Websikkerhed der understøtter forretningen Jacob Herbst Søborg, 14. maj 2013
It-udfordringer Interne krav - forretningen Reduktion af omkostninger Grøn it Fleksibilitet Tilgængelighed og performance Interne krav - brugere Adgang til sociale netværk Mobil adgang overalt Work/life balance Consumerization og user empowerment Applikationer Web baserede applikationer Peer-to-peer applikationer Web 2.0 (sociale, wiki, blogs) Nye mobile operativ systemer og applikationer Trusler Organiseret kriminalitet Målrettede angreb - APT Tilfældige angreb og datatab Dag-0 sårbarheder Eksterne krav Compliance Forventninger fra kunder Aftaler og SLA er Teknologisk udvikling Trådløse teknologier og mobile enheder Båndbredde, netværk og IPv6 Telepresense Open Source
Drivere it-sikkerhed som enabler Cloud Mobility Big Data Sociale Medier Private Cloud, public Cloud, hybrid cloud SmartPhones og tablets Consumirization Vækst i datamængder Analyse værktøjer Facebook og Twitter Private Cloud Computing is among the highest interest areas across all cloud computing, with 75% of respondents saying they plan to pursue a strategy in this area by 2014. By 2013, 80 percent of businesses will support a workforce using tablets. Big data in 2-5 years will have a transformative impact on the organization and to give appropriate feedback; by 2015 it will allow companies who have mastered the technology to beat competitors by 20 percent for all existing financial metrics. 78% of IT organizations are concerned about the risks of employee driven, unsanctioned use of Web 2.0 tools and technologies Sikkerhed som enabler
Sikkerhedstendenser Udfordrende trusselsbillede APT angreb Dag-0 angreb Polymorfisk angreb Målrettede angreb Avanceret infrastruktur Konvergens på IP-netværk Virtualisering Mobile devices Organizations face an evolving threat scenario that they are ill-prepared to deal with.advanced threats that have bypassed their traditional security protection techniques and reside undetected on their systems. Øget kompleksitet Sikkerhed er komplekst Flere opgaver Manglende interne ressourcer og kompetencer Angreb stiger i kompleksitet og hyppighed Information er blevet strategisk Vores virksomheder bygger på information Kommunikation er vital Dataeksplosion Big data
Anvendelse af web Behovet for adgang til web Alle har behovet Simpel og enkel informationssøgning Kommunikation med kunder og leverandører Internet & Extranet anvendelse Tilgang til web-baserede applikationer Standardiseret interface og protokoller Nem & billig Customer Relation Management Klienter på internt netværk Kommunikation på port 80 Internet Ekstern webserver Brugerne bestemmer Adgang til alle former for webservere Adgang til privat webmail Adgang til links modtaget pr. mail Mange forskellige applikationer og anvendelser Sociale medier & instant Messaging Multimedier - streaming Remote Control & tunneling
Web anvendelse Brugergenereret indhold - Brugerne bidrager med det meste af indholdet Rich Internet Applications (RIA) Avancerede webapplikationer Applikationerne bliver bedre og mere værd med flere brugere Interaktive, simple. personificerede http://en.wikipedia.org/wiki/web_2.0
Udviklingen af vores web anvendelse Web 1.0 (1990-2000) Fokus på basal infrastruktur HTTP/HTML Links, tekst og flash Få producerede indhold Publisher Consumer Web 2.0 (2000 2010) Sociale netværk, wikis Bruger genereret indhold Applikationerne bliver bedre jo flere der bruger dem Fokus på slutbrugeroplevelse Web 3.0 (2010.) The Semantic Web Webben forstår sammenhæng og betydning Det mobile Internet Det bedste fra Web 2.0 på mobile devices Information søges, filtreres, personaliseres og leveres til brugeren baseret på personlige præferencer, enhed og lokation Publisher/ Consumer Publisher/ Consumer Publisher/ Consumer Publisher/Consumer Publisher/ Consumer Publisher/Consumer
