enabling growth

Managing risk,enabling growthDANSK-IT, 30. januar 2013Jacob Herbst, jhe@dubex.dk

Dubex A/S - Profile• Jacob Herbst• Civilingeniør med speciale i datasikkerhed• Arbejdet med IT-sikkerhed siden 1995• Medstifter og teknisk chef, Dubex A/S• Dubex A/S• Specialister i og laver kun IT-sikkerhed siden 1997• 50 medarbejdere i København og Århus - over 2/3arbejder med teknisk IT-sikkerhed• Privatejet – af de tre stiftere, samt medarbejderaktier• Omsætning 2011 – ca. 82 mio. DKK - Selvfinansierende• Det største dedikerede IT-sikkerhedsfirma i DK• Løsninger og ydelser bl.a. inden for netværks- ogindholdssikkerhed, fjernadgang, mobility ogautentificering, samt loghåndtering og compliance• Eneste ISO 27001 certificerede danske IT-sikkerhedsleverandørJacob HerbstDubex, AarhusDubex, København

AgendaIT udviklingen og forretningenTrusselsbilledetAdvanced Persistent ThreadsDubex PlatformenForretningsmæssigværdiTrusler 2013KonklusionSpørgsmål

It er forretningenMission for it-afdelingen: Øge virksomhedens indtjening og vækst• Ledelsen og bestyrelsen skal forøge ogbeskytte værdien af virksomheden• It er grundlaget for alleforretningsprocesser• Synliggørelse af den risiko som itanvendelsenmedfører• Risikostyring er det værktøj vi kan brugetil beskytte værdien af virksomhedenMyndighederBestyrelseITSikkerhedRisikoLedelse• Udfordringer:• Umuligt at synliggøre teknisk it-risikouden forretningssammenhæng• Forretning forstår sjældent værdienog betydningen af it-systemer• Forskellige interessenter harforskellig opfattelse af sikkerhed ogrisikoKunderMedarbejderCIO

Risikostyring på ledelse- og bestyrelsesniveauRisikostyringRisiko strategiTager vi de rigtige risici?RisikoappetitHar vores risiko det rette omfang?EvnerEr vi effektive til at styre risici?•Kender vi de betydeligste risici, vitager?•Er de risici vi tager på linje med voresforretningsmæssige mål ogvækststrategier?•Vil de risici, vi tager hjælpe os med atopnå konkurrencemæssige fordele?•Hvordan passer de risici, vi tagermed aktiviteter, der skaber værdi?•Har vi rettidig og relevant informationtil at foretage strategiske valg?•Kan vi opnå et afkast, der er ioverensstemmelse med voresoverordnede risikoprofil?•Fremmer eller hæmmer vores kulturdet rette niveau af risikotagningadfærd og aktiviteter?•Har vi en defineret, formidlet ogforstået organisatorisk risikoappetitog tolerance?•Er vores risikoappetit kvantificeretbåde samlet og per hændelse?•Er vores reelle risikoprofil ioverensstemmelse med voresrisikovillighed?•Er vores kapital er tilstrækkelig til atunderstøtte vores risikoprofil?•Er vores risikostyringsproces"ensartet", på niveau med voresstrategiske beslutningsproces og keyperformance foranstaltninger?•Risikostyring - Er der klarhed overbemyndigelse, afgrænsninger ogansvarsområder?•Overvåges vores risikostyringsproceseffektivt på tværs af helevirksomheden?•Er vores ensartederisikostyringsprocesomkostningseffektiv og effektiv?

Drivere – it-sikkerhed som enablerCloudMobilityBig DataSociale Medier• Private Cloud, publicCloud, hybrid cloud• SmartPhones og tablets• Consumirization• Vækst i datamængder• Analyse værktøjer• Facebook og TwitterPrivate Cloud Computing isamong the highest interestareas across all cloudcomputing, with 75% ofrespondents saying they plan topursue a strategy in this areaby 2014.By 2013, 80 percent ofbusinesses will support aworkforce using tablets.Big data in 2-5 years will have atransformative impact on theorganization and to giveappropriate feedback; by 2015it will allow companies whohave mastered the technologyto beat competitors by 20percent for all existing financialmetrics.78% of IT organizations areconcerned about the risks ofemployee driven,unsanctioned use of Web 2.0tools and technologiesSikkerhed som enabler

