Konkrete anvisninger på en sikker og ansvarlig cloudinfrastruktur v/jørgen Smed og Erik Borch Olsen, Komplex it
Ransomware - Tager computeren eller data som gidsel Senior Konsulent Jørgen Smed
Hvor slemt er det? Mere end hver femte danske virksomhed og myndighed har været ramt af Ransomware, viser undersøgelser fra Dansk IT Crowti (also known as Cryptowall), and FakeBsod are currently the two most prevalent ransomware families. These two families were detected on more than 850,000 PCs running Microsoft security software between June and November 2015.
FakeBSOD
Sådan ser 'Post Nord-virussen' ud Danmark er ramt af en 'ransomware'-bølge. Her er et eksempel på en af de mails, du ikke må åbne
Cryptowall 4.0 inficerede filer
Hvad kan man gøre på forhånd? Antivirus Sørg for det er opdateret Rettigheder Brugere skal kun have rettigheder til data, de skal bruge Privilegier Brugerne må IKKE være administrator på deres PC Information til brugerne Det er ikke kun noget man hører eller læser om Backup Tager vi backup tit nok, hvilke muligheder er der, og hvad koster det
Hvad hjælper ikke? Firewall regler Brugerne skal jo have adgang til filerne, og den vej anvender Cryptowall angreb også Filkryptering Værktøjer som Bitlocker og Windows EFS er usynlige for brugeren og dermed også for Cryptowall angreb Løsepenge De fleste eksempler på ofre, der betaler, får bare større og større krav IT konsulenter ;-) Ingen kan i praksis dekryptere data låst med 256bit AES kryptering
Hvad gør man hvis man bliver ramt? Vær forberedt! Se sidste slide J Stands ulykken Find ud af hvilke PC er er inficeret, eks. via ejerskab af de krypterede filer Få overblik over skaderne Filservere m.m. skal scannes for krypterede filer Udfør datarestore roligt og sikkert Det kommer til at betyde ventetid for resten af organisationen. Det er der bare ikke noget at gøre ved.
Datasikkerhed i forbindelse med Cloud Services Erik Borch Olsen Driftschef, Komplex it
Datasikkerhed i forbindelse med Cloud Services Fysisk sikkerhed i udbyderens datacenter Hvem kan få adgang til datacenteret, kunder, gæster, leverandører, leverancer? Hvor mange lag af fysisk sikkerhed er der implementeret i datacenteret? Kort, kode, biometric scannere og sluser? Datacenter faciliteter Power Supply N+X / 2N+X og gerne redundant by-strøm Avanceret brandbekæmpelse og vand detektorer implementeret? Vagt / bemanding 24/7 af datacenteret? Hvor opbevarer cloud-leverandøren jeres data? Hvor er datacenteret placeret geografisk og hvor spejles data evt. hen? Opbevarer din cloud-leverandør data inden / uden for EU? Kvalitetsstempel overholder leverandøren de mest gængse standarder, 3402, ISO 27001 / 27002, ISO22301, SOC 2? Hvor godt kender du din leverandør? Har I allerede et kunde / leverandør forhold, har i besøgt dem og set deres Faciliteter? Kontrakt / skriftlig aftale / databehandleraftale ved personoplysninger
Datasikkerhed i forbindelse med Cloud Services Hvilken type udstyr benytter udbyderen? Storage - JBOD diske eller RAID? Interne diske, DAS / NAS eller enterprise storage systemer? Easy Tier / SSD som JBOD eller RAID? Garanti for IO / performance på storage? Spejling af data til sekundært datacenter? Virtuelle / bare metal servere hos cloud udbyder, hvem tager backup af dem? Ansvaret er oftest 2-delt, udbyderen sikre dig som oftest imod disaster, dvs. hardware og datacenter fejl men det er ikke en selvfølge. Altid virksomhedens ansvar at sikre data, f.eks i Office 365, Sharepoint, Onedrive, Hosted SQL. Hvem har adgang til dine data? Hvem drifter dine servere og hvor udføres driften fra? Benyttes der underleverandører i forbindelse med leverancen? Screening for IT kriminalitet hos udbyderens personale / underleverandører? Har udbyderen både adgang til backup data og live data? Hvis udbyderen også tager backup af dine data, har driftspersonale adgang til både klienter og backup systemer?
Datasikkerhed i forbindelse med Cloud Services Generelle sårbarheder, bla. SSLv2-protokollen på hostede servere DROWN attack (Decrypting RSA using Obsolete and Weakened Encryption) Patch af servere / disable SSlv2 protocol på alle SSL/TLS servers RDP / SSH direkte fra Internettet? Er der implementeret nogen ACL foran de hostede servere? Firewall service ved køb af hostede servere? Oftest et tilvalg 2 faktor validering foran hostede services, f.eks Office 365, CRM systemer m.fl.? Oftest er brugernavnet allerede kendt, skal blot gætte passwordet? Kryptering af data på hostede servere eller hostede services? Oftest kundens eget ansvar at implementere dette og sikre krypteringsnøglen. Løbende patch management af hostede servere? Oftest kundens eget ansvar at patche både OS og applikationer.
Datasikkerhed i forbindelse med Cloud Services Remote Backup Generelt omkring backup: Backup frekvens, hvor hyppigt skal der tages backup af dine data, dagligt, ugentligt, hver 2. time? What s in / what s out - sikre at der er backup af alle nødvendige filtyper, drev, volumes, databaser m.m. Backup historik, hvor lang tid skal data gemmes, overholde evt. krav fra revision? Transport af backup data, er data krypteret under transport mellem kunden og udbyderen? Opbevaring af backup data, gemmes data i krypteret format hos udbyderen? Spejling af backup data, er data placeret i flere brandceller / datacentre hos udbyderen? Hvem har adgang til backup data, og har udbyderen både adgang til backup data og live data? Hvem kan restore dine data, hvilken sikkerhed er implementeret i forbindelse med restore? Restore tid, hvor hurtigt kan man restore sine data i forbindelse med f.eks server nedbrud? Restore test - kan man restore de data som man forventer? Har leverandøren en beredskabsplan for håndtering af virus angreb?
Datasikkerhed i forbindelse med Cloud Services Remote Backup Når det går galt I en enterprise organisation, er der i gennemsnit hvert minut mindst 1 PC som tilgår et website med risikabelt indhold Hvert 3. minut er der mindst en bot som kommunikere med et remote controlcenter Hvert 10. minut bliver mindst 1 kendt virus / malware downloaded til et OS Aktuel kundesag Virksomheden bliver ramt af virus / ransomware via en medarbejder PC / Office 365 mail 60% af virksomhedens data når at bliver krypteret fra en medarbejder modtager mailen, til han når at lukke sin pc vedkommende er ikke selv bekendt med at det sker. 80-100 medarbejdere måtte arbejde offline i næsten 2 dage Alt data restoret fra backup leverandøren Kun data, som var ekskluderet fra backup, er mistet men intet forretningskritisk
Datasikkerhed i forbindelse med Cloud Services Beredskabsplaner Har virksomheden lavet en nødplan for hvad der skal gøres når det sker? Oftest skal der handles hurtigt stands ulykken Har man testet om planen virker i praksis, hvordan får man fat i planen, hvis virksomhedsdata nu er krypteret er den tilgængelig offline? Løbende restore tests fra backup, også de komplicerede systemer, SQL, Oracle, DB2, Exchange m.m.? Awarenes omkring beredskabsplaner, nødplaner og procedurer, er alle medarbejdere bekendt med de procedurer der er beskrevet og hvor de findes? Eskalation og informationsprocedurer, hvem skal have hvad af vide, og hvor hyppigt skal der gives en opdatering på problemløsningen?