Trusselslandskabet lige nu. Hvor er Ulven? DeIC konference 1. oktober 2013 DKCERT Shehzad Ahmad, Email: shehzad.ahmad@cert.dk
Agenda DKCERT Hvem er vi? Tal og statistikker De sidste 12 måneder Udfordringerne Truslerne udefra Interne udfordringer Opsamling 2
Hvem er DKCERT? DKCERT blev i 1991 etableret i forbindelse med en af Danmarks første hackersager. (dengang under UNI-C). DKCERT er - på vegne af DeIC - en akademisk CERT for det danske forsknings- og uddannelsesnetværk kaldet Forskningsnettet. DKCERT tilhører DTU, Danmarks Tekniske Universitet. DeIC - Danish e-infrastructure Cooperation ligger under Styrelsen for Videregående Uddannelser og Uddannelsesstøtte (VUS) (Ministeriet for Forskning, Innovation og Videregående Uddannelse). 3
Hvad laver DKCERT? DKCERT har til formål at følge sikkerheden på internettet og advare om potentielle it-sikkerhedsproblemer. DKCERT tager imod henvendelser om sikkerhedshændelser på internettet, fra Forskningsnettet (og fra borgere og SMV). En del af FIRST, et verdensomspændende netværk bestående af pt. 277 CERT/CSIRT teams. TF-CSIRT, APCERT og NORDUnet CERT. (vidensdeling) 4
DKCERT tjenester Informationstjenesten. webnyheder, nyhedsbreve, advarsler, tweeds, awareness, trendrapport, mv.) Sagsbehandlingen. Modtagelse af rapporter om sikkerhedshændelser. Sårbarhedsscanninger (med database). 5
Tal og statistikker
Malware inficerede danske hjemmesider 16% af alle sager. Hændelser med malwareinficerede danske hjemmesider de sidste 12 måneder. Stigning på ca. 90% i forhold til sidste år. Omfatter også websider, der videresender besøgende til sider med phishing eller malware. 600 550 500 450 400 350 300 250 200 150 100 50 0 Hændelser med malware-inficerede danske Hjemmesider de sidste 12 måneder. 7
Danske phishingsider 9% af alle hændelser var med danske phishing-sider. Stigning på over 100% i forhold til samme periode sidste år. Primært forsøg på at få kreditkort-informationer. (banker og SKAT var populær). 320 300 280 260 240 220 200 180 160 140 120 100 80 60 40 Hændelser med danske phishing-sider de sidste 12 måneder 8
Spam og phishing mails 13,6% af alle sager om spam- eller phishingmails. (faldende). 1100 1000 900 800 700 600 500 400 300 200 100 0 Spam og phishing mail rapporteret til DKCERT de sidste 12 måneder 9
Incident Handling Botnet program Hacking Phishing sites Malware hosting Brute-force angreb Piratkopiering Portscan Spam og phishing mails 4,5% 3,7% 8,4% 7,8% 8,5% 9,0% 14,3% 16,4% 11,4% 8,1% 21,6% 24,8% 16,0% 15,3% 14,5% 13,6% (Top-8 sagstyper). Sikkerhedshændelser rapporteret til DKCERT de sidste 12 måneder. 10
Incident Handling Sikkerhedshændelser registreret de sidste 12 måneder: 13.507. Fald på ca. 20% i forhold til samme periode sidste år. Sikkerhedshændelser rapporteret Til DKCERT. 11
Malware udviklingen i 2012 (fortsætter i 2013) Danske malware-infektioner identificeret af F-Secure i 2012. 12
BYOD Smartphones der giver brugere mulighed for ukontrolleret installation af apps, skaber problemer. Mobilitet prioriteres fremfor kontrolleret adgangskontrol af virksomhedsdata. Stadig ringe sikkerhed på Smartphonen. (specielt Android apps) - F-secure: 358 new families and variants of Android malware 1H) - ios 7.02 stadig sårbar. Der er stadig for mange sikkerhedspolitikker som ikke dækker mobile enheder tilstrækkeligt. 13
Sociale netværkssider (klassikeren er der stadig) Facebook Inficerede videoer, bannerreklamer, spam på brugerens væg. Hackede Facebook konti. Robotter som opsamler brugerinformationer. Utallige eksempler på Facebook applikationer med snask. Koobface. Den farligste af dem alle. Udsender mails til falsk Facebook side. Installerer farlige programmer på brugerens pc. Skaber botnet, keylogger til kreditkortnumre osv., Q2+Q3 2013: Malware (Zeus) that drains your bank account Thrives on Facebook. Problem på arbejdspladsen med sociale netværkssider, og har medarbejderne lov til at benytte dem i arbejdstiden? Mangler der klare retningslinjer om brugen af sociale netværkssider. 14
Cloud Vi har forstået lovgivningen men hvilke muligheder har vi? Ansatte, studerende og forskerne benytter offentlige cloud-løsninger. Data som flyder derude. På mobile enheder, computeren (admin rights) osv. Brugere fjerner sikkerhed for at få nem adgang til data. 15
Hacktivisme (politisk motiverede angreb) Hacktivismen er ude af kontrol. Vi er Anonymous. Danske og svenske myndigheder under angreb. Restaurant Vejlegården (3F) KL (Lockout) Danske medier rammes af hackerangreb. CPR-registret hacket. (Snowden og NSA). 16
Interne udfordringer
Prioritering af informationssikkerhed Ofte mangler overordnet strategi for informationssikkerhed. Mangler opbakning fra ledelsen. (Har ikke opbakning signet af). Problemer med tid, resourcer og penge. Venter på at blive ramt. Mangel på SLA og databehandler aftaler!!! (vedligeholdelse og opfølgning på disse). 18
Hvordan reagerer din leverandør ved angreb? Hvilke krav stilles til leverandøren ved angreb? SLA'en med udførlig beskrivelse af hvordan leverandøren vil agere når der findes sårbarheder i den leverede løsning? Responsetiden ved efterforskning, og hvordan prioriteres man som kunde? (svartider mv.) 19
20
Firmaer er alt for længe om at opdage angreb To ud af tre virksomheder er måneder om at opdage, at deres itsikkerhed er kompromitteret. Ud af 621 sager, omhandlede kun 14% om trusler som kom indefra. Hvordan ser procedurene ud?(disaster Recovery Plan) Verizons Data Breach Incident Report 2013, (& svenske Proact). 21
Logservere Hvordan efterforsker man et angreb og procedurerne? Selvfølgelig har vi dedikerede logserver, men er logfilerne brugbare? Hvad er det vi skal kigge efter? 22
ISO27001 Forretning er udgangspunktet Hvad er de vigtigste trusler mod vores forretning? Risiko-analyse og vurderinger ISO 27001 bygger på tanken om, at sikkerhed er ledelsens ansvar Ledelsessystem for informationssikkerhed skal ligge inden for rammerne af virksomhedens strategiske risikoledelse. Tillykke til RUC med certificeringen. 23
Samarbejde på national plan Samarbejder vi, så vi kan lære af hinanden? CISO, under de danske universiteter ISP-sikkerhedsforum. (botnet bekæmpelse). Hostingselskaber (reaktionstiden). Rådet for Digital Sikkerhed (rådenes råd). Norge fik national strategi for it-sikkerhed. Vi får det også snart. DKCERT, CFCS (GovCERT), PET, NITEC. 24
Opsamling
Årets store aktiviteter Netbank-kunder bestjålet ved real time phishing. Flame malware som spionageværktøj. Flashback og MAC. Android historien der gentager sig. Malware tager data som gidsel. Billige DDoS angreb. NSA og Snowden. ios7 er sårbar. 26
Opsamling (2/4) Hardware er stadig hardware og software er stadig sårbar. Malware ramte alle platforme gennem exploits til java, pdf, flash med flere. Windows, Linux, Mac OS, ios, Android. Stigende mængde usynlige malware-mutationer. Scannes som en service i cloud baserede scannerfarme inden udsendelse. Malware signeres med stjålne certifikater. Qbot, Zxshell, Stuxnet, Duqu med flere. 27
Opsamling (3/4) Internetkriminaliteten flytter med over på de teknologier og services, vi benytter. Endnu større fokus på sociale netværksmedier og smartphones. no surprise. Kraftig stigning i mængden af information som vi selv, vores arbejdsplads eller øvrige relationer publicerer om os på eks. sociale netværkssteder - udgør en stigende risiko for misbrug. Social engineering og spear phishing med brug af data fra sociale medier. Malware inficerede applikationer, og hvidvaskning af penge på Google Play. Falske phishing mails i top-kvalitet. Brugeren kan stort set ikke se forskel. 28
Webservere og SQL-injection (4/4) Angreb på og ved hjælp af webservere i stigning - der bliver lavet botnet af inficerede webservere. Angreb udnytter sårbarheder i Ruby on Rails, Wordpress og andre CMS. Angriberne udnytter, at udviklerne stadig ikke har styr på SQL-injection og cross-site scripting. 29
Fremtidige trends
Fremtidige trends (1/4) Mange steder i den vestlige verden vil man tilpasse lovgivningen og udnytte den til det yderste, for at komme et eventuelt angreb i forkøbet. DKCERT Trendrapport 2012. Mere hacktiviske og internet aktivisme. Risikofrit og anonymt (udført af lokale grupper). Stigende overvågning. Flere og bredspektrede trusler medfører krav om stigende overvågning. USA afsløret i massiv overvågning: Snowden og NSA. 31
Fremtidige trends (2/4) Indførelsen af ny teknologi byder både på nye muligheder og nye udfordringer. DKCERT Trendrapport 2012. Sårbarheder og angreb på smart elektronik. Smart-tv'et lagrer også person- og kreditkortoplysninger. Blackbox hvor vi ikke kan påvirke og overvåge sikkerheden. Målrettede angreb på HTML5 Udbredelsen og manglende erfaring gør HTML5 til en attraktiv platform. Angreb der udnytter IPV6 Manglende erfaring og understøttelse af sikkerhedsværktøjer. 32
Fremtidige trends (3/4) Den menneskelige faktor mere social engineering og spear phishing. Data fra virksomhedernes hjemmesider, Sociale medier osv. Universiteter, og forskerdata i skyen truet. Fortsat målrettet udnyttelse af begivenheder, højtider mm.. Valentines Day, Påske, VM-fodbold, Ferier, Jul, Nytår.m.m. 33
Fremtidige trends (4/4) Fælles for alle typer af hændelser er, at de er blevet mere målrettede. DKCERT Trendrapport 2012. Flere angreb målrettet virksomheder/universiteters data og systemer. Spear phishing, malware, hacking, mobiltyveri med mere. Angreb målrettet tyveri af kreditkortdata fra onlinebetalingstjenester og butikker. Samme angreb giver adgang til mange kortdata fra hele verden. 34
Hvad gør vi nu?
Hvad gør vi nu? - brugeren At kunne sikre sig, handler om viden viden og viden: Viden om hvad der skal sikres. It-sikkerhedspolitikken kan hjælpe. Viden om hvad der skal sikres mod. Awareness. Viden om hvordan man sikrer sig. Valg af teknologier til beskyttelse. Man kan som bruger ikke tillade sig at læne sig tilbage og håbe/vente på hjælpen kommer til en. Man må også selv tage initiativ til at få viden, så man kan beskytte sig så godt som muligt mod truslerne der er derude. 36
Hvad gør vi nu? - virksomheden Vores væsentligste værn mod it-kriminalitet er således: Opbakning fra ledelsen til fortsat investering i informationssikkerhed, for ellers vil Tid, Ressourcer og/eller Penge altid spænde ben for dig. Samarbejde og deling af aktuel viden og erfaring (med andre i branchen). Valg og fokusering af teknologi-platforme. Kontinuert fokus på opdatering af sårbare systemer. Uddannelse og varsling af brugerne. ISMS. Sikkerhedspolitikken og beredskabsplanen!!! ISO27001 is the way to go 30-10-2013 37
Hvad gør vi nu? på national plan Hvem har ansvaret for beskyttelse af danskernes it-aktiver? Myndighederne (offentlige- og private sektor s samarbejde). ISP erne (med Center for Cybersikkerhed, og MilCERT, DKCERT). It-sikkerhedsbranchen, udvalg og råd. Rådet for Digital Sikkerhed et godt eksempel. Hostingselskaber, kvalitetsmærkeordning. Bedre reaktionstider Digitaliseringsstyrelsen som er i gang med udarbejdelsen af en national It-strategi som også omhandler informationssikkerhed. 38
Så hvad gør du ved det?
[ Tak for opmærksomheden!] [Spørgsmål?] Shehzad Ahmad Email: shehzad.ahmad@cert.dk DKCERT