Sikkerhed som en del af virksomhedens risikostyring Jacob Herbst, CTO, Dubex Bygholm Park, Horsens, den 12. maj 2016
Airbnb vs.
Den digitale fremtid ændrer verden omkring os Mobility Cloud Big Data Sociale medier 3D Printing AI Digital Disruption Software Defined Anything BYOx Webscale IT Internet time Internet of Things Robotics
»Der er ved at ske nogle ting nu, som vi ikke har kendt til i den samme stil historisk set. Det er vores vurdering, at banksektoren over de næste 10 til 15 år kommer til at gennemgå større forandringer, end vi har gjort de seneste 300 år,det er den udvikling, som vi står over for i vores traditionelle forretningsmodeller, og som vi er nødt til at agere på. Da det første gang gik op for os i Danske Bank, var for halvandet år siden. Det tog os ti år at nå til en million brugere af vores onlinebank. Det tog os under ét år at nå en million brugere på MobilePay,«
»Man skal huske, at i dag kan den hårdeste konkurrent vise sig at være en ung IT-udvikler med hættetrøje i San Francisco!«Administrerende direktør Jens Klarskov, Dansk Erhverv
Alle virksomheder bliver digitale virksomheder
Internet of Things Sensors and Devices (Things) Data aggregaters Gateways Communication infrastructure & Cloud Data consumers Enterprise Integrity Data Confidentiality Availability Data Availability Confidentiality 6 out of the 10 popular IoT devices did not use encryption when downloading software updates. 90 % of the devices collected at least one piece of personal information via the device, the cloud, or its mobile application. 70 % of the devices used unencrypted network service and transmitted credentials in plain text Source: HPE 1. Insecure web interface 2. Insufficient authentication 3. Insecure network services 4. Lack of transport encryptions 5. Privacy concerns 6. Insecure cloud interface 7. Insecure mobile interface 8. Insufficient security configurability 9. Insecure software 10. Poor physical security Source: OWASP Safety Pepole & Enviroment Data Integrity
Digitial sikkerhed Informationssikkerhed It-sikkerhed ICS-sikkerhed Fysisk sikkerhed IoTsikkerhed Cybersikkerhed Digital sikkerhed
IT Infrastructure evolution Past Servers are standalone Limited mobility Present Partly virtualization Partly mobile Future Cloud Computing Mobile Enterprise
Global Risks Report 2016
Global Risks Report 2016
Hændelser - eksempler
Hændelser - Danmark Bølge af fup-e-mail fra Marokko Kommuner udsat for hackerangreb og afpresning Af Jens Beck Nielsen og Henrik Jensen 22. januar 2015, 22:30 Flere kommuner er nu for første gang blevet angreb af hackere, som kræver penge for at trække sig. En voldsom aktivitet på Gribskov Kommunes drev afslørede mandag eftermiddag, at kommunen for første gang var ramt af cyberangreb. Hackere havde krypteret filer i kommunens systemer og forlangte penge for at slippe kontrollen over dem. Kommunen afviste at betale og politianmeldte sagen, som i går blev sendt videre til Europol. Foreløbig er der ikke noget, der tyder på, at følsomme oplysninger om borgerne er sluppet ud, men kommunaldirektør Holger Spangsberg Kristiansen understreger, at angrebet tages»meget, meget alvorligt.«af Henrik Jensen / 11. februar 2015, 22:30 Det er en ekstraordinær stor mængde e-mail fra primært marokkanske bagmænd, som i disse dage forsøger af franarre danskerne deres kreditkortoplysninger. Få danskere er hoppet i fælden, siger ekspert. Bagmændene bag e-mailsvindlen benytter sig af en metode, der kaldes phishing. Her sender de typisk flere tusinde e-mail rundt, hvor de udgiver sig for at være en troværdig kilde som eksempelvis en bank, Skat eller Nets. Ved de mest professionelt udførte angreb kan det være svært at se, at der er tale om en falsk e-mail. Andre gange kan det ringe sprog i e-mailen give et praj om, at der er tale om svindlere. Herefter forsøger gerningsmændene at overbevise modtagerne om, at e-mailen er ægte, og at de derfor skal gøre, som de instrueres til. Hvis modtagerne klikker på linket, bliver vedkommende typisk ledt ind på en hacket hjemmeside, hvor man for eksempel bliver bedt om at indtaste sine kreditkortoplysnigner. Nogle få klik og en indtastning af kreditkortoplysninger. Herefter kan tyvene købe flybilletter, elektronik og andre varer i dit navn. Mandag d. 28. september 2015, kl. 12.20 / Thomas Breinstrup To kommuner er ramt, men der er højst sandsynligt flere, som der ikke er Det kan være konsekvensen, hvis man ikke er opmærksom på den bølge af kendskab til endnu, forklarer Mads Nørgaard Madsen, sikkerhedsekspert PostDanmark og har politianmeldt virus, som foregiver at komme fra falske e-mail, som i denne uge hærger de danske indbakker. Her udgiver partner i revisionsfirmaet PWC, der har været i kontakt med de ramte postvæsenet, men som låser folks filer og kræver løsepenge. gerningsmændene sig for at være nøglekortudbyderen NemID og vil lokke kommuner. modtageren af de falske e-mail over på en hacket hjemmeside, hvor de skal En særdeles ondsindet computervirus, som udgiver sig for at komme fra indtaste deres kreditkortoplysninger. Det fortæller IT-sikkerhedsekspert Peter Ifølge Mads Nørgaard Madsen skyder hackerne med spredehagl og krypterer postvæsenet, spreder sig i Danmark og koder filer, så man ikke længere Kruse har fra virksomheden CSIS, der overvåger udviklingen. vilkårlige filer. Og ifølge ham er der altså ikke etale om målrettede forsøg adgang på at til dem. stjæle f.eks. personfølsomme oplysninger.»det handler her om at lave så meget ravage som muligt, så man kan kræve så mange penge som muligt. I tilfældet her har hackerne henvendt sig via mail, og nogle brugere er kommet til at hente en inficeret fil ned. Derfor handler det også om, at der kommer en http://www.b.dk/nationalt/boelge-af-fup-e-mail-fra-marokko øget bevidsthed om sikkerheden. Uden at pege fingre kunne det måske have imødegået disse angreb,«siger Mads Nørgaard Madsen. http://www.b.dk/nationalt/kommuner-udsat-for-hackerangreb-og-afpresning Ond postvirus angriber danske virksomheder PostDanmark advarer på sin forside mod den falske besked, som mange danskere har modtaget, og som rummer en farlig virus. I sidste uge er adskillige danske virksomheder blevet angrebet af Cryptolocker 2-virussen, som ankommer med det elektroniske postbud i en mail, der foregiver at være fra PostNord. Klikker man på et link i beskeden, bliver virussen installeret og går i gang med at kryptere - altså kode - vigtige filer på
Dubex Security Analytics Center & Dubex Incident Response Team Ransomware Man-in-the-middle angreb på VPN forbindelse i Kina Ukendt Malware Ransomware tager dine data som gidsel ved at kryptere dem. Herefter tilbyder bagmændene at sælge dig nøglen. Kompromiterede web-servere Dubex Security Analytics Center Monitoring observationer: Interne systemer med malware Phishing-angreb Angreb mod webservere Brute force-angreb eks. ftp, ssh og SIP Mistænkelig trafik Uautoriseret trafik Andet skanninger Målrettet malware
Verizon 2016 Data Breach Investigations Report 85% Myth #1: Hackers always carefully select a target and then hit them with a zero-day attack Truth: Most attacks are opportunistic, indiscriminate and exploit known vulnerabilities. The top 10 vulnerabilities account for 85% of successful exploit traffic. And the remaining 15% consists of over 900 Common Vulnerabilities and Exposures (CVEs). 30% Myth #4: No one falls for phishing anymore Truth: Phishing is on the rise. 30% of phishing emails are opened. And about 12% of targets go on to click the link or attachment. 93% Myth #2: Attackers are fast. But the good guys are catching up Truth: The gap between compromise and detection is widening. In 93% of breaches attackers take minutes or less to compromise systems. But four out of five victims don t realize they ve been attacked for weeks or longer. And in 7% of cases, the breach goes undiscovered for more than a year 80% Myth #5: Cyber-espionage attacks are widespread and increasing. Truth: Money remains the main motive for attacks. 80% of analyzed breaches had a financial motive. Make your defenses good enough and attackers will move on to easier targets. 63% Myth #3: Passwords prove the identity of authorized users Truth: 63% of confirmed data breaches leverage a weak, default or stolen password 95% Myth #6: It s all too complicated. The bad guys have won Truth 95% of breaches fit into just nine attack patterns. Understand them and you ll be better able to make the right investments and protect your organization.
Hvorfor bliver vi angrebet? Spionage Konkurrenter Terrorisme Politiske & aktivister Cyberkrig Kriminelle Angreb Interne
Angreb - aktuel status Mål Målrettede angreb efter fortrolige informationer Industrispionage Økonomisk berigelseskriminalitet Tyveri af kreditkortinformation Internetsvindel Afpresning Ransomware og DDoS Politisk motiveret Informationslækage Sabotage Metoder Angreb, der omgår perimeterforsvaret Angreb mod brugere Social engineering angreb f.eks. phishing Angreb via sociale netværk Webbaserede angreb Indirekte angreb rettet mod klienter Indirekte angreb via betroede eksterne tredjeparter Angreb sløret i krypteret ssl-kommunikation Sårbarheder og avancerede dag-0-angreb Hurtig udnyttelse af sårbarheder Udnyttelse af ukendte sårbarheder dag-0 Unik og målrettet malware
Avancerede angreb er blevet det normale Mange målrettede angreb er stadig forholdsvis simple -- De fleste såkaldt avancerede angreb starter stadig med en e-mail sendt til den rette person med det rette indhold Cyber kriminalitet er en lukrativ forretning, og det er nemt at starte Undergrundsmiljø hvor de kriminelle handler med informationer Drivere bag cyberkriminalitet Automatisering Samarbejde og vidensdeling Profit How Industrial Hackers Monetize the Opportunity Social Security $1 DDOS as a Service ~$7/hour Credit Card Data $0.25-$60 Medical Record >$50 Bank Account Info Mobile Malware $150 Spam Exploits Malware Development $2500 Facebook Account with 15 friends >$1000 (depending on account type and balance) $50/500K emails $1000-$300K $1 Source: RSA/CNBC Metoder som tidligere kun blev brugt i målrettede angreb anvendes nu af almindelige kriminelle Anonymitet Malware er blevet unik og mere avanceret Betalingsinfrastruktur
der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem, der ikke ved, at de er blevet hacket. Pointen er, at alle er blevet hacket James Comey, FBI Director Pointen er, at alle er blevet hacket http://www.cbsnews.com/news/fbi-director-james-comey-on-threat-of-isis-cybercrime/
Når du ved, din virksomhed bliver kompromitteret, vil du så håndtere jeres sikkerhed anderledes?
Tilgang til sikkerhed Alvorlig hændelse! Investering i compliance Ok, hvad er vores Luk hullerne egentlige behov? NU! Sikkerhedshændelse En sikkerhedsbrud er en hændelse, der medfører uautoriseret adgang til data, applikationer, services, netværk og/eller enheder af en angriber der omgår de underliggende sikkerhedsforanstaltninger Nemt og billigt Integrity Data Confidentiality Availability
Udfordringer Avanceret infrastruktur og øget kompleksitet Compliance - ISO27001 og lovgivning Udfordrende trusselsbillede Forretningskrav Information er blevet strategisk Medarbejdere, ressourcer og kompetencer
Prioritering af sikkerhed INFORMATION er blevet virksomheders vigtigste asset It er grundlaget for alle forretningsprocesser Managing risk Beskytte følsomme oplysninger for at forbedre og opretholde markedsposition og sikre overholdelse af regulativer samtidig med en kontrol af omkostningsniveauet CIO Enabling growth Forbedre og sikre forretningens agilitet ved at give hurtig og intuitiv adgang til de rigtige informationer, værktøjer og applikationer Ledelsen og bestyrelsen skal beskytte værdien af virksomheden Udfordring: Synliggørelse af den risiko, som itanvendelsen medfører Risikostyring skal bruges til at beskytte værdien af virksomheden
Høj fart kræver gode bremser og en erfaren kører
Understøttelse af sikkerhedsprocessen Pointen er, at alle er blevet hacket Sikkerhed drejer sig i dag om vores proces og tilgang til at: Risikostyre vores aktiver (Predict & Identify) Implementere passende, afvejede kontroller (Prevent & protect) Opdage når vi bliver kompromitteret (Detect) Reagere hurtigt på en kompromittering (Respond & recover) Understøttelse med værktøjer og processer (Capabilities) Predict & identify Risk management Visibility Vulnerability management Analytics Prevent & protect Fundamental security Advanced security Detect Security monitoring Threat intelligence Incident handling Containment Respond & recover Disaster recovery Forensic Security capabilities Advanced targeted attacks make prevention-centric strategies obsolete. Securing enterprises in 2020 will require a shift to information and people-centric security strategies, combined with pervasive internal monitoring and sharing of security intelligence. 2020, 60% of enterprise information security budgets will be allocated for rapid detection and response approaches up from less than 10% in 2013. - Neil MacDonald
Risikobaseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Information Risiko Predict & identify Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Risikostyring er en løbende proces Foranstaltninger
Organisering og forankring af sikkerhedsprocessen Risikostyring Predict & identify Ændringer i risikobilledet Ledelse (Bestyrelse/CEO/CSO/CIO) Fokus: Organisatorisk risiko Aktioner: Risikobeslutning og prioriteter Prioriteter, risikoappetit og budget Procesniveau Fokus: Risikostyring Aktioner: Valg af risikoprofil Rapportering, ændringer, sårbarheder og trusler Operationelt Fokus: Sikring af infrastruktur Aktioner: Implementering af profil Sikkerhedsframework og -profil Implementering
Hvad er ISO 27001? ISO 27001 er ikke bare en standard for et ledelsessystem ISO 27001 er også en generel proces, der hjælper med forankring, behovsanalyse og prioritering af it-sikkerheden Predict & identify Ledelsessystem for informationssikkerhed (ISMS) ISMS politik Informationsaktiver og klassifikation Risikovurdering og planer Sikkerhedshåndbog Awareness Interne ISMS audits Hændelser og forbedringer Vedligeholdelse Grundlaget er ledelsens commitment og accept Fokus er på forretningen og de forretningskritiske aktiver Valg af kontroller baseret på risikovurdering Udvælgelsen er en vigtig del af processen Procesorienteret (Plan-Do-Check-Act) Der lægges vægt på rapportering
Security in Depth Kontrol og overblik Flere forskellige redundante og uafhængige sikkerhedsmekanismer Sikkert design proaktiv/generisk sikkerhed Anvend forebyggende teknologier Indbyg sikkerhed i systemerne Aktiv beskyttelse reaktiv sikkerhed Supplér den indbyggede sikkerhed Overvåg intern trafik for afvigende mønstre Overvågning Overvågning af handlinger på systemer og netværk Konsolidering, sammenstilling og intelligent analyse af logfiler Politikker og procedurer Management Overvågning & korrelation Perimeter Netværk Host Applikation Data Brugere Prevent & protect Murphy's Law: Anything that can go wrong will go wrong.
Dubex Awareness Program Prevent & protect Artikler Phishing test Foldere Plakater Nyhedsbreve Foredrag E-mail Eksamen Social platform Portal "Many of the most damaging security penetrations are, and will continue to be, due to Social Engineering, not electronic hacking or cracking... Social Engineering is the single greatest security risk in the decade ahead." Gartner 91% of data breaches start with a spear-phishing * *research from security software firm Trend Micro 79% of people that work with information security in Denmark experience that users in their organisations are the greatest security challenge! - DK CERT
Angreb opdages langsomt og tilfældigt Detect Opdagelse af angreb - hastighed Opdagelse af angreb - hvordan 66% af alle organisationer var flere måneder eller år om at opdage det initiale indbrud 205 dage tager det i gennemsnit at opdage en kompromittering 69% af alle hændelser blev opdaget af eksterne 31% af alle hændelser blev opdaget internt så det normale er, at der efter nogle måneder kommer nogle eksterne og fortæller, at vi er blevet hacket
Normalisering Kategorisering Rapportering Enheder Sårbarheder Korrelering Baseline Troværdighed Lokation Trusler Geo Alarmer Dubex Security Monitoring & Security Analytic Detect Server and Desktop OS Firewalls/ VPN Directory Services Physical Infrastructure Security Intelligence Information Vulnerabilities Geo-location Threats IPS/IDS Identity Management System Health Information Network Equipment Few suspicious events for manual handling Incidents forwarded to customer Incident response process Vulnerability Assessment Anti-Virus Databases Adapt Applications Inventory Users Configuration Netflow Analysis and Big Data
Security Incident Response Undgå at gå i panik! Respond & recover Vigtigt at have en Security Incident Response plan på plads Preparation Incident management ansvar klare roller og ansvarsområder Passende Security Incident Response til forskellige typer hændelser Recovery Identification Beredskab intent og eksternt Incident Response Team Husk test af beredskabet! Rydde op på ramte systemer og få produktionen op og køre igen hurtigst muligt The plan should include: Response team Reporting Initial response Investigation Recovery and follow-up Public relations Law enforcement Eradication Containment
Processen helt generelt START Begynd med ledelsesaccept og omfang (scope) Sikre medarbejder awareness Sikre overvågning Identificer de forretningskritiske informationsaktiver (og ejerne) Dokumenter processer (og efterlevelsen) Test beredskabet Udarbejd risikovurdering og risikohåndteringsplan Implementer de valgte kontroller (og ISMS processerne) Vedligehold systemet
Tak!