Sikkerhed i skyen Afslutning

Transkript

1 Sikkerhed i skyen Afslutning Jacob Herbst, CTO, Dubex A/S Søborg, den 12. april 2016

2 Prioritering af sikkerhed INFORMATION er blevet virksomheders vigtigste asset It er grundlaget for alle forretningsprocesser Managing risk Beskytte følsomme oplysninger for at forbedre og opretholde markedsposition og sikre overholdelse af regulativer samtidig med en kontrol af omkostningsniveauet CIO Enabling growth Forbedre og sikre forretningens agilitet ved at give hurtig og intuitiv adgang til de rigtige informationer, værktøjer og applikationer Ledelsen og bestyrelsen skal beskytte værdien af virksomheden Udfordring: Synliggørelse af den risiko, som itanvendelsen medfører Risikostyring skal bruges til at beskytte værdien af virksomheden

3 Hvad er cloud-sikkerhed? Sikring af anvendelsen af cloudløsninger (SaaS) - Cloud Enabling Sikring af opkoblingen af cloudløsninger via f.eks. Blue Coat og Check Point Kryptering af data i cloud Visibilitet og overvågning, DLP Integration af cloud-løsninger fx IAM, Federation (F5), m.fl. Sikkerhed i cloud-løsninger (IaaS) Sikkerhed på AWS og Azure med Check Point, Trend Micro, F5 m.fl. Sikring af private cloud-løsninger Design af sikkerhed i cloudløsninger Compliance i cloud-løsninger Sikkerhedsservices leveret via cloud Cloud websikkerhed fra fx BlueCoat, TrendMicro, Zscaler Mobil sikkerhed DDoS-beskyttelse Threat Emulation fra fx Check Point Dubex Managed Security Services Dubex Security Operations Center: Tufin, Airwave, Check Point, Trend Micro m.m. Dubex Security Analytics Center: LogSafe and Security Analytics Center

4 Status på cloud-sikkerhed Cloud udfordrer samarbejdet mellem forretningen og it med betydelige konsekvenser IT og Sikkerhed For første gang har forretningen en mulighed for at kunne fravælge it-afdelingen Cloud-leverandørne har ofte mere relevante og modne, interne kontroller og processer end virksomhederne i praksis kan sikkerheden derfor ofte være bedre. Nogle vælger Cloud for et højere sikkerhedsniveau Det overordnede trusselsbillede er i kraftig udvikling og angreb rettes også mod cloud Grundlæggende er der de samme sikkerhedskrav som i et traditionelt datacenter De største ricisi ved cloud er ofte de ting, du kan styre og har indflydelse på Den største udfordring er at opretholde en sikker konfiguration Automatisering og dynamik er er udfordring Førende organisationer tager en strategisk tilgang til cloud ved at revidere deres sikkerhedsarkitekturer, processer, teknologier og færdigheder til at håndtere et paradigmeskifte og muliggør derved en sikker anvendelse af cloud-tjenester Holdningen til sikkerhed i cloud er ved at ændre sig Alle førende sikkerhedsleverandører har løsninger til cloud-sikkerhed

5 Gartner Magic Quadrant Secure access via SSL Built-in firewalling Identity and Access Management (IAM) Multifactor authentication (MFA) Private subnets Dedicated hardware option Encrypted data storage Dedicated connection option Isolated GovCloud Dedicated, hardware-based crypto Key storage option Key management service Magic Quadrant for Cloud Infrastructure as a Service, Worldwide 18 May 2015 ID:G Figure 1. Magic Quadrant for Cloud Infrastructure as a Service, Worldwide All the providers claim to have high security standards. The extent of the security controls provided to customers varies significantly, though. All the providers evaluated can offer solutions that will meet common regulatory compliance needs, unless otherwise noted. All the providers have SSAE 16 audits for their data centers (see Note 1). Some may have securityspecific third-party assessments such as ISO or SOC2 for their cloud IaaS offerings (see Note 2), both of which provide a relatively high level of assurance that the providers are adhering to generally accepted practice for the security of their systems, but do not address the extent of controls offered to customers. Security is a shared responsibility; customers need to correctly configure controls and may need to supply additional controls beyond what their provider offers.

6 Organisering og forankring af sikkerhedsprocessen Risikostyring Ændringer i risikobilledet Ledelse (Bestyrelse/CEO/CSO/CIO) Fokus: Organisatorisk risiko Aktioner: Risikobeslutning og prioriteter Prioriteter, risikoappetit og budget Procesniveau Fokus: Risikostyring Aktioner: Valg af risikoprofil Rapportering, ændringer, sårbarheder og trusler Operationelt Fokus: Sikring af infrastruktur Aktioner: Implementering af profil Sikkerhedsframework og -profil Implementering

7 Angreb - aktuel status Mål Målrettede angreb efter fortrolige informationer Industrispionage Økonomisk berigelseskriminalitet Tyveri af kreditkortinformation Internetsvindel Afpresning Ransomware og DDoS Metoder Angreb, der omgår perimeterforsvaret Angreb mod brugere Social engineering angreb f.eks. phishing Angreb via sociale netværk Webbaserede angreb Indirekte angreb rettet mod klienter Indirekte angreb via betroede eksterne tredjeparter Angreb sløret i krypteret ssl-kommunikation Sårbarheder og avancerede dag-0-angreb Hurtig udnyttelse af sårbarheder Udnyttelse af ukendte sårbarheder dag-0 Unik og målrettet malware

8 der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem, der ikke ved, at de er blevet hacket. Pointen er, at alle er blevet hacket James Comey, FBI Director Pointen er, at alle er blevet hacket

9 Understøttelse af sikkerhedsprocessen Pointen er, at alle er blevet hacket Sikkerhed drejer sig i dag om vores proces og tilgang til at: Risikostyre vores aktiver (Predict & Identify) Implementere passende, afvejede kontroller (Prevent & protect) Opdage når vi bliver kompromitteret (Detect) Reagere hurtigt på en kompromittering (Respond & recover) Understøttelse med værktøjer og processer (Capabilities) Predict & identify Risk management Visibility Vulnerability management Analytics Prevent & protect Fundamental security Advanced security Detect Security monitoring Threat intelligence Incident handling Containment Respond & recover Disaster recovery Forensic Security capabilities

10 Data Access Governance Identity Governance and Administration Identity and Access Management er vigtigt Best Practices: Link to Enterprise Directory Use Groups for Users Use Roles for Servers Apply Least Privilege Use Context-Based Policies Require Strong Authentication for Sensitive Operations Require MFA for Admins Integrate With Enterprise PAM Virtual Machine Management OS Management Applications Log Systems Directories Through 2020, 80% of cloud breaches will be due to customer misconfiguration, mismanaged credentials or insider theft, not cloud provider vulnerabilities. - Gartner File Systems

11 Normalisering Kategorisering Rapportering Enheder Sårbarheder Korrelering Baseline Troværdighed Lokation Trusler Geo Alarmer Dubex Security Monitoring & Security Analytic Software as a service SaaS Identity user & SaaS access Cloud Activity SaaS -level activity API CASB (data at rest) Proxy/EP CASB data in motion&use Infrastructure as a service - IaaS Privileged access events Vulnerability & Threat intelligence Virtualized workload activity Cloud configuration changes Server and Desktop OS Firewalls/ VPN Directory Services Physical Infrastructure IPS/IDS Identity Management System Health Information Network Equipment Vulnerability Assessment Anti-Virus Databases Applications Security Intelligence Information Inventory Vulnerabilities Geo-location Threats Few suspicious events for manual handling Users Configuration Netflow Qualified events forwarded to customer Analysis and Big Data

12 Udviklingen i Cloud Computing

13 Fog Computing (AKA edge computing) Fog computing places processes and resources at the edge of the cloud, often on network devices, while data remains stored in the cloud. This leads to faster processing times and fewer resources consumed. Traditional cloud computing, on the other hand, concentrates all applications and data in the cloud. Fog computing is a response to some of the issues and problems encountered from regular cloud computing. Cloud Computing Issue: Bandwidth - Transmitting and processing data requires bandwidth. The more data, the more bandwidth is needed. Wireless networks that use the cloud have their own limitations. Data transmission simply isn t fast enough Amplifying these problem is the growth of the Internet of Things, which will use more data and require much more bandwidth Fog Computing and the Internet of Things By 2020, the number of things that are part of the IoT may reach up to 50 billion. That s a lot of data being generated Current cloud computing models can t keep up with the amount of bandwidth that will be needed. Fog computing goes around the internet entirely by processing data locally. Fogging basically helps cloud systems by easing the burden of processing data Fog computing can also be used in other areas / Fog Computing Uses: Smart Cities - Fog computing helps collect data on city activities from traffic to utilities, ensuring everything is running efficiently. Air Travel - A single engine on a Boeing 747 generates 0.5TB of data. Fog computing can process that data locally and send only the most important bits of information to those who need to see it. Wearable Technology - Wearables with virtual interfaces need to process their environment locally to aid the user. Fog computing allows for that processing to happen almost immediately, improving the user experience.

14 Anbefalinger Udvikle en holistisk cloud-sikkerhedsstrategi, som omfatter: Baseret på Shared Responsibility Model Beskyttelsen af virksomhedernes SaaS-applikationer Beskyttelsen af virksomhedernes systemer, der kører i offentligt eller privat IaaS Security Management & overvågningstjenester i Cloud Omfatter alle led i sikkerhedsprocessen Risikostyring og planlægning (Predict & Identify) Implementering af passende, afvejede kontroller (Prevent & protect) Overvåning så angreb og kompromitteringer opdages (Detect) Reaktion, beredskab og Incident Response (Respond & recover) Generelt Forstå konsekvenserne ved at anvende en global infrastruktur og hvor data opbevares Husk at hvis data er ekstremt følsomme, og fx memory snapshot er en uacceptabel risiko, så bør de holdes lokalt Ved evalueringen cloud-udbydere, så undersøg også deres understøttelse for tredjeparts sikkerhedsløsninger og økosystem for sikkerhed Krypter og/eller masker følsomme og fortrolige data in rest and in transit. Husk også at beskytte nøglerne! Overvågning

15 Anbefalinger - sikkerhedsprocessen Risikostyring og planlægning (Predict & Identify) Definer og kategoriser aktiver i skyen ISMS; Etabler en standard og proces for implementering, drift, overvågning, audit, vedligeholdelse & forbedring Tilpas eksisterende processer, værktøjer og metoder til brug i skyen Implementering af passende, afvejede kontroller (Prevent & protect) IAM - beskyt dine brugere i skyen baseret på least privilege princippet Beskyt data i hvile & i transit Sikring af operativsystemer, applikationer og infrastruktur Zoneinddeling og netværkssegmentering Overvågning så angreb og kompromitteringer opdages (Detect) Overvågning, alarmering og Audit Trail Overvej en big data arkitektur og machine learning som en del af SIEM / SOC-strategi Reaktion, beredskab og Incidient Response (Respond & recover) Incident Response

16 Anbefalinger Infrastructure as a Service (IaaS) Forstå, accepter og design omkring de begrænsninger der trods alt er i en cloud-infrastruktur Sørg for at have styr på den basale sikkerhed grundlæggende hærdning, konfiguration og patch management af OS og applikationer Anvend gerne whitelisting som fundament for serverbeskyttelse, men husk stadig løbende overvågning Planlæg de sikkerhedskontroller, som compliance og sikkerhed vil kræve Software as a Service (SaaS) Prøv at finde en SaaS, der har alle de nødvendige funktioner, så egen udvikling og tilpasning undgås Planlæg anvendelse af en Cloud Access Security Broker Vurder en trinvis tilgang (adgang, rettigheder & discovery først) Planlæg aktive kontroller (DLP, kryptering), forstår implementeringsmuligheder (API, proxy, EP)

17 Risikobegrænsning Risikoen kan ikke fjernes, kun begrænses Sikkerhed kan ikke købes som produkt Sikkerhed opnås ved en blanding af Procedure & ledelse (Management issues) Design, værktøjer og tekniske løsninger Løbende overvågning og vedligeholdelse Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem

18 Understøttelse af sikkerhedsprocessen Predict & identify Prevent & protect Detect Respond & recover Security capabilities Risk management Vulnerability management Fundamental security Security monitoring Incident handling Disaster recovery Visibility Analytics Advanced security Threat intelligence Containment Forensic Dubex Security Professionals & Consulting Security Operations & Analytics Centers Dubex Managed Services Dubex Support options Technology providers

19 Hvordan løser Dubex dine sikkerhedsudfordringer? DUBEX-PLATFORMEN Mennesker Proces Politik Forretning Teknologi CONSULTING FINANCIAL SERVICES INDUSTRIAL INSURANCE IT & TELECOM MEDIA MEDICAL & BIOTECH PUBLIC SECTOR RETAIL & CONSUMER PRODUCTS TRANSPORTATION

20 Hvad kan Dubex bidrage med? Check Point Partner siden 1998 Blue Coat Premier Partner Danmarks største Trend Micro kompetencecenter Check Point 4-stjernet partner Langt det største antal Check Point-certificerede konsulenter samlet i én virksomhed i Danmark Interne kurser/kompetence udvikling med Check Point PS Tæt samarbejde med Check Point Danmark, Check Point TAC m.m. Blue Coat-partner siden 2004 den største Blue Coat-partner i Danmark Første og eneste partner udnævnt som Bluetouch Certified Partner, herunder opfylder de særlige krav omkring træning Dubex-medarbejder der er udnævnt til Blue Knight, som er Blue Coat s allerhøjeste specialistgrad, der kun gives til nogle få, udvalgte konsulenter Trend Micro Platinum Partner Trend Micro xsp Service Provider Partner Trend Micro Endpoint and Mobility Security Specialist Trend Micro Certified Security Master (flere forskellige)

21 Hvad skal du gøre, når du kommer hjem? På mandag Skaf et overblik over jeres aktuelle cloud-tilstand hvor og hvilke cloud-services anvendes i dag? Husk shadow IT Næste uge Risikovurder jeres cloud-anvendelse Afstemning af jeres cloudstrategi Næste måned Start implementeringen af de kontroller, risikovurderingen viser, der er behov for

22 Kommende arrangementer Læs mere på

23 Hold dig opdateret Tilmeld dig Dubex nyhedsbrev Besøg Følg Dubex på LinkedIn & Twitter Deltag på Dubex arrangementer twitter.com/dubex

24 Tak!