Threat Intelligence: Processen - Identify, Protect, Detect & Response. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 12. maj 2015

Relaterede dokumenter
Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Fundamental sikkerhed: Dubex Managed Security Services. Dubex A/S, den 9. april 2015

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

Managing Risk, Enabling Growth i din virksomhed. Jacob Herbst, CTO, Dubex A/S Vejle, den 21. maj 2015

Sådan får du styr på de digitale risici

Managing Risk Enabling Growth. Jacob Herbst, CTO, Dubex A/S Søborg, den 7. november 2013

Virksomhedernes cybertilstand

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

Security & Risk Management Summit

Forordningens sikkerhedskrav

Security & Risk Management Summit

SIEM hvilken løsning skal du vælge? Claus Løppenthien, Dubex A/S, 12. maj 2015

HACKERNE BLIVER BEDRE, SYSTEMERNE BLIVER MERE KOMPLEKSE OG PLATFORMENE FORSVINDER HAR VI TABT KAMPEN? MARTIN POVELSEN - KMD

MOC On-Demand Administering System Center Configuration Manager [ ]

Sådan etableres en moderne sikkerhedsinfrastruktur, der kan håndtere et skiftende trusselsbilede

Security & Risk Management Update 2017

Business casen ved implementering af Log Management. Claus Løppenthien, Hotel Vejlefjord, 21. maj 2015

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017

Modernisering af virksomhedens fundamentale sikkerhed. Jacob Herbst, CTO, Dubex A/S Vejle, den 21. maj 2015

Er der hackere på linien?

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

KMD s tilgang til cybertrussler. Public

Status fra Sikkerhedsfronten. Jens Borup Pedersen DK-CERT/DeiC

Opdag avancerede angreb hurtigt så du kan agere på dem. Henrik Larsson, Senior Security Consultant, Dubex Vejlefjord den 21.

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

MOC On-Demand Identity with Windows Server 2016 [20742]

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

Strategisk informationssikkerhed

IBM Network Station Manager. esuite 1.5 / NSM Integration. IBM Network Computer Division. tdc - 02/08/99 lotusnsm.prz Page 1

Mobility-strategi Hvordan kommer du i gang?

Interne og eksterne trusler Sådan håndterer vi trusler fra remote access/ad-hoc adgange fra medarbejdere og leverandører

Sikker digitalisering som vækststrategi sikkerhedsudfordringer og muligheder i kommuner

Security & Risk Management Summit 2016

OPDAG ANGREB OG REAGÉR HURTIGT

Sikkerhed i skyen Afslutning

Security & Risk Management Update 2017

Velkomst og praktiske informationer

Konkrete anvisninger på en sikker og ansvarlig cloudinfrastruktur. v/jørgen Smed og Erik Borch Olsen, Komplex it

Velkommen VI BYGGER DANMARK MED IT

OT Security. 17 november 2016

xrm både en applikation og en ramme for hurtig udvikling af løsninger til strukturet relationshåndtering og understøttelse af forretningsprocesser

Hvor er mine runde hjørner?

Cisco Cloud Networking. Cisco Meraki - En ny måde at lave netværk på Morten Rundager Solutions Specialist Cisco Danmark 29/

Security & Risk Management Update 2017

Portal Registration. Check Junk Mail for activation . 1 Click the hyperlink to take you back to the portal to confirm your registration

Velkomst og praktiske informationer. Jacob Herbst Søborg, 23. maj 2013

CONNECTING PEOPLE AUTOMATION & IT

IPv6 Application Trial Services. 2003/08/07 Tomohide Nagashima Japan Telecom Co., Ltd.

Køreplan ift. EU-persondataforordningen - processer og kontroller

Velkommen til Solution Day 2012

Cyber og Sundhed. Hvad sker der og hvordan? Morten von Seelen, Cyber Ops

Privat-, statslig- eller regional institution m.v. Andet Added Bekaempelsesudfoerende: string No Label: Bekæmpelsesudførende

Vejen til en succesfuld APT-sikkerhed. Jacob Herbst Søborg, 23. maj 2013

Online kursus: Certified Information Security Manager (CISM)

Naalakkersuisut Government of Greenland. Digitaliseringsstyrelsen. Statusrapport. Rapportperiode: oktober

Maskindirektivet og Remote Access. Arbejdstilsynet Dau konference 2015 Arbejdsmiljøfagligt Center Erik Lund Lauridsen

God adfærd når du arbejder med data og færdes på nettet

Managing Risk Enabling Growth Through Compliance! Alex Sinvani Copenhagen,

Teknologispredning i sundhedsvæsenet DK ITEK: Sundhedsteknologi som grundlag for samarbejde og forretningsudvikling

Statusrapport. Rapportperiode: Juli Queue: Telefoni

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, Søborg, den 6. november 2014

Sikkerhed som en del af virksomhedens risikostyring

Mobil Awareness 2011 CSIS Security Group

SAS USER FORUM DENMARK 2017 USER FORUM. Rune Nordtorp

Effektivt samarbejde og videndeling via Organisatorisk Implementering af SharePoint

VPN VEJLEDNING TIL MAC

Experience. Knowledge. Business. Across media and regions.

Velkomst og praktiske informationer. Jacob Herbst Søborg, 4. juni 2013

SOCIALE MEDIER: FACTS

Projektoplæg - AMU kursus Netteknik - Server - Videregående

Online kursus: Google Cloud

Fart på SAP HANA. Sådan laver du analyser direkte på dine data i realtid. Copyright 2012 FUJITSU. Fujitsu IT Future, København, den 16.

Sikkerhed i applikationsudvikling

PRAKTISK IT-SIKKERHED

Lovkrav vs. udvikling af sundhedsapps

Basic statistics for experimental medical researchers

From innovation to market

IT-sikkerhed som et byggeprojekt?

The X Factor. Målgruppe. Læringsmål. Introduktion til læreren klasse & ungdomsuddannelser Engelskundervisningen

Demonstration af et malware-angreb. Torben Nissen Ernst Tirsdag den 5. Oktober 2015

CYBERTRUSLEN. Januar Lars Hermind Landechef Danmark

Børsnoteret Swedish Stock Exchange Grundlagt 1986, 30 års jubilæum, 110+ medarbejdere. - distributør - Nordeuropa Afdelinger i 6 lande

Minimér risikoen for data-lækage i din virksomhed

DSB s egen rejse med ny DSB App. Rubathas Thirumathyam Principal Architect Mobile

Procuring sustainable refurbishment

PEMS RDE Workshop. AVL M.O.V.E Integrative Mobile Vehicle Evaluation

Virtual classroom: CCNA Boot Camp Accelerated

F2 support rapport. Rapportperiode: februar 2017

Vores mange brugere på musskema.dk er rigtig gode til at komme med kvalificerede ønsker og behov.

Online kursus: Content Mangement System - Wordpress

Integrated Total Facility Management for Real Estate, Infrastructure & Facility Management

Webside score digitalenvelopes.

It-sikkerhed i danske virksomheder

CONNECTING PEOPLE AUTOMATION & IT

MARITIME PROFESSIONALS, ASHORE AND AT SEA. Online Identitet

BACK-END OG DATA: ADMINISTRATION HVAD ER DE NYE MULIGHEDER MED VERSION 7.1? STEFFEN BILLE RANNES, 4. FEBRUAR 2015

Botnets Organiseret kriminalitet på nettet

DET KONGELIGE BIBLIOTEK NATIONALBIBLIOTEK OG KØBENHAVNS UNIVERSITETS- BIBLIOTEK. Index

STUXNET. Ondsindet angreb på SCADA server Hvad er nyt og hvordan sker dette? Johan Peder Møller

Baltic Development Forum

Transkript:

Threat Intelligence: Processen - Identify, Protect, Detect & Response Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 12. maj 2015

Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at de er blevet hacket. Pointen er, at alle er blevet hacket James Comey, Direktør, FBI

Udfordringer Avanceret infrastruktur og øget kompleksitet Compliance - ISO27001 og lovgivning Udfordrende trusselsbillede Forretningskrav Information er blevet strategisk Medarbejdere og kompetencer

Understøttelse af sikkerhedsprocessen Pointen er, at alle er blevet hacket Sikkerhed drejer sig i dag om vores proces og tilgang til at Risikostyre vores aktiver (Predict & Identify) Implementere passende afvejede kontroller (Prevent & protect) Opdage når vi bliver kompromitteret (Detect) Reagere hurtigt på en kompromittering (Respond & recover) Understøttelse med værktøjer og processer (Capabilities) Predict & identify Prevent & protect Detect Respond & recover Security capabilities Risk management Vulnerability management Fundamental security Security monitoring Incident handling Disaster recovery Visibility Analytics Advanced security Threat intelligence Containment Forensic

Prioritering af sikkerhed INFORMATION er blevet virksomheders vigtigste asset Managing risk Beskytte følsomme oplysninger for at forbedre og opretholde markedsposition og sikre overholdelse af regulativer samtidig med en kontrol af omkostningsniveauet CIO Enabling growth Forbedre og sikre forretningens agilitet ved at give hurtig og intuitiv adgang til de rigtige informationer, værktøjer og applikationer It er grundlaget for alle forretningsprocesser Ledelsen og bestyrelsen skal beskytte værdien af virksomheden Udfordring: Synliggørelse af den risiko som itanvendelsen medfører Risikostyring skal bruges til at beskytte værdien af virksomheden

Høj fart kræver gode bremser og en erfaren kører

Risikobaseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer - beslutninger baseres på en vurdering af risici Informationscentreret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Risikostyring er en løbende proces Information Risiko Foranstaltninger Vi ønsker at basere vores it-sikkerhed på en reel risikovurdering af vores systemer, infrastruktur, interne og eksterne trusler osv. Dubex sikkerhedsanalyse har givet os overblik og anbefalinger samt et optimalt grundlag for at foretage prioriteringer i forhold til at sætte nye initiativer i gang Claus Ritter, CIO, Slagelse Kommune.

Modenhedskurve Forretningsorienteret Trusselsforsvar Compliance og sikkerhed i dybden Tjekliste-tilgang Risikobaseret sikkerhed Sikkerhed som resultat af en strategi Mere proaktivt Sikkerhed indgår strategisk som forretnings-enabler Risk Management som ledelsesværktøj Investering i løsninger med fordel for både forretningen og sikkerhed Sikkerhed opfattes som Guards, Guns and Gates En omkostning Et nødvendigt onde Manglende koordinering og prioritering Compliance vigtigste drivere: Lovgivning, forsikring og ansvar Sikkerhed i dybden Formaliserede processer Forretningscasen baseres på besparelser og hindring af tab Integrerede sikkerhedsløsninger Forebyggelse, detektion og reaktion Formaliseret incident response proces Reaktiv og taktisk sikkerhed

Organisering af sikkerhedsprocessen Risikostyring Ændringer i risikobilledet Ledelse (Bestyrelse/CEO/CSO/CIO) Fokus: Organisatorisk risiko Aktioner: Risikobeslutning og prioriteter Prioriteter, risikoappetit og budget Procesniveau Fokus: Risikostyring Aktioner: Valg af risikoprofil Rapportering, ændringer, sårbarheder og trusler Operationelt Fokus: Sikring af infrastruktur Aktioner: Implementering af profil Sikkerhedsframework og -profil Implementering

Hvad er ISO 27001? ISO 27001 er ikke bare en standard for et ledelsessystem ISO 27001 er også en generel proces, der hjælper med forankring, behovsanalyse og prioritering af it-sikkerheden Ledelsessystem for informationssikkerhed (ISMS) ISMS politik Informationsaktiver og klassifikation Risikovurdering og planer Sikkerhedshåndbog Awareness Interne ISMS audits Hændelser og forbedringer Vedligeholdelse Grundlaget er ledelsens commitment og accept Fokus er på forretningen og de forretningskritiske aktiver Valg af kontroller baseret på risikovurdering Udvælgelsen er en vigtig del af processen Procesorienteret (Plan-Do-Check-Act) Der lægges vægt på rapportering

SANS 20 Critical Controls List Of Critical Controls Fokus på simple kontroller med stor effekt Hver kontrol har anvisninger på implementering og hvordan der følges op Specifikt udarbejdet til offentlige myndigheder i USA, men er bredt anvendelige Retningslinjer for prioritering af sikkerhedsarbejdet Fokus på automatisering af kontroller 1 Inventory of Authorized and Unauthorized Devices 2 Inventory of Authorized and Unauthorized Software 3 Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers 4 Secure Configurations for Network Devices such as Firewalls, Routers, and Switches 5 Boundary Defense 6 Maintenance, Monitoring, and Analysis of Security Audit Logs 7 Application Software Security 8 Controlled Use of Administrative Privileges 9 Controlled Access Based on the Need to Know 10 Continuous Vulnerability Assessment and Remediation 11 Account Monitoring and Control 12 Malware Defenses 13 Limitation and Control of Network Ports, Protocols, and Services 14 Wireless Device Control 15 Data Loss Prevention 16 Secure Network Engineering 17 Penetration Tests and Red Team Exercises 18 Incident Response Capability 19 Data Recovery Capability 20 Security Skills Assessment and Appropriate Training to Fill Gaps http://www.sans.org/critical-security-controls/

Prioritering af indsatser i forhold til SANS 20 CC

SANS Top 20 CSC 3-3 Limit administrative privileges to very few users who have both the knowledge necessary to administer the operating system and a business need to modify the configuration of the underlying operating system. This will help prevent installation of unauthorized software and other abuses of administrator privileges. Quick win (One of the "First Five") CSC 13-7 Require all remote login access (including VPN, dial-up, and other forms of access that allow login to internal systems) to use two-factor authentication. Visibility/Attribution First Five Quick Wins 1. Application whitelisting (found in CSC 2); 2. Use of standard, secure system configurations (found in CSC 3); 3. Patch application software within 48 hours (found in CSC 4); 4. Patch system software within 48 hours (found in CSC 4); 5. Reduced number of users with administrative privileges (found in CSC 3 and CSC 12).

Løsninger - Security in Depth Kontrol og overblik Flere forskellige redundante og uafhængige sikkerhedsmekanismer Sikkert design proaktiv/generisk sikkerhed Anvend forebyggende teknologier Indbyg sikkerhed i systemerne Aktiv beskyttelse reaktiv sikkerhed Supplér den indbyggede sikkerhed Overvåg intern trafik for afvigende mønstre Overvågning Overvågning af handlinger på systemer og netværk Konsolidering, sammenstilling og intelligent analyse af logfiler Politikker og procedurer Management Overvågning & korrelation Perimeter Netværk Host Applikation Data Brugere Murphy's Law: Anything that can go wrong will go wrong.

Strategi i forhold til APT-angreb Defending Against Advanced ThreatsNetwork Access Control Defending Against Targeted Attacks Requires Lean-Forward Technologies and Processes Source: Gartner (June 2013) Targeted attacks, often called APTs, penetrate existing security controls, causing significant business damage. Enterprises need to focus on reducing vulnerabilities and increasing monitoring capabilities to deter or more quickly react to evolving threats.

Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpointbeskyttelse Netværkssegmentering Data & systemer Fundamentals Endpointbeskyttelse Websikkerhed

Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint-beskyttelse Netværkssegmentering Data & systemer Advanced Technology Whitelisting/Blacklisting Next Generation Firewall Fundamentals Endpoint-beskyttelse Websikkerhed Advanced Technology Mobile Device Security Whitelisting/Blacklisting

Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpointbeskyttelse Netværkssegmentering Data & systemer Advanced Technology Whitelisting/Blacklisting Next Generation Firewall Lean forward Sandboxing DLP Fundamentals Endpointbeskyttelse Websikkerhed Advanced Technology Mobile Device Seurity Whitelisting/Blacklisting Lean forward DLP Sandboxning

Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpointbeskyttelse Netværkssegmentering Data & systemer Overvågning SIEM Threat Intelligence Advanced Technology Whitelisting/Blacklisting Next Generation Firewall Lean forward Sandboxing DLP Fundamentals Endpointbeskyttelse Websikkerhed Advanced Technology Mobile Device Seurity Whitelisting/Blacklisting Lean forward DLP Sandboxning

Danske observationer i 2014/2015 - eksempler

Dubex Managed Security Services Security Monitoring Overvågning af logfiler og alarmer fra bl.a.: Firewalls IDS/IPS systemer Webscanning Lidt statistik fra 2014: Behandling af data fra over 200 enheder Håndtering af 1.5 mio.+ korrelerende events Over 350 kvalificerede alarmer sendt ud til vores kunder Vi er hele tiden opmærksomme på at outsource driftsopgaver. Vi skal ikke sidde og analysere logs, men derimod opbygge viden og bruge vores interne ressourcer på at understøtte og udvikle forretningen Peter Hedevang Christensen, ITchef hos Sund & Bælt.. Teamet hos Dubex kan lynhurtig sætte en finger på, hvor vi bør fokusere indsatsen. De har en kort reaktionstid, hvor de enten mailer eller ringer. Det er professionelle folk, som vi har stor tillid til Finn Belling. it-driftsansvarlig, Sund & Bælt..

Security Monitoring Server and Desktop OS Firewalls/ VPN Directory Services Physical Infrastructure Security Intelligence Information Vulnerabilities Geo-location Threats IPS/IDS Identity Management System Health Information Network Equipment Vulnerability Assessment Qualified events forwarded to coustomer Anti-Virus Databases Applications Inventory Users Configuration Netflow Analysis and Big Data

Typiske observationer Interne systemer med malware Phishing angreb Angreb mod web-servere Bruteforce angreb eks. ftp, ssh og SIP Mistænkelig trafik Uautoriserede trafik Andet scanninger

Interne systemer inficeret med malware Mange fund af mistænkelig trafik fra interne klienter og servere: Vellykket phishing angreb der resulterer i at brugere poster eksempelvis PayPal login information til eksternt website Forsøg på at downloade.exe filer fra kompromitterede servere Kommunikation med kendte command and control servere Dridex mail kampagne Inficerede mails sendes (spammes) til mange modtagere Indeholder Microsoft Word dokument inficeret med en macrovirus Denne macro downloader den egentlig malware fra kompromitterede sites på Internettet Udfordringer: Expolit Kits (f.eks. Fiesta) er let og billigt tilgængelige De fleste klienter viser sig at mangle opdatering til enten Adobe Flash eller Java Stadig mere web-trafik bliver beskyttet med https hvilket gør det sværere at opdage mistænkelig trafik via logfiler og IDS/IPS systemer http://www.malware-traffic-analysis.net/2015/01/26/index2.html

Automatiseret SQL hacking via TOR netværket Mange forsøg på SQL Injection Initial probing for mulighed for sårbarheder Automatiserede forsøg på kompromittering Tendens: Hackerne gør mere for at sløre deres spor Scanning sker via TOR netværket så det man ser i loggen er IP adressen på TOR exit noden Havij Advanced SQL Injection SQL Injection Alle web-applikationer, der anvender SQL databaser, er potentielt sårbare (DB2, MS SQL, Oracle, MySQL osv.) Sikkerhedshullet opstår, når web-applikationer anvender data fra brugere til databaseforespørgsler Kan evt. kombineres med andre angrebsmetoder som metakarakter og lign., således at evt. filtrering undgås Manglende validering af bruger-input, før det sendes til backend-databasen Bemærk, at angreb også kan gennemføres med felter, der fx sendes som del af HTTPheader eller i Cookies http://itsecteam.com/products/havij-advanced-sql-injection/

Bruteforce hacking af ssh og ftp-servere Mange forsøg på at få adgang til ssh og ftp-servere ved at gætte brugernavne og passwords, bl.a. fra Kinesiske IP adresser Mange af angrebene forløber over flere døgn og er rettet mod forskelige kombinationer af brugernavne og passwords Brute Force eller Dictionary angreb udføres meget simpelt med enkle værktøjer Understreger vigtigheden af stærke passwords på eksterne services THC Hydra Online Password Attack Brute Force Angreb Angreb rettet mod nøgler og passwords Systematisk afprøvning af alle kombinationsmuligheder I praksis forsøges dog med kendte passwords fra diverse lister dvs. et ordbogsangreb (Dictionary attack) Worst Passwords 2014 1 123456 2 password 3 12345 4 12345678 5 qwerty 6 123456789 7 1234 8 baseball 9 dragon 10 football 11 1234567 12 monkey 13 letmein 14 abc123 15 111111 16 mustang 17 access 18 shadow 19 master 20 michael 21 superman 22 696969 23 123123 24 batman 25 trustno1 http://splashdata.com/press/worst-passwords-of-2014.htm https://www.thc.org/thc-hydra/

Sårbarheder Probing efter ShellShock og HeartBleed HeartBleed Probing efter servere med SSL heartbeat option enabled Mange probinger umiddelbart efter at sårbarheden blev kendt i foråret Fortsat probing efter servere med heatbeat enabled Shell Shock (BASH bug) Umiddelbart efter offentliggørelsen var der dagligt angreb fra 30-50 forskellige angribere hos kunder med flere webservere Mange forskellige angreb ofte via http headeren Typisk forsøg på injection af sheelkode på webserveren Script på serveren downloader fx asp el. php script til serveren Giver adgang til fx scanning af andre servere, DDoS m.m. Fortsat daglige forsøg på misbrug af ShellShock Den generelle observation er at det er svært at holde SSL software inkl. algoritmer og nøgler oppe på det niveau som det egentlig bør være i forhold til best practice Heartbleed CVE-2014-0160 Affects cryptography of OpenSSL Transport Layer Security (TLS) Bug was introduced to OpenSSL in December 2011 OpenSSL is widely used on the Internet and OpenSSL only has two [fulltime] people to write, maintain, test, and review 500,000 lines of business critical code, More Info: http://heartbleed.com/ Shell Shock (BASH bug) CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186 and CVE-2014-7187. Public disclosure on September 24, 2014, Remote code execution through Bash and many Internet-facing systems expose Bash to client requests (e.g. HTTP (CGI), DHCP, SSH, CUPS, etc.) Bug existed as early as 1.13 in 1992 More Info: http://shellshocker.net

Scanning efter SIP Services Scanning af netværk efter SIP enheder Ny tendens i 2014 Formentlig forsøg på at finde mulige ofre til VoIP svindel sipvicious tool SIP scan kører dagligt mod mange... svmap - sip scanner. Lists SIP devices found on an IP range svwar - identifies active extensions on a PBX svcrack - an online password cracker for SIP PBX svreport - manages sessions and exports reports to various formats svcrash - attempts to stop unauthorized svwar and svcrack scans OPTIONS sip:100@xxx.xxx.xxx.xxx SIP/2.0! Via: SIP/2.0/UDP XXX.XXX.XXX.XXX:5151;branch=z9hG4bK-4181329969;rport! Content-Length: 0! From: "sipvicious"<sip:100@1.1.1.1>; tag=6332303064323361313363340132! Accept: application/sdp! User-Agent: friendly-scanner! To: "sipvicious"<sip:100@1.1.1.1>! Contact: sip:100@xxx.xxx.xxx.xxx:5151! CSeq: 1 OPTIONS!

Ransomware Ransomware tager ens data som gidsel ved at krypterer dem, og tilbyde at sælge dig nøglen Indtil nu har de fleste ransomware angreb været temmelig harmløse da den anvendte kryptering nemt kunne fjernes Med Cryptolocker er dette dog ændret Ransomware målrettet danske brugere

Threat landscape for 2015

IT trends - Technology Changes New technologies Cloud Social media Mobil Big data Internet of things New innovative usage of the new technologies Sharing Economy Intelligent housing Streaming media services Mobile Payment Wearables BYOx Different changes in multiple fields effect cyber security Attacks against other vectors New methods New precedents New technologies New attackers Geopolitical Ransomware be applied to IoT A car lockdown? A house blackout? A pacemaker threat?

Threat Trends Vulnerabilities More like Heartbleed and ShellShock Software are using standard libraries Day-0 Vulnerabilities keep being found and used in exploits Hacking of devices Mobile Classic threats migrate to mobile: phishing, rootkits, malware Mobile specific exploit kits Malware will target more than SMS Attacks on mobile payment Malware Malware is constantly adapting to the security market More advanced attacking new platforms and operating systems Cross-platform attacks Advanced Persistent Threats APT technics are getting commoditized and widespread APT methods are evolving automation More states involved in cyber warfare The dark internet Cybercriminals Will Rely on Anonymity Networks Use of non-traceable virtual currencies Cybercriminals are always looking for other ways to monetize Miscellaneous trends Compromising via third party IPv6 is becoming more widespread Attacks on 2FA systems Hactivisem and politically motivated hacking

Vulnerabilities Vulnerabilities Even more vulnerabilities like Heartbleed and ShellShock will emerge from decades-old source code Vulnerabilities in Open Source are easy to find and exploit All software are build using standard libraries and components Day-0 Vulnerabilities keep being found by attackers and used in exploits Hacking of devices smart TV's, cars (carjacking), buildings, machinery, etc. Expected that main focus will be OT/ICS systems Attacks on web servers - Web server vulnerabilities and vulnerabilities especially in content management systems (Joomla, Wordpress, etc.) are being abused to compromise and hosting of malware - a focus on updates, patching and configuration

Malware Malware is constantly adapting to the security market Cybercriminals are finding new ways to corporate and overcome cultural differences Breakdown of boarders geography and technology Malware More advanced attacking new platforms and operating systems Mobile devices OSX Windows 64 bit Signed malware & rootkits Command and Control instructions will increasingly be hosted on legitimate sites and using legitimate services (Twitter, Google etc.) As virtualization gaining more and more attacks have targeted virtual environments. Malware can detect and differentiate between Sandbox environment and true server environment Cross-platform attacks - attacks between different platforms - smartphones to desktops, desktops, smart TV's, refrigerators and washing machines etc.

Advanced Persistent Threats APT technics are getting commoditized and widespread More actors using APT kind of attach methods APT methods adopted by the criminals APT like attacks being used on ordinary businesses and internet users APT methods are also evolving Automation are being used to do wide spread attacks Automation are used to harvest social media Automation are used to generate unique and undetectable malware Communication and data exfiltration are moved from FTP to https, TOR and Cloud Services like Dropbox, Google Apps. Etc. More and more states are getting in for cyber warfare Government Supported attack will - despite Snowden - continue - both as a spy on companies and the public sector but also as actual cyber warfare

Mobile Classic threats migrate to mobile: Phishing Ransomware Overlay Mobile specific exploit kits Bundling frameworks and services (perhaps automated) Device takeover malware for mobile Mobile malware will target more than SMS The adoption of smartphones and the use of mobile payment, online access, etc. makes them a tempting target for cyber criminals - NFC, ApplePay new targets Google Android is especially a likely target due to non-enforced security implementation Continued malware and other privacy infringing software in appstores - primarily Google Appstore. Knowledge of development for mobile platforms is growing and thus knowledge of how attacks can be carried out. Problems with Jailbroken devices and false appstores spreading

The dark internet Cybercriminals Will Rely on Anonymity Networks Accessing TOR and other networks is becoming easier Safer cybercrime ecommerce platform & Virtual currency - BitCoin Safer for malware infrastructure (i2ninja, Chewbacca ) Also presents challenges Broader adaptation of anonymity networks and encryption Continued and expanded use of non-traceable virtual currencies in the criminal community Cybercriminals are always looking for other ways to monetize Example - Healthcare: Seller: Easier to steal - More profitable than a credit card Buyer: Harder to detect - Many opportunities

Miscellaneous trends Compromising via third party IPv6 is becoming more widespread - new technologies, new vulnerabilities and no best-practice Attacks on 2FA systems like implemented by Facebook and others Hactivisem and politically motivated hacking will continue with more advancing methods, but probably have less success Currently hacking and cyberwar are not considered a act of war Attack tools are easy available to everyone Few resources are required to conduct an attack It can be difficult to prove who is actually behind an attack

Topics for 2015 Expected incidents Incidents affecting society and every day life in a significate way Critical infrastructure energy, power, water Air traffic control Data theft targeting more widely Creditcard information Healthcare information Other personal information Cyber espionage and theft of intellectual property Cyberwar against states and private companies Destructive attacks and cyber vandalism Ransomware and extortion Attacks on Point-ofsales systems Attacks on virtual currency Attacks on digital payment systems

Threat Intelligence: Afrunding & opsamling

Reaktionstid Hvor lang tid skal det tage at opdage et succesfuldt angreb? Planlæg efter at succesfulde angreb vil finde sted også for dig! Behov for værktøjer, så vi med det samme selv kan opdage hændelserne Reducer risiko og omkostninger dramatisk ved at reducere den tid det tager at opdage et indbrud og den tid det tager for en effektiv respons Hvor lang tid tager det at handle fra det tidpunkt et problem opdages? Incident Response er nødt til at være en del af processen HUSK: Beskyttelse er stadig vigtig - fokus på de banale kontroller If not the most, this must be one of the most important challenges to the security industry. Prevention is crucial, and we can t lose sight of that goal. But we must accept the fact that no barrier is impenetrable, and detection/response represents an extremely critical line of defense. Let s stop treating it like a backup plan if things go wrong, and start making it a core part of the plan.

Hvad kan vi gøre? - Praktiske anbefalinger (1) Sikkerhed i dybden: Anvend forskellige og overlappende sikkerhedsforanstaltninger, så der beskyttes med sigle-point-of-failure i enkelte foranstaltninger eller teknologier Basale kontroller: Hold fokus på basale kontroller husk den løbende opfølgning Overvågning: Mange organisationer opdager først brud på sikkerheden, når de får et opkald fra politiet eller en kunde. Overvågning af logfiler og change management kan give tidligere advarsel Antivirus er ikke nok: Antivirus fanger stadig mange angreb, men i oplever også mange angreb med unik malware og udnyttelse af dag-0 sårbarheder som kræver andre værktøjer Endpoint beskyttelse: Endpoint skal beskyttes af andet end kun antivirus - husk opdateringer, begrænsede rettigheder, web-sikkerhed, device kontrol Patch straks: Angribere får ofte adgang ved hjælp af simple angrebsmetoder, som man kan beskytte sig mod med et opdateret og godt konfigureret it-miljø samt opdateret anti-virus Krypter følsomme data: Hvis data bliver tabt eller stjålet, er det meget sværere for en kriminel at misbruge Beskyt krypteringsnøgler: Hvis krypteringsnøglerne kompromitteres, kompromitteres sikkerheden også To- faktor-autentificering: Dette vil ikke eliminere risikoen for at passwords bliver stjålet, men det kan begrænse de skader, der kan ske ved misbrug af stjålne legitimationsoplysninger

Hvad kan vi gøre? - Praktiske anbefalinger (2) Mennesker: Awareness er stadig vigtigt. Undervis dine ansatte i vigtigheden af sikkerhed, hvordan man opdager et angreb, og hvad de skal gøre, når de ser noget mistænkeligt Hold adgangen til data på et need-to-know niveau: Begræns adgangen til systemerne til det nødvendige personale. Sørg for, at have processer på plads til at lukke for adgangen igen, når folk skifter rolle eller job Husk fysisk sikkerhed: Ikke alle datatyverier sker online. Kriminelle vil manipulere med computere, betalingsterminaler eller stjæle dokumenter Backup: Hvis alle andre foranstaltninger fejler, kan en backup redde data. Husk beskyttelse af backup medierne Incident response: Planlæg efter at der vil ske hændelser - Følg løbende op på hvordan, og hvor hurtigt, incidents opdages og håndteres, så reaktionen løbende kan forbedres Opfølgning: Uden at glemme de basale kontroller, så hold fokus på bedre og hurtigere opdagelse gennem en blanding af mennesker, processer og teknologi Trusselsbilledet: Hold øje med trusselsbilledet for løbende at kunne tilpasse sikkerhedsløsningen. Husk at one-size fits all ikke holder i virkeligheden Riskovurdering: Er du et mål for egentlig spionage, så undervurder ikke vedholdenheden, ekspertisen og værktøjerne hos din modstander

Risikobegrænsning Risikoen kan ikke fjernes, kun begrænses Sikkerhed kan ikke købes som produkt Sikkerhed opnås ved en blanding af Procedure & ledelse (Management issues) Design, værktøjer og tekniske løsninger Løbende overvågning og vedligeholdelse Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem

Hvordan løser Dubex dine sikkerhedsudfordringer? DUBEX-PLATFORMEN Mennesker Politik Proces Forretning CONSULTING FINANCIAL SERVICES INDUSTRIAL INSURANCE IT & TELECOM MEDIA MEDICAL & BIOTECH PUBLIC SECTOR Teknologi RETAIL & CONSUMER PRODUCTS TRANSPORTATION

Hold dig opdateret Abonnér på Dubex nyhedsbrev Besøg www.dubex.dk Følg Dubex på LinkedIn & Twitter www.dubex.dk/update/ Deltag på Dubex arrangementer twitter.com/dubex www.linkedin.com/company/dubex-as http://www.dubex.dk/arrangementer/

Kommende arrangementer Læs mere på www.dubex.dk

Tak!

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback