Angreb og forsvar i en digital verden Keld Norman, Senior Security Consultant & Jacob Herbst, CTO, Dubex A/S DGI Byen, den 3. november 2016
Digital business Trust & Resilience
Fysisk Digital Digital business Trust & Resilience Mennesker Teknologi
Mere af alting Flere brugere 3 mia. i 2015 4 mia. i 2019 $90 billioner i tabt gobalt BNP, worst case mod 2030 Flere tablets 248 mio. i 2015 269 mio. i 2019 Flere SmartPhone brugere 3,5 mia. i 2015 5,9 mia. i 2020 $3 billioner i samet tabt innovation pga, cyber-risks i 2020 Flere wareables 72 mio. i 2015 176 mio. i 2019 Flere IP forbundne enheder 16,3 mia. i 2015 24,4 mia. i 2019 ~$450 milliarder i årlig tab pga. cyber-crime IoT devices 15 mia. i 2015 200 mia. i 2020 Mere netværkstrafik 72,4 exabyte pr. mdr. i 2015 168 exabyte pr. mdr. i 2019 200% stigning i cyber-crime i de sidste 5 år Global cloud marked $97 mia. i 2015 $159 mia. i 2020 Mere data 8,8 zetabyte i 2015 44 zetabyte i 2020 32% af organizationer rapporterer cybercrime Exabyte = 10 18 Zetabye = 20 21 #dsrm16
Informations -sikkerhed ICSsikkerhed Cybersikkerhed It-sikkerhed Digital sikkerhed Digitial sikkerhed IoTsikkerhed Fysisk sikkerhed
...If security breaks down, technology breaks down, business breaks down
Det sårbare Internet Denial of Business
V.S.
Distributed Denial of Service angreb Angriber - Command & control server #dsrm16
Miria botnet Mange IoT-enheder har offentligt eksponerede administrative porte kun beskyttet med standard password Enhederne mangler sikkerhedssoftware såsom firewall og anti-virus Private og mindre virksomheder, der mangler sikkerhedsforståelse til at beskytte enhederne Typisk IoT udstyr er forbundet til Internettet hele tiden Angribere behøver ikke at beskæftige sig med social engineering, e-mail spoofing eller dyre zero day angreb #dsrm16
Internettet er grundlæggende sårbart og det er vi nødt til at forholde os til, og sikre den krævne robusthed i vores løsninger
Politisk manipulation
Politisk manipulation From Russia with love Forsøg på at påvirke resultatet af det amerikanske præsidentvalg Hacker angreb på bl.a. The Democratic National Committe (DNC) Kompromittering af Hilary Clinton via lækkede e-mails WikiLeaks // Julian Assange platform for afsløringerne Angreb på det amerikanske valgsystem Angreb på selve valgprocessen Angreb på og kompromittering af elektroniske valgmaskiner Angreb på vælgerregistreringssystemer We are doing an awful lot of work through our counter-intelligence investigators to understand just what mischief is Russia up to in connection with our elections, James Comey, FBI Director #dsrm16
From Russia with love konkurrerende Russiske hackergrupper Fancy Bear Baggrund: Også kendt som Sofacy, APT 28 Omfattende målrettede angreb på forsvarsministerier og militære mål Mistænkt GRU, Ruslands primære militære efterretningstjeneste Stjæler offer login information ved spoofing af web-baserede e-mail tjenester Bag angreb på den tyske Forbundsdag og Frankrigs TV5 Monde samt World Anti- Doping Agency - WADA DNC angrebet Kompromitterede DNC i april 2016 Anvendte seks dag-0 sårbarheder i DNC angrebet Cozy Bear Baggrund: Også kendt som CozyDuke, APT 29 Omfattende angreb bl.a. knyttet til angreb på uklassificerede netværk hos det Hvide Hus, State Department og amerikanske Joint Chiefs of Staff Mistænkt for at være tilknyttet den rusiske Federal Security Service (FSB) Bruger sofistikerede Remote Access Kit med omfattende anti-analyseteknikker Brede målrettede spearphish angreb DNC angrebet Kompromitterede DNC i sommeren 2015 #dsrm16
Opfølgning USA: Det er officielt - Rusland står bag hacking af vores valg Amerikanske myndigheder er overbeviste om Rusland står bag hacking-angreb mod det amerikanske præsidentvalg FREDAG D. 7. OKTOBER 2016 KL. 22:09 // Poul Høi Sound technicians work on their boom mike as stage construction continues for the 2nd US Presidential debate, on October 7, 2016, at Washington University in St. Louis, Missouri. US Presidential Republican nominees Donald Trump and Democrat nominee Hillary Clinton will debate for the second time October 9, 2016. / AFP PHOTO / PAUL J. RICHARDS De amerikanske efterretningsmyndigheder siger nu direkte, at det er russiske statshackere, som står bag forsøgene på at påvirke det amerikanske præsidentvalg. Konklusionen kommer i en fællesudtalelse fra sikkerhedsministeriet DHS og UCIS, som er paraplyorganisationen for samtlige amerikanske efterretningsorganisationer, bl.a. NSA, CIA og