Trend Micro Round Table Det aktuelle trusselsbillede

Relaterede dokumenter
It-sikkerhed og tendenser for hvad skal du være opmærksom på? It-sikkerhed trusler og udfordringer nu og i fremtiden

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

Sådan får du styr på de digitale risici

APT & Advanced Threat Protection - i et dansk perspektiv. Peter Sindt 28. august 2014

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017

Security & Risk Management Summit

Sikker digitalisering som vækststrategi sikkerhedsudfordringer og muligheder i kommuner

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

Status fra Sikkerhedsfronten. Jens Borup Pedersen DK-CERT/DeiC

APT & Advanced Threat Protection - i et dansk perspektiv

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

Security & Risk Management Summit

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer

Mini-guide: Sådan sikrer du din computer mod virus

KMD s tilgang til cybertrussler. Public

STUXNET. Ondsindet angreb på SCADA server Hvad er nyt og hvordan sker dette? Johan Peder Møller

Databeskyttelse - DLP Lækage af følsomme data udfordringer og krav. Jacob Herbst jhe@dubex.dk

Kundecase: Sådan skaber Blue Coat s løsninger værdi hos Haldor Topsøe

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Center for Cybersikkerhed: Truslen i cyberspace. Hovedvurdering

Modernisering af virksomhedens fundamentale sikkerhed. Jacob Herbst, CTO, Dubex A/S Vejle, den 21. maj 2015

PRAKTISK IT-SIKKERHED

Sikkerhed i applikationsudvikling

Vi introducerer KASPERSKY ENDPOINT SECURITY FOR BUSINESS

IT- SIKKERHED. Omfanget og konsekvensen af IT-kriminalitet

Vores mange brugere på musskema.dk er rigtig gode til at komme med kvalificerede ønsker og behov.

BESKYT DIN VIRKSOMHED UANSET HVOR DEN FØRER DIG HEN. Protection Service for Business

IBM Network Station Manager. esuite 1.5 / NSM Integration. IBM Network Computer Division. tdc - 02/08/99 lotusnsm.prz Page 1

- for forretningens skyld

Velkommen VI BYGGER DANMARK MED IT

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Databeskyttelse: Data er valuta i høj kurs! Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Informationssikkerhed om fem år. Nye udfordringer giver nye kommercielle fordele. Luke Herbert

Konkrete erfaringer - kan infrastrukturen beskytte mod Malware/APT? Og hvad gør man når der har været ubudne gæster?

MARITIME PROFESSIONALS, ASHORE AND AT SEA. Online Identitet

Kundecase: Sådan skaber Blue Coat s løsninger værdi hos Haldor Topsøe. Peter Sindt psi@dubex.dk Copenhagen,

VPN VEJLEDNING TIL MAC

Managing risk & compliance, enabling growth. Finans IT-dagen september 2012 Jacob Herbst, jhe@dubex.dk

DET KONGELIGE BIBLIOTEK NATIONALBIBLIOTEK OG KØBENHAVNS UNIVERSITETS- BIBLIOTEK. Index

Erhvervsleder i Praktik og IBM

It-sikkerhed i danske virksomheder

Forordningens sikkerhedskrav

Ingen kompromier - Bedste beskyttelse til alle computerere CLIENT SECURITY

- Hvad er det, hvad gør det og hvordan kan du beskytte dig?

Help / Hjælp

Hvor er mine runde hjørner?

Citrix CSP og Certificate Store Provider

Engelsk. Niveau C. De Merkantile Erhvervsuddannelser September Casebaseret eksamen. og

guide til it-sikkerhed

Morten Juul Nielsen Produktchef Microsoft Danmark

Trolling Master Bornholm 2014

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank

SAS Corporate Program Website

Shared space - mellem vision og realitet. - Lyngby Idrætsby som case

Udvikling i danskernes gæld, RKI og gode råd om kreditvurdering

Engelsk. Niveau D. De Merkantile Erhvervsuddannelser September Casebaseret eksamen. og

Portal Registration. Check Junk Mail for activation . 1 Click the hyperlink to take you back to the portal to confirm your registration

Naalakkersuisut Government of Greenland. Digitaliseringsstyrelsen. Statusrapport. Rapportperiode: oktober

Sådan er fremtidens virtuelle arbejdsplads idag! Copyright 2011 Microsoft Corporation

Transkript:

Trend Micro Round Table Det aktuelle trusselsbillede Søborg, 20. november 2012 Jacob Herbst, jhe@dubex.dk

It-udfordringer Interne krav - forretningen Reduktion af omkostninger Grøn it Fleksibilitet Tilgængelighed og performance Interne krav - brugere Adgang til sociale netværk Mobil adgang overalt Work/life balance Consumerization og user empowerment Applikationer Web baserede applikationer Peer-to-peer applikationer Web 2.0 (sociale, wiki, blogs) Nye mobile operativ systemer og applikationer Trusler Organiseret kriminalitet Målrettede angreb - APT Tilfældige angreb og datatab Dag-0 sårbarheder Eksterne krav Compliance Forventninger fra kunder Aftaler og SLA er Teknologisk udvikling Trådløse teknologier og mobile enheder Båndbredde, netværk og IPv6 Telepresense Open Source

Sikkerhedstendenser Udfordrende trusselsbillede APT angreb Dag-0 angreb Polymorfisk angreb Målrettede angreb Avanceret infrastruktur Konvergens på IP-netværk Virtualisering Mobile devices Organizations face an evolving threat scenario that they are ill-prepared to deal with.advanced threats that have bypassed their traditional security protection techniques and reside undetected on their systems. Øget kompleksitet Sikkerhed er komplekst Flere opgaver Manglende interne ressourcer og kompetencer Angreb stiger i kompleksitet og hyppighed Information er blevet strategisk Vores virksomheder bygger på information Kommunikation er vital Dataeksplosion Big data

Hvorfor bliver vi angrebet? Intellektuelle værdier Forretningshemmeligheder kan misbruges af konkurrenter Konsekvenser Kunderne har ret til fortrolighed og integritet Tab af kundernes data er uacceptabel Ansvar / risiko for handling Regulatoriske krav (USA) - State "Breach Notification" Love (dvs. SB1386) Negativ indvirkning på "brand value", tab af værdifulde oplysninger, tab af troværdighed, tab af offentlighedens tillid osv. Mistede konkurrencefordele Spionage Konkurrenter Kriminelle Terrorisme Dyson alleges Bosch corporate espionage Tom Espiner, October 25 2012 Engineering firm Dyson has alleged that rival Bosch used an insider to steal company secrets. Dyson filed legal proceedings against Bosch in the High Court on Tuesday, a Bosch spokeswoman told SC Magazine on Wednesday. Dyson alleges that an employee working at its Malmesbury research facility passed details about Dyson motors to Bosch over a period of two years, according to the Independent. "We have spent over 15 years and 100 million developing high speed brushless motors, which power our vacuum cleaners and Airblade hand dryers," Dyson research and development director Mark Taylor said in a statement. "We are demanding the immediate return of our intellectual property." Politiske Angreb Cyberwar http://www.scmagazineuk.com/dyson-alleges-bosch-corporate-espionage/printarticle/265396/

http://krebsonsecurity.com/2012/10/service-sells-access-to-fortune-500-firms/ Udfordringer - sårbarheder og angreb Mindre, hyppigere, målrettede og mere intelligente angreb Specialisering og arbejdsdeling blandt itkriminelle Målrettet screening og misbrug af sårbarheder Målrettet geografisk og efter sprog Unik malware for hver angreb/infektion Blandede angreb Flere samtidige angrebsvektorer Flere samtidige dag-0 sårbarheder Anvendelse af kompromitterede certifikater Sårbarheder i produktionsudstyr - fx PLCudstyr Adskillige anvendelser af f.eks. botnets Social engineering Angreb der udnytter betroede "brands" Angreb rettet mod sociale netværk Social engineering angreb såsom phishing Service Sells Access to Fortune 500 Firms Monday, October 22nd, 2012 at 12:01 An increasing number of services offered in the cybercrime underground allow miscreants to purchase access to hacked computers at specific organizations. For just a few dollars, these services offer the ability to buy your way inside of Fortune 500 company networks. The service I examined for this post currently is renting access to nearly 17,000 computers worldwide, although almost 300,000 compromised systems have passed through this service since its inception in early 2010.

Hændelser - 2012 Global Payments: data breach cost a whopping $84.4 million Ellen Messmer July 26, 2012 (Network World) Global Payments, which back in the spring reported a data breach in which information associated with an estimated 1.4 million payment cards was stolen, has revealed that expenses associated with investigations, fines and remediation has hit $84.4 million. New, sneakier Flashback malware infects Macs Ditches all attempts at duping users with social engineered tactics, exploits Java bug through drive-by attacks Gregg Keizer April 24, 2012 (Computerworld) The Atlanta-based payments-processing firm acknowledged that number as part of its fiscal report for 2012 revenues, which totaled about $2.2 billion, up 18% from $1.82 billion in 2011. Researchers identify Stuxnetlike malware called 'Flame' Security researchers believe that a newly identified cyberespionage threat called Flame is even more complex than Stuxnet or Duqu Lucian Constantin May 28, 2012 (IDG News Service) A new, highly sophisticated malware threat that was predominantly used in cyberespionage attacks against targets in the Middle East has been identified and analyzed by researchers from several security companies and Cpr.dk fortsat under angreb: organizations. According to the Offline Iranian Computer for at Emergency lappe huller Response Team Cpr.dk (MAHER), er stadig the nede new efter piece tirsdagens of angreb malware is called fra hackerbevægelsen Flamer and might be Anonymous. responsible for Leverandøren recent data loss er i incidents fuld gang in med at lukke de Iran. There are sikkerhedshuller, also reasons to believe angrebet that er the sket igennem. malware is related Af Morten to the K. Stuxnet Thomsen and Duqu cyberespionage Onsdag, threats, 7. the november organization 2012 said - 10:44 on Monday. Mere end et døgn efter, at hackerbevægelsen Anonymous tog ansvaret for et angreb på hjemmesiden cpr.dk, er sitet stadig nede. A new, sneakier variant of the Flashback Læs også: Anonymous slår til i Danmark: Vi ha malware was uncovered yesterday Update: by the Hackers exploit new IE hacket CPR.dk og Atea French security firm Intego. zero-day vulnerability»leverandøren (Webtop, red.) er ved at lukke HD Moore, maker of Metasploit, de huller, urges der blev users benyttet to til den ulovlige Flashback.S, which Intego described ditch Monday, IE7, IE8 and IE9 until indtrængen. Microsoft Derfor fixes er sitet nede,«siger uses the same Java vulnerability as critical an earlier flaw Carsten Grage, der er chef for Økonomi- og version that has infected an estimated Gregg 820,000 Keizer Indenrigsministeriets kontor for it og CPR. Macs since its appearance and still September plagues 17, 2012 (Computerworld) over 600,000 machines.

Angreb typer og konsekvenser Sandsynlighed Mål Metode Orme og botnet Datatab APT Tilfældige Internet brugere Kreditkort-håndterende virksomheder Regeringer og kritisk infrastruktur Simple angreb SPAM, orme og botnet Avanceret datatyveri Avancerede målrettede angreb spear phishing Mere sofistikerede angreb - APT Kriminalitet og profitdreven Cyber warfare og spionage Cyber-terrorisme og hacktivism RSA Via spear phishing kompromitteres information om SecurID tokens Omkostninger: USD 50-100 mio. Epsilon Oplysninger om 100.000 stjålet efter spear phishing angreb Omkostninger: USD 100 mio. USD 4 mia. Sony Playstation Network Anonymous angreb - 100 mio. brugere kompromitteret Omkostninger: USD 13.4 mia.

APT Advanced Persistent Threats Udfordringer - angreb og metoder Synlige Slørede Kompromittering er vanskeligt at detektere Sløringsteknikker til at undgå afsløring Angreb rettet gennem perimeter Truslerne er web-baseret Udbredelsen af netværk overalt gør opdagelse endnu vanskeligere Angreb rettet mod slutbrugere Indirekte angreb på klienter Angreb rettet mod sociale netværk Slutbrugeren bliver narret af social engineering Indirekte angreb via betroede eksterne tredjeparter Sårbarheder i software gør det bare endnu nemmere at narre slutbrugerne Sårbarheder og avancerede dag-0- angreb Hurtig udnyttelse af sårbarheder Misbrug af ukendte sårbarheder - dag-0 Tidligere Kendte sårbarheder Brede Engangsangreb APT Ukendte dag-0 sårbarheder Målrettede Vedholdende 56% af kompromitteringerne opdages først efter flere måneder Avancerede 59% af kompromitteringerne er først fjernet flere uger efter opdagelse

APT Advanced Persistent Threats Typisk forløb af en APT baseret angreb Phishing angreb Zeroday angreb Trojansk hest Interne sårbarheder Data indsamling Data udtræk En række brugere modtager målrettet phisingmail Bruger åbner vedlagt fil eller tilgår link Brugerens maskine inficeres med malware - Trojanskhest Angriberen udnytter sårbarheder til at få flere rettigheder Data samles sammen og gøres klar til at blive hentet Krypterede data sendes fx via ftp til et eksternt kompromitteret system

Malware - Udviklingsproces Sløring og kvalitetstestning Original Malware Indeholder grundlæggende ondsindede funktioner: DDoS, stjæle data, sprede infektionen,.. Permutationer Forvanskelse af malware. Danne adskillige varianter for at omgå detektion Kvalitetstestning Teste nye mutationer mod seneste opdaterede antivirus scanningsmønstre Deployering Kun malware som kommer igennem QA (dvs. ikke detekteret) bliver forsøgt udbredt Afvist hvis detekteret af anti-virus software Mange forskellige varianter af samme malware fremstilles automatisk forud for et angreb Kun varianter der kommer igennem kvalitetstestningen (=omgår antivirus) bruges i selve angrebet De nye varianter frigives med jævne mellemrum for konstant at være foran antivirus mønster opdateringerne Malware er vidt udbredt og kan fremstilles så det omgår det traditionelle perimeter forsvar o.a. beskyttelse

Malware as a Service Malware offered for $249 with a Service Level Agreement and replacement warranty if the creation is detected by any anti-virus within 9 months Source: www.turkojan.com

Sårbarheder - udfordringer Sårbarheder er design eller implementeringsfejl, der kan resultere i kompromittering af fortroligheden, integriteten eller tilgængeligheden Mindre sikkerhedshuller (implementeringsfejl) rettes som regel rimeligt hurtigt af leverandøren Applikationer Operativ system Transport Netværk Forskel på hvornår og hvordan en fejl betragtes som en sårbarhed Industry-wide vulnerability disclosures, 2H09 1H12 Industry-wide operating system, browser, and application vulnerabilities, 2H09 1H12 Microsoft Security Intelligence Report #13

Rettelse af sårbarheder Med Window of Exposure forstås den tid der går fra en exploit bliver tilgængelig til sårbarheden er rettet TID Ukendt men nogen gange ved man ikke at der findes en sårbarhed og en exploit I 65% af tilfældene har leverandøren en patch klar når sårbarheden bliver offentlig kendt. 100% 80% 60% 40% Patch Availability Dag-0 sårbarhed Opdagelse Offentliggørelse Patch tilgængelig IPS Signatur frigives 20% Patch installeret 0% 0 10 20 30 40 50 60 70 80 90 Days since Disclosure

Baggrunden for dag-0 angreb Dag-0 angreb Når metoden til at udnytte en sårbarhed bliver kendt, før der er frigivet en rettelse Brugere af den pågældende software er udsatte, indtil der frigives en sikkerhedsrettelse Omkring 80% af alle sårbarheder kan umiddelbart misbruges dvs. der kræves ikke udvikling af en ny exploit eller en exploit findes allerede Baggrund for dag-0 sårbarheder Automatiske værktøjer til at finde sårbarheder fx fuzzing Automatiske metoder (disassembly / debug) til at finde de sårbarheder som rettes med sikkerhedsopdateinger Information om sårbarheder handles og udveksles online mellem kriminelle arbejdsdeling og specialisering Lettilgængelige værktøjer til at fremstille malware der misbruger sårbarheder 1980-90 Reaktionstid: Måneder 2000-2002 Reaktionstid : Timer 2003-Fremtiden Reaktionstid : Sekunder

Dag-0 sårbarhed i Internet Explorer OnMove Use After Free Vulnerability CVE-2012-1529 Internet Explorer 6/7/8/9 - Windows XP/Vista/7 Eksperter advarer mod Internet Explorer Tirsdag den 18. september 2012, 08:35 Sikkerhedshul giver hackere mulighed for at overtage computeren. Eksperter anbefaler, at man skifter til et andet internetprogram, indtil Microsoft stopper hullet. Et alvorligt sikkerhedshul i internetprogrammet Internet Explorer får nu Microsoft selv til at råbe vagt i gevær og bede folk om at hente en opdatering selv. Eksperter anbefaler, at man i stedet skifter til et andet internetprogram, indtil Microsoft har fået løst problemet. Sikkerhedshullet påvirker hundreder af millioner af Internet Explorer-brugere. Det betyder, at en hacker kan skaffe sig adgang til folks computere og alle deres filer, hvis de ved en fejl får klikket sig ind på et ondsindet netsted. 14. september 2012 Første dokumenterede indikationer på at sårbarheden aktivt forsøges misbrugt det vides ikke hvor lang tid sårbarheden har været misbrugt 17. september 2012 Information on sårbarhed offentliggøres Opdagelsen af sårbarheden tilskrives Nitro der sættes i forbindelse med den kinesiske regering. Nitro har tidligere misbrugt andre dag-0 sårbarheder. 18. september 2012 Microsoft offentliggør workaround som dog er temmelig komplekst at implementere. Antivirusproducenterne opdaterer deres mønsterfiler i forhold til specifik malware der misbruger sårbarheden i IE. 19. september 2012 IPS producenterne er klar med beskyttelse virtuelle patches 21. september 2012 Microsoft retter sårbarheden med MS12-063

Beskyttelse mod sårbarheder Advanced Threat Protection Metoder til at detektere dag-0 angreb Emulering af ukendte filers opførsel i et sandbox-miljø Blokerer for indgåede dag-0 angreb via web og mail Blokering af callback funktioner Karantæne af mistænkelige filer og e-mail Detaljeret rapportering om mistænkelige hændelser IPS - Intrusion Prevention System Signaturbaseret overvågning af trafik til netværk og klienter Mulighed for at blokere for trafik i realtid Beskyttelse af systemer med manglende opdateringer virtuel patching - inddæmning af et udbrud/angreb, mens det sker IDS/IPS leverandører frigiver mønstre der kan detekterer og blokerer for sårbarheder samtidig med patchen TID Dag-0 sårbarhed Ukendt Opdagelse Offentliggørelse Patch tilgængelig IPS Signatur frigives Patch Management Patchen fjerner den grundlæggende root cause sårbarhed Sikring af patches installeres på alle systemer Sikrer opdatering af operativsystem, applikationer og alle plug-ins Understøttelse for alle anvendte applikationer Rapportering af compliance og patchniveau Patch installeret

Advanced Threat Protection Generisk beskyttelse mod ukendte sårbarheder og malware Målrettede angreb anvender unik malware Miljø til virtuel afvikling af mistænkelige filer Forskellige operativ systemer, programmer og versioner Opsamling af information om kommunikation så efterfølgende angreb kan genkendes Kontrol af alle kommunikationskanaler Web Mail Filer Blokering af mistænkelig kommunikation Rapportering Information om mistænkelig filer Information om inficerede maskiner

Udfordringer baggrund for Dubex platformen Kompleksitet Mange produkter og mange konfigurationer Management & drift Håndtering af mange ændringer Adaptability Behov for hurtig tilpasning og ændringer Forretningsmæssig risikostyring Tilpasning af sikkerhedsniveau til behov Trusler Konstant ændret trusselsbillede Teknologi Cloud, Virtualisering, Mobility, Big data & Sociale Medier

Hvordan løser Dubex dine sikkerhedsudfordringer? DUBEX-PLATFORMEN Mennesker Proces Politik Forretning Teknologi

Vi tilpasser teknologier til dine forretningsbehov DUBEX-PLATFORMEN EXPERT SUPPORT TECHNOLOGY EVALUATION & SOLUTION DEVELOPMENT OPERATION AND MAINTENANCE LICENSE MANAGEMENT CONSULTING & PROJECT MANAGEMENT CASE MANAGEMENT

Risikobaseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger Risikostyring er en løbende proces

Løsninger - Security in depth Kontrol og overblik Flere forskellige redundante og uafhængige sikkerhedsmekanismer Sikkert design proaktiv/generisk sikkerhed Anvend forebyggende teknologier Indbyg sikkerhed i systemerne Aktiv beskyttelse reaktiv sikkerhed Supplerer den indbyggede sikkerhed Overvåger intern trafik for afvigende mønstre Overvågning Overvågning af handlinger på systemer og netværk Konsolidering, sammenstilling og intelligent analyse af logfiler Politikker og procedurer Management Overvågning & korrelation Perimeter Netværk Host Applikation Data Brugere Murphy's law: Anything that can go wrong will go wrong.

Cyberkrig - risikostyring Efter Stuxnet bliver risikoen for cyberkrig taget seriøst Risiko for angreb på kritisk infrastruktur dvs. elektricitets-, vand-, og energiforsyningen Samfundets afhængighed af fungerende it-systemer vokser Eksempler på hændelser bl.a. mod Estland og Georgien Cyberkrig er større trussel mod Danmark end terror Torsdag den 25. oktober 2012, 21:45 Digitale angreb er nu den største trussel mod Danmark, fastslår Forsvarets Efterretningstjeneste (FE). Det skete for Estland i 2007, da ministeriers, mediers og telefonselskabers hjemmesider blev angrebet. Det skete for Georgien i 2008, da et kæmpemæssigt cyberangreb lammede et stort antal officielle hjemmesider, og det skete for Iran i 2010, da det iranske atomanlæg Natanz blev angrebet af computervirussen Stuxnet. Risikoen for cyberkrig bliver i dag taget seriøst»der er en stigende trussel mod Danmark i cyberspace. I takt med, at vi bliver mere digitaliserede, bliver vi også mere sårbare, og derfor kræver truslen fra cyberspace mere opmærksomhed. Vi oplever, at danske interesser og danske myndigheder mere eller mindre konstant er under angreb i cyberspace,«thomas Ahrenkiel, chef Forsvarets Efterretningstjeneste (FE). http://www.b.dk/nationalt/cyberkrig-er-stoerre-trussel-mod-danmark-end-terror

Risikobegrænsning Risikoen kan ikke fjernes, kun begrænses Sikkerhed kan ikke købes som produkt Sikkerhed opnås ved en blanding af Procedure & ledelse / (Management issues) Design, værktøjer og tekniske løsninger Løbende overvågning og vedligeholdelse Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem

TAK! For yderligere information kontakt: jhe@dubex.dk

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback