trusler og udfordringer - nu og i fremtiden - it-forum midtjylland

itforum.dk

trusler og udfordringer - nu og i fremtiden - it-forum midtjylland

It-sikkerhed og tendenser for 2013 -

hvad skal du være opmærksom på?

It-sikkerhed – trusler og

udfordringernu og i fremtiden

Jacob Herbst, 2012-12-04, Århus


Dubex A/S - Profile

• Jacob Herbst

• Civilingeniør med speciale i datasikkerhed

• Arbejdet med IT-sikkerhed siden 1995

• Medstifter og teknisk chef, Dubex A/S

• Dubex A/S

• Specialister i og laver kun IT-sikkerhed siden 1997

• 50 medarbejdere i København og Århus - over 2/3

arbejder med teknisk IT-sikkerhed

• Privatejet – af de tre stiftere, samt medarbejderaktier

• Omsætning 2011 – ca. 82 mio. DKK - Selvfinansierende

• Det største dedikerede IT-sikkerhedsfirma i DK

• Løsninger og ydelser bl.a. inden for netværks- og

indholdssikkerhed, fjernadgang, mobility og

autentificering, samt loghåndtering og compliance

• Eneste ISO 27001 certificerede danske IT-sikkerhedsleverandør

Jacob Herbst

Dubex, Aarhus

Dubex, København


Agenda - It-sikkerhed – trusler og udfordringer

IT udvikling og udfordringer

Sikkerhedstendenser

APT – Advanced Persistent Threats

Sårbarheder

Top 12 forudsigelser for 2012 – status

Forudsigelser for 2013


It er forretningen

Mission for it-afdelingen: Øge virksomhedens indtjening og vækst

• Ledelsen og bestyrelsen skal forøge og

beskytte værdien af virksomheden

• It er grundlaget for alle

forretningsprocesser

• Synliggørelse af den risiko som itanvendelsen

medfører

• Risikostyring er det værktøj vi kan bruge

til beskytte værdien af virksomheden

Myndigheder

Bestyrelse

IT

Sikkerhed

Risiko

Ledelse

• Udfordringer:

• Umuligt at synliggøre teknisk it-risiko

uden forretningssammenhæng

• Forretning forstår sjældent værdien

og betydningen af it-systemer

• Forskellige interessenter har

forskellig opfattelse af sikkerhed og

risiko

Kunder

Medarbejder

CIO


It-udfordringer

Interne krav - forretningen

• Reduktion af omkostninger

• Grøn it

• Fleksibilitet

• Tilgængelighed og performance

Interne krav - brugere

• Adgang til sociale netværk

• Mobil adgang overalt

• Work/life balance

• Consumerization og user empowerment

Applikationer

• Web baserede applikationer

• Peer-to-peer applikationer

• Web 2.0 (sociale, wiki, blogs)

• Nye mobile operativ systemer og

applikationer

Trusler

• Organiseret kriminalitet

• Målrettede angreb - APT

• Tilfældige angreb og datatab

• Dag-0 sårbarheder

Eksterne krav

• Compliance

• Forventninger fra kunder

• Aftaler og SLA’er

Teknologisk udvikling

• Trådløse teknologier og mobile enheder

• Båndbredde, netværk og IPv6

• Telepresense

• Open Source


Infrastruktur udviklingen

Fortiden

Servere er monolitter

Begrænset mobilitet

Nutiden

Delvis virtualisering

Delvis mobilitet

Fremtiden

Cloud Computing

Mobile Enterprise


Sikkerhedstendenser

Udfordrende trusselsbillede

• APT angreb

• Dag-0 angreb

• Polymorfisk angreb

• Målrettede angreb

Avanceret infrastruktur

• Konvergens på IP-netværk

• Virtualisering

• Mobile devices

“Organizations face an

evolving threat scenario

that they are ill-prepared

to deal with….advanced

threats that have

bypassed their

traditional security

protection techniques

and reside undetected

on their systems.”

Øget kompleksitet

• Sikkerhed er komplekst

• Flere opgaver

• Manglende interne ressourcer og kompetencer

• Angreb stiger i kompleksitet og hyppighed

Information er blevet strategisk

• Vores virksomheder bygger på information

• Kommunikation er vital

• Dataeksplosion – Big data


Hvorfor bliver vi angrebet?

Intellektuelle værdier

• Forretningshemmeligheder kan misbruges af

konkurrenter

• Konsekvenser

• Kunderne har ret til fortrolighed og

integritet

• Tab af kundernes data er uacceptabel

• Ansvar / risiko for handling

• Regulatoriske krav (USA) - State

"Breach Notification" Love (dvs.

SB1386)

• Negativ indvirkning på "brand value", tab af

værdifulde oplysninger, tab af troværdighed,

tab af offentlighedens tillid osv.

• Mistede konkurrencefordele

Spionage

Konkurrenter

Kriminelle

Terrorisme

Dyson alleges Bosch

corporate espionage

Tom Espiner, October 25 2012

Engineering firm Dyson has alleged that rival Bosch

used an insider to steal company secrets.

Dyson filed legal proceedings against Bosch in the

High Court on Tuesday, a Bosch spokeswoman told

SC Magazine on Wednesday.

Dyson alleges that an employee working at its

Malmesbury research facility passed details about

Dyson motors to Bosch over a period of two years,

according to the Independent.

"We have spent over 15 years and £100 million

developing high speed brushless motors, which

power our vacuum cleaners and Airblade hand

dryers," Dyson research and development director

Mark Taylor said in a statement. "We are demanding

the immediate return of our intellectual property."

Politiske

Angreb

Cyberwar

http://www.scmagazineuk.com/dyson-alleges-bosch-corporate-espionage/printarticle/265396/


http://krebsonsecurity.com/2012/10/service-sells-access-to-fortune-500-firms/

Udfordringer - sårbarheder og angreb

• Mindre, hyppigere, målrettede og mere

intelligente angreb

• Specialisering og arbejdsdeling blandt itkriminelle

• Målrettet screening og misbrug af

sårbarheder

• Målrettet geografisk og efter sprog

• Unik malware for hver angreb/infektion

• Blandede angreb

• Flere samtidige angrebsvektorer

• Flere samtidige dag-0 sårbarheder

• Anvendelse af kompromitterede

certifikater

• Sårbarheder i produktionsudstyr - fx PLCudstyr

• Adskillige anvendelser af f.eks. botnets

• Social engineering

• Angreb der udnytter betroede "brands"

• Angreb rettet mod sociale netværk

• Social engineering angreb såsom

phishing

Service Sells Access to

Fortune 500 Firms

Monday, October 22nd, 2012 at 12:01

An increasing number of services offered in the

cybercrime underground allow miscreants to

purchase access to hacked computers at specific

organizations. For just a few dollars, these

services offer the ability to buy your way inside of

Fortune 500 company networks.

The service I examined for this post currently is

renting access to nearly 17,000 computers

worldwide, although almost 300,000

compromised systems have passed through this

service since its inception in early 2010.


Hændelser - 2012

Global Payments: data breach

cost a whopping $84.4 million

Ellen Messmer

July 26, 2012 (Network World)

Global Payments, which back in the spring

reported a data breach in which information

associated with an estimated 1.4 million

payment cards was stolen, has revealed that

expenses associated with investigations, fines

and remediation has hit $84.4 million.

New, sneakier Flashback

malware infects Macs

Ditches all attempts at duping

users with social engineered

tactics, exploits Java bug

through drive-by attacks

Gregg Keizer

April 24, 2012 (Computerworld)

The Atlanta-based payments-processing firm

acknowledged that number as part of its fiscal

report for 2012 revenues, which totaled about

$2.2 billion, up 18% from $1.82 billion in 2011.

Researchers identify Stuxnetlike

malware called 'Flame'

Security researchers believe that a newly

identified cyberespionage threat called Flame

is even more complex than Stuxnet or Duqu

Lucian Constantin

May 28, 2012 (IDG News Service)

A new, highly sophisticated malware threat that

was predominantly used in cyberespionage

attacks against targets in the Middle East has

been identified and analyzed by researchers

from several security companies and

Cpr.dk fortsat under angreb:

organizations.

According to the

Offline

Iranian Computer

for at

Emergency

lappe huller

Response Team Cpr.dk (MAHER), er stadig the nede new efter piece tirsdagens of angreb

malware is called fra hackerbevægelsen Flamer and might be Anonymous.

responsible for Leverandøren recent data loss er i incidents fuld gang in med at lukke de

Iran. There are sikkerhedshuller, also reasons to believe angrebet that er the sket igennem.

malware is related Af Morten to the K. Stuxnet Thomsen and Duqu

cyberespionage Onsdag, threats, 7. the november organization 2012 said - 10:44

on Monday. Mere end et døgn efter, at hackerbevægelsen

Anonymous tog ansvaret for et angreb på

hjemmesiden cpr.dk, er sitet stadig nede.

A new, sneakier variant of the Flashback

Læs også: Anonymous slår til i Danmark: Vi ha

malware was uncovered yesterday

Update:

by the

Hackers exploit new IE

hacket CPR.dk og Atea

French security firm Intego. zero-day vulnerability »Leverandøren (Webtop, red.) er ved at lukke

HD Moore, maker of Metasploit, de huller, urges der blev users benyttet to til den ulovlige

Flashback.S, which Intego described ditch Monday, IE7, IE8 and IE9 until indtrængen. Microsoft Derfor fixes er sitet nede,« siger

uses the same Java vulnerability as critical an earlier flaw

Carsten Grage, der er chef for Økonomi- og

version that has infected an estimated Gregg 820,000 Keizer Indenrigsministeriets kontor for it og CPR.

Macs since its appearance and still September plagues 17, 2012 (Computerworld)

over 600,000 machines.


Angreb – typer og konsekvenser

Sandsynlighed

Orme og botnet

Datatab

APT

Mål

Tilfældige Internet brugere

Kreditkort-håndterende

virksomheder

Regeringer og kritisk

infrastruktur

Metode

Simple angreb

SPAM, orme og botnet

Avanceret datatyveri

Avancerede målrettede

angreb – spear phishing

Mere sofistikerede

angreb - APT

Kriminalitet og

profitdreven

Cyber warfare og

spionage

Cyber-terrorisme og

hacktivism

RSA

• Via spear phishing kompromitteres information om SecurID tokens

• Omkostninger: USD 50-100 mio.

Epsilon

• Oplysninger om 100.000 stjålet efter spear phishing angreb

• Omkostninger: USD 100 mio. – USD 4 mia.

Sony Playstation Network

• Anonymous angreb - 100 mio. brugere kompromitteret

• Omkostninger: USD 13.4 mia.


Tidligere

APT – Advanced Persistent Threats

Udfordringer - angreb og metoder

Synlige

Slørede

• Kompromittering er vanskeligt at

detektere

• Sløringsteknikker til at undgå afsløring

• Angreb rettet gennem perimeter

• Truslerne er web-baseret

• Udbredelsen af netværk overalt gør

opdagelse endnu vanskeligere

• Angreb rettet mod slutbrugere

• Indirekte angreb på klienter

• Angreb rettet mod sociale netværk

• Slutbrugeren bliver narret af social

engineering

• Indirekte angreb via betroede eksterne

tredjeparter

• Sårbarheder i software gør det bare

endnu nemmere at narre slutbrugerne

• Sårbarheder og avancerede dag-0-

angreb

• Hurtig udnyttelse af sårbarheder

• Misbrug af ukendte sårbarheder - dag-0

Kendte

sårbarheder

Brede

Engangsangreb

APT

Ukendte dag-0

sårbarheder

Målrettede

Vedholdende

56% af kompromitteringerne

opdages først efter flere måneder

Avancerede

59% af kompromitteringerne er først

fjernet flere uger efter opdagelse


APT – Advanced Persistent Threats

Typisk forløb af en APT baseret angreb

Phishing

angreb

Zeroday

angreb

Trojansk

hest

Interne

sårbarheder

Data

indsamling

Data

udtræk

En række

brugere

modtager

målrettet

phisingmail

Bruger

åbner

vedlagt fil

eller tilgår

link

Brugerens

maskine

inficeres

med

malware -

Trojanskhest

Angriberen

udnytter

sårbarheder

til at få flere

rettigheder

Data samles

sammen og

gøres klar til

at blive

hentet

Krypterede

data sendes

fx via ftp til

et eksternt

kompromit-

teret system


Malware - Udviklingsproces

Sløring og kvalitetstestning

Original Malware

• Indeholder grundlæggende

ondsindede funktioner:

DDoS, stjæle data, sprede

infektionen, ..

Permutationer

• Forvanskelse af malware. Danne

adskillige varianter for at omgå

detektion

Kvalitetstestning

• Teste nye mutationer mod

seneste opdaterede antivirus

scanningsmønstre

Deployering

• Kun malware som kommer

igennem QA (dvs. ikke

detekteret) bliver forsøgt udbredt

Afvist hvis detekteret

af anti-virus software

• Mange forskellige varianter af samme malware fremstilles automatisk forud for

et angreb

• Kun varianter der kommer igennem kvalitetstestningen (=omgår antivirus)

bruges i selve angrebet

• De nye varianter frigives med jævne mellemrum for konstant at være foran

antivirus mønster opdateringerne

Malware er vidt udbredt og kan fremstilles så det omgår

det traditionelle perimeter forsvar o.a. beskyttelse


Sårbarheder - udfordringer

• Sårbarheder er design eller

implementeringsfejl, der kan resultere i

kompromittering af fortroligheden, integriteten

eller tilgængeligheden

• Mindre sikkerhedshuller (implementeringsfejl)

rettes som regel rimeligt hurtigt af leverandøren

Applikationer

Operativ system

Transport

Netværk

• Forskel på hvornår og hvordan en fejl betragtes

som en sårbarhed

Industry-wide vulnerability disclosures,

2H09–1H12

Industry-wide operating system, browser, and

application vulnerabilities, 2H09–1H12

Microsoft Security Intelligence Report #13


Rettelse af sårbarheder

• Med ”Window of Exposure” forstås den tid der går

fra en exploit bliver tilgængelig til sårbarheden er

rettet

TID

Ukendt

• … men nogen gange ved man ikke at der findes en

sårbarhed og en exploit

I 65% af tilfældene

har leverandøren

en patch klar når

sårbarheden bliver

offentlig kendt.

100%

80%

60%

40%

Patch Availability

Dag-0 sårbarhed

Opdagelse

Offentliggørelse

Patch tilgængelig

IPS Signatur frigives

20%

Patch installeret

0%

0 10 20 30 40 50 60 70 80 90

Days since Disclosure


Baggrunden for dag-0 angreb

• Dag-0 angreb

• Når metoden til at udnytte en sårbarhed bliver kendt, før

der er frigivet en rettelse

• Brugere af den pågældende software er udsatte, indtil

der frigives en sikkerhedsrettelse

• Omkring 80% af alle sårbarheder kan umiddelbart

misbruges dvs. der kræves ikke udvikling af en ny exploit

eller en exploit findes allerede

• Baggrund for dag-0 sårbarheder

• Automatiske værktøjer til at finde sårbarheder – fx

fuzzing

• Automatiske metoder (disassembly / debug) til at finde

de sårbarheder som rettes med sikkerhedsopdateinger

• Information om sårbarheder handles og udveksles online

mellem kriminelle –arbejdsdeling og specialisering

• Lettilgængelige værktøjer til at fremstille malware der

misbruger sårbarheder

1980-90

Reaktionstid: Måneder

2000-2002

Reaktionstid : Timer

2003-Fremtiden

Reaktionstid : Sekunder


Dag-0 sårbarhed i Internet Explorer

OnMove Use After Free Vulnerability –

CVE-2012-1529

Internet Explorer 6/7/8/9 - Windows

XP/Vista/7

Eksperter advarer mod Internet

Explorer

Tirsdag den 18. september 2012, 08:35

Sikkerhedshul giver hackere mulighed for at

overtage computeren. Eksperter anbefaler, at man

skifter til et andet internetprogram, indtil Microsoft

stopper hullet.

Et alvorligt sikkerhedshul i internetprogrammet Internet

Explorer får nu Microsoft selv til at råbe vagt i gevær og

bede folk om at hente en opdatering selv. Eksperter

anbefaler, at man i stedet skifter til et andet

internetprogram, indtil Microsoft har fået løst problemet.

Sikkerhedshullet påvirker hundreder af millioner af Internet

Explorer-brugere. Det betyder, at en hacker kan skaffe sig

adgang til folks computere og alle deres filer, hvis de ved

en fejl får klikket sig ind på et ondsindet netsted.

14. september 2012

Første dokumenterede indikationer på at

sårbarheden aktivt forsøges misbrugt – det

vides ikke hvor lang tid sårbarheden har

været misbrugt

17. september 2012

Information on sårbarhed offentliggøres

”Opdagelsen” af sårbarheden tilskrives Nitro

der sættes i forbindelse med den kinesiske

regering. Nitro har tidligere misbrugt andre

dag-0 sårbarheder.

18. september 2012

Microsoft offentliggør workaround som dog er

temmelig komplekst at implementere.

Antivirusproducenterne opdaterer deres

mønsterfiler i forhold til specifik malware der

misbruger sårbarheden i IE.

19. september 2012

IPS producenterne er klar med beskyttelse –

virtuelle patches

21. september 2012

Microsoft retter sårbarheden med MS12-063


Top 12 forudsigelser for 2012 - status

• Hændelse med alvorlig

kompromittering af større

Cloud leverandør –

sikkerhed bliver en

prioritet. Cloud anvendes

til angreb

• Fortsat kompromittering

af kommercielle CA’er og

tyveri af certifikater –

hvad og hvem kan man

stole på? Angreb mod

selve SSL protokollen

• APT / Spear Phishing

angreb vil fortsætte,

modnes og

automatiseres mod

almindelige virksomheder

og brugere

• Ny teknologi, nye

sårbarheder – angreb

specifikt rettet mod

multimedie funktioner

• Enabler for private Cloud.

Flere hypervisorer.

Specifikke angreb rettet

mod virtuelle miljøer –

forsøg på at udnytte

hypervisior sårbarheder

Cloud

SSL

APT

HTML5

Virtualisering

• Falsk konkurrencer og

reklamer, hacking af

personlige oplysninger,

specifikke angreb mod

særligt Facebook tvinger

dem til at forbedre

sikkerheden for deres

brugere

• Fortsatte politisk

motiverede angreb mod

regeringer og andre som

anonymous o.lign.

grupper ser sig sure på

• Fokus på sikkerhed i

Apps, Kriminelle vil søge

at placerer malware i

AppStores, mange

angreb fremtvinger

forbedret sikkerhed i

Android Marked

• Malware/worms mod

SmartPhones, første

eksempler på malware

der rammer Apple iOS

enheder, locationaware

malware, mindre BotNet

pga. effektive juriske

aktioner

• “Bring your own device”

betyder også “Bring and

clean your own

infections”, stigende antal

sager pga. mistede

enheder med kritiske

data

Facebook

Hacktivists

Apps

Malware

BYOD

• DDoS angreb bliver

billigere, hacktivists vil

fortsætte deres angreb,

DDoS mod kritisk

infrastruktur og DDoS

angreb som del af

afpresning

• Eksempler på Cyberwar,

Første angreb mod kritisk

infrastruktur

DDoS

SCADA


Baggrund for forudsigelser

• IT området udvikler sig evolutionært og ikke revolutionært

• … så alt vi så og forudså i 2012 vil vi også se i 2013 – bare endnu mere

• De IT kriminelle driver en forretning så de prøver at profit optimerer

• Nye spillere med andre agendaer ændre dog denne forudsætning…

• Jo mere komplekse vores IT systemer bliver jo sværere bliver de at beskytte


Drivere – it-sikkerhed som enabler

Cloud

Mobility

Big Data

Sociale Medier

• Private Cloud, public

Cloud, hybrid cloud

• SmartPhones og tablets

• Consumirization

• Vækst i datamængder

• Analyse værktøjer

• Facebook og Twitter

Private Cloud Computing is

among the highest interest

areas across all cloud

computing, with 75% of

respondents saying they plan to

pursue a strategy in this area

by 2014.

By 2013, 80 percent of

businesses will support a

workforce using tablets.

Big data in 2-5 years will have a

transformative impact on the

organization and to give

appropriate feedback; by 2015

it will allow companies who

have mastered the technology

to beat competitors by 20

percent for all existing financial

metrics.

78% of IT organizations are

concerned about the risks of

employee driven,

unsanctioned use of Web 2.0

tools and technologies

Sikkerhed som enabler


Enheder/brugere (Mio. – logaritmisk)

Mobilitet…

State of the Internet…Mobile Will Be

Bigger Than Desktop Internet in 5 Years

Morgan Stanley, april 2010

Computing Growth Drivers Over Time, 1960-2020E

1.000.000

100.000

Internet of

things

10.000

Personal

Computing

• 100 mia.+

1000

100

10

1

Mainframe

computing

1 mio.+

Mini

Computer

• 10 mio.+

• 100 mio.+

Desktop

Internet

• 1 mia.+

Mobil

Internet

• 10 mia.+

Hver ny cyklus:

• Mere

processorkraft

• Bedre

brugerinterface

• Mindre fysisk

størrelse

• Lavere priser

• Flere services

Seneste cyklusser

har typisk varet 10

år

1960 1970 1980 1990 2000 2010 2020

http://www.morganstanley.com/institutional/techresearch/


Forudsigelser for 2013 – tendenser og hændelser (1)

• Hacking af devices – smart tv’s, biler (carjacking), bygninger, maskiner m.m.

• Cross-platform angreb – angreb mellem forskellige platforme – Smart Phones

til desktops, desktops til smart tv’s, køleskabe og vaskemaskiner m.m.

• Udbredelsen af SmartPhones og anvendelsen til mobil betaling, online adgang

m.m. gør dem til et fristende mål for IT kriminelle – særligt Google Android

pga. udbredelse og åbenhed er et sandsynligt mål

• Fortsat malware og anden privacy krænkende software i appstores – primært

Google Appstore. Viden om udvikling til mobile platforme vokser og dermed

viden om hvordan angreb kan gennemføres. Problemer med Jailbroken

enheder og falske appstores


Forudsigelser for 2013 – tendenser og hændelser (2)

• Angreb på webservere – webserver sårbarheder og sårbarheder særligt i content

management systemer (Joomla, Wordpress m.m.) bliver misbrugt til

kompromittering og hosting af malware – fokus på opdateringer, patching og

konfiguration

• Hactivisem og politisk motiveret hacking vil fortsætte med mere avancerende

metoder, men formentlig have mindre succes

• Regeringsstøttede angreb vil fortsætte – både som spionage mod virksomheder

og det offentlige, men også som egentlige cyber krigsførelse

• Efterhånden som virtualisering vinder frem vil flere og flere angreb være målrettet

virtuelle miljøer. Malware kan detekterer og skelne mellem Sandbox miljø og rigtigt

server miljø

• Spear phishing – angreb bliver mere avancerede og e-mail vil være den primære

initiale angrebsmetode – automatisk domænegenerering og ”forsinket” infektion af

websider

• IPv6 bliver stadig mere udbredt – ny teknologi, nye sårbarheder og ingen bestpractise


Kompleksitet

• Sikkerhed er komplekst

• Flere opgaver

• Manglende interne ressourcer og

kompetencer

• Angreb stiger i kompleksitet og

hyppighed

• Store og stigende omkostninger ved

datatab

• Krav om at tilføre forretningen værdi

• Dokumenteret sammenhæng

mellem forretningsmæssig risiko og

it-sikkerhed

• Budgetmæssige overvejelser

• Køb af services frem for produkter

og investeringer

• Tilføre forretningsmæssige fordele –

optimering af forretningsprocesser,

der kan retfærdiggøre forøgede

budgetter

Kilde: InformationWeek - 2011 Strategic Security Survey: CEOs take Notice


Udfordringer - organisering

Dagens fundamentale

problemer - Sikkerhed

• Mangler en klar strategi

• Ikke planlagt ”godt nok”

• Fragmenterede sikkerhedsløsninger

• Mangler overblik over, hvad der

egentligt skal beskyttes

• Delt mellem afdelinger – intet

centralt ansvar

• Reaktivt – drevet af konkrete

hændelser

Konsekvenser

Sikkerhed

• Huller i sikkerheden

• Besværlig administration og drift

• Høje omkostninger

• Manglende fokus

• Dårlig Return On Investment

• Driftsforstyrrelser

• Tabt troværdighed og kunder

• Løsninger, som ikke følger med

truslerne

• Dobbeltarbejde

Eric Ouellet, Gartner: “What we have found is that organizations that spend more than seven

percent of the IT budget on security are actually less secure because they use reactionary

approaches. They end up with point solutions where there’s no overarching theme and no

integration.”

http://www.securecomputing.net.au/News/123479,gartner-dispels-security-myths.aspx


Risikobaseret tilgang

• Risikostyring er et værktøj til at sikre korrekt anvendelse

af ressourcer

• Identificerer informationsaktiver, deres værdi og risiko

• Sikkerhed er altid et spørgsmål om prioritering

• Implementering af sikkerhed forbundet med udgifter

• Som regel begrænsede ressourcer

• Beslutninger baseres på en vurdering af risici

• Informationscenteret

• Viser de faktiske sårbarheder i en forretningsmæssige

sammenhæng

• Risikobaseret

• Klar prioritering og baggrund for

sikkerhedsinvesteringer

Information

Risiko

Foranstaltninger

• Risikostyring er en løbende proces


Løsninger - Security in depth

Kontrol og overblik

• Flere forskellige redundante og uafhængige

sikkerhedsmekanismer

• Sikkert design – proaktiv/generisk sikkerhed

• Anvend forebyggende teknologier

• Indbyg sikkerhed i systemerne

• Aktiv beskyttelse – reaktiv sikkerhed

• Supplerer den ”indbyggede” sikkerhed

• Overvåger intern trafik for afvigende mønstre

• Overvågning

• Overvågning af handlinger på systemer og

netværk

• Konsolidering, sammenstilling og intelligent

analyse af logfiler

Politikker og procedurer

Management

Overvågning &

korrelation

Perimeter

Netværk

Host

Applikation

Data

Brugere

Murphy's law: Anything that can go wrong will go wrong.


Beskyttelse mod sårbarheder

Advanced Threat Protection

Metoder til at detektere dag-0 angreb

Emulering af ukendte filers opførsel i et sandbox-miljø

Blokerer for indgåede dag-0 angreb via web og mail

Blokering af ”callback” funktioner

Karantæne af mistænkelige filer og e-mail

Detaljeret rapportering om mistænkelige hændelser

IPS - Intrusion Prevention System

Signaturbaseret overvågning af trafik til netværk og klienter

Mulighed for at blokere for trafik i realtid

Beskyttelse af systemer med manglende opdateringer – virtuel

patching - inddæmning af et udbrud/angreb, mens det sker

IDS/IPS leverandører frigiver mønstre der kan detekterer og

blokerer for sårbarheder samtidig med patchen

TID

Dag-0 sårbarhed

Ukendt

Opdagelse

Offentliggørelse

Patch tilgængelig

IPS Signatur frigives

Patch Management

Patchen fjerner den grundlæggende ”root cause” sårbarhed

Sikring af patches installeres på alle systemer

Sikrer opdatering af operativsystem, applikationer og alle plug-ins

Understøttelse for alle anvendte applikationer

Rapportering af compliance og patchniveau

Patch installeret


Advanced Threat Protection

Et paradigme skifte til mere pro-aktive foranstaltninger

• Generisk beskyttelse mod ukendte sårbarheder og malware

• Målrettede angreb anvender unik malware

• Miljø til virtuel afvikling af mistænkelige filer

• Forskellige operativ systemer, programmer og versioner

• Opsamling af information om kommunikation så efterfølgende angreb kan

genkendes

• Kontrol af alle kommunikationskanaler

• Web

• Mail

• Filer

• Blokering af mistænkelig kommunikation

• Rapportering

• Information om mistænkelig filer

• Information om inficerede maskiner


Overvågning

• Mulige angreb fra intern og eksten

• Overvågning af bruger aktivitet, applikationsaktivitet og tilgang til data

• Efter en kompromittering ligner ekstern trafik som oftest intern trafik

• Tidlig opdagelse er essentiel

• Signaturer er ikke effektive

• Mønstergenkendelse er vigtigere


Udfordringer – baggrund for Dubex platformen

Kompleksitet

• Mange produkter og mange konfigurationer

Management & drift

• Håndtering af mange ændringer

Adaptability

• Behov for hurtig tilpasning og ændringer

Forretningsmæssig risikostyring

• Tilpasning af sikkerhedsniveau til behov

Trusler

• Konstant ændret trusselsbillede

Teknologi

• Cloud, Virtualisering, Mobility, Big data & Sociale Medier


Hvordan løser Dubex dine sikkerhedsudfordringer?

DUBEX-PLATFORMEN

Mennesker

Politik

Proces

Forretning

CONSULTING

FINANCIAL SERVICES

INDUSTRIAL

INSURANCE

IT & TELECOM

MEDIA

MEDICAL & BIOTECH

PUBLIC SECTOR

Teknologi

RETAIL & CONSUMER PRODUCTS

TRANSPORTATION


Vi tilpasser teknologier til dine forretningsbehov

DUBEX-PLATFORMEN

EXPERT SUPPORT

CONSULTING

FINANCIAL SERVICES

TECHNOLOGY

EVALUATION &

SOLUTION

DEVELOPMENT

OPERATION AND

MAINTENANCE

LICENSE

MANAGEMENT

CONSULTING &

PROJECT

MANAGEMENT

INDUSTRIAL

INSURANCE

IT & TELECOM

MEDIA

MEDICAL & BIOTECH

PUBLIC SECTOR

RETAIL & CONSUMER PRODUCTS

CASE

MANAGEMENT

TRANSPORTATION


Cyberkrig - risikostyring

Efter Stuxnet bliver risikoen for

cyberkrig taget seriøst

• Risiko for angreb på ”kritisk

infrastruktur” dvs. elektricitets-, vand-,

og energiforsyningen

• Samfundets afhængighed af

fungerende it-systemer vokser

• Eksempler på hændelser bl.a. mod

Estland og Georgien

Cyberkrig er større trussel

mod Danmark end terror

Torsdag den 25. oktober 2012, 21:45

Digitale angreb er nu den største

trussel mod Danmark, fastslår

Forsvarets Efterretningstjeneste (FE).

Det skete for Estland i 2007, da ministeriers,

mediers og telefonselskabers hjemmesider blev

angrebet. Det skete for Georgien i 2008, da et

kæmpemæssigt cyberangreb lammede et stort

antal officielle hjemmesider, og det skete for Iran i

2010, da det iranske atomanlæg Natanz blev

angrebet af computervirussen Stuxnet.

• Risikoen for cyberkrig bliver i dag

taget seriøst

»Der er en stigende trussel mod Danmark i cyberspace. I takt

med, at vi bliver mere digitaliserede, bliver vi også mere sårbare,

og derfor kræver truslen fra cyberspace mere opmærksomhed.

Vi oplever, at danske interesser og danske myndigheder mere

eller mindre konstant er under angreb i cyberspace,«

Thomas Ahrenkiel, chef Forsvarets Efterretningstjeneste (FE).

http://www.b.dk/nationalt/cyberkrig-er-stoerre-trussel-mod-danmark-end-terror


Risikobegrænsning

• Risikoen kan ikke fjernes, kun begrænses

• Sikkerhed kan ikke købes som produkt

• Sikkerhed opnås ved en blanding af

• Procedure & ledelse / (Management issues)

• Design, værktøjer og tekniske løsninger

• Løbende overvågning og vedligeholdelse

• Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem


TAK!

For yderligere information kontakt:

jhe@dubex.dk

More magazines by this user
Similar magazines