FBI. De fastslår også, at statshackerne gemmer sig bag forskellige aliaser, og at de lækker oplysningerne hos Julian Assange og Wikileaks, og at de er overbeviste om, at ordren kommer helt fra toppen i Kreml, formentlig fra præsident Putin.»UCIS er sikker på, at den russiske regering står bag de nylige kompromitteringer af emails fra amerikanske enkeltpersoner og organisationer, heriblandt amerikanske politiske organisationer. De nylige afsløringer af hackede emails på site ssom DCLeaks og Wikileaks og af online-synonymet Guccifer 2.0 er i tråd med de metoder og motiver, som Rusland bruger. Tyverierne og afsløringerne søger at påvirke det amerikanske valg.den slags er ikke nyt for Moskva - russerne har brugt tilsvarende taktikker og teknikker flere steder i Europa og Asien, bl.a. for at influere den offentlige mening der. Vi er overbeviste om - baseret på rækkevidden og følsomheden i disse initiativer - at kun de allerøverste politiske organer i Rusland kan have givet ordre om disse aktiviteter.«udgiftsbilag og dødslister: Nu er det Putin, der bliver hacket Ukendte hackere lækker følsomme emails fra en af Vladimir Putins nærmeste rådgivere. Muligt amerikansk svar på russiske hackerangreb, siger efterretningsekspert. TORSDAG D. 27. OKTOBER 2016 KL. 09:01 // Simon Kruse I kølvandet på de mange hackerangreb mod USA har en af Vladimir Putins nære medarbejdere nu fået samme metode at føle. Tusinder af beskeder fra en emailkonto i det russiske regeringsapparat er blevet stjålet og offentliggjort af ukrainske hackere. Kontoen tilhører ifølge hackerne Vladislav Surkov, en af Vladimir Putins nærmeste rådgivere. Vladislav Surkov har i to år haft indrejseforbud i EU på grund af sin rolle under Ruslands annektering af Krim-halvøen i 2014. Det vakte derfor stor opmærksomhed, da Vladimir Putin i sidste uge tog Surkov med til Berlin til et topmøde med blandt andre Angela Merkel om fredsprocessen i Ukraine. Her sad han og Putin side om side ved forhandlingsbordet på de officielle fotografier. Amerikansk modsvar Det er en hidtil ukendt ukrainsk hackergruppe ved navn CyberHunta, der tager æren for det seneste læk. Ifølge efterretningseksperter tyder meget dog på, at aktionen i virkeligheden er første runde af en amerikansk hævnaktion efter spektakulære hackerangreb på det Demokratiske Parti og på valgsystemer i to amerikanske stater. Så sent som i sidste uge varslede CIA-kilder over for den amerikanske tv-station NBC en "cyberaktion uden fortilfælde" i kølvandet på de tilsyneladende russiske hackerangreb. #dsrm16 Foto: VLADIMIR RODIONOV http://www.b.dk/globalt/usa-det-er-officieltrusland-staar-bag-hacking-af-vores-valg http://www.b.dk/globalt/udgiftsbilag-ogdoedslister-nu-er-det-putin-der-bliver-hacket
Cyber-angreb påvirker og manipulerer med de grundlæggende demokratiske strukturer i vores samfund
Hvem og hvorfor bliver vi angrebet? Organiserede kriminelle Stater og regeringer (efterretningstjenester) Politiske aktører (aktivister & terrorister) Vandaler Interne #dsrm16
Hvem og hvorfor bliver vi angrebet? Organiserede kriminelle Økonomisk berigelseskriminalitet Stater og regeringer (efterretningstjenester) Industrispionage Politiske aktører (aktivister & terrorister) Politisk motiveret Vandaler Interne Vandalisme #dsrm16
Hvem og hvorfor bliver vi angrebet? Organiserede kriminelle Stater og regeringer (efterretningstjenester) Politiske aktører (aktivister & terrorister) Vandaler Interne Økonomisk berigelseskriminalitet Industrispionage Politisk motiveret Vandalisme Internetsvindel (CEO fraud) Tyveri af kreditkortinformation Identitetstyveri Denial of Business DDoS & Ransomware Målrettede angreb efter fortrolige informationer Informationlækage Sabotage #dsrm16
Angreb omgår perimeterforsvaret Angreb mod brugere og klienter Social engineering f.eks. phishing Angreb via sociale netværk Regeringers cybervåben overfører avanceret teknologi til kriminelle Kode genbruges af andre angribere Angribere behøver ikke selv at investere i avanceret teknologi Avancerede angreb er normale Hurtig udnyttelse af sårbarheder Udnyttelse af dag-0 sårbarheder Unik og målrettet dag-0 malware Webbaserede angreb Indirekte angreb via betroede eksterne tredjeparter Angreb sløret i krypteret sslkommunikation
CFO SCAM
Økonomidirektøren (også kaldet Chief Financial Officer, forkortet CFO)
Faktisk lykkes scams som det her ret tit, fordi modtageren ikke gennemskuer, at afsenderen er spoofet og mailen modtages på en mobiltelefon.
Mailen her viser ikke den rigtige afsender
.exe
SANDBOXING En mundskænk, kaldes også kredenser (af latin, credere, at indgyde tillid) er person, der er ansat til at skænke mad og drikke for en fyrste eller anden person, smage på den inden serveringen, for derved at sikre, at den ikke var forgiftet.
Inficerer PC en eller telefonen
Makro henter malware fra internettet
Makro henter malware fra internettet eller bruger powershell
HACKEREN FINDER ET LINK DER LIGNER..
Men.. SIEM (Security Information Event Management) og SAC (Security Analytics Center) teamet opdagede de udgående kald der downloader malwaren, kontaktede CFO en og fik stoppet phishing forsøget..
TOGET TAXI LUFTHAVNEN HIMALAYA BJERGET
Denne NANO kan erhverves for ca. 700,- DKK
MAILS KODEORD URLS DNS SPOOF SSL STRIP
Ændring af data mellem afsender og modtager
EN FALSK KOPI AF DEN RIGTIGE OFFICE 365 LOGIN SIDE
NU SENDER HACKEREN EN MAIL INDEFRA AFSENDER ER NU EN MEDARBEJDER. DET GØR PHISHINGEN MERE TROVÆRDIG.
VPN SIKRER AT MAN ER FORBUNDET VIA EN KRYPTERET FORBINDELSE TIL ET SIKKERT STED AT TILGÅ INTERNETTET FRA
- OVERFØRSEL KAN IKKE FORETAGES UDEN ET TELEFONOPKALD. - AFTAL ET KODEORD DER SKAL OPLYSES I TELEFONEN - BANKEN MÅ OVERFØRE BELØBET OVER EN ACCEPTERET TABSSTØRRELSE UDEN GODKENDELSE FRA TO UAFHÆNGIGE PERSONER I VIRKSOMHEDEN
INTERNET OF THINGS
https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/
1. En robot må ikke gøre et menneske fortræd, eller, ved ikke at gøre noget, lade et menneske komme til skade 2. En robot skal adlyde ordrer givet af mennesker, så længe disse ikke er i konflikt med første lov 3. En robot skal beskytte sin egen eksistens, så længe dette ikke er i konflikt med første eller anden lov
Det kinesiske firma Hangzhou Xiongmai Technology
DVR en er tilsluttet to netværk hospitalets LAN og et lukket net som også bruges af computeren, der styrer strålekanonen her..
Kali, Metasploit and Armitage #dsrm16
Mens personalet er ubeskyttet i rummet tænder maskinen og stråler - patienten ligger passificeret og dør af strålingen.
FYSISK ADGANG
Pas på nøglerne.. Sneakey: http://vision.ucsd.edu/~blaxton/sneakey.html #dsrm16
Bankenøgle Hammer Takker filet helt ned #dsrm16
MouseJacking.com og Keysniffer.net En Crazyradio koster 25$ (gratis fragt), hvis man køber den på ebay Vil du se en demo så søg på YouTube efter:
Fysisk adgang: RubberDuck stjæler data eller installerer en RAT The Rubber Ducky Attack Reconnaissance: Computer Information User Information USB Information Shared Drive Information Program Information Installed Updates User Document List Basic Network Information Network Scan Port Scan Copy Wireless Profile Take Screen Captures Copy FireFox Profile Extract SAM File Exploitation: Find and Upload File (FTP) Disable Firewall Add User Open Firewall Port Start Wi-Fi Access Point Share C:\ Drive Enable RDP Create a Reverse Shell Local DNS Poisoning Delete a Windows Update Reporting: Save Report to Target Machine FTP Report to External Host Email Report to GMAIL Account #dsrm16
KOMPROMITEREDE PERSONDATA
Gratis sårbarhedsscanning.. 17.437 RESULTATER DE RØDE PRIKKER VISER HVOR SAP INSTALLATIONEN ER FUNDET #dsrm16
#dsrm16
En søgning på Sharepoint og DK finder Region Hovedstadens Apotek
Angreb opdages stadig - langsomt og tilfældigt Opdagelse af angreb - hastighed Opdagelse af angreb - hvordan 146 dage tager det i gennemsnit at opdage en kompromittering 320 dage for en eksternt opdaget kompromittering 56 dage for en internt opdaget kompromittering 53% af alle hændelser blev opdaget af eksterne 47% af alle hændelser blev opdaget internt så det normale er, at der efter nogle måneder kommer nogle eksterne og fortæller, at vi er blevet hacket #dsrm16
Tilgang til sikkerhed Alvorlig hændelse! Luk hullerne NU! Ok, hvad er vores egentlige behov? Investering i compliance Nemt og billigt #dsrm16
Udfordringer Digital transformation Budget vs. reelt behov Medarbejdere, ressourcer og kompetencer Information er blevet strategisk Kundevendte initiativer Ledelsesopbakning Cloud Big Data Social Mobile Avanceret infrastruktur og øget kompleksitet Interne forhold Teknologi Eksterne forhold Alt er forbundet #dsrm16 Compliance ISO27001 GDPR og lovgivning Krav om hurtig udnyttelse af nye sikkerhedsteknologier Privacy krav Udfordrende trusselsbillede
Prioritering af sikkerhed INFORMATION er blevet virksomheders vigtigste asset Managing risk Beskytte følsomme oplysninger for at forbedre og opretholde markedsposition og sikre overholdelse af regulativer samtidig med en kontrol af omkostningsniveauet CIO Enabling growth Forbedre og sikre forretningens agilitet ved at give hurtig og intuitiv adgang til de rigtige informationer, værktøjer og applikationer #dsrm16
Predict & identify Prevent & protect Detect Respond & recover
Hvordan ændrer vi vores tankegang omkring sikkerhed? Fra prevent og protect til detect og response Fra compliance (tjekbokse) til risikobaseret sikkerhed Fra teknologi til forretningsudbytte Predict & identify Prevent & protect Detect Respond & recover Information Risiko Foranstaltninger Managing risk Enabling growth Fra forsvar til facilitering Mennesker Proces Fra snævert it-fokus til fokus på alle digitale aktiver Politik Teknologi Forretning Informationssikkerhed It-sikkerhed ICS Cybersikkerhed Digital sikkerhed Fysisk IoT Fra informationskontrol til informationsudveksling Fra fokus på teknologi til fokus på mennesker Fra absolut risiko til god og dårlig risiko Risikovurdering Beregnet risiko værdi Fortrolighed Intregitet Tilgængelighed Rang i dag Navn Sikring af hjemmearbejdspladser BYOD Sikker brug af Webmail Mobile enheder Firewall og VPN miljø 20 15 20 20 15 15 8 10 11,3 9 12 18 10 8 15 12 3 4 5 6 7 20 2 7,5 1 Antivirus Webservices for kunder Segmentering af 15 8 12,5 8 5 15 8 9 netværket 4 webtrafik Administration af brugeridentiteter SIEM og loghåndering Trådløse netværk 4 4 4 4 4 Sikkerhed ifm. 15,8 6 8 10 12 #dsrm16
Dagens emner Formiddag Eftermiddag Managing Risk, Enabling Growth at Business Level Trusler og hackernes metoder EUpersondataforordning en & Privacy Secure Cloud & Mobility Sikkerhedsprocessen tænk stort, start småt Security Trends & Solutions #dsrm16
Brug resten af dagen til at komme videre Få inspiration fra indlæg og kundecases Besøg vores samarbejdspartnere på deres stand Netværk med dine kolleger fra andre virksomheder Kom i dialog med Dubex om dine sikkerhedsudfordringer #dsrm16
TAK!