Managing Risk Enabling Growth

Relaterede dokumenter
Trend Micro Round Table Det aktuelle trusselsbillede

Managing Risk Enabling Growth. Jacob Herbst, CTO, Dubex A/S Søborg, den 7. november 2013

Avancerede angreb og de skjulte risici. Jacob Herbst Søborg, 23. maj 2013

It-sikkerhed og tendenser for hvad skal du være opmærksom på? It-sikkerhed trusler og udfordringer nu og i fremtiden

Managing risk, enabling growth. DANSK-IT, 30. januar 2013 Jacob Herbst,

Sikker digitalisering som vækststrategi sikkerhedsudfordringer og muligheder i kommuner

Managing Risk Enabling Growth. Jacob Herbst København,

Velkomst og praktiske informationer. Jacob Herbst Søborg, 4. juni 2013

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Websikkerhed der understøtter forretningen. Jacob Herbst Søborg, 14. maj 2013

Virksomhedernes cybertilstand

Security & Risk Management Summit

Workshop: Protecting data in a mobile environment. Jacob Herbst, CTO, Dubex A/S

Sådan får du styr på de digitale risici

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

Status fra Sikkerhedsfronten. Jens Borup Pedersen DK-CERT/DeiC

Opdag avancerede angreb hurtigt så du kan agere på dem. Henrik Larsson, Senior Security Consultant, Dubex Vejlefjord den 21.

Managing risk & compliance, enabling growth. Finans IT-dagen september 2012 Jacob Herbst, jhe@dubex.dk

Databeskyttelse - DLP Lækage af følsomme data udfordringer og krav. Jacob Herbst jhe@dubex.dk

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

Vores mange brugere på musskema.dk er rigtig gode til at komme med kvalificerede ønsker og behov.

Security & Risk Management Summit

Kom godt i gang med websikkerhed. Jacob Herbst Søborg, 14. maj 2013

MOC On-Demand Administering System Center Configuration Manager [ ]

Vejen til en succesfuld APT-sikkerhed. Jacob Herbst Søborg, 23. maj 2013

APT & Advanced Threat Protection - i et dansk perspektiv. Peter Sindt & Henrik Larsson Søborg, 7. november 2013

APT & Advanced Threat Protection - i et dansk perspektiv. Peter Sindt 28. august 2014

Managing Risk, Enabling Growth i din virksomhed. Jacob Herbst, CTO, Dubex A/S Vejle, den 21. maj 2015

Kundecase: Sådan skaber Blue Coat s løsninger værdi hos Haldor Topsøe. Peter Sindt psi@dubex.dk Copenhagen,

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Sport for the elderly

Sikkerhed i applikationsudvikling

Strategisk informationssikkerhed

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017

Modernisering af virksomhedens fundamentale sikkerhed. Jacob Herbst, CTO, Dubex A/S Vejle, den 21. maj 2015

Kundecase: Sådan skaber Blue Coat s løsninger værdi hos Haldor Topsøe

It-sikkerhed i danske virksomheder

Trolling Master Bornholm 2015

APT & Advanced Threat Protection - i et dansk perspektiv

PRAKTISK IT-SIKKERHED

STUXNET. Ondsindet angreb på SCADA server Hvad er nyt og hvordan sker dette? Johan Peder Møller

Managing Risk Enabling Growth Through Compliance! Alex Sinvani Copenhagen,

Trolling Master Bornholm 2015

IBM Network Station Manager. esuite 1.5 / NSM Integration. IBM Network Computer Division. tdc - 02/08/99 lotusnsm.prz Page 1

Hvad er Secure endpoints?

SIEM hvilken løsning skal du vælge? Claus Løppenthien, Dubex A/S, 12. maj 2015

MARITIME PROFESSIONALS, ASHORE AND AT SEA. Online Identitet

United Nations Secretariat Procurement Division

Mobil Awareness 2011 CSIS Security Group

HACKERNE BLIVER BEDRE, SYSTEMERNE BLIVER MERE KOMPLEKSE OG PLATFORMENE FORSVINDER HAR VI TABT KAMPEN? MARTIN POVELSEN - KMD

Hvor er mine runde hjørner?

Mobility-strategi Hvordan kommer du i gang?

