Fundamental sikkerhed: Dubex Managed Security Services Dubex A/S, den 9. april 2015 DUBEX FORÅRSSEMINARER 2015
Udfordringer Avanceret infrastruktur Øget kompleksitet Udfordrende trusselsbillede Forretningskrav Information er blevet strategisk Medarbejdere og kompetencer
It-afdelingens dilemma INFORMATION er blevet virksomheders vigtigste asset Managing risk Beskytte følsomme oplysninger for at forbedre og opretholde markedsposition og sikre overholdelse af regulativer samtidig med en kontrol af omkostningsniveauet CIO Enabling growth Forbedre og sikre forretningens agilitet ved at give hurtig og intuitiv adgang til de rigtige informationer, værktøjer og applikationer It er grundlaget for alle forretningsprocesser Ledelsen og bestyrelsen skal beskytte værdien af virksomheden Udfordring: Synliggørelse af den risiko som itanvendelsen medfører Risikostyring skal bruges til at beskytte værdien af virksomheden
Høj fart kræver gode bremser
A new adaptive approach to advanced threats Predict & identify Prevent & protect Detect Respond & recover
Understøttelse af sikkerhedsprocessen Predict & identify Prevent & protect Detect Respond & recover Security capabilities Risk management Vulnerability management Fundamental security Security monitoring Incident handling Disaster recovery Consulting Support Operations Monitoring Firewall APT Protection Content Filtering SIEM
Outsourcing af sikkerhed Det er svært at opretholde opdateret viden om det aktuelle trusselsbillede Det er vanskeligt at skaffe personale med sikkerhedskompetencer risiko for afhængighed af få ressourcer Det tager for lang tid at implementere og forankre sikkerhed i forretningen Der er forbundet høje omkostninger ved selv at stå for investering køb og drift: Drift og support (5x8 / 7x24) Security Monitoring (5x8 / 7x24) Vedligehold og administration Sikkerhed er ikke en del af virksomhedens kerneforretning Outsourcing giver større fleksibilitet, agilitet og omkostningskontrol
Understøttelse af sikkerhedsprocessen Predict & identify Prevent & protect Detect Respond & recover Security capabilities Risk management Vulnerability management Fundamental security Security monitoring Incident handling Disaster recovery Consulting Support Operations Monitoring Firewall Dubex Managed Security Services APT Protection Content Filtering SIEM
Danske observationer i 2014
Dubex Managed Security Monitoring Services Overvågning af logfiler og alarmer fra bl.a.: Firewalls IDS/IPS systemer Webscanning Lidt statistik fra 2014: Behandling af data fra over 200 enheder Håndtering af 1.5 mio.+ korrelerende events Over 350 kvalificerede alarmer sendt ud til vores kunder
Security Monitoring Server and Desktop OS Firewalls/ VPN Directory Services Physical Infrastructure Security Intelligence Information Vulnerabilities Geo-location Threats IPS/IDS Identity Management System Health Information Network Equipment Vulnerability Assessment Qualified events forwarded to coustomer Anti-Virus Databases Applications Inventory Users Configuration Netflow Analysis and Big Data
Typiske observationer Interne systemer med malware Phishing angreb Angreb mod web-servere Mistænkelig trafik Uautoriserede trafik Andet scanninger
Interne systemer inficeret med malware Mange fund af mistænkelig trafik fra interne klienter og servere: Vellykket phishing angreb der resulterer i at brugere poster eksempelvis PayPal login information til eksternt website Forsøg på at downloade.exe filer fra kompromitterede servere Kommunikation med kendte command and control servere Dridex mail kampagne Inficerede mails sendes (spammes) til mange modtagere Indeholder Microsoft Word dokument inficeret med en macrovirus Denne macro downloader den egentlig malware fra kompromitterede sites på Internettet Udfordringer: Expolit Kits (f.eks. Fiesta) er let og billigt tilgængelige De fleste klienter viser sig at mangle opdatering til enten Adobe Flash eller Java Stadig mere web-trafik bliver beskyttet med https hvilket gør det sværere at opdage mistænkelig trafik via logfiler og IDS/IPS systemer http://www.malware-traffic-analysis.net/2015/01/26/index2.html
Automatiseret SQL hacking via TOR netværket Mange forsøg på SQL Injection Initial probing for mulighed for sårbarheder Automatiserede forsøg på kompromittering Tendens: Hackerne gør mere for at sløre deres spor Scanning sker via TOR netværket så det man ser i loggen er IP adressen på TOR exit noden Havij Advanced SQL Injection SQL Injection Alle web-applikationer, der anvender SQL databaser, er potentielt sårbare (DB2, MS SQL, Oracle, MySQL osv.) Sikkerhedshullet opstår, når web-applikationer anvender data fra brugere til databaseforespørgsler Kan evt. kombineres med andre angrebsmetoder som metakarakter og lign., således at evt. filtrering undgås Manglende validering af bruger-input, før det sendes til backend-databasen Bemærk, at angreb også kan gennemføres med felter, der fx sendes som del af HTTPheader eller i Cookies http://itsecteam.com/products/havij-advanced-sql-injection/
Bruteforce hacking af ssh og ftp-servere Mange forsøg på at få adgang til ssh og ftp-servere ved at gætte brugernavne og passwords, bl.a. fra Kinesiske IP adresser Mange af angrebene forløber over flere døgn og er rettet mod forskelige kombinationer af brugernavne og passwords Brute Force eller Dictionary angreb udføres meget simpelt med enkle værktøjer Understreger vigtigheden af stærke passwords på eksterne services THC Hydra Online Password Attack Brute Force Angreb Angreb rettet mod nøgler og passwords Systematisk afprøvning af alle kombinationsmuligheder I praksis forsøges dog med kendte passwords fra diverse lister dvs. et ordbogsangreb (Dictionary attack) Worst Passwords 2014 1 123456 2 password 3 12345 4 12345678 5 qwerty 6 123456789 7 1234 8 baseball 9 dragon 10 football 11 1234567 12 monkey 13 letmein 14 abc123 15 111111 16 mustang 17 access 18 shadow 19 master 20 michael 21 superman 22 696969 23 123123 24 batman 25 trustno1 http://splashdata.com/press/worst-passwords-of-2014.htm https://www.thc.org/thc-hydra/
Sårbarheder Probing efter ShellShock og HeartBleed HeartBleed Probing efter servere med SSL heartbeat option enabled Mange probinger umiddelbart efter at sårbarheden blev kendt i foråret Fortsat probing efter servere med heatbeat enabled Shell Shock (BASH bug) Umiddelbart efter offentliggørelsen var der dagligt angreb fra 30-50 forskellige angribere hos kunder med flere webservere Mange forskellige angreb ofte via http headeren Typisk forsøg på injection af sheelkode på webserveren Script på serveren downloader fx asp el. php script til serveren Giver adgang til fx scanning af andre servere, DDoS m.m. Fortsat daglige forsøg på misbrug af ShellShock Den generelle observation er at det er svært at holde SSL software inkl. algoritmer og nøgler oppe på det niveau som det egentlig bør være i forhold til best practice Heartbleed CVE-2014-0160 Affects cryptography of OpenSSL Transport Layer Security (TLS) Bug was introduced to OpenSSL in December 2011 OpenSSL is widely used on the Internet and OpenSSL only has two [fulltime] people to write, maintain, test, and review 500,000 lines of business critical code, More Info: http://heartbleed.com/ Shell Shock (BASH bug) CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186 and CVE-2014-7187. Public disclosure on September 24, 2014, Remote code execution through Bash and many Internet-facing systems expose Bash to client requests (e.g. HTTP (CGI), DHCP, SSH, CUPS, etc.) Bug existed as early as 1.13 in 1992 More Info: http://shellshocker.net
Scanning efter SIP Services Scanning af netværk efter SIP enheder Ny tendens i 2014 Formentlig forsøg på at finde mulige ofre til VoIP svindel sipvicious tool SIP scan kører dagligt mod mange... svmap - sip scanner. Lists SIP devices found on an IP range svwar - identifies active extensions on a PBX svcrack - an online password cracker for SIP PBX svreport - manages sessions and exports reports to various formats svcrash - attempts to stop unauthorized svwar and svcrack scans OPTIONS sip:100@xxx.xxx.xxx.xxx SIP/2.0! Via: SIP/2.0/UDP XXX.XXX.XXX.XXX:5151;branch=z9hG4bK-4181329969;rport! Content-Length: 0! From: "sipvicious"<sip:100@1.1.1.1>; tag=6332303064323361313363340132! Accept: application/sdp! User-Agent: friendly-scanner! To: "sipvicious"<sip:100@1.1.1.1>! Contact: sip:100@xxx.xxx.xxx.xxx:5151! CSeq: 1 OPTIONS!
Ransomware Ransomware tager ens data som gidsel ved at krypterer dem, og tilbyde at sælge dig nøglen Indtil nu har de fleste ransomware angreb været temmelig harmløse da den anvendte kryptering nemt kunne fjernes Med Cryptolocker er dette dog ændret Ransomware målrettet danske brugere
Fundamental sikkerhed: Afrundning & opsamling
Hvad kan vi gøre? - Praktiske anbefalinger (1) Sikkerhed i dybden: Anvend forskellige og overlappende sikkerhedsforanstaltninger, så der beskyttes med sigle-point-of-failure i enkelte foranstaltninger eller teknologier Basale kontroller: Hold fokus på basale kontroller husk den løbende opfølgning Overvågning: Mange organisationer opdager først brud på sikkerheden, når de får et opkald fra politiet eller en kunde. Overvågning af logfiler og change management kan give tidligere advarsel Antivirus er ikke nok: Antivirus fanger stadig mange angreb, men i oplever også mange angreb med unik malware og udnyttelse af dag-0 sårbarheder som kræver andre værktøjer Endpoint beskyttelse: Endpoint skal beskyttes af andet end kun antivirus - husk opdateringer, begrænsede rettigheder, web-sikkerhed, device kontrol Patch straks: Angribere får ofte adgang ved hjælp af simple angrebsmetoder, som man kan beskytte sig mod med et opdateret og godt konfigureret it-miljø samt opdateret anti-virus Krypter følsomme data: Hvis data bliver tabt eller stjålet, er det meget sværere for en kriminel at misbruge Beskyt krypteringsnøgler: Hvis krypteringsnøglerne kompromitteres, kompromitteres sikkerheden også To- faktor-autentificering: Dette vil ikke eliminere risikoen for at passwords bliver stjålet, men det kan begrænse de skader, der kan ske ved misbrug af stjålne legitimationsoplysninger
Hvad kan vi gøre? - Praktiske anbefalinger (2) Mennesker: Awareness er stadig vigtigt. Undervis dine ansatte i vigtigheden af sikkerhed, hvordan man opdager et angreb, og hvad de skal gøre, når de ser noget mistænkeligt Hold adgangen til data på et need-to-know niveau: Begræns adgangen til systemerne til det nødvendige personale. Sørg for, at have processer på plads til at lukke for adgangen igen, når folk skifter rolle eller job Husk fysisk sikkerhed: Ikke alle datatyverier sker online. Kriminelle vil manipulere med computere, betalingsterminaler eller stjæle dokumenter Backup: Hvis alle andre foranstaltninger fejler, kan en backup redde data. Husk beskyttelse af backup medierne Incident response: Planlæg efter at der vil ske hændelser - Følg løbende op på hvordan, og hvor hurtigt, incidents opdages og håndteres, så reaktionen løbende kan forbedres Opfølgning: Uden at glemme de basale kontroller, så hold fokus på bedre og hurtigere opdagelse gennem en blanding af mennesker, processer og teknologi Trusselsbilledet: Hold øje med trusselsbilledet for løbende at kunne tilpasse sikkerhedsløsningen. Husk at one-size fits all ikke holder i virkeligheden Riskovurdering: Er du et mål for egentlig spionage, så undervurder ikke vedholdenheden, ekspertisen og værktøjerne hos din modstander
Hvordan løser Dubex dine sikkerhedsudfordringer? DUBEX-PLATFORMEN Mennesker Politik Proces Forretning CONSULTING FINANCIAL SERVICES INDUSTRIAL INSURANCE IT & TELECOM MEDIA MEDICAL & BIOTECH PUBLIC SECTOR Teknologi RETAIL & CONSUMER PRODUCTS TRANSPORTATION
Risikobegrænsning Risikoen kan ikke fjernes, kun begrænses Sikkerhed kan ikke købes som produkt Sikkerhed opnås ved en blanding af Procedure & ledelse (Management issues) Design, værktøjer og tekniske løsninger Løbende overvågning og vedligeholdelse Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem
Hold dig opdateret Abonnér på Dubex nyhedsbrev Besøg www.dubex.dk Følg Dubex på LinkedIn & Twitter www.dubex.dk/update/ Deltag på Dubex arrangementer twitter.com/dubex www.linkedin.com/company/dubex-as http://www.dubex.dk/arrangementer/
Kommende arrangementer Læs mere på www.dubex.dk
Tak!