0 IT- SIKKERHED De 20 CIS Kontroller til øget sikkerhed
IT-KRIMINALITET & -SIKKERHED 1 IT-sikkerhed Det står klart fra den foregående gennemgang af trusselsbilledet, at truslen er enorm, og den rammer alle typer af virksomheder uanset størrelse og industri. Dette taget i betragtning er det foruroligende, at stadig 26% af de danske virksomheder i 2016 manglede grundlæggende sikkerhedstiltag. Tallene kommer fra en rapport fra Danmarks Statistik, der desuden også vidner om, at kun 28% af virksomhederne har avancerede sikkerhedstiltag, og 61% ikke stiller krav til leverandører 47, på trods af at de kan bruges og bliver brugt som springbræt til at angribe virksomheden, der bruger dem. PWC (2016) beretter imidlertid om, at virksomhederne i Danmark er ved at erkende behovet for forøgede IT-sikkerhedsforanstaltninger 34. De adspurgte virksomheder planlægger i gennemsnit at øge deres IT-sikkerheds budgetter med 15% over de næste 18 måneder, og specielt de mindre virksomheder planlægger at forøge deres budgetter. De 20 CIS Controls Men hvordan skal virksomhederne beskytte sig mod de cyberkriminelles angreb? Dette kommer Center for Internet Security (CIS) med en løsning på i form af 20 gennemarbejdede, grundigt undersøgte og dokumenterede kritiske handlinger/kontroller kaldet Critical Security Controls (CIS Controls). De 20 CIS Controls er en prioriteret
IT-KRIMINALITET & -SIKKERHED 2 liste, der følger et Pareto princip, hvor 80% af risikoen for cyberangreb kan blive fjernet ved at implementerer omkring 20% af CIS Controls. Således kan organisationer, der kun implementer de første fem CIS Controls reducere deres risiko for cyberangreb med 85%. En implementering af alle 20 CIS Controls vil reducere risikoen med 94%.Dette er også grunden til, at de fem første CIS Controls skal prioriteres i alle organisationer, og hvorfor de af CIS kaldes fundamentet for IT-sikkerhed. De 20 CIS Controls er forklaret nedenfor baseret på CIS egen beskrivelse. organisationer og venter på, at nye og ubeskyttede systemer bliver koblet på netværket. Ligeledes bliver der scannet for enheder, der fra tid til anden logger på og af virksomhedes netværk, da disse potentielt ikke vil være opdateret med patches og andre sikkerhedsopdateringer. Kontrollen er især også aktuel med tendensen over mod BYOD. SystemGruppen kan tilbyde produkter, der administrerer og whitelister autoriserede enheder. CSC 1: Inventarliste med autoriserede og uautoriserede enheder Aktivt administrerer (Inventarliste, scan/spore og korrigere) alle hardware enheder på netværket, så kun autoriserede enheder bliver tildelt adgang, og uautoriserede enheder og ikke-administrerede enheder er identificerede og nægtet adgang. CSC 2: Inventarliste med autoriseret og uautoriseret software Aktivt administrerer (Inventarliste, scan/spore, korrigere) alt software på netværket, så kun autoriseret software installeres og kan operere, og uautoriseret og ikke-administrerede enheder er identificeret og forhindret i at blive installeret og operere. Denne kontrol er vigtig, da trusselsaktørerne kontinuerligt scanner de udvalgte Trusselsaktørerne scanner kontinuerligt de udvalgte organisationer for sårbarheder i den
IT-KRIMINALITET & -SIKKERHED 3 benyttede version af softwaren. Ligeså distribuerer trusselsaktørerne inficerede filer og links gennem deres egne websteder eller kompromitterede sider. Når offeret tilgår disse sider gennem en sårbar browser eller andre programmer, kompromitterer de cyberkriminelle offerets computer og tilegner sig langvarig kontrol. Uden den rette viden, kontrol og whitelistning af den software, der er implementeret i en organisation, kan virksomheden ikke sikre sine aktiver ordentligt. Administrering af software spiller også en kritisk rolle i planlægningen af backup og gendannelse af systemer. SystemGruppen byder ind med og administrerer software i dets hosting miljøer, der begrænser miljøerne til kun at må afvikle whitelistede programmer. CSC 3: Sikre konfigurationer for hardware og software på mobile enheder, laptops, arbejdsstationer, og servere Opret, implementer, og aktivt administrer (scan/spore, rapportere, korrigere) sikkerhedskonfigurationerne på laptops, servere, og arbejdsstationer ved brug af en grundig konfigurationsadministrerings- og forandringskontrol proces for at forhindre cyberkriminelle fra at udnytte sårbare services og indstillinger. Som udgangspunkt er standardindstillingerne for operative systemer og applikationer indstillet til at være lette at anvende, ikke til at være mest sikre. Derfor er det vigtigt at ændre på og kontinuerligt opdatere konfigurationerne til at være mest sikre. SystemGruppen har stor erfaring og kompetencer i opsætning af hardware og software, således disse er mest sikre. CSC 4: Kontinuerlig sårbarhedsscanning og udbedring Kontinuerligt anskaffe, vurdere og handle på ny information for at identificere sårbarheder, udbedre og minimere trusselaktørens mulighedstid. Virksomhederne opererer i en konstant strøm af ny information i form af f.eks. nye patches, softwareopdateringer og sikkerhedsråd, hvorfor opgaven at forstå og administrerer sårbarheder er blevet en vedvarende aktivitet, der kræver meget tid, opmærksomhed og ressourcer. Organisationer, der ikke scanner for sårbarheder og proaktivt arbejder på at udbedre disse, har en stor sandsynlighed for, at deres systemer bliver kompromitterede, da de cyberkriminelle har adgang til den samme information og udnytte hullet mellem ny sårbarhedsinformation og manglende forbedring. Efter en stigning på 6,3% i forhold til 2015 svarer 31%, at sårbarhedsscanninger vil være den højest prioriterede ITsikkerhedsinvestering i 2017, hvilket giver den en sjette plads på listen.
IT-KRIMINALITET & -SIKKERHED 4 SystemGruppen har viden om og tilbyder produkter, der kan identificere sårbarheder. CSC 5: Kontrolleret brug af administrative privilegier Processerne og redskaber brugt til at spore/kontrollere/forhindre/korrigere brugen, tildelingen og konfigurationen af administrative privilegier på computere, netværk, og applikationer. Misbruget af administrative privilegier er den primære metode for de cyberkriminelle til at sprede sig inde i en udvalgt virksomhed. Hvis en medarbejder med administrative privilegier åbner en inficeret fil fra en phising besked eller trykker på et inficeret link, kører malwaren på offerets maskine, og den cyberkriminelle kan overtage medarbejderens maskine og finde administrative passwords og andet følsomt data. I PWC s (2016) undersøgelse svarer 29,7%, at privilegeret adgangsstyring vil være den højest prioriterede IT-sikkerhedsinvestering i 2017. SystemGruppen har kendskab til en række af mulige metoder til kontrolleret brug af administrative privilegier og tilbyder dette til virksomhedens kunder. CSC 6: Vedligeholdelse, overvågning og analyse af audit logs Indsaml, administrer og analyser audit logs fra begivenheder der kan hjælpe med at detektere, forstår og komme sig fra et cyberangreb. Utilstrækkelig i sikkerhedslogning og analyse har tilladt trusselsaktørerne at skjule deres lokation, malware og aktiviteter på offerets computer. Og nogen gange er logs the eneste bevis på et succesfuldt angreb, der kan vise sig at have påført uigenkaldelig skade. På grund af dårlig eller ingen log-analyse kan de cyberkriminelle kontrollere offerets maskiner for måneder eller år uden, at det opdages. Således opdager kun 31% af virksomheder selv, at der har været et angreb, og angreb forbliver uopdaget i gennemsnitligt 205 dage. Derfor er det vigtigt at administrere og analysere audit logs, som mange virksomheder har, men sjældent kigger på. 35,2% svarer, at central og intelligent logning vil være den højest prioriterede ITsikkerhedsinvestering i 2017, hvilket giver den en tredje plads på listen. CSC 7: E-mail og webbrowser beskyttelse Minimere angrebsfladen og muligheden for de cyberkriminelle til at manipulere menneskelig adfærd, selvom de interagere med webbrowsere og e-mail-systemer
IT-KRIMINALITET & -SIKKERHED 5 Som tidligere nævnt er e-mail sammen med web browsers typisk de cyberkriminelles indgangspunkt til offeret. Dette skyldes bl.a. den store tekniske kompleksitet og fleksibilitet og deres direkte interaktion med brugere og med andre systemer og websteder. SystemGruppen tilbyder både Spam-filtre og Web-beskyttelse og er dygtige til begge aspekter. CSC 8: Malware-forsvar Kontroller installationen, omfanget og udførelsen af ondsindet kode på flere fronter i virksomhede, medens brugen af automation optimeres for at sikre hurtig forsvarsopdatering, dataindsamling og korrigerende handlinger Denne CIS Control er væsentlig, da malware er en integral del af cybertruslerne, hvorfor det er nødvendigt at kunne forsvare sig mod de mange angrebsvinkler malware tillader. Derfor skal malware-forsvar være i stand til at operere i et dynamisk miljø gennem storstilet automatisering, hurtig opdatering og integrering med processer. 37,9% svarer, at malware-detektion vil være den højest prioriterede ITsikkerhedsinvestering i 2017, hvilket giver den en anden plads på listen. SystemGruppen har omfattende erfaring med malware-forsvar og tilbyder anti-virus beskyttelse til virksomhedens kunder. CSC 9: Begrænsning og kontrol af netværksporte, -protokoller, og services Administrer (spore/kontrollere/korrigere) den igangværende operationelle brug af porte, protokoller og services på netværksenheder for at minimere sårbarheden over for trusselsaktørerne. Trusselsaktørerne søger efter tilgængelige netværksservices, der er sårbare over for udnyttelse. Det kan være dårligt konfigurererede mail-, fil-, print- og DNSservere. Derudover installere software-pakker typisk services og lader dem køre, uden at informere brugeren eller administratoren. Disse søger trusselsaktøren ligeledes efter for at udnytte dem. SystemGruppen tilbyder virksomhedens kunder services til begrænsning og kontrol af netværksporte, -protokoller, og services. CSC 10: Evne til genskabelse af data Processen og redskaberne brugt til korrekt at lave backup af kritisk information med en gennemprøvet metodologi for rettidig genskabelse af informationen. Under cyberangreb ændrer trusselsaktørerne sædvanligvis offerets software og konfigurationer væsentligt. Derudover laves
IT-KRIMINALITET & -SIKKERHED 6 skjulte ændringer på data på de kompromitterede maskiner, hvilket potentielt bringer virksomhedens produktivitet i fare. Derfor kan det være ualmindeligt svært for organisationer at fjerne alle aspekter af de cyberkriminelles tilstedeværelse i virksomheden, og derfor er det vigtigt at have en troværdig evne til genskabelse af data. SystemGruppen har kompetencer i genskabelse af data og tilbyder både backup- og recovery-services til virksomhedens kunder. CSC 11: Sikre konfigurationer for netværksenheder som firewalls, routere og switches Opret, implementer, og aktivt administrer (scan/spore, rapportere, korrigere) sikkerhedskonfigurationerne på netværksinfrastruktursenheder ved brug af en grundig konfigurationsadministrerings- og forandringskontrol proces for at forhindre cyberkriminelle fra at udnytte sårbare services og indstillinger. Det samme gælder for denne CIS Control, som for CSC 3. Som udgangspunkt er standardindstillingerne for netværksinfrastruktursenheder indstillet til at være lette at anvende, ikke til at være mest sikre. Åbne porte og services, standardbrugere og passwords og support til sårbare protokoller kan alle blive udnyttet i deres standardindstilling. Derfor er det vigtigt at ændre på og kontinuerligt opdatere konfigurationerne til at være mest sikre. SystemGruppen byder ind med opsætning af sikre konfigurationer for netværksenheder til virksomhedens kunder. CSC 12: Boundary Defense Detektere/forhindre/korrigere informations-flow et, der skifter mellem netværk af forskellige tillidsniveauer, med et fokus på sikkerhedsskadende data Grænselinjer mellem interne og eksterne netværks formindskes konstant som en funktion af forøget sammenkobling indenfor og mellem organisationer såvel som den hurtige udvikling i brugen af trådløse teknologier. Disse uklare grænser kan tillade den cyberkriminelle at få adgang til netværk. Det er derfor vigtigt at forsvare netværksperimeteren. SystemGruppen sørger for eliminering af sårbarheder i firewalls og servere, der er blottet ud mod internettet. CSC 13: Databeskyttelse Processen og redskaberne brugt til at forhindre data exfiltration, begrænse effekten af data exfilitration og sikre fortroligheden og integriteten af følsom information.
IT-KRIMINALITET & -SIKKERHED 7 Den bedste måde at beskytte data på er ved i kombination at anvende kryptering-, integritetsbeskyttelses- datatabsforebyggelsesteknikker. og SystemGruppen beskytter kundernes data og kan tilbyde både kryptering-, integritetsbeskyttelses- datatabsforebyggelsesteknikker. CSC 14: Kontrolleret adgang baseret på Need to Know og Processerne og redskaberne brugt til at spore/kontrollere/forhindre/korrigere sikker adgang til kritiske aktiver (f.eks. information, ressourcer, systemer) ifølge den formelle bestemmelse af hvilke personer, computere og applikationer, der har et behov og ret til at tilgå disse kritiske aktiver baseret på en godkendt klassifikation. En del virksomheder identificerer og opdeler deres mest følsomme og kritiske aktiver fra mindre følsomme og offentligt tilgængelige information på deres interne netværk. Det vil sige i mange netværksmiljøer har interne brugere adgang til alle eller de fleste kritiske aktiver. Hvis de cyberkriminelle får succes med at trænge ind i sådan et netværk, kan de uden problemer udtrække vigtigt og følsomme informationer. Derfor er det vigtigt at klassificere data og give adgang til de forskellige aktiver baseret på, hvem der har Need to know. På en femte plads på PWC s (2016) liste ligger Identity Management med 32,4%. SystemGruppen byder ind med denne form for beskyttelse. CSC 15: Trådløs adgangskontrol Processerne og værktøjerne brugt til at spore/kontrollere/forhindre/korrigere sikkerhedsbrugen af trådløse LANs, access points og trådløse klientsystemer. Store datatyveri er blevet sat i værks af cyberkriminelle, der har skaffet trådløs adgang til organisationer udenfor virksomhedens fysiske vægge og derved omgået sikkerhedsperimeteren ved trådløst at forbinde til et access point inde i virksomheden. SystemGruppen kan tilbyde beskyttelse af trådløse netværk bl.a. gennem gæstenetværks- og certifikatbeskyttelse. CSC 16: Brugerovervågning og kontrol Aktivt administrere system- og applikationsbrugeres livscyklus deres oprettelse, brug, dvale, sletning for at minimere muligheden for udnyttelse fra de cyberkrimminelle. Hvis der findes inaktive brugere på systemet fra f.eks. tidligere leverandører eller ansatte, kan de cyberkriminelle udnytte disse, hvilket de i nogen angreb går målrettet efter, til at
IT-KRIMINALITET & -SIKKERHED 8 udgive sig for at være personen bag brugeren. Derved bliver det svært at opdage deres ondsindet adfærd. Ondsindede indsidere eller tidligere ansatte har ligeledes mulighed for at udnytte denne sikkerhedstrussel. CSC 17: Evaluering af sikkerhedsfærdigheder og hensigtsmæssig træning til at udfylde eventuelle mangler Identificer den specifikke viden og kompetencer for alle funktionelle roller i organisationen (prioritering af de for virksomheden og dens sikkerheds missionskritiske funktioner), der er behov for med henblik på at støtte virksomhedens forsvar; udvikl og gennemfør en integreret plan for at evaluere, identificere mangler og udbedre gennem regler, organisationel planlægning, træning og awareness-programmer. Udover det tekniske og processuelle aspekt af IT-sikkerhed er der også et menneskeligt aspekt. Folks handlinger spiller en stor rolle i virksomhedens IT-sikkerhedsmæssige succes eller fiasko. Som tidligere nævnt, så åbner 30% af modtagerne af phising e-mails beskederne, mens 12% åbner den malwareinficerede fil eller link samtidigt med at de såkaldte BEC scams er blevet en populær trend. Både phising, herunder spear-phising, og BEC scams baserer sig på Social Engineering, hvorfor det er vigtigt at uddanne og træne virksomhedernes medarbejdere, hvilket signifikant kan forøge paratheden i virksomheden. Med flest respondenter svarede 57,2% i PWC s (2016) undersøgelse, at awarenesstræning var den højest prioriterede sikkerhedsinvestering i 2017. SystemGruppen kan tilbyde virksomhedens kunder hensigtsmæssig træning til at blive bedre og mere sikre IT-brugere. CSC 18: Applikationssoftware sikkerhed Administrer sikkerhedslivscyklussen af alle selvudviklede og anskaffede software for at forhindre, detektere og korrigere sikkerhedssvagheder. Cyberangreb udnytter ofte sårbarheder funder i web-baserede og andre applikationers software. CSC 19: Incident response og management Beskyt organisationens information såvel som dens omdømme ved at udvikle og implementere en Incident Response - infrastruktur (f.eks. planer, definerede roller, træning, kommunikation, ledelses oversigt) for hurtigt at opdage et angreb og effektivt begrænse skaden, udrydde angriberens tilstedeværelse og genoprette integriteten af netværket og systemerne. For at kunne stå imod, når et cyberangreb rammer, må man være forberedt og have udviklet planer og procedure på forhånd. På denne måde kan skadeomfanget minimeres. Det er dog alarmerende, at ifølge PWC har
IT-KRIMINALITET & -SIKKERHED 9 kun 37% af virksomheder en Incident Response Plan. SystemGruppen fungerer som et Incident Response Team og er rigtig gode til at håndtere tilfælde hos virksomhedens kunder. Disse bliver løst hurtigt og effektivt. CSC 20: Penetrationstests og Red team - øvelser Test den overordnede styrke af en organisations forsvar (teknologien, processerne, folkene) ved at simulere de cyberkriminelles handlinger og målsætninger. På denne måde sikres det at forsvaret er gennemtestet og eventuelle mangler kan identificeres.