It-udfordringerInterne krav - forretningen• Reduktion af omkostninger• Grøn it• Fleksibilitet• Tilgængelighed og performanceInterne krav - brugere• Adgang til sociale netværk• Mobil adgang overalt• Work/life balance• Consumerization og user empowermentApplikationer• Web baserede applikationer• Peer-to-peer applikationer• Web 2.0 (sociale, wiki, blogs)• Nye mobile operativ systemer ogapplikationerTrusler• Organiseret kriminalitet• Målrettede angreb - APT• Tilfældige angreb og datatab• Dag-0 sårbarhederEksterne krav• Compliance• Forventninger fra kunder• Aftaler og SLA’erTeknologisk udvikling• Trådløse teknologier og mobile enheder• Båndbredde, netværk og IPv6• Telepresense• Open Source

Infrastruktur udviklingenFortidenServere er monolitterBegrænset mobilitetNutidenDelvis virtualiseringDelvis mobilitetFremtidenCloud ComputingMobile Enterprise

Enheder/brugere (Mio. – logaritmisk)Mobilitet…State of the Internet…Mobile Will BeBigger Than Desktop Internet in 5 YearsMorgan Stanley, april 2010Computing Growth Drivers Over Time, 1960-2020E1.000.000100.000Internet ofthings10.000PersonalComputing• 100 mia.+1000100101Mainframecomputing1 mio.+MiniComputer• 10 mio.+• 100 mio.+DesktopInternet• 1 mia.+MobilInternet• 10 mia.+Hver ny cyklus:• Mereprocessorkraft• Bedrebrugerinterface• Mindre fysiskstørrelse• Lavere priser• Flere servicesSeneste cyklusserhar typisk varet 10år1960 1970 1980 1990 2000 2010 2020http://www.morganstanley.com/institutional/techresearch/

SikkerhedstendenserUdfordrende trusselsbillede• APT angreb• Dag-0 angreb• Polymorfisk angreb• Målrettede angrebAvanceret infrastruktur• Konvergens på IP-netværk• Virtualisering• Mobile devices“Organizations face anevolving threat scenariothat they are ill-preparedto deal with….advancedthreats that havebypassed theirtraditional securityprotection techniquesand reside undetectedon their systems.”Øget kompleksitet• Sikkerhed er komplekst• Flere opgaver• Manglende interne ressourcer og kompetencer• Angreb stiger i kompleksitet og hyppighedInformation er blevet strategisk• Vores virksomheder bygger på information• Kommunikation er vital• Dataeksplosion – Big data

Hændelser - 2012Global Payments: data breachcost a whopping $84.4 millionEllen MessmerJuly 26, 2012 (Network World)Global Payments, which back in the springreported a data breach in which informationassociated with an estimated 1.4 millionpayment cards was stolen, has revealed thatexpenses associated with investigations, finesand remediation has hit $84.4 million.New, sneakier Flashbackmalware infects MacsDitches all attempts at dupingusers with social engineeredtactics, exploits Java bugthrough drive-by attacksGregg KeizerApril 24, 2012 (Computerworld)The Atlanta-based payments-processing firmacknowledged that number as part of its fiscalreport for 2012 revenues, which totaled about$2.2 billion, up 18% from $1.82 billion in 2011.Researchers identify Stuxnetlikemalware called 'Flame'Security researchers believe that a newlyidentified cyberespionage threat called Flameis even more complex than Stuxnet or DuquLucian ConstantinMay 28, 2012 (IDG News Service)A new, highly sophisticated malware threat thatwas predominantly used in cyberespionageattacks against targets in the Middle East hasbeen identified and analyzed by researchersfrom several security companies andCpr.dk fortsat under angreb:organizations.According to theOfflineIranian Computerfor atEmergencylappe hullerResponse Team Cpr.dk (MAHER), er stadig the nede new efter piece tirsdagens of angrebmalware is called fra hackerbevægelsen Flamer and might be Anonymous.responsible for Leverandøren recent data loss er i incidents fuld gang in med at lukke deIran. There are sikkerhedshuller, also reasons to believe angrebet that er the sket igennem.malware is related Af Morten to the K. Stuxnet Thomsen and Duqucyberespionage Onsdag, threats, 7. the november organization 2012 said - 10:44on Monday. Mere end et døgn efter, at hackerbevægelsenAnonymous tog ansvaret for et angreb påhjemmesiden cpr.dk, er sitet stadig nede.A new, sneakier variant of the FlashbackLæs også: Anonymous slår til i Danmark: Vi hamalware was uncovered yesterdayUpdate:by theHackers exploit new IEhacket CPR.dk og AteaFrench security firm Intego. zero-day vulnerability »Leverandøren (Webtop, red.) er ved at lukkeHD Moore, maker of Metasploit, de huller, urges der blev users benyttet to til den ulovligeFlashback.S, which Intego described ditch Monday, IE7, IE8 and IE9 until indtrængen. Microsoft Derfor fixes er sitet nede,« sigeruses the same Java vulnerability as critical an earlier flawCarsten Grage, der er chef for Økonomi- ogversion that has infected an estimated Gregg 820,000 Keizer Indenrigsministeriets kontor for it og CPR.Macs since its appearance and still September plagues 17, 2012 (Computerworld)over 600,000 machines.

Hændelser - 2013Cyber-Attackers Steal 3,000Documents From JapaneseMinistryJan 04, 2013 9:59 AM EST By Max EddyAccording to reports, the Japanese Agriculture,Forestry, and Fisheries Ministry has been thevictim of a cyber-attack in which over 3,000classified documents were stolen.The attack on the JapaneseJavaMinistryUnderapparentlyAttack Again,involved a remotely operated Disable trojan Now along with aconnection bouncer called By Mathew "HTran." J. Schwartz, Dell's InformationWeekSecureWorks has looked January at HTran 11, 2013 before, andbelieve it was originally created by a Chinesehacker to conceal the Security location experts of command have and a message for allcontrol servers and "redirect businesses: TCP traffic Disable destined Java now, and keep itfor one host to an alternate disabled. host." That's their advice message after thediscovery Thursday of yet another zero-dayJava vulnerability, as well as a number ofattacks that are already exploiting the flaw torun arbitrary code on PCs.Nu igen: Nyt Java-sikkerhedshulsat til salg for 28.000 kronerTorsdag den 17. januar 2013, 10:03Red October 5-year cyberespionage attack: Malwareresurrects itselfBy Darlene Storm, January 14, 2013 1:55 PM"It looks like this exploit is being Få used dage in efter at least Oracle lukkede et sikkerhedshul ifour different active exploit kits Java, -- Blackhole, blev en ny sårbarhed udbudt til salg på etCool Exploit Kit, Nuclear Pack hackerforum.and Redkit,"said research engineer Nick Randolph, who'spart of the Sourcefire Vulnerability Bitsene Research er knapt nok blevet Red tørre October efter may bring a fictitious submarineopdateringen til Java 7 Update to mind, 11, før but et the nyt latest Hunt for Red October is

Hvorfor bliver vi angrebet?Intellektuelle værdier• Forretningshemmeligheder kan misbruges afkonkurrenter• Konsekvenser• Kunderne har ret til fortrolighed ogintegritet• Tab af kundernes data er uacceptabel• Ansvar / risiko for handling• Regulatoriske krav (USA) - Stat "BreachNotification" Love (dvs. SB1386)• Negativ indvirkning på "brand value", tab afværdifulde oplysninger, tab af troværdighed,tab af offentlighedens tillid osv.• Mistede konkurrencefordeleSpionageKonkurrenterKriminelleTerrorismeDyson alleges Boschcorporate espionageTom Espiner, October 25 2012Engineering firm Dyson has alleged that rival Boschused an insider to steal company secrets.Dyson filed legal proceedings against Bosch in theHigh Court on Tuesday, a Bosch spokeswoman toldSC Magazine on Wednesday.Dyson alleges that an employee working at itsMalmesbury research facility passed details aboutDyson motors to Bosch over a period of two years,according to the Independent."We have spent over 15 years and £100 milliondeveloping high speed brushless motors, whichpower our vacuum cleaners and Airblade handdryers," Dyson research and development directorMark Taylor said in a statement. "We are demandingthe immediate return of our intellectual property."PolitiskeAngrebCyberwarhttp://www.scmagazineuk.com/dyson-alleges-bosch-corporate-espionage/printarticle/265396/

