KMD s tilgang til cybertrussler Public
SIMON THYREGOD Afdelingsleder, Information Security KMD, 2014 Civilingeniør, CISSP, CISM Information Security Manager Takeda, 2013 2014 Group Risk Consultant DONG Energy, 2010-2013 IT-Security Specialist A.P. Moller - Maersk Group, 2007 2010 Derudover erfaring fra forsvaret og Novozymes.
Ca. 3.000 ansatte 40 år gamle Historiskset hovedsageligt fokus på velfærds Danmark Eksempler på kunder og projekter: Hvert år håndterer KMD s systemer milliardbeløb, der svarer til mere end 25% af Danmarks bruttonationalprodukt 1 million danskere i den private og offentlige sektor modtager hver måned deres løn via KMD s lønsystemer Kilde: kmd.dk
UDPLUK FRA KMD S SIKKERHEDSSTRATEGI KMD A/S Sikkerhed er vores DNA Sikkerhed er en kombination af teknologi, processer og personer Vi tager vores egen medicin vi går til markedet med de produkter vi selv benytter Vi vælger stratetiske partnere blandt de bedste (e.g. Symantec, RSA, LogPoint, Cisco) Vi baserer vores leverancer på kendte standarder, men også egen ekspertise (bl.a. ISO27001, ISO9001, ISO20000) Sikkerhed skal gøre forretningen agil ikke være en hindring
ÅRSAG TIL SIKKERHEDSHÆNDELSER? Lack of overview Weak change mng. Firewall Configuration Lack of logging Shadow IT Poor access control Vulnerabilities Basis Malware ISO 27001
HVEM ER I RISIKOGRUPPEN FOR FORSKELLIGE TYPER AF ANGREB? KMD A/S 45 40 35 30 25 20 15 10 5 0 Kilde: Verizon 2014 IT Offentlig Energi Transport Retail Finans
SKIFT I ANGREBSTEKNIKKER Ikke længere chikane, men motiverede angreb (ønsker ikke at blive opdaget) Starter med det svageste led Herefter eskaleres rettigheder (Jumping from host to host) Svært at opdage!
GAMMELDAGS TILGANG
I DAG: PREVENT DETECT RESPOND
TEKNOLOGI - UNDERSTØTTET AF PROCESSER OG MENNESKELIG KOMPETENCE
ET LAG ER IKKE NOK EKSEMPLER PÅ BESKYTTELSESLAG Perimeter Network Systems/ Applications Endpoint DDoS Network IDS/IPS Virtual Patching Anti-malware Firewalls E-mail gateways Web gateway Network Security Analysis SIEM Vulnerability Identity & Access Vulnerability Advanced Intrution Detection IDS/IPS Advanced Intrusion Detection Mobile Device
EKSEMPEL FRA KMD ADVARSEL FRA CFCS 15. + 18. FEB Øget risiko for DDoS Øget risiko for defacements Udnyttelse af sårbare 3.parts applikationer og plugins Kendte kompromitterede domæner
CFCS - HÅNDTERING I PRAKSIS Perimeter Network Systems/ Applications Endpoint DDoS Network IDS/IPS Virtual Patching Anti-malware Firewalls E-mail gateways Web gateway Network Security Analysis SIEM Vulnerability Identity & Access Vulnerability Advanced Intrution Detection IDS/IPS Advanced Intrusion Detection Mobile Device
CFCS HANDLINGSPLAN Trusselsniveau løftet til GUL (øget bemanding/overvågning) Øget overvågning af DDoS system Spærring af kompromitterede domæner i web gateway Øget overvågning af Network Security Analytics og SIEM Ekstra sårbarhedsskanning af alle eksterne domæner Tvangs-patching eller virtual patching af servere Tvangs-patching af klienter Dagligt statusmøde
EKSEMPEL FRA KMD PHISHING E-MAIL Phishing e-mail sendt til KMD medarbejder og rapporteret til Group Security. Link til ondsindet kode (malware) fx informationstyv. Ikke fanget af anti-malware løsninger
PHISHING E-MAIL - HÅNDTERING I PRAKSIS Perimeter Network Systems/ Applications Endpoint DDoS Network IDS/IPS Virtual Patching Anti-malware Firewalls E-mail gateways Web gateway Network Security Analysis SIEM Vulnerability Identity & Access Vulnerability Advanced Intrution Detection IDS/IPS Advanced Intrusion Detection Mobile Device
PHISHING EMAIL YDERLIGERE UNDERSØGELSER Hvem/hvor mange har modtaget e-mailen? Hvem har klikket på linket? ER VI SÅRBARE?
PHISHING EMAIL HANDLINGSPLAN Trusselsniveau bibeholdes på GRØN Afsender spærres (gerne på IP/server-niveau) Link spærres Malware sample analyseres (fx Cuckoo Sandbox) Sample sendes til anti-virus og signaturer opdateres RSA Network Security Analytics opdateres Data Packets gennemsøges Advanced Intrusion Detection på klienter og servere gennemgås for aktive processer med samme fingerprint Potentielt inficerede klient renses eller geninstalleres
EKSEMPEL CRYPTOLOCKER Cryptolocker prøver at kryptere lokale filer og fildrev Nøgle skal købes mod løsepenge (?) Eksempelvis havde vi en kunde hvor KMD har ansvaret for filserverne, men ikke klienterne eller deres gateways.
CRYPTOLOCKER - HÅNDTERING I PRAKSIS Perimeter Network Systems/ Applications Endpoint DDoS Network IDS/IPS Virtual Patching Anti-malware Firewalls E-mail gateways Web gateway Network Security Analysis SIEM Vulnerability Identity & Access Vulnerability Advanced Intrution Detection IDS/IPS Advanced Intrusion Detection Mobile Device
CRYPTOLOCKER HANDLINGSPLAN Trusselsniveau bibeholdes på GRØN Stop ulykken! Filer genskabes vha. backup hvor muligt KMD ikke har klient eller mail gateway ansvar > det er svært at forebygge! SIEM > Antal filændringer Advanced Intrusion Detecion -> Filnavne el. informationsfil Network Security Analytics -> Beacon Pattern
ANBEFALINGER Get the basics right! Husk de opdagende kontroller Informationssikkerhed er alles ansvar, men bør være et uafhængigt organ Informationssikkerhed kræver ledelsesengagement