Trusler, IT sikkerhed og awareness
C-cure IT sikkerhed siden 1993 IT Sikkerhed, rådgivning, rapporter, løsninger, implementering og support. Danske og internationale leverandører Stort internationalt netværk af sikkerhedsspecialister. Leverandør til stat, kommuner, internationale organisationer, små og store virksomheder og organisationer i Danmark og udland. Udvalgsmedlem af Sikkerhedsudvalget under Dansk Industri/ ITEK
Hvad vil den nye EU persondataforordning, Internet og Things og Big data, outsourcing, Hosting og Cloud betyde for virksomheder i de nærmeste år? Hvordan bør IT politikker, ansvarsfordeling, drift, produktionsprocesser og IT sikkerhed generelt planlægges, når man samtidigt skal tage højde for trusselsbilledet? Tendenser i trusselbilledet og hvilke menneskelige og teknologiske tiltag, der skal til for at dæmme op bedst muligt, under hensyntagen til brugervenlighed, driftsoptimering og administrationsoverblik. Interne og eksterne trusler. Der er lagt op til debat og diskussioner indimellem de forskellige emner der berøres.
Vurder jeres rolle Informationssikkerhed på internettet ikke er stærkere end det svageste led. Man kan være smittebærer til en vigtig samarbejdspartner, kollega, ven eller endnu værre en kunde, som I nødigt vil miste. IT Sikkerhed handler ikke kun om omdømme, men desværre om vigtige værdier - også for samfundet. Er man leverandør til væsentlige forsyningskilder, forsvaret og regeringen, er man et oplagt angrebsmål for identitetstyveri
Trusselsbilledet før og nu Første virus i 1980 erne. Harmløs grafitti se hvad jeg kan Antivirus i 90erne: Opdateringer hver 3 måned, på floppy disks Hacking som blær jeg er kommet ind i din virksomhed. Som en indbrudstyv der lukker døren op og lægger et visitkort Værktøjer udviklet af dem der brugte dem > Motivation kombineret med skills 00 erne: Scripts og byggeklodser som værktøjer. Nogle skills, begrænset funktionalitet større udbredelse af malware I dag: Ransomware som en service. 200 mio. kr. genereret af en enkelt ransomware world wide Alle kan købe værktøjer, services (DDos, botnets etc.) 10 $ for at ligge NemId ned!
Persondataloven I dag Persondataloven Baseret på persondatadirektivet Forskelle i implementering fra land til land Fremtiden Samme forordning i hele EU Samme regler Divergerende fortolkning
Lovgivning Overordnede principper beholdes Lovlig og loyal behandling Formålet skal være specifikt Data skal være præcise og ajour Data må kun opbevares, så længe de er nødvendige Dataansvarlige er ansvarlige for behandlingen Personhenførbare data må ikke kunne komme trediepart til kendskab, heller ikke hosting- eller cloud providere. Større fokus på: Gennemsigtighed Dokumentation Datasubjektets egen kontrol Regelmæssige PIA s DPO roller
Hvad er fortrolige data? Investeringbeviser Retslige dokumenter Røntgenbilleder Produktudviklingsbeskrivelser Test resultater Kreditkortbetalinger Kortlægning af IT og rettigheder Certifikater og signaturer Musik, Film osv Indkøbsordrer Patientjournaler Køretøjs- og pakkesporing Licenser Kontooversigter Forskningsresultater Forsikringspapirer Låne informationer Ansættelseskontrakter HR- Medarbejder data Sagsakter Kurspåvirkende informationer Patenter Påtænkte fusioner
Datakriminalitet afpresning og tyveri i enormt omfang Inficeringer med henblik på tyveri foregår lydløst Kunder Kontrakter Leverancebeskrivelser Ansættelsesforhold Viden Forretningshemmeligheder Fortrolig korrespondance Brugerprofiler / identiteter Jeres adgange ud mod partnere og kunder Jeres datakraft = VÆRDIER
Trusselsbilledet er voksende Kriminaliteten er faldende Cyberkriminaliteten stigende..! Økonomisk vinding Organiseret kriminalitet Mindre straffe Enheder/platforme (BYOD) Øget antal sårbarheder Nemmere at gemme sig Nemt at komplicere juridisk (int) Mindre fysisk fare for en selv
Truslernes bagmænd
Adgange, adfærd og awareness
De kriminelles metoder og værktøjer
En IT kriminel kan, udføre følgende opgaver Opsnapning af indtastede passwords til interne eller eksterne systemer Opsnapning af dokumenter / konfidentielle informationer Omprogrammering eller inficering af software Aflytning af samtaler i rummet eller på mobiltelefonen Fotografering af brugere bag computerskærmen (hvis den har kamera). Anvendelse af virksomhedens IT til spamming, DDoS angreb eller lign. Distribution eller lagring af f.eks. børneporno eller pirat software, musik, film etc. Malwareinficering og kryptering af filer eller drev for afpresning
Social Engineering En intelligent måde at udnytte menneskets naturlige tendens til at vise tillid Eks.: Du er med i en tilfredshedstest, hvis du svarer på mine spørgsmål, kan du vinde en rejse. Vil du lige først oplyse, Dit navn, Brugernavn og password, så vi kan registrere dig korrekt.. Social engineering kan også nemt udføres ved at finde alle de oplysninger der er at finde på nettet om dig og derfra skabe anciennitet og lyde som en der er autoriseret til at komme med forespørgsler.
Phishing
Ransomware/cryptolockers
Advanced persistent threats
Zero-day attacks
Botnets
Disse interne faktorer udgør trusler
Lokale administratorrettigheder og passwords Svage passwords, lemfældig omgang med passwords og for hyppigt brug af samme passwords flere steder, kan udgøre en meget stor risiko for at virksomhedens systemer hackes. Interne passwords til f.eks. FTP må aldrig deles eksternt. Kompromitteres en enhed f.eks. Pgr. Af svage password og den samtidigt har lokale administratorrettigheder, kan hackeren bruge disse rettigheder
Hvor udbredt er dette problem?
Deling af adgange og devices Brugere der uden omtanke deler sine brugernavne og passwords med andre kan derved udsætte virksomheden for hacking og malwareangreb. Deling af f.eks. Devices med børn og unge i familien, der ikke er kompetente og i forhold til virksomheden ansvarlige brugere, kan også udgøre en trussel, både ved deres downloads, besøg af websteder og informationer de deler fra enheden. (Mange tjenester, spil og sociale medier beder om adgang til billeder, mikrofon GPS etc. På enheden før at man kan bruge det)
Brug af uautoriseret software og opdateringskilder Brugere der selv har lov til at installere software, kan på grund af manglende viden eller tid,- installere piratkopier, der bærer malware. Det samme kan ske ved opdateringer af softwaret, hvis det er overladt til brugeren selv. Problemet med individuelt brug af software og eget ansvar for opdateringer er derudover at IT administrator mister overblikket og de operationelle muligheder for sikkerheden i virksomheden.
Adgang fra usikre netværk eller enheder Kobler man sig op fra usikre netværk på stationer, cafe er, hoteller eller i lufthavne udgør dette en risiko for hacking, hvis beskyttelsen på PC en er ringe. Anvender man andre udstyr til opkobling til virksomhedens netværk, kan dette udgøre en trussel mod virksomheden, hvis ikke udstyret er tilstrækkeligt beskyttet og hvis ikke virksomheden har NAC (Network Admission Control).
Cloud/Hosting Mange virksomheder regner med at ansvaret for sikkerheden ligger hos hosting- eller cloududbyderen. Der tales ofte ikke om ansvarsfordeling og sikkerhed i løsningerne. Hvilke data har I placeret ude og har andre placeret data hos Jer?
Vigtigt at vide om virtuelle servere Enhver med adgang til den virtuelle host, har fuld kontrol over den virtuelle server, uanset rettigheder og sikkerhed på den virtuelle server. Dette stiller særlige krav til samtlige driftfolk internt, såvel som hos en eventuel hosting eller cloud udbyder, og fordrer derfor at data er krypterede INDEN de rammer de virtuelle servere. Kryptering umiddelbart efter ankomst til serverne er ikke tilstrækkeligt!
Manglende viden og awareness Brugere med ringe viden om IT sikkerhed, virksomhedens værdier og konsekvenser Oplagte brugerfejl (e-mail til den forkerte person, stavefejl når der Googles etc.) Udsendelse af interne dokumenter f.eks. Regnskaber, prislister, databaser persondata m.m. via email Brug af eksternt udstyr i virksomheden,- privat telefon, PC eller f.eks. Privat eller fundet USB Ligegyldige eller utilfredse medarbejdere Brugeres adfærd i sociale fora,- hvilke informationer deler de? Adgang til konfidentielle data for uautoriserede brugere Manglende kendskab til virksomhedens sikkerhedspolitikker Manglende kendskab til loven
Tekniske Overvejelser
Next-Generation firewalls Applikations kontrol Avanceret IPS Deep packet inspection Reputation malware detection Advanced threat protection Bruger styring, LDAP integration Transperant mode Log management og rapportering
Next-Generation firewalls
Bruger/enhed kontrol og rettigheder 96% af alle kritiske sårbarheder kan undgås ved at begrænse brugeres rettigheder (fjerne administrator rettigheder) 60% af alle sårbarheder i Windows i 2013 kunne undgås alene ved at begrænse brugeres rettigheder Meget malware kan ikke gøre mere end brugerne giver dem lov til (Der er dog undtagelser) Begrænsede rettigheder Anti malware perimeter beskyttelse - opdateringer
Bruger/enhed kontrol og rettigheder
Den nemmeste vej
Kontrol og management
Vulnerability management
Interne Processer Hvem, hvad og hvornår
Er I i kontrol? Kender I til Jeres dataudveksling med jeres kunder og holdes det op mod trusselsbilledet? Ved I hvad der sker på Jeres netværk? Kan jeres forretningsforbindelser være trygge i kommunikationen med Jer og brugen af Jeres løsninger? Udsættes I eller kunderne, for APT angreb, hacking, spearphishing, ransomware eller f.eks. misbrug af jeres datakraft til kriminelle formål? Foregår der, eller har der foregået noget ulovligt på Jeres servere? Er I direkte eller indirekte underlagt compliance bestemmelser? Hvis en af Jeres kunder har et sikkerhedsproblem, kan det muligvis sprede sig ind i Jeres egen infrastruktur, eller til andre af jeres kunder. Er der tænkt et forsvar og en handlingsplan ind i den sammenhæng?
Hvilke tiltag har I truffet? Har I signaleret tydelige retningslinjer til medarbejdere og samarbejdspartnere omkring Jeres IT Politik? Hvordan informeres der om trusselsbilledet og IT Politikkerne til de nødvendige parter? Er der repressalier hvis IT politikkerne ikke overholdes? Hvis I udsættes for kriminalitet har I så værktøjer til at logge og dokumentere det? Er der nødvendige værktøjer og procedurer på plads for at beskytte virksomheden, værdierne og medarbejderenes identitet? Er der faste og centralt styrede procedurer for patching og opdatering/opgradering ved autentifiserede softwareleverandører?
Risikovurderinger
Hvad er Jeres mål? Hvilket et niveau af sikkerhed ønsker I at arbejde med - hvor konfidentielle er de informationer der bæres? Er de omfattet af lovgivning på området? Må medarbejderne tilgå netværket hjemmefra? Evt. Via en fast etableret VPN tunnel og I givet fald, hvordan ser man forskel på om det er medarbejderen der skaber forbindelsen ind til netværket eller om det er en hacker? Må medarbejderne synkronisere mails også til enheder der ikke ejes af virksomheden? Vil man tillade BYOD (Bring Your Own Device)? Hvordan sikrer man at alle anvendte enheder beskyttes af antivirus, kun kan tilgås med sikre passwords og at de eventuelt også er krypteret? Må medarbejdere hente filer og modtage attachments på hjemmepc ere, USB sticks og mobile enheder? Ønsker man snarere at anvende lagring og kryptering af filer i netværket eller på servere i skyen, som kan tilgås via links?
Awareness Kæden er ikke stærkere end det svareste led C-cure underviser både udbydere, virksomheder og medarbejdere i awareness. C-cure kan tilbyde en Security Awareness Portal, hvor kan man teste sin almindelige brugerviden om IT Sikkerhed og hvor virksomheder kan bestille awareness kampagner, designet efter individuelle behov.
Anbefalede links IT Sikkerhed https://www.c-cure.dk https://www.securityawarenessportal.dk http://www.theregister.co.uk/security http://www.darkreading.com http://www.f-secure.com/weblog http://www.sophos.com/blogs/sophoslabs http://www.portcullis-security.com IT Governance http://www.itgovernance.com/00/index.php
Kontakt os gerne for råd og sparring Christian Rutrecht: cr@c-cure.dk Kim Weiss-Poulsen: Tlf. 45411446 kwp@c-cure.dk
Lidt gode råd For at beskytte virksomhedens data og de ansattes identitet og integritet, bør IT Politikker, awareness, og korrekte værktøjer vedligeholdes: Sørg for at have styr på- og at så få som muligt-, har lokale administratorrettigheder. Sikkerhed på klientniveau kan udbygges med løsninger der yder sikker patching, whitelisting og/eller yder sikker DNS. Den nemmeste måde at opretholde konfidentialitet på, er ved, at afgrænse læse, skrive og administrationsrettigheder til data. Dette opnås simpelt ved kryptering af filer og drev. Autoriseret adgang til data opretholdes via 2 faktor autentificering, der hindrer uvedkommende adgang ind i jeres systemer og hindrer succes med identitetstyveri. DDOS beskyttelse på web kan desuden også være anbefalelsesværdigt. Med Next Generation Firewall og diverse blades, vil desuden angreb på websites og APT mod netværket kunne opbremses. (Dette har I fået på plads i 2015)
Husk at holde jeres IT politik opdateret i forhold til anvendt teknologi Opsæt regler for komplekse passwords, hyppighed i udskiftning og genbrug af passwords Sæt sikkerhedskrav til eksterne enheder, der tillades permanent eller midlertidig adgang til netværket. F.eks. Tillad kun adgang til netværket for opdaterede enheder. Sørg for at de medier der lagres data på, er behørigt beskyttet, uanset hvor de er. Hvis det er konfidentielle data der lagres, så anvend kryptering. Ønsker man at lagre data i skyen, brug da ikke åbne steder som Dropbox, men bedre beskyttede servere (se efter udbyderens sikkerhedpolitikker). Anvend kun servere der er beskyttet af EU lovgivningen (altså opbevaret i godkendte lande). Husk at slette data på PC ere og servere korrekt, når de ikke længere skal bruges af organisationen.
Vælg så vidt muligt at indkøbe ensartede platforme der opdateres jævnligt og kan administreres fra centralt hold. Anvend såvidt muligt et administrationsværktøj, hvor det er muligt at opsætte regler for adgang til netværket på mobile enheder f.eks. At en smartphone eller tablet ikke må være jailbroken eller Rootet (fordi den da kan bære på inficerede applikationer) At enheden ikke tillades adgang til netværket med mindre den er opdateret til et bestemt niveau. At der som minimum, er en sikker browser på enheden At der anvendes komplekse og lange nok passwords At der eventuelt er en sikker krypteret container til opbevaring af mails og andet fortroligt materiale. osv. At der man så vidt muligt begrænser Applikationers adgang til kamera, mikrofon, GPS, billeder og video.
Håndbog om IT-sikkerhed i forsyningsbranchen http://www.danva.dk/danva/publikationer.aspx Fysisk sikkerhed (enhver med fysisk adgang kan få adgang til servere mm)