http://krebsonsecurity.com/2012/10/service-sells-access-to-fortune-500-firms/Udfordringer - sårbarheder og angreb• Mindre, hyppigere, målrettede og mereintelligente angreb• Specialisering og arbejdsdeling blandt itkriminelle• Målrettet screening og misbrug afsårbarheder• Målrettet geografisk og efter sprog• Unik malware for hver angreb/infektion• Blandede angreb• Flere samtidige angrebsvektorer• Flere samtidige dag-0 sårbarheder• Anvendelse af kompromitteredecertifikater• Sårbarheder i produktionsudstyr - fx PLCudstyr• Adskillige anvendelser af f.eks. botnets• Social engineering• Angreb der udnytter betroede "brands"• Angreb rettet mod sociale netværk• Social engineering angreb såsomphishingService Sells Access toFortune 500 FirmsMonday, October 22nd, 2012 at 12:01An increasing number of services offered in thecybercrime underground allow miscreants topurchase access to hacked computers at specificorganizations. For just a few dollars, theseservices offer the ability to buy your way inside ofFortune 500 company networks.The service I examined for this post currently isrenting access to nearly 17,000 computersworldwide, although almost 300,000compromised systems have passed through thisservice since its inception in early 2010.

Angreb – typer og konsekvenserSandsynlighedOrme og botnetDatatabAPTMålTilfældige Internet brugereKreditkort-håndterendevirksomhederRegeringer og kritiskinfrastrukturMetodeSimple angrebSPAM, orme og botnetAvanceret datatyveriAvancerede målrettedeangreb – spear phishingMere sofistikeredeangreb - APTKriminalitet ogprofitdrevenCyber warfare ogspionageCyber-terrorisme oghacktivismRSA• Via spear phishing kompromitteres information om SecurID tokens• Omkostninger: USD 50-100 mio.Epsilon• Oplysninger om 100.000 stjålet efter spear phishing angreb• Omkostninger: USD 100 mio. – USD 4 mia.Sony Playstation Network• Anonymous angreb - 100 mio. brugere kompromitteret• Omkostninger: USD 13.4 mia.

TidligereAPT – Advanced Persistent ThreatsUdfordringer - angreb og metoderSynligeSlørede• Kompromittering er vanskeligt atdetektere• Sløringsteknikker til at undgå afsløring• Angreb rettet gennem perimeter• Truslerne er web-baseret• Udbredelsen af netværk overalt gøropdagelse endnu vanskeligere• Angreb rettet mod slutbrugere• Indirekte angreb på klienter• Angreb rettet mod sociale netværk• Slutbrugeren bliver narret af socialengineering• Indirekte angreb via betroede eksternetredjeparter• Sårbarheder i software gør det bareendnu nemmere at narre slutbrugerne• Sårbarheder og avancerede dag-0-angreb• Hurtig udnyttelse af sårbarheder• Misbrug af ukendte sårbarheder - dag-0KendtesårbarhederBredeEngangsangrebAPTUkendte dag-0sårbarhederMålrettedeVedholdende56% af kompromitteringerneopdages først efter flere månederAvancerede59% af kompromitteringerne er førstfjernet flere uger efter opdagelse

APT – Advanced Persistent ThreatsTypisk forløb af en APT baseret angrebPhishingangrebZerodayangrebTrojanskhestInternesårbarhederDataindsamlingDataudtrækEn rækkebrugeremodtagermålrettetphisingmailBrugeråbnervedlagt fileller tilgårlinkBrugerensmaskineinficeresmedmalware -TrojanskhestAngriberenudnyttersårbarhedertil at få flererettighederData samlessammen oggøres klar tilat blivehentetKrypterededata sendesfx via ftp tilet eksterntkompromit-teret system

Malware - UdviklingsprocesSløring og kvalitetstestningOriginal Malware• Indeholder grundlæggendeondsindede funktioner:DDoS, stjæle data, spredeinfektionen, ..Permutationer• Forvanskelse af malware. Danneadskillige varianter for at omgådetektionKvalitetstestning• Teste nye mutationer modseneste opdaterede antivirusscanningsmønstreDeployering• Kun malware som kommerigennem QA (dvs. ikkedetekteret) bliver forsøgt udbredtAfvist hvis detekteretaf anti-virus software• Mange forskellige varianter af samme malware fremstilles automatisk forud foret angreb• Kun varianter der kommer igennem kvalitetstestningen (=omgår antivirus)bruges i selve angrebet• De nye varianter frigives med jævne mellemrum for konstant at være foranantivirus mønster opdateringerneMalware er vidt udbredt og kan fremstilles så det omgårdet traditionelle perimeter forsvar o.a. beskyttelse

Malware as a ServiceMalware offered for $249with a Service LevelAgreement and replacementwarranty if the creation isdetected by any anti-viruswithin 9 months• Source: www.turkojan.com

Sårbarheder - udfordringer• Sårbarheder er design ellerimplementeringsfejl, der kan resultere ikompromittering af fortroligheden, integriteteneller tilgængeligheden• Mindre sikkerhedshuller (implementeringsfejl)rettes som regel rimeligt hurtigt af leverandørenApplikationerOperativ systemTransportNetværk• Forskel på hvornår og hvordan en fejl betragtessom en sårbarhedIndustry-wide vulnerability disclosures,2H09–1H12Industry-wide operating system, browser, andapplication vulnerabilities, 2H09–1H12Microsoft Security Intelligence Report #13

Rettelse af sårbarheder• Med ”Window of Exposure” forstås den tid der gårfra en exploit bliver tilgængelig til sårbarheden errettet• … men nogen gange ved man ikke at der findes ensårbarhed og en exploit…I 65% af tilfældenehar leverandørenen patch klar nårsårbarheden bliveroffentlig kendt.100%80%60%40%Patch AvailabilityTIDDag-0 sårbarhedUkendtOpdagelseOffentliggørelsePatch tilgængeligIPS Signatur frigives20%Patch installeret0%0 10 20 30 40 50 60 70 80 90Days since Disclosure

Baggrunden for dag-0 angreb• Dag-0 angreb• Når metoden til at udnytte en sårbarhed bliver kendt, førder er frigivet en rettelse• Brugere af den pågældende software er udsatte, indtilder frigives en sikkerhedsrettelse• Omkring 80% af alle sårbarheder kan umiddelbartmisbruges dvs. der kræves ikke udvikling af en ny exploiteller en exploit findes allerede• Baggrund for dag-0 sårbarheder• Automatiske værktøjer til at finde sårbarheder – fxfuzzing• Automatiske metoder (disassembly / debug) til at findede sårbarheder som rettes med sikkerhedsopdateinger• Information om sårbarheder handles og udveksles onlinemellem kriminelle –arbejdsdeling og specialisering• Lettilgængelige værktøjer til at fremstille malware dermisbruger sårbarheder1980-90Reaktionstid: Måneder2000-2002Reaktionstid : Timer2003-FremtidenReaktionstid : Sekunder

Dag-0 sårbarhed i Internet ExplorerOnMove Use After Free Vulnerability –CVE-2012-1529Internet Explorer 6/7/8/9 - WindowsXP/Vista/7Eksperter advarer mod InternetExplorerTirsdag den 18. september 2012, 08:35Sikkerhedshul giver hackere mulighed for atovertage computeren. Eksperter anbefaler, at manskifter til et andet internetprogram, indtil Microsoftstopper hullet.Et alvorligt sikkerhedshul i internetprogrammet InternetExplorer får nu Microsoft selv til at råbe vagt i gevær ogbede folk om at hente en opdatering selv. Eksperteranbefaler, at man i stedet skifter til et andetinternetprogram, indtil Microsoft har fået løst problemet.Sikkerhedshullet påvirker hundreder af millioner af InternetExplorer-brugere. Det betyder, at en hacker kan skaffe sigadgang til folks computere og alle deres filer, hvis de veden fejl får klikket sig ind på et ondsindet netsted.14. september 2012Første dokumenterede indikationer på atsårbarheden aktivt forsøges misbrugt – detvides ikke hvor lang tid sårbarheden harværet misbrugt17. september 2012Information on sårbarhed offentliggøres”Opdagelsen” af sårbarheden tilskrives Nitroder sættes i forbindelse med den kinesiskeregering. Nitro har tidligere misbrugt andredag-0 sårbarheder.18. september 2012Microsoft offentliggør workaround som dog ertemmelig komplekst at implementere.Antivirusproducenterne opdaterer deresmønsterfiler i forhold til specifik malware dermisbruger sårbarheden i IE.19. september 2012IPS producenterne er klar med beskyttelse –virtuelle patches21. september 2012Microsoft retter sårbarheden med MS12-063

Udfordringer - organiseringDagens fundamentaleproblemer - Sikkerhed• Mangler en klar strategi• Ikke planlagt ”godt nok”• Fragmenterede sikkerhedsløsninger• Mangler overblik over, hvad deregentligt skal beskyttes• Delt mellem afdelinger – intetcentralt ansvar• Reaktivt – drevet af konkretehændelserKonsekvenserSikkerhed• Huller i sikkerheden• Besværlig administration og drift• Høje omkostninger• Manglende fokus• Dårlