Interne og eksterne trusler Sådan håndterer vi trusler fra remote access/ad-hoc adgange fra medarbejdere og leverandører

Relaterede dokumenter
Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

OT Security. 17 november 2016

Velkommen VI BYGGER DANMARK MED IT

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

Field & Network level Industrial Security to guarantee top performance in production

Field & Network level Industrial Security to guarantee top performance in production

QUICK MANUAL BRUGERNAVN: ADMIN PASSWORD: APP: SMARTEYES PRO PORT: SecVision - Quick Manual v1.0

Portal Registration. Check Junk Mail for activation . 1 Click the hyperlink to take you back to the portal to confirm your registration

MOC On-Demand Administering System Center Configuration Manager [ ]

IBM Network Station Manager. esuite 1.5 / NSM Integration. IBM Network Computer Division. tdc - 02/08/99 lotusnsm.prz Page 1

Cyber sikkerhed Process IT Cyber sikkerhed og risiko analyse

Vore IIoT fokus områder

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017

Naalakkersuisut Government of Greenland. Digitaliseringsstyrelsen. Statusrapport. Rapportperiode: oktober

Kundecase: Sådan skaber Blue Coat s løsninger værdi hos Haldor Topsøe

EDUROAM på Mac OS X Tiger Opsætning af trådløst netværk

Status på det trådløse netværk

Sikkerhed i trådløst netværk

Minimér risikoen for data-lækage i din virksomhed

Workshoppens indhold. 2 minutter om ispoc

Vejledning til at tjekke om du har sat manuel IP på din computer.

Managing Risk Enabling Growth. Jacob Herbst, CTO, Dubex A/S Søborg, den 7. november 2013

Webside score digitalenvelopes.

KMD s tilgang til cybertrussler. Public

Statusrapport. Rapportperiode: Juli Queue: Telefoni

Status fra Sikkerhedsfronten. Jens Borup Pedersen DK-CERT/DeiC

Installation. Aesiras Internet hjemmeside og webshop. Aesiras -integreret Regnskab, Handel og Internet

Botnets Organiseret kriminalitet på nettet

F2 support rapport. Rapportperiode: februar 2017

Virtualisering, Cloud Computing og OPC UA i automationssammenhæng - hvad er de reelle use cases?

DirectAccess med Windows 7 og Windows Server 2008 R2. Jens Ole Kragh JensOle.Kragh@eg.dk EG A/S

CYBERTRUSLEN. Januar Lars Hermind Landechef Danmark

Kundecase: Sådan skaber Blue Coat s løsninger værdi hos Haldor Topsøe. Peter Sindt psi@dubex.dk Copenhagen,

Online kursus: Content Mangement System - Wordpress

AirPrint vejledning. Version 0 DAN

Teknologispredning i sundhedsvæsenet DK ITEK: Sundhedsteknologi som grundlag for samarbejde og forretningsudvikling

BESKYTTELSE AF SaaS. - når sikkerheden skal følge med. Jan Johannsen SE Manager, Nordics & Benelux Check Point Software Technologies Ltd.

Nexus IP Quickguide. Til alle Nexus VP og F modeller

Security Integrated. Create Sustainable Value. Siemens AG Alle rettigheder forbeholdes.

HACKERNE BLIVER BEDRE, SYSTEMERNE BLIVER MERE KOMPLEKSE OG PLATFORMENE FORSVINDER HAR VI TABT KAMPEN? MARTIN POVELSEN - KMD

Mobil Awareness 2011 CSIS Security Group

GUIDE TIL DIN STREM BOX.

DSB s egen rejse med ny DSB App. Rubathas Thirumathyam Principal Architect Mobile

Bruger Manual For WT-215W WIFI relæ

VPN VEJLEDNING TIL MAC

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed

Real-time Lokations Systemer for sundheds sektoren

Nexus IP Quickguide. Til alle Nexus VP og F modeller

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

Project Step 7. Behavioral modeling of a dual ported register set. 1/8/ L11 Project Step 5 Copyright Joanne DeGroat, ECE, OSU 1

Cisco Cloud Networking. Cisco Meraki - En ny måde at lave netværk på Morten Rundager Solutions Specialist Cisco Danmark 29/

Integrated Total Facility Management for Real Estate, Infrastructure & Facility Management

EZENTA BESKYTTER DANSKE VIRKSOMHEDER

Trådløst LAN hvordan sikrer man sig?

EasyIQ ConnectAnywhere Release note

Opsætning af klient til Hosted CRM

Privat-, statslig- eller regional institution m.v. Andet Added Bekaempelsesudfoerende: string No Label: Bekæmpelsesudførende

Trådløst Internet i Øer

PRAKTISK IT-SIKKERHED

UDP Server vejledning

Er der hackere på linien?