Gartner's Top 10 strategic technologies 2013 Mobility og smartphone anvendelse Mobility betyder nye, hurtigere, billigere og bedre måder at gøre gamle ting på drivere: Mere forbundet Realtidsforbindelse 7x24 WiFi-næsten overalt og 3G/4G/LTE sænker barrieren Flere, hurtigere, smartere, billigere enheder Hurtigere Instant- og allways-on udstyr fjerner ventetiden mht. adgang, søgninger, betalinger osv. Lettere at bruge Apps - Igangværende revolution af brugergrænseflader og location awareness Sjovt at bruge Apps, sociale medier, simple hurtige spil, belønningsdrevne reklamer og markedsføring Adgang til næsten alt Mail, dokumenter, video, musik, o.a. cloud services Mobile Device Battles Mobile Applications and HTML5 Personal Cloud Enterprise App Stores The Internet of Things Hybrid IT and Cloud Computing Strategic Big Data Actionable Analytics In Memory Computing Integrated Ecosystems http://gs.statcounter.com
Consumerization Forbruger-orientering af vores it-systemer Consumer hardware used for work Consumer services used for work 78% of IT organizations are concerned about the risks of employee driven, unsanctioned use of Web 2.0 tools and technologies Source: Forrester Research Bring your own device - (sammen-)blanding af private og firma enheder/anvendelse Medarbejdere anvender forbrugerløsninger til at udføre sit arbejde fx Facebook og Skype
User empowerment Yderligere forbruger-orientering af vores IT-systemer Ansatte kan selv vælge deres devices Apple iphone/ipad eksponent for denne udvikling (sammen-)blanding af private og firma enheder/anvendelse Medarbejdere anvender forbrugerløsninger til at udføre sit arbejde fx Facebook, Skype m.fl. Virksomhedsapplikationer anvender forbruger teknologi til funktionalitet og brugervenlighed Life/work grænsen udtværes Private og firma statusopdateringer sammenblandes Man arbejder og holder fri hvor som helst og når som helst 50% of respondents said they "customize their work environment moderately or aggressively" (including the use of unsanctioned tools) and will continue to do so. Source: Gartner Research poll
Hvorfor bliver vi angrebet? Intellektuelle værdier Forretningshemmeligheder kan misbruges af konkurrenter Konsekvenser Kunderne har ret til fortrolighed og integritet Tab af kundernes data er uacceptabel Ansvar / risiko for handling Regulatoriske krav (USA) - State "Breach Notification" Love (dvs. SB1386) Negativ indvirkning på "brand value", tab af værdifulde oplysninger, tab af troværdighed, tab af offentlighedens tillid osv. Mistede konkurrencefordele Spionage Konkurrenter Kriminelle Terrorisme Dyson alleges Bosch corporate espionage Tom Espiner, October 25 2012 Engineering firm Dyson has alleged that rival Bosch used an insider to steal company secrets. Dyson filed legal proceedings against Bosch in the High Court on Tuesday, a Bosch spokeswoman told SC Magazine on Wednesday. Dyson alleges that an employee working at its Malmesbury research facility passed details about Dyson motors to Bosch over a period of two years, according to the Independent. "We have spent over 15 years and 100 million developing high speed brushless motors, which power our vacuum cleaners and Airblade hand dryers," Dyson research and development director Mark Taylor said in a statement. "We are demanding the immediate return of our intellectual property." Politiske Angreb Cyberwar http://www.scmagazineuk.com/dyson-alleges-bosch-corporate-espionage/printarticle/265396/
Hændelser - 2013 Update: Hackers exploit new IE zero-day vulnerability HD Moore, maker of Metasploit, urges users to ditch IE7, IE8 and IE9 until Microsoft fixes critical flaw Gregg Keizer September 17, 2012 (Computerworld) Attackers are exploiting a "zero-day" vulnerability in Microsoft's Java Internet Under Explorer Attack (IE) Again, and hijacking Windows Disable PCs that cruise Now to malicious or compromised By Mathew websites, J. Schwartz, security InformationWeek experts said Monday. January 11, 2013 Red October 5-year cyber espionage attack: Malware resurrects itself By Darlene Storm, January 14, 2013 1:55 PM Microsoft confirmed the Security IE bug, experts saying, have "We're a message for all aware of targeted attacks businesses: potentially Disable affecting Java now, and keep it some versions of Internet disabled. Explorer," That's but their did advice not message after the set a timetable for fixing discovery the flaw. Thursday of yet another zero-day Java vulnerability, as well as a number of attacks that are already exploiting the flaw to run arbitrary code on PCs. Nu igen: Nyt Java-sikkerhedshul sat til salg for 28.000 kroner Torsdag den 17. januar 2013, 10:03 "It looks like this exploit is being Få used dage in efter at least Oracle lukkede et sikkerhedshul i four different active exploit kits Java, -- Blackhole, blev en ny sårbarhed udbudt til salg på et Cool Exploit Kit, Nuclear Pack hackerforum. and Redkit," said research engineer Nick Randolph, who's part of the Sourcefire Vulnerability Bitsene Research er knapt nok blevet Red tørre October efter may bring a fictitious submarine opdateringen til Java 7 Update to mind, 11, før but et the nyt latest Hunt for Red October is
Kompleksiteten af en webbrowser Anvendes som grundlag i mange andre applikationer: - Visning af HTML i mail- klienter - Hjælpesystemer Adgang til operativsystemer - Netværksadgang - Fuld læse- og skriveadgang til filsystemet Protokoller - HTTP - SOCKS - FTP Fortolkning og afvikling af scripts: - VBScript - JavaScript - XSL Toolbars / browser plug-ins - Google - Yahoo Add-ins - Flash - Video - PDF - Silverlight Autentifikation - DIGEST - NTLM Komplekse applikationer - Java - ActiveX Forksellige browsere - Internet Explorer - Mozilla - Safari - Crome Kryptering - SSL - PKI - Smart Cards
Sårbarheder - udfordringer Sårbarheder er design eller implementeringsfejl, der kan resultere i kompromittering af fortroligheden, integriteten eller tilgængeligheden Mindre sikkerhedshuller (implementeringsfejl) rettes som regel rimeligt hurtigt af leverandøren Forskel på hvornår og hvordan en fejl betragtes som en sårbarhed Applikationer Operativ system Transport Netværk Browser Vulnerabilities 2010 2012 Source: Symantec Plug-in Vulnerabilities 2010 2012
Dag-0 sårbarhed i Internet Explorer OnMove Use After Free Vulnerability CVE-2012-1529 Internet Explorer 6/7/8/9 - Windows XP/Vista/7 Eksperter advarer mod Internet Explorer Tirsdag den 18. september 2012, 08:35 Sikkerhedshul giver hackere mulighed for at overtage computeren. Eksperter anbefaler, at man skifter til et andet internetprogram, indtil Microsoft stopper hullet. Et alvorligt sikkerhedshul i internetprogrammet Internet Explorer får nu Microsoft selv til at råbe vagt i gevær og bede folk om at hente en opdatering selv. Eksperter anbefaler, at man i stedet skifter til et andet internetprogram, indtil Microsoft har fået løst problemet. Sikkerhedshullet påvirker hundreder af millioner af Internet Explorer-brugere. Det betyder, at en hacker kan skaffe sig adgang til folks computere og alle deres filer, hvis de ved en fejl får klikket sig ind på et ondsindet netsted. 14. september 2012 Første dokumenterede indikationer på at sårbarheden aktivt forsøges misbrugt det vides ikke hvor lang tid sårbarheden har været misbrugt 17. september 2012 Information on sårbarhed offentliggøres Opdagelsen af sårbarheden tilskrives Nitro der sættes i forbindelse med den kinesiske regering. Nitro har tidligere misbrugt andre dag-0 sårbarheder. 18. september 2012 Microsoft offentliggør workaround som dog er temmelig komplekst at implementere. Antivirusproducenterne opdaterer deres mønsterfiler i forhold til specifik malware der misbruger sårbarheden i IE. 19. september 2012 IPS producenterne er klar med beskyttelse virtuelle patches 21. september 2012 Microsoft retter sårbarheden med MS12-063
Malware på legitime websites Kriminelle bryder ind på legitime websites og skjuler links eller malware Ca. 85% af alle sites med malware er legitime sites Malware er ikke længere begrænset til mistænkelige sites Antallet af links med malware steg 600% i 2012 Web sites kompromitteres via brute force password guess Rammer Microsoft SQL, FTP- og SSH servere Web sites kompromitteres via sårbarheder Web 2.0 sites (sites der tillader bruger genereret indhold) Wordpress og Content management systemer SQL injection angreb Angreb via backend systemer fx hos hosting firma / Ondsindede reklamer Cross-site scripting (XSS) angreb Command & Control server Troværdigt web-site Firewall Sårbar applikation Server Internet Kriminel DNS Server Fuldt Opdateret klient Web Server
Webbaserede angreb Angriber Kompromittering af website 5 Website Upload malware på legitime websites Automatisk 1 7 Social Engineering Slutbruger 3 4 6 2 Malware på klienter Malware funktion # Tendenser 1 Drive-by download fra legitime og betroede websites 2 Slørede og dynamiske angreb der gør traditionel antivirus ineffektiv 3 Angreb rettet mod browser plug-ins i stedet for selve browseren 4 Ondsindede applikationer (fx scareware) inficerer brugerne 5 SQL Injection angreb bruges til at inficere legitime og betroede websites 6 Malware reklamer sender brugerne til ondsindede websites 7 Eksplosiv vækst i unikt og målrettet malware
Malware - Udviklingsproces Sløring og kvalitetstestning Original Malware Indeholder grundlæggende ondsindede funktioner: DDoS, stjæle data, sprede infektionen,.. Permutationer Forvanskelse af malware. Danne adskillige varianter for at omgå detektion Kvalitetstestning Teste nye mutationer mod seneste opdaterede antivirus scanningsmønstre Deployering Kun malware som kommer igennem QA (dvs. ikke detekteret) bliver forsøgt udbredt Afvist hvis detekteret af anti-virus software Mange forskellige varianter af samme malware fremstilles automatisk forud for et angreb Kun varianter der kommer igennem kvalitetstestningen (=omgår antivirus) bruges i selve angrebet De nye varianter frigives med jævne mellemrum for konstant at være foran antivirus mønster opdateringerne Malware er vidt udbredt og kan fremstilles så det omgår det traditionelle perimeter forsvar o.a. beskyttelse
Andre sikkerhedsudfordringer Typosquatting udnyttelse af skrivefejl Links via social medier, mobile devices eller email Blogspam - Placering af ondsindede links i blogs Social-engineering Brugerne tror, at de downloader fx antivirus, spil eller videoafspillere, men i virkeligheden downloader de virus, spyware og bagdøre Scareware SEO søgemaskiner Ved hjælp af søgemaskineoptimering spoofes Google o.a. søgemaskiner til at returnere links til websites med malware Rettes typisk mod aktuelle hændelser Dødsfald fx Michael Jackson, Patrick Swayze og Keith Floyd, sygdomme fx Svineinfluenza og naturkatastrofer Anvendelsen af krypterede protokoller (f.eks. SSL og TLS) gør det sværere for mange web sikkerhedsløsninger af kontrollerer kommunikationen
Risikobaseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger Risikostyring er en løbende proces
Risikobegrænsning Risikoen kan ikke fjernes, kun begrænses Sikkerhed kan ikke købes som produkt Sikkerhed opnås ved en blanding af Procedure & ledelse / (Management issues) Design, værktøjer og tekniske løsninger Løbende overvågning og vedligeholdelse Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem
TAK! jhe@dubex.dk