Får styr på virksomhedens it-sikkerhedsmæssige risici 6. juni 2012 Jacob Herbst jhe@dubex.dk
It er forretningen It er grundlaget for alt Recessionen sætter fokus på effektivisering Mission for it-afdelingen: Øge virksomhedens indtjening og vækst The Six Styles of the Money- Making CIO 1) Entrepreneurial CIO 2) Cost Optimization CIO 3) Revenue-Creating CIO 4) Business Innovation CIO 5) Business Development CIO 6) Public-Serving CIO Kilde: The 2011 Gartner Scenario: Current States and Future Directions of the IT Industry Kilde: Gartner Executive Programs - Reimagining IT: The 2011 CIO Agenda
It-udfordringer Interne krav - forretningen Reduktion af omkostninger Grøn it Fleksibilitet Tilgængelighed og performance Interne krav - brugere Adgang til sociale netværk Mobil adgang overalt Work/life balance Consumerization og user empowerment Applikationer Web baserede applikationer Peer-to-peer applikationer Web 2.0 (sociale, wiki, blogs) Nye mobile operativ systemer og applikationer Trusler Organiseret kriminalitet Målrettede angreb - APT Tilfældige angreb og datatab Dag-0 sårbarheder Eksterne krav Compliance Forventninger fra kunder Aftaler og SLA er Teknologisk udvikling Trådløse teknologier og mobile enheder Båndbredde, netværk og IPv6 Telepresense Open Source
Drivere it-sikkerhed som enabler Teknologi Mobility Kommunikation Compliance Nye trådløse teknologier: 3G, 4G, WLAN, WiMax m.fl. Konvergens: Alt bliver netværksbaseret Unified Communication, VPN, VoIP, iscsi, Mobility, Web m.m. Virtualisering Cloud computing Bedre muligheder for mobilitet og fjernadgang Krav om hurtig reaktion SmartPhones og tablets Storage enheder, der kan indeholde følsomme data - SD og USB enheder Mange parter får adgang til netværket Mange indgange til netværket E-handel - Intranet, Extranet og Partnernet Adgang til interne data Økonomiske besparelser Regler, love og standarder der stiller krav til vores it-systemer SOX, EU-SOX, HIPAA, PCI, DS484 Krav til formaliseret change kontrol, krav til logkonsolidering osv. Sikkerhed som enabler
Vores forretning er afhængige af tilgængelige IT systemer
Angreb - aktuel status Formålet er ofte økonomisk kriminalitet Målrettede angreb Tyveri af intellektuelle værdier Afpresning Hactivisem Angrebsmål og -metoder Angreb, der omgår perimeterforsvaret Angreb mod brugere Social engineering angreb fx phishing Angreb målrettet sociale netværk Truslerne er blevet web-baserede Indirekte angreb rettet mod klienter Indirekte angreb via betroede eksterne tredjeparter Sårbarheder og avancerede dag-0 angreb Hurtig udnyttelse af sårbarheder Udnyttelse af ukendte sårbarheder dag-0
Angreb Denial of Service Målet med et Denial of service (DoS) angreb er at gøre en ressource utilgængelig ved overbelastning af ressourcer Angreb på mange niveauer Internet forbindelse - Båndbredde Netværksudstyr Firewall DNS Server Webapplikation Backend Udførelsen af et traditionelt angreb kræver adgang til et stort antal maskiner Backend Server Internet DNS Server Internet forbindelse Router Firewall Web Server
Baggrund Denial of Service Forskellige motivationsfaktorer Politiske Hacktivism / Anonymous Estland og Georgien ifbm. med konfilikt med Rusland WikiLeaks angreb på MasterCard, Visa og PayPal websites Økonomiske Afpresning Ofte rettet mod spille web sites Personlige Agtelse og anderkendelse Berømmelse Dear <target>, we are a security firm in Shanxi province and we have received word that your company s website may be attacked one week from today. We have some influence with the attackers, and we believe that we may be able to convince them not to attack for $10,000 US. Please advise if you would like us to proceed. Instructions on how to wire funds are following.
Angreb Distributed Denial of Service (DDoS) Hackede maskiner bruges til angreb DDoS Botnets-for-Hire Kriminelle botnets En forstærket udgave af en DoS angreb udført fra mange maskiner på samme tid Botnet Rental Pricing Malware Malware Malware Internet Malware DNS Server Internet forbindelse Router Firewall Backend Server Web Server
Angreb Denial of Service Tendenser: Mere avancerede og effektive DDoS angreb Udnyttelse af sårbarheder i web applikationer Udnyttelse af sårbarheder i forretningslogikken 800 connections Applikation (layer 7) HTTP layer - Recursive-gets Slowloris (2009) and RUDY (2010) SSL attacks, SSL renegotiation 1500 syns per second Transport (layer 4) SYN flood attacks UDP floods NXDOMAIN query floods Netværk (layer 3) SYN floods, connection floods UDP & ICMP floods Applikations DDoS (2009) Udsulter webserver ressourcer ved at sende ukomplette http headere og efterfølgende holde connection aktiv Kan udføre effektiv DoS via begrænset båndbredde Primært rettet mod Apache
Oversigt simple netværksangreb Attack Target Vector Description SYN flood Stateful flow tables Fake TCP connection setup overflows tables in stateful devices Conn flood Stateful flow tables Real, but empty, connection setup overflows tables in stateful devices UDP flood CPU, bandwidth Floods server with UDP packets, can consume bandwidth and CPU, can also target DNS servers and VOIP servers Ping flood CPU Floods of these control messages can overwhelm stateful devices ICMP fragments CPU, memory Hosts allocate memory to hold fragments for reassembly and then run out of memory Smurf attack Bandwidth Exploits misconfigured routers to amplify an ICMP flood by getting every device in the network to respond with an ICMP broadcast Christmas tree CPU Packets with all flags set except SYN (to avoid SYN flood mitigation) consume more CPU than normal packets SYN/ACK, ACK, & ACK/PUSH floods CPU SYN-ACK, ACK, or ACK/PUSH without first SYN cause host CPUs to spin, checking the flow tables for connections that aren t there LAND CPU Identical source and target address IPs consume host CPU as they process these invalid addresses Fake TCP Stateful flow tables TCP sessions that look real, but are only recordings of previous TCP sessions; enough can consume flow tables and avoid SYN flood detection Teardrop CPU Sends a stream of IP fragments; meant to exploit an overlapping fragment problem present in some systems Kilde: F5, White Paper, The DDoS Threat Spectrum
Angreb - målrettede angreb Sandsynlighed Orme og botnet Datatab APT Mål Tilfældige Internet brugere Kreditkort-håndterende virksomheder Regeringer og kritisk infrastruktur Metode Simple angreb SPAM, orme og botnet Avanceret datatyveri Avancerede målrettede angreb spear phishing Mere sofistikerede angreb - APT Kriminalitet og profitdreven Cyber warfare og spionage Cyber terrorisme og hacktivisem RSA Via spear phishing kompromiteres information om SecurID tokens Omkostninger: USD 50-100 mio. Epsilon Oplysninger om 100.000 stjålet efter spear phishing angreb Omkostninger: USD 100 mio. USD 4 mia. Sony Playstation Network Anonymous angreb - 100 mio. brugere kompromitteret Omkostninger: USD 13.4 mia.
Estland Konflikt med Rusland over flytningen af et Sovjetisk krigsmonoment en kæmpe bronze statue der blev flyttet væk fra centrum af Talin Botnet angreb fra Russiske servere der i ca. tre uger lammede vigtige dele af den digitale infrastruktur i Estland Bank website var utilgængelige hvilket lammede finansiel aktivitet Utilgængelige nyhedssider Internet udbydere blev lammet NATO etablerede deres Cyber defence center i Talin i 2008
Georgien I ugerne op til den fem dage lange Syd Ossetiske krig mellem Rusland og Georgien i 2008 var websites i Georgien udsat for DDoS angreb På Russike blog sider og websites blev distribueret et script der var designet til at angrive Georgiske websites Konsekvensen af angrebet var at man i Georgien ikke kunne tilgå websider udenfor Georgien og ikke kunne sende e-mails ind og ud af landet Bankerne i Georgien var lammede, ligesom kreditkort betalinger og mobil telefoninetværket
Sony PlayStation Network Marts 2010 Sony fjerner muligheden for at installere alternative operation- systemer på PlayStation 3 2. januar 2011 George Hotz, aka. geohot frigiver jailbreak af PlayStation 3 11. januar 2011 Sony anlægger retssag mod George Hotz for copyright brud 14. januar 2011 George Hotz benægter, at hans jailbreak muliggør piratkopiering 2. april 2011 Hackergruppen Anonymous begynder Operation:Sony, som består af en række denial-of-service angreb mod officielle Sony websites 11. april 2011 Sony og George Hotz indgår forlig og distribution af jailbreak kode stopper 13. april 2011 Anonymous intensiver deres angreb mod Sony - In the eyes of the law, the case is closed, for Anonymous it is just beginning prepare for the biggest attack you have ever witnessed, Anonymous style. 16. april 2011 Hackere bryder ind i Sony Online Entertainment og stjæler 25 millioner brugeres personlige informationer 17. april 2011 Hackere bryder ind i Sony PlayStation Network og stjæler 77 millioner brugeres personlige informationer http://www.telegraph.co.uk/technology/sony/8495072/playstation-hack-timeline-of-huge-security-breach.html
Sony PlayStation Network 19. april 2011 Sony konstaterer, at deres PlayStation Network og Qriocity networks er blevet kompromitterede 20. april 2011 Sony lukker de to netværk ned, men informerer ikke om, at nedlukningen skyldes hackerangreb 22. april 2011 Sony oplyser, at "An external intrusion on our system has affected our PlayStation Network and Qriocity services. In order to conduct a thorough investigation and to verify the smooth and secure operation of our network services going forward, we turned off PlayStation Network & Qriocity services Hackergruppen Anonymous afviser,at de er indblandet 23. april 2011 Sony oplyser, at "Our efforts to resolve this matter involve rebuilding our system to further strengthen our network infrastructure" 26. april 2011 Sony offentliggør, at deres PlayStation Network er blevet hacket og information omkring brugerne er blevet kompromitteret 1. maj 2011 Sony undskylder officielt hændelsen, og oplyser, at de forventer PlayStation Network tilgængeligt igen medio maj. http://www.pcworld.com/article/226802/playstation_network_hack_timeline.html
Sony PlayStation Network Sony blokerer for anden firmware på deres PlayStation George Hotz finder jailbreak og Sony anlægger sag Anonymous o.a. angriber Sony i en hævnaktion pga. sagen mod George Hotz Efterfulgt af en lang række pinlige angreb mod Sony s forskellige websites 20 angreb i løbet af 5 uger af 5+ hacker grupper i 4+ lande Det menes, at information om ca. 100 mio. brugere er blevet stjålet - 70 mio. kreditkort / 24 mio. brugeres personlige informationer PSN lukket ned i uger, så legtime brugere ikke kunne bruge servicen Forventede direkte tab over 300 mio. USD plus tabt troværdighed og omkostninger til incident response http://infosecbyac.blogspot.com/2011/05/sony-psn-attack-is-company-accountable.html
Undskyldning fra SONY Sony's Executive Deputy President Kazuo Hirai sits in front of a screen showing how their data was hacked at a news conference to apologize for a massive security breach of its PlayStation Network in May. Hirai apologized for a security breach that allowed hackers to gain access to personal information on 77 million accounts for its PlayStation Network service.
Baggrund for angrebet Netværk som Playstation 3 anvender PSN baseret på web-services over https Standard tre-lags arkitektur Application Layer (presentation or frontend): interacts with the PS3 consoles and communicates with the following layer (logic layer) Logical Layer: Processes requests from the application layer and requests information from the data layer Data Layer (Backend): Database servers. It s an independent layer and its main function is to store and retrieve data Firewalls implementeret mellem de tre lag
Baggrund for angrebet Angrebet udnyttede dårlig sikkerhed i Sonys Playstation Network Sårbarhed i webserveren Simpel SQL injection angreb Gamle sårbarheder meget software ikke opdateret de seneste 5 år Tilsyneladende manglende sikkerhedsforanstaltninger Network Intrusion Detection Systems Host based Intrusion Detection Systems Web Application Firewall Manglende sikkerhed i applikationen Kritiske fejl i data blev ikke detekteret Organisering Tilsyneladende manglende Incident Response plan Det tog 6 dage fra hændelsen og til offentligheden blev informeret På pressekonference blev nyoprettet stilling som CISO annonceret Upræcis og vildledende kommunikation http://www.computerbild.de/artikel/cbs-news-spiele-sony-playstation-network-psn-anonymous-details-security-apache-openssh-6190529.html
Sårbarheder og angribere Hvordan er vi sårbare? Tekniske Sårbarheder og svagheder i software Fysiske Brand, lynnedslag, oversvømmelse m.m. Operationelle Fejlkonfiguration, fejlbetjening m.m. Menneskelige Social engineering, ubetænksomhed m.m. Hvem er angribere? National interesse Økonomisk kriminalitet Hactivisem Personlig prestige Nysgerighed Vandal Størst i tab Uvelkommen gæst Flest resourcer brugt på beskyttelse Cyberwar IT-kriminelle Anonymous Størst i antal Synlige Inspiration: Microsoft Script- Kiddy Studerende Ekspert Specialist
Anonymous Anonymous er rigtige mennesker der bruger rigtige teknikker Traditionelle hacker metoder og værktøjer Anonymous forsøger som regel først data kompromittering og først derefter Denial of Service angreb Baseret på succesen fra SONY hvor det først havde effekt med kompromitteringen af data Anonymous udgøres af to typer Dygtige hackere Medløbere Typisk vel planlagte angreb med forskellige faser Rekruttering og kommunikation Rekognoscering og forsøg på data kompromittering DDoS angreb
Konsekvenser Denial of service Utilgængelige eller langsomme ressourcer Malware Malware Malware Omkostninger til håndtering Malware Mistet omsætning og forretning Kompensation til kunder Skade på markedsværdi Mistede kunder og vækst
Risiko baseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger
Forretningsmæssig værdi Værdi: Risikostyring Værdi: Forretnings understøttelse Produktivitetstab - Indirekte konsekvenser (mistet salg, mistet konkurrenceevne, mistet troværdighed) Juridiske konsekvenser (manglende overholdelse af kontrakter, lovgivning m.m.) Udvidelse af forretningen Flere salgskanaler, kundeservice, fastholdelse af kunder Nye kundesegmenter og forøget omsætning, billigere leverance og konkurrencemæssige fordele Understøttelse af brand Hurtigere reaktionsevne SLA overholdelse til kunder og leverandører Interne compliancekrav Persondataloven Regulatorisk compliance PCI DSS EU Data Protection Directive Konkurrencemæssige compliance Standarder - COBIT, ISO27002 Besparelser forbedring af forretningsprocesser Undgåede udgifter skalerbarhed Brug af eksisterende ressourcer Effektivitet behov for færre ressourcer, nye og forbedre forretningsprocesser Værdi: Opretholde Compliance Værdi: Optimering af omkostninger
Løsninger - Security in depth Flere forskellige redundante og uafhængige sikkerhedsmekanismer Gateway-niveau Netværksniveau Servere Klienter Generiske sikkerhedsfunktioner Proaktive Reaktive Farligt og uønsket indhold søges stoppet så tidligt som muligt allerede på perimeteren Etablering af forskellige scanningssystemer på perimeteren Netværket gøres robust, så det hjælper med at mindske muligheden og effekten af angreb o.a. hændelser Fokus på klientsikkerhed og databeskyttelse Murphy's law: Anything that can go wrong will go wrong. Politikker og procedurer Fysisk sikkerhed Perimeter sikkerhed Netværks beskyttelse Host sikkerhed Applikationsbeskyttelse Databeskyttelse
Teknikker til beskyttelse mod DDoS Ekstra båndbredde så man kan absorberer et DDoS angreb Omkostningsfuld løsning Beskytter i praksis kun mod mindre angreb Afhjælper ikke avancerede applikationsrettede angreb Implementering af black hole routing To typer: Source baseret og destination baseret Kræver at angrebet kommer fra begrænset antal hosts / netværk Black hole destination vil være utilgængelig ISP foranstaltning Sikring af applikationer og servere Kræver højt sikkerhedsniveau ved software udvikling Simple konfigurations fejl kan medføre sårbarheder Beskytter ikke mod sikkerhedshuller i standard software Sikring på applikationsniveau Detektion af unormalt stort antal forespørgsler fra en enkelt source eller bruger session Genkendte kendte angribere, såsom ondsindede IP-adresser, anonymous proxies og Tor netværk Genkendelse af kendte bot agenter Anvendelse af CAPTCHAs til at blokerer automatiske klienter Genkendelse af særlige kendetegn på angreb og bots
Design, beskyttelse og overvågning Sikkert design proaktiv sikkerhed Anvend forebyggende teknologier Indbyg sikkerhed i selve netværket Tillad kun betroede enheder og klienter Aktiv beskyttelse reaktiv sikkerhed Supplerer den indbyggede sikkerhed Overvåger intern trafik for afvigende mønstre Reagerer i forhold til misbrug af netværket Overvågning Overblik over ændringer på Configuration Items niveau Overvågning af handlinger på systemer og netværk Konsolidering, sammenstilling og intelligent analyse af logfiler
Tendenser DDoS Angreb Tendenser: Mere avancerede og effektive DDoS angreb Udnyttelse af sårbarheder i web applikationer Udnyttelse af sårbarheder i forretningslogikken Baggrund for mere avancerede angreb Mindre omkostninger et effektivt bruteforce DoS angreb kræver mange ressourcer #RefRef tool (Sep 2011), udnytter SQL injection sårbarhed til DoS attacks. Bedre beskyttelse på netværksniveau - traditionel DoS beskyttelse forhindre ikke angreb på applikationslaget Generiske angrebsværktøjer angreb på applikationsniveau (http) kan udføres fra Javascript hvorved alle typer enheder kan deltage i angrebet Java Applets HTML 5 Threads Mobile Handset Bots ReDos Multi-Stage DDoS IPv6 WebSockets
Risikobegrænsning Risikoen kan ikke fjernes, kun begrænses Sikkerhed kan ikke købes som produkt Sikkerhed opnås ved en blanding af Procedure & ledelse / (Management issues) Design, værktøjer og tekniske løsninger Løbende overvågning og vedligeholdelse Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem
TAK Jacob Herbst jhe@dubex.dk