NT PDC Udarbejdet af Kenneth Dalbjerg

Serverteknologi I Project task list

Indholdsfortegnelse: Firewall Erhvervsakademi Midtjylland

> DKCERT og Danskernes informationssikkerhed

Projektopgave Operativsystemer I

En god Facebook historie Uddannelser og valgfag målrettet datacenterindustrien!?

Fart på SAP HANA. Sådan laver du analyser direkte på dine data i realtid. Copyright 2012 FUJITSU. Fujitsu IT Future, København, den 16.

Installation af Elektronisk APV på flere PC er

Komplet dækning til din virksomhed

Fjernopkobling. - Vejledning i førstegangs fjernopkobling via en IKKE. Banedanmark pc

Identity Access Management

VPN-klienten SecureClient for TDC Managed Firewall

EN REVOLUTIONERENDE CYBER SECURITY LØSNING

CONNECTING PEOPLE AUTOMATION & IT

QUICK START Updated:

Implementing SNOMED CT in a Danish region. Making sharable and comparable nursing documentation

MSE PRESENTATION 2. Presented by Srunokshi.Kaniyur.Prema. Neelakantan Major Professor Dr. Torben Amtoft

Hvis du ønsker at tilgå Internet trådløst, skal du selv anskaffe dette udstyr. Det kaldes ofte et access point eller en trådløs router.!

WINDCHILL THE NEXT STEPS

VDI AARHUS UNIVERSITET VER 1.5 VDI 30. APRIL

Projektopgave. Byg et netværk til gruppens nye firma!

Test af Cloud-baserede løsninger DSTB Ole Chr. Hansen Managing Consultant

Network Admission Control

Denne brugsanvisning gælder for følgende modeller:

Det Danske Filminstitut byder velkommen til vores UDP Server. Pligtaflevering - Version 2.0

Hvorfor opgradere til Microsoft 365? Få en kort introduktion til Microsoft 365 og de 7 største grunde til at opgradere

Installation af Bilinfo på Windows

IP Modul report / Netværks software manual 1.0 Funktions beskrivelse:

Digitaliseringsstyrelsen

Forventer du at afslutte uddannelsen/har du afsluttet/ denne sommer?

Forventer du at afslutte uddannelsen/har du afsluttet/ denne sommer?

EasyIQ ConnectAnywhere Release note

OPDAG ANGREB OG REAGÉR HURTIGT

SIEM hvilken løsning skal du vælge? Claus Løppenthien, Dubex A/S, 12. maj 2015

Opsætning af MobilePBX med Kalenderdatabase

Dagens tema. Kompetencemæssigt begiver vi os ud i de teknologiske forventninger fra Cloud computing til Robotteknologi og programmering

AirPrint vejledning. Version 0 DAN

Transkript:

Interne og eksterne trusler Sådan håndterer vi trusler fra remote access/ad-hoc adgange fra medarbejdere og leverandører Ken Willén Security Business Manager Ezenta

Agenda og afgrænsning Interne og eksterne trusler Sådan håndterer vi trusler fra remote access/ad-hoc adgange fra medarbejdere og leverandører: Typer af remote access/ad-hoc adgange der bør beskyttes Hvad er risici ved de forskellige typer af adgange? Hvordan kan man beskytte sig mod misbrug af remote/ad-hoc adgange? Indlægget har fokus på ad-hoc adgange herunder: Remote adgange for medarbejdere Alle typer af leverandøradgange Indlægget dækker ikke standardadgange og dataudveksling som: Drift og overvågning Change management On-site fejlsøgning Dataudveksling mellem udstyr og styring

Typer af remote access/ad-hoc adgange der bør beskyttes og hvad er risici ved de forskellige typer af adgange?

Symantec: Protecting critical systems while promoting operational efficiency Among the top SCADA vulnerabilities identified by INL were improper authorisation and authentication, standard protocols with clear text authentication and unprotected transport of SCADA credentials. Identity and access management solutions must have higher priority, especially in consideration of the accelerating interconnection with enterprise IT systems, and the adoption of cloud, mobile and remote management functionalities.

Symantec: SCADA angreb

Check Point: Common Attack Methods Using a remote access port used by vendor for maintenance Hacking a legitimate channel between IT systems and ICS/SCADA systems Convincing an internal user to click on a URL link in an email from a workstation that is connected both the ICS/SCADA network and to the Internet Infecting laptops and/or removable media while outside the network, later infecting internal systems when they re connected to the network for data collection, controller/sensor software updates, etc. Making use of configuration mistakes in security or connected devices

Et godt design er ikke stærkere end det svageste led on-site

Et godt design er ikke stærkere end det svageste led remote 3G/4G WiFi Internet

Et godt design er ikke stærkere end det svageste led remote Fuld TCP/IP adgang Remote Control Native administrationsklient Web administration 3G/4G WiFi Internet

Et godt design er ikke stærkere end det svageste led mobility The Forrester survey also shows the introduction of mobile technologies for the field service workforce is another huge investment priority within the utility industry. Due to the rise in mobile malware, project leaders need to take security into account, otherwise new attack vectors will be opened. Forrester, The IT-driven Energy Revolution incl. the Forrsights Budget and Industry Priority Tracker Survey, p. 5, Q4 2011

Opsummering af de væsentligste Sikkerhedsudfordringer Leverandørernes on-site adgang: For mange rettigheder til systemerne kan lede til misbrug eller blot til tankeløse fejl Virus og orme inficeret udstyr direkte på netværket med risiko for spredning Ukontrolleret bagindgange bag firewallen, der kan udnyttes af gæster eller evt. udefra Remote adgang: Sårbarheder i internetvendte services som web baserede administrations interfaces, fjernstyring, native programmer, databaser mv. Brute force angreb mod login Bagdøre på service maskiner leder til man-in-the-middel, stjålne passphrase, brugernavn/password, links og IP-adresser til anlæg mv. Ukontrolleret bagindgange bag firewallen, der kan udnyttes af gæster eller evt. udefra War dialing og WiFi skanning (Google)

Opsummering af de væsentligste Sikkerhedsudfordringer, fortsat Mobile enheder: Stjålet udstyr (PC, ipad mv.) Fastkodet passphrase og/eller brugernavn/password samt links og IP-adresser til anlæg Dokumentation over anlæg med tegninger, beskrivelser, fejl mv. Man-in-the-middel: Rouge WiFi/3G/4G Access Point giver adgang til bruger credentials og kan give mulighed for realtids angreb BYOD: Delt adgang til tablets Blanding af private og virksomhedsinformation Udfordringer med at WIPE en enhed når den mistes eller når en medarbejder holder op

Hvordan kan man beskytte sig mod misbrug af remote/ad-hoc adgange?

Risikoen skal ballanceres mellem Teknologi og Procedurer? Technical Controls Procedural Controls Risk

Procedure overvejelser Authentication, Authorization and Accounting: Definer roller med tilhørende rettigheder Definer krav til identifikation af enheder og brugere Definer krav til password politik inkl. løbende udskiftning af passwords Tildel hver bruger til en rolle ingen funktionsbrugere bør være tilladt Definer krav til logning Relevante procedurer: Vurder om det er muligt at tildele remote/ad-hoc adgang fra sag til sag i et begrænset tidsrum Lav procedurer for godkendelse af udstyr inkl. USB, der skal have adgang til produktionsnetværket Definer procedurer for nedlukning af adgange når både egne og leverandørers medarbejdere holder op Procedural Controls Definer procedurer for tab af service maskine/smartphone/tablets. Mange har fastkodet brugernavne og password til egne/kundernes anlæg?

Tekniske overvejelser Begræns al adgang til det nødvendige og log al adgang: Logon på de enkelte maskiner i produktionsnetværket Laptop, router og andet netværksudstyr der sættes på nettet Eskalering af rettigheder på maskiner i produktionsnetværket Adgang via USB - Ingen maskiner bør default kunne køre programmer fra en USB/DVD/CDROM mv. Remote adgang via VPN eller MPLS Lukkede ringegrupper Design af remote/ad-hoc adgange: Technical Controls Ved høj risiko anlæg tilstræb air-gab og jump maskine i selvstændig sikkerhedszone Hvis remote adgang er nødvendig bør det ske via VPN eller MPLS til en jump maskine i DMZ On-site leverandøradgang bør gives via VNP over WiFi eller wired i et gæstenet eller via VPN over G3/G4 Hvis en leverandørs adgang på produktionsnetværket er uundgåeligt, bør det begrænset til det nødvendige, endvidere bør brugen af adgangen logges

Tekniske overvejelser, fortsat Stærk identifikation af enheder og brugere: Certifikater på maskiner i produktionsnetværket eller filtrering på MAC adresser 2 faktor authentikering ved alle remote adgange Risk based authentikering ved alle remote adgange Secure Container løsning til mobile enheder Technical Controls

Tak! Ken Willén, CISSP Security Business Manager Ezenta kwi@ezenta.com +45 5168 6447

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback