Managing Risk Enabling Growth Jacob Herbst, CTO, Dubex A/S Søborg, den 7. november 2013 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2013
Sikkerhedstendenser Udfordrende trusselsbillede APT angreb Dag-0 angreb Polymorfisk angreb Målrettede angreb Avanceret infrastruktur Konvergens på IP-netværk Virtualisering Mobile devices Organizations face an evolving threat scenario that they are ill-prepared to deal with.advanced threats that have bypassed their traditional security protection techniques and reside undetected on their systems. Øget kompleksitet Sikkerhed er komplekst Flere opgaver Manglende interne ressourcer og kompetencer Angreb stiger i kompleksitet og hyppighed Information er blevet strategisk Vores virksomheder bygger på information Kommunikation er vital Dataeksplosion Big data
Udfordringer Udfordrende trusselsbillede Teknologi Avanceret infrastruktur og kompleksitet Adaptability Information er blevet strategisk Forretningsmæssig risikostyring Management & drift
Information Security Management System (ISMS) Framework til etablering af proces for risikostyring og it-sikkerhed Sikrer en formaliseret proces omkring sikkerhedsarbejdet Proces omkring etablering af kontroller, der mindsker risikoen
SANS 20 Critical Controls List Of Critical Controls Fokus på simple kontroller med stor effekt Hver kontrol har anvisninger på implementering og hvordan der følges op Specifikt udarbejdet til offentlige myndigheder i USA, men er bredt anvendelige Retningslinjer for prioritering af sikkerhedsarbejdet Fokus på automatisering af kontroller 1 Inventory of Authorized and Unauthorized Devices 2 Inventory of Authorized and Unauthorized Software 3 Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers 4 Secure Configurations for Network Devices such as Firewalls, Routers, and Switches 5 Boundary Defense 6 Maintenance, Monitoring, and Analysis of Security Audit Logs 7 Application Software Security 8 Controlled Use of Administrative Privileges 9 Controlled Access Based on the Need to Know 10 Continuous Vulnerability Assessment and Remediation 11 Account Monitoring and Control 12 Malware Defenses 13 Limitation and Control of Network Ports, Protocols, and Services 14 Wireless Device Control 15 Data Loss Prevention 16 Secure Network Engineering 17 Penetration Tests and Red Team Exercises 18 Incident Response Capability 19 Data Recovery Capability 20 Security Skills Assessment and Appropriate Training to Fill Gaps http://www.sans.org/critical-security-controls/
Risikobaseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger Risikostyring er en løbende proces
Risikovurderinger eksempel Risikovurdering Beregnet risiko værdi Tilgængelighed Rang i dag Navn Fortrolighed Sikring af hjemmearbejdspladser BYOD 20 20 7,5 1 Sikker brug af Webmail 15 8 18 2 Mobile enheder 20 10 10 3 Firewall og VPN miljø 20 11,3 8 4 Antivirus 15 9 15 5 Webservices for kunder 15 12 12 6 Segmentering af netværket 15 12,5 5 7 Sikkerhed ifm. webtrafik 8 8 15 8 Administration af brugeridentiteter 15,8 6 4 9 SIEM og loghåndering 4 4 8 10 Trådløse netværk 4 4 4 12 Intregitet
Løsninger - Security in depth Kontrol og overblik Flere forskellige redundante og uafhængige sikkerhedsmekanismer Sikkert design proaktiv/generisk sikkerhed Anvend forebyggende teknologier Indbyg sikkerhed i systemerne Aktiv beskyttelse reaktiv sikkerhed Suppler den indbyggede sikkerhed Overvåg intern trafik for afvigende mønstre Overvågning Overvågning af handlinger på systemer og netværk Konsolidering, sammenstilling og intelligent analyse af logfiler Politikker og procedurer Management Overvågning & korrelation Perimeter Netværk Host Applikation Data Brugere Murphy's Law: Anything that can go wrong will go wrong.
Strategi i forhold til APT-angreb Strategies for Dealing With Advanced Targeted Attacks June 2013 Figure 1. Magic Quadrant for Network Access Control Defending Against Targeted Attacks Requires Lean-Forward Technologies and Processes Source: Gartner (June 2013) Targeted attacks, often called APTs, penetrate existing security controls, causing significant business damage. Enterprises need to focus on reducing vulnerabilities and increasing monitoring capabilities to deter or more quickly react to evolving threats. DAM = digital asset management; DAST = dynamic application security testing; DLP = data loss prevention; IPS = intrusion prevention system; NAC = network access control; SIEM = security information and event management
Hvordan løser Dubex dine sikkerhedsudfordringer? DUBEX-PLATFORMEN Mennesker Politik Proces Forretning CONSULTING FINANCIAL SERVICES INDUSTRIAL INSURANCE IT & TELECOM MEDIA MEDICAL & BIOTECH PUBLIC SECTOR Teknologi RETAIL & CONSUMER PRODUCTS TRANSPORTATION
Vi tilpasser teknologier til dine forretningsbehov DUBEX-PLATFORMEN EXPERT SUPPORT CONSULTING FINANCIAL SERVICES TECHNOLOGY EVALUATION & SOLUTION DEVELOPMENT OPERATION AND MAINTENANCE LICENSE MANAGEMENT CONSULTING & PROJECT MANAGEMENT INDUSTRIAL INSURANCE IT & TELECOM MEDIA MEDICAL & BIOTECH PUBLIC SECTOR RETAIL & CONSUMER PRODUCTS CASE MANAGEMENT TRANSPORTATION
Hvorfor Dubex til it-sikkerhed? Hvilke ressourcer investerer Dubex i sikkerhed? Løbende opfølgning på det aktuelle trusselsbillede Løbende research af sikkerhedsmarkedet Studier af rapporter fra Gartner, Forrester m.fl. Interne test og benchmarking af markedsførende løsninger Feedback fra vores kunder Brede kompetencer, der dækker alle aspekter i forhold til it-sikkerhed Træning af teknisk personale - deltagelse i produktkurser og særlig træning Fokus på intern sikkerhed bl.a. via vores ISO 27001 certificering kombineret med over 15 års erfaring med it-sikkerhed
360 it-sikkerhed Dubex tilbyder: Analyse af behov Sikkerheds- og risikoanalyser Rådgivning og analyse af sikkerhedsløsninger Specifikation og design af sikkerhedsløsning og system Sikkerhedsløsninger Support, projekt- & konsulentydelser Overvågning Drift & vedligeholdelse Security as a Service
Risikobegrænsning Risikoen kan ikke fjernes, kun begrænses Sikkerhed kan ikke købes som produkt Sikkerhed opnås ved en blanding af Procedure & ledelse / (Management issues) Design, værktøjer og tekniske løsninger Løbende overvågning og vedligeholdelse Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem
Samarbejde sådan kommer du videre Sådan kan et stærkt samarbejde begynde 1. Vi afstemmer behov, ønsker og udviklingsmuligheder på et indledende møde 2. Dubex løsningsspecialister tager udgangspunkt i specifikke behov 3. Gennemførelse af PoC der giver overblik og synlighed 4. Workshop med lederteamet i din virksomhed Book et møde allerede i dag
TAK! For mere information kontakt jhe@dubex.dk