Sikkerhed og Revision 2013 Finansiel revisors ønsker til it-revisor. 5. september 2013

From innovation to market

LEADit & USEit 2018 CampusHuset - Campus Bindslevs Plads i Silkeborg 25. Oktober 2018

Userguide. NN Markedsdata. for. Microsoft Dynamics CRM v. 1.0

Engelsk. Niveau C. De Merkantile Erhvervsuddannelser September Casebaseret eksamen. og

Security & Risk Management Update 2017

Shooting tethered med Canon EOS-D i Capture One Pro. Shooting tethered i Capture One Pro 6.4 & 7.0 på MAC OS-X & 10.8

Privat-, statslig- eller regional institution m.v. Andet Added Bekaempelsesudfoerende: string No Label: Bekæmpelsesudførende

Bilag. Resume. Side 1 af 12

Velkomst og praktiske informationer

Trolling Master Bornholm 2016 Nyhedsbrev nr. 3

Får styr på virksomhedens it-sikkerhedsmæssige risici. 6. juni 2012 Jacob Herbst

Hvad er cloud computing?

Trolling Master Bornholm 2014

Byg din informationsarkitektur ud fra en velafprøvet forståelsesramme The Open Group Architecture Framework (TOGAF)

CYBERTRUSLEN. Januar Lars Hermind Landechef Danmark

Nyhedsmail, december 2013 (scroll down for English version)

Dagens tema. Kompetencemæssigt begiver vi os ud i de teknologiske forventninger fra Cloud computing til Robotteknologi og programmering

Trolling Master Bornholm 2016 Nyhedsbrev nr. 8

Test af Cloud-baserede løsninger DSTB Ole Chr. Hansen Managing Consultant

Portal Registration. Check Junk Mail for activation . 1 Click the hyperlink to take you back to the portal to confirm your registration

Botnets Organiseret kriminalitet på nettet

Center for Cybersikkerhed: Truslen i cyberspace. Hovedvurdering

Informationssikkerhed om fem år. Nye udfordringer giver nye kommercielle fordele. Luke Herbert

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

SAS USER FORUM DENMARK 2017 USER FORUM. Rune Nordtorp

Det Digitale Mindset? Industri 4.0: Møde 1 Parathed, Potentialer og Udbytte

PARALLELIZATION OF ATTILA SIMULATOR WITH OPENMP MIGUEL ÁNGEL MARTÍNEZ DEL AMOR MINIPROJECT OF TDT24 NTNU

Projektledelse i praksis

Trolling Master Bornholm 2013

Engelsk. Niveau D. De Merkantile Erhvervsuddannelser September Casebaseret eksamen. og

Trolling Master Bornholm 2014

VPN VEJLEDNING TIL MAC

Trolling Master Bornholm 2014

Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz Søborg, 7. november 2013

DET KONGELIGE BIBLIOTEK NATIONALBIBLIOTEK OG KØBENHAVNS UNIVERSITETS- BIBLIOTEK. Index

Business casen ved implementering af Log Management. Claus Løppenthien, Hotel Vejlefjord, 21. maj 2015

Managing stakeholders on major projects. - Learnings from Odense Letbane. Benthe Vestergård Communication director Odense Letbane P/S

Interne og eksterne trusler Sådan håndterer vi trusler fra remote access/ad-hoc adgange fra medarbejdere og leverandører

Trolling Master Bornholm 2016 Nyhedsbrev nr. 7

Velkommen VI BYGGER DANMARK MED IT

xrm både en applikation og en ramme for hurtig udvikling af løsninger til strukturet relationshåndtering og understøttelse af forretningsprocesser

En tur rundt om skyen:

Semco Maritime - Vækst under vanskelige vilkår. Offshoredag 2009 Vice President Hans-Peter Jørgensen

National supercomputing dag Muligheder og Udfordringer

DK - Quick Text Translation. HEYYER Net Promoter System Magento extension

DSB s egen rejse med ny DSB App. Rubathas Thirumathyam Principal Architect Mobile

Transkript:

Security & Risk Management Update Managing Risk Enabling Growth Jacob Herbst Aarhus, 13.06.2013

Agenda IT udviklingen og forretningen Trusselsbilledet Hot topics 2013 Dubex Platformen Forretningsmæssigværdi Konklusion Spørgsmål

It er forretningen Mission for it-afdelingen: Øge virksomhedens indtjening og vækst Ledelsen og bestyrelsen skal forøge og beskytte værdien af virksomheden It er grundlaget for alle forretningsprocesser Synliggørelse af den risiko som itanvendelsen medfører Risikostyring er det værktøj vi kan bruge til beskytte værdien af virksomheden Myndigheder Bestyrelse IT Sikkerhed Risiko Ledelse Udfordringer: Umuligt at synliggøre teknisk it-risiko uden forretningssammenhæng Forretning forstår sjældent værdien og betydningen af it-systemer Forskellige interessenter har forskellig opfattelse af sikkerhed og risiko Kunder Medarbejder CIO

Risikostyring på ledelse- og bestyrelsesniveau Risikostyring Risiko strategi Tager vi de rigtige risici? Risikoappetit Har vores risiko det rette omfang? Evner Er vi effektive til at styre risici? Kender vi de betydeligste risici, vi tager? Er de risici vi tager på linje med vores forretningsmæssige mål og vækststrategier? Vil de risici, vi tager hjælpe os med at opnå konkurrencemæssige fordele? Hvordan passer de risici, vi tager med aktiviteter, der skaber værdi? Har vi rettidig og relevant information til at foretage strategiske valg? Kan vi opnå et afkast, der er i overensstemmelse med vores overordnede risikoprofil? Fremmer eller hæmmer vores kultur det rette niveau af risikotagning adfærd og aktiviteter? Har vi en defineret, formidlet og forstået organisatorisk risikoappetit og tolerance? Er vores risikoappetit kvantificeret både samlet og per hændelse? Er vores reelle risikoprofil i overensstemmelse med vores risikovillighed? Er vores kapital er tilstrækkelig til at understøtte vores risikoprofil? Er vores risikostyringsproces "ensartet", på niveau med vores strategiske beslutningsproces og key performance foranstaltninger? Risikostyring - Er der klarhed over bemyndigelse, afgrænsninger og ansvarsområder? Overvåges vores risikostyringsproces effektivt på tværs af hele virksomheden? Er vores ensartede risikostyringsproces omkostningseffektiv og effektiv?

Drivere it-sikkerhed som enabler Cloud Mobility Big Data Sociale Medier Private Cloud, public Cloud, hybrid cloud SmartPhones og tablets Consumirization Vækst i datamængder Analyse værktøjer Facebook og Twitter Private Cloud Computing is among the highest interest areas across all cloud computing, with 75% of respondents saying they plan to pursue a strategy in this area by 2014. By 2013, 80 percent of businesses will support a workforce using tablets. Big data in 2-5 years will have a transformative impact on the organization and to give appropriate feedback; by 2015 it will allow companies who have mastered the technology to beat competitors by 20 percent for all existing financial metrics. 78% of IT organizations are concerned about the risks of employee driven, unsanctioned use of Web 2.0 tools and technologies Sikkerhed som enabler

It-udfordringer Interne krav - forretningen Reduktion af omkostninger Grøn it Fleksibilitet Tilgængelighed og performance Interne krav - brugere Adgang til sociale netværk Mobil adgang overalt Work/life balance Consumerization og user empowerment Applikationer Web baserede applikationer Peer-to-peer applikationer Web 2.0 (sociale, wiki, blogs) Nye mobile operativ systemer og applikationer Trusler Organiseret kriminalitet Målrettede angreb - APT Tilfældige angreb og datatab Dag-0 sårbarheder Eksterne krav Compliance Forventninger fra kunder Aftaler og SLA er Teknologisk udvikling Trådløse teknologier og mobile enheder Båndbredde, netværk og IPv6 Telepresense Open Source

Infrastrukturudviklingen Fortiden Servere er monolitter Begrænset mobilitet Nutiden Delvis virtualisering Delvis mobilitet Fremtiden Cloud Computing Mobile Enterprise

Enheder/brugere (Mio. logaritmisk) Mobilitet State of the Internet Mobile Will Be Bigger Than Desktop Internet in 5 Years Morgan Stanley, april 2010 Computing Growth Drivers Over Time, 1960-2020E 1.000.000 100.000 Internet of things 10.000 Personal Computing 100 mia.+ 1000 100 10 1 Mainframe computing 1 mio.+ Mini Computer 10 mio.+ http://www.morganstanley.com/institutional/techresearch/ 100 mio.+ Desktop Internet 1 mia.+ Mobil Internet 10 mia.+ Hver ny cyklus: Mere processorkraft Bedre brugerinterface Mindre fysisk størrelse Lavere priser Flere services Seneste cyklusser har typisk varet 10 år 1960 1970 1980 1990 2000 2010 2020

Sikkerhedstendenser Udfordrende trusselsbillede APT angreb Dag-0 angreb Polymorfisk angreb Målrettede angreb Avanceret infrastruktur Konvergens på IP-netværk Virtualisering Mobile devices Organizations face an evolving threat scenario that they are ill-prepared to deal with.advanced threats that have bypassed their traditional security protection techniques and reside undetected on their systems. Øget kompleksitet Sikkerhed er komplekst Flere opgaver Manglende interne ressourcer og kompetencer Angreb stiger i kompleksitet og hyppighed Information er blevet strategisk Vores virksomheder bygger på information Kommunikation er vital Dataeksplosion Big data

Forretning drivere der påvirker it sikkerhed Eksterne drivere Økonomi Udsving på aktiemarkedet Love og regler Trusselsbillede Spionage Social engineering Branche-risikoprofil Terrorisme Forretningsmodel Hacktivism Sårbarheder Serviceleverandører Ondsindede insidere Lille kontrol Interne drivere Politikker og compliance Budget Bemanding og personale Markedsføring til kunder Firma kultur Serviceleverandører Samarbejde Forretningsmodel Revision Hændelser Større kontrol

Hændelser - 2012 Global Payments: data breach cost a whopping $84.4 million Ellen Messmer July 26, 2012 (Network World) Global Payments, which back in the spring reported a data breach in which information associated with an estimated 1.4 million payment cards was stolen, has revealed that expenses associated with investigations, fines and remediation has hit $84.4 million. The Atlanta-based payments-processing firm acknowledged that number as part of its fiscal report for 2012 revenues, which totaled about $2.2 billion, up 18% from $1.82 billion in 2011. Researchers identify Stuxnetlike malware called 'Flame' Security researchers believe that a newly identified cyberespionage threat called Flame is even more complex than Stuxnet or Duqu Lucian Constantin May 28, 2012 (IDG News Service) A new, highly sophisticated malware threat that was predominantly used in cyberespionage attacks against targets in the Middle East has been identified and analyzed by researchers Swedish websites down after from several security companies and New, sneakier Flashback organizations. Anonymous threats malware infects Macs According to the Anonymous Iranian Computer promised Emergency to attack some sites Response Team Ditches all attempts at duping after (MAHER), police raid the on new a hosting piece of service associate malware is called with Flamer The Pirate and Bay might be users with social engineered responsible for Grant recent Gross data loss incidents in tactics, exploits Java bug Iran. There are October also reasons 5, 2012 to believe (IDG News that Service) the malware is related to the Stuxnet and Duqu through drive-by attacks cyberespionage Gregg Keizer A handful threats, of the Swedish organization websites said remained down on Monday. April 24, 2012 (Computerworld) Friday evening there after hacking group Anonymous threatened earlier this week to A new, sneakier variant of the Flashback attack the nation for a police raid on a hosting malware was uncovered yesterday Update: by the Hackers service exploit that new was once IE home to The Pirate Bay. French security firm Intego. zero-day vulnerability HD Moore, maker of Metasploit, As of 6:45 urges p.m. users Swedish to time Friday, the Flashback.S, which Intego described ditch Monday, IE7, IE8 and IE9 until website Microsoft of the fixes Swedish Security Service was uses the same Java vulnerability as critical an earlier flaw down, as well as Sweden.se and version that has infected an estimated Gregg 820,000 Keizer Studyinsweden.se, with the latter two sites Macs since its appearance and still September plagues 17, 2012 (Computerworld) apparently down for most of the week because over 600,000 machines. of distributed denial-of-service attacks.

Hændelser - sårbarheder Update: Hackers exploit new IE zero-day vulnerability HD Moore, maker of Metasploit, urges users to ditch IE7, IE8 and IE9 until Microsoft fixes critical flaw Gregg Keizer September 17, 2012 (Computerworld) Attackers are exploiting a "zero-day" vulnerability in Microsoft's Java Internet Under Explorer Attack (IE) Again, and hijacking Windows Disable PCs that cruise Now to malicious or compromised By Mathew websites, J. Schwartz, security InformationWeek experts said Monday. January 11, 2013 Internet Explorer 8 Zero Day Exploit Targeted Nuclear Workers May 06, 2013 11:32 AM EST By Max Eddy Microsoft confirmed the Security IE bug, experts saying, have "We're a message for all aware of targeted attacks businesses: potentially Disable affecting Java now, and keep it Late in April, security researchers discovered some versions of Internet disabled. Explorer," That's but their did advice not message after the an exploit in Internet Explorer 8 that allowed set a timetable for fixing discovery the flaw. Thursday of yet another zero-day attackers to execute malicious code on a Java vulnerability, as well as a number of victim's computer. Most troublingly, the exploit Nu igen: Nyt Java-sikkerhedshul attacks that are already exploiting the flaw to has been found in the wild on a U.S. run arbitrary code on PCs. sat til salg for 28.000 Department kroner of Labor (DoL) Website, possibly Torsdag den 17. januar 2013, targeting 10:03 workers with access to nuclear or "It looks like this exploit is being Få used dage in efter at least Oracle lukkede other et sikkerhedshul toxic materials. i This weekend, Microsoft four different active exploit kits Java, -- Blackhole, blev en ny sårbarhed udbudt confirmed til salg that på the et exploit was a new zero-day Cool Exploit Kit, Nuclear Pack hackerforum. and Redkit," in IE 8. said research engineer Nick Randolph, who's part of the Sourcefire Vulnerability Bitsene Research er knapt nok blevet tørre efter opdateringen til Java 7 Update 11, før et nyt

Hvorfor bliver vi angrebet? Intellektuelle værdier Forretningshemmeligheder kan misbruges af konkurrenter Konsekvenser Kunderne har ret til fortrolighed og integritet Tab af kundernes data er uacceptabel Ansvar / risiko for handling Regulatoriske krav (USA) - Stat "Breach Notification" Love (dvs. SB1386) Negativ indvirkning på "brand value", tab af værdifulde oplysninger, tab af troværdighed, tab af offentlighedens tillid osv. Mistede konkurrencefordele Dyson alleges Bosch corporate espionage Tom Espiner, October 25 2012 Engineering firm Dyson has alleged that rival Bosch used an insider to steal company secrets. Dyson filed legal proceedings against Bosch in the High Court on Tuesday, a Bosch spokeswoman told SC Magazine on Wednesday. Dyson alleges that an employee working at its Malmesbury research facility passed details about Dyson motors to Bosch over a period of two years, according to the Independent. Spionage Konkurrenter Kriminelle Terrorisme "We have spent over 15 years and 100 million developing high speed brushless motors, which power our vacuum cleaners and Airblade hand dryers," Dyson research and development director Mark Taylor said in a statement. "We are demanding the immediate return of our intellectual property." http://www.scmagazineuk.com/dyson-alleges -bosch-corporate-espionage/printarticle/265396/ Politiske Angreb Cyberwar

Udfordringer - sårbarheder og angreb Mindre, hyppigere, målrettede og mere intelligente angreb Specialisering og arbejdsdeling blandt itkriminelle Målrettet screening og misbrug af sårbarheder Målrettet geografisk og efter sprog Unik malware for hver angreb/infektion Blandede angreb Flere samtidige angrebsvektorer Flere samtidige dag-0 sårbarheder Anvendelse af kompromitterede certifikater Sårbarheder i produktionsudstyr - fx PLCudstyr Adskillige anvendelser af f.eks. botnets Social engineering Angreb der udnytter betroede "brands" Angreb rettet mod sociale netværk Social engineering angreb såsom phishing Service Sells Access to Fortune 500 Firms Monday, October 22nd, 2012 at 12:01 An increasing number of services offered in the cybercrime underground allow miscreants to purchase access to hacked computers at specific organizations. For just a few dollars, these services offer the ability to buy your way inside of Fortune 500 company networks. The service I examined for this post currently is renting access to nearly 17,000 computers worldwide, although almost 300,000 compromised systems have passed through this service since its inception in early 2010. http://krebsonsecurity.com/2012/10 /service-sells-access-to-fortune-500-firms/

Angreb typer og konsekvenser Sandsynlighed Mål Metode Orme og botnet Datatab APT Tilfældige Internet brugere Kreditkort-håndterende virksomheder Regeringer og kritisk infrastruktur Simple angreb SPAM, orme og botnet Avanceret datatyveri Avancerede målrettede angreb spear phishing Mere sofistikerede angreb - APT Kriminalitet og profitdreven Cyber warfare og spionage Cyber-terrorisme og hacktivism RSA Via spear phishing kompromitteres information om SecurID tokens Omkostninger: USD 50-100 mio. Epsilon Oplysninger om 100.000 stjålet efter spear phishing angreb Omkostninger: USD 100 mio. USD 4 mia. Sony Playstation Network Anonymous angreb - 100 mio. brugere kompromitteret Omkostninger: USD 13.4 mia.

Tidligere APT Advanced Persistent Threats Udfordringer - angreb og metoder Synlige Slørede Kompromittering er vanskeligt at detektere Sløringsteknikker til at undgå afsløring Angreb rettet gennem perimeter Truslerne er web-baseret Udbredelsen af netværk overalt gør opdagelse endnu vanskeligere Angreb rettet mod slutbrugere Indirekte angreb på klienter Angreb rettet mod sociale netværk Slutbrugeren bliver narret af social engineering Indirekte angreb via betroede eksterne tredjeparter Sårbarheder i software gør det bare endnu nemmere at narre slutbrugerne Sårbarheder og avancerede dag-0- angreb Hurtig udnyttelse af sårbarheder Misbrug af ukendte sårbarheder - dag-0 Kendte sårbarheder Brede Engangsangreb APT Ukendte dag-0 sårbarheder Målrettede Vedholdende 56% af kompromitteringerne opdages først efter flere måneder Avancerede 59% af kompromitteringerne er først fjernet flere uger efter opdagelse

APT Advanced Persistent Threats Typisk forløb af en APT baseret angreb Phishing angreb Zeroday angreb Trojansk hest Interne sårbarheder Data indsamling Data udtræk En række brugere modtager målrettet phisingmail Bruger åbner vedlagt fil eller tilgår link Brugerens maskine inficeres med malware - Trojanskhest Angriberen udnytter sårbarheder til at få flere rettigheder Data samles sammen og gøres klar til at blive hentet Krypterede data sendes fx via ftp til et eksternt kompromitteret system

Malware - Udviklingsproces Sløring og kvalitetstestning Original Malware Indeholder grundlæggende ondsindede funktioner: DDoS, stjæle data, sprede infektionen,.. Permutationer Forvanskelse af malware. Danne adskillige varianter for at omgå detektion Kvalitetstestning Teste nye mutationer mod seneste opdaterede antivirus scanningsmønstre Deployering Kun malware som kommer igennem QA (dvs. ikke detekteret) bliver forsøgt udbredt Afvist hvis detekteret af anti-virus software Mange forskellige varianter af samme malware fremstilles automatisk forud for et angreb Kun varianter der kommer igennem kvalitetstestningen (=omgår antivirus) bruges i selve angrebet De nye varianter frigives med jævne mellemrum for konstant at være foran antivirus mønster opdateringerne Malware er vidt udbredt og kan fremstilles så det omgår det traditionelle perimeter forsvar o.a. beskyttelse

Hot topics 2013 Mobilitet, BYOD & Consumerization Website beskyttelse/websikkerhed/ddos Advanced Persistent Threats (APT) SCADA Patch management Risk Management Identity Management Compliance & loghåndtering Optimering Virtualisering og VDI Cloud Computing

Udfordringer - organisering Dagens fundamentale problemer - Sikkerhed Mangler en klar strategi Ikke planlagt godt nok Fragmenterede sikkerhedsløsninger Mangler overblik over, hvad der egentligt skal beskyttes Delt mellem afdelinger intet centralt ansvar Reaktivt drevet af konkrete hændelser Konsekvenser Sikkerhed Huller i sikkerheden Besværlig administration og drift Høje omkostninger Manglende fokus Dårlig Return On Investment Driftsforstyrrelser Tabt troværdighed og kunder Løsninger, som ikke følger med truslerne Dobbeltarbejde Eric Ouellet, Gartner: What we have found is that organizations that spend more than seven percent of the IT budget on security are actually less secure because they use reactionary approaches. They end up with point solutions where there s no overarching theme and no integration. http://www.securecomputing.net.au/news/123479,gartner-dispels-security-myths.aspx

Løsninger - Security in depth Kontrol og overblik Flere forskellige redundante og uafhængige sikkerhedsmekanismer Sikkert design proaktiv/generisk sikkerhed Anvend forebyggende teknologier Indbyg sikkerhed i systemerne Aktiv beskyttelse reaktiv sikkerhed Supplerer den indbyggede sikkerhed Overvåger intern trafik for afvigende mønstre Overvågning Overvågning af handlinger på systemer og netværk Konsolidering, sammenstilling og intelligent analyse af logfiler Politikker og procedurer Management Overvågning & korrelation Perimeter Netværk Host Applikation Data Brugere Murphy's law: Anything that can go wrong will go wrong.

Hvorfor lykkes APT angreb? Angrebene anvender overbevisende social engineering metoder Udnytter eksempelvis information fra sociale netværk Mangelfuld Endpoint sikkerhed - værktøjer er ikke brugt effektivt Brugerne har for mange rettigheder APT angreb udnytter hullerne mellem sikkerhedsmekanismerne Manglende integration og intelligens på tværs af værktøjer APT trafik kan ligne normal netværkstrafik i forhold til overvågningsværktøjer

Tilgang til APT beskyttelse Forstå det nye trusselsbillede Erkende at beskyttelse kræver en ændring i den måde, vi arbejder på Hvordan opdager og efterforsker man hændelser? Hvordan laver man en politik og følger op på den? Hvordan håndterer vi brugerne? Hvordan kommunikerer vi med den øverste ledelse? Conventional vs. Advanced Approaches to Information Security Kilde: Security for Business Innovation Council Report

Information Security Management System (ISMS) Framework for etablering af proces til risikostyring og it-sikkerhed Sikre en formaliseret proces omkring sikkerhedsarbejdet Proces omkring etablering af kontroller der mindsker risikoen

SANS 20 Critical Controls Fokus på simple kontroller med stor effekt Hver kontrol har anvisninger på implementering og hvordan der følges op Specifikt udarbejdet til offentlige myndigheder i USA, men er bredt anvendelige Retningslinjer for prioritering af sikkerhedsarbejdet Fokus på automatisering af kontroller http://www.sans.org/critical-security-controls/ List Of Critical Controls 1 Inventory of Authorized and Unauthorized Devices 2 Inventory of Authorized and Unauthorized Software 3 Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers 4 Secure Configurations for Network Devices such as Firewalls, Routers, and Switches 5 Boundary Defense 6 Maintenance, Monitoring, and Analysis of Security Audit Logs 7 Application Software Security 8 Controlled Use of Administrative Privileges 9 Controlled Access Based on the Need to Know 10 Continuous Vulnerability Assessment and Remediation 11 Account Monitoring and Control 12 Malware Defenses 13 Limitation and Control of Network Ports, Protocols, and Services 14 Wireless Device Control 15 Data Loss Prevention 16 Secure Network Engineering 17 Penetration Tests and Red Team Exercises 18 Incident Response Capability 19 Data Recovery Capability 20 Security Skills Assessment and Appropriate Training to Fill Gaps

Risikobaseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger Risikostyring er en løbende proces

Cyberkrig - risikostyring Efter Stuxnet bliver risikoen for cyberkrig taget seriøst Risiko for angreb på kritisk infrastruktur dvs. elektricitets-, vand-, og energiforsyningen Samfundets afhængighed af fungerende it-systemer vokser Eksempler på hændelser bl.a. mod Estland og Georgien Cyberkrig er større trussel mod Danmark end terror Torsdag den 25. oktober 2012, 21:45 Digitale angreb er nu den største trussel mod Danmark, fastslår Forsvarets Efterretningstjeneste (FE). Det skete for Estland i 2007, da ministeriers, mediers og telefonselskabers hjemmesider blev angrebet. Det skete for Georgien i 2008, da et kæmpemæssigt cyberangreb lammede et stort antal officielle hjemmesider, og det skete for Iran i 2010, da det iranske atomanlæg Natanz blev angrebet af computervirussen Stuxnet. Risikoen for cyberkrig bliver i dag taget seriøst»der er en stigende trussel mod Danmark i cyberspace. I takt med, at vi bliver mere digitaliserede, bliver vi også mere sårbare, og derfor kræver truslen fra cyberspace mere opmærksomhed. Vi oplever, at danske interesser og danske myndigheder mere eller mindre konstant er under angreb i cyberspace,«thomas Ahrenkiel, chef Forsvarets Efterretningstjeneste (FE). http://www.b.dk/nationalt/cyberkrig-er-stoerre-trussel-mod-danmark-end-terror

Kompleksitet Sikkerhed er komplekst Flere opgaver Manglende interne ressourcer og kompetencer Angreb stiger i kompleksitet og hyppighed Store og stigende omkostninger ved datatab Krav om at tilføre forretningen værdi Dokumenteret sammenhæng mellem forretningsmæssig risiko og it-sikkerhed Budgetmæssige overvejelser Køb af services frem for produkter og investeringer Tilføre forretningsmæssige fordele optimering af forretningsprocesser, der kan retfærdiggøre forøgede budgetter Kilde: InformationWeek - 2011 Strategic Security Survey: CEOs take Notice

It-sikkerhed enabler forretningen Forøg værdien af forretningen Forbindelse med kunder Integration med samarbejdspartnere Myndiggør medarbejderne Understøtter dataintegritet og tilgængelighed Sikre dataintegritet Forbedre beslutningskvalitet Undgå civile / strafferetlige sanktioner Forbedring af brand / omdømme Optimer og beskyt værdien af informationsaktiver Administrer omkostninger ROI (Return On Investment) Forbundet Produktive Pålidelig Omkostningsbevidst Besparelser Omkostniger

Forretningsmæssig værdi Værdi: Risikostyring Værdi: Forretningsunderstøttelse Produktivitetstab - Indirekte konsekvenser (mistet salg, mistet konkurrenceevne, mistet troværdighed) Juridiske konsekvenser (manglende overholdelse af kontrakter, lovgivning m.m.) Udvidelse af forretningen Flere salgskanaler, kundeservice, fastholdelse af kunder Nye kundesegmenter og forøget omsætning, billigere leverance og konkurrencemæssige fordele Understøttelse af brand Hurtigere reaktionsevne SLA overholdelse til kunder og leverandører Interne compliancekrav Persondataloven Regulatorisk compliance PCI DSS EU Data Protection Act Konkurrencemæssige compliance Standarder - COBIT, ISO27002 Besparelser forbedring af forretningsprocesser Undgåede udgifter skalerbarhed Brug af eksisterende ressourcer Effektivitet behov for færre ressourcer, nye og forbedrede forretningsprocesser Værdi: Opretholde Compliance Værdi: Optimering af omkostninger

Forudsætninger for ordentlig sikkerhed Et behov for ændrede færdigheder og indsigt Hurtig udvikling og ændring af trusselsbilledet Krav om særlige færdigheder og kompetencer Forankring og integration af sikkerhed i virksomheden Voksende forståelse for at sikkerhed også er en ledelsesopgave Hurtig reaktionsevne Behov for hurtig, konsistent, koordineret og sammenhængende reaktion på alle niveauer i organisation ved hændelser Dannelse af en it-sikkerhedsbevidst organisation Klarlægge roller og ansvar fra toppen og ned Revurdere sikkerhedsfunktionens egnethed og parathed Opnå et 360-graders overblik over trusselsbilledet Opret et incident response team Opdyrk og del kompetencer Indtag en aktiv og gennemsigtig holdning over for trusler og angreb Vælg den rigtige samarbejdspartner

Risikobegrænsning Risikoen kan ikke fjernes, kun begrænses Sikkerhed kan ikke købes som produkt Sikkerhed opnås ved en blanding af Procedure & ledelse / (Management issues) Design, værktøjer og tekniske løsninger Løbende overvågning og vedligeholdelse Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem

Thank you For more information please contact jhe@dubex.dk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback