husk beskyttelse af backup medierne Incident response: Planlæg efter at der vil ske hændelser - Følg løbende op på hvordan, og hvor hurtigt, disse opdages og håndteres, så reaktionen løbende kan forbedres Opfølgning: Uden at glemme de basale kontroller, så hold fokus på bedre og hurtigere opdagelse gennem en blanding af mennesker, processer og teknologi Trusselsbilledet: Hold øje med trusselsbilledet for løbende at kunne tilpasse sikkerhedsløsningen. Husk at one-size fits all ikke holder i virkeligheden Riskovurdering: Er du et mål for egentlig spionage, så undervurder ikke vedholdenheden, ekspertisen og værktøjerne hos din modstander

33 Modenhedskurve Forretningsorienteret Trusselsforsvar Compliance og sikkerhed i dybden Tjekliste-tilgang Risikobaseret sikkerhed Sikkerhed som resultat af en strategi Mere proaktivt Sikkerhed indgår strategisk som forretnings-enabler Risk Management som ledelsesværktøj Investering i løsninger med fordel for både forretningen og sikkerhed Sikkerhed opfattes som Guards, Guns and Gates En omkostning Et nødvendigt onde Manglende koordinering og prioritering Compliance vigtigste drivere: Lovgivning, forsikring og ansvar Sikkerhed i dybden Formaliserede processer Forretningscasen baseres på besparelser og hindring af tab Integrerede sikkerhedsløsninger Forebyggelse, detektion og reaktion Formaliseret incident response proces Reaktiv og taktisk sikkerhed

34 Tak For mere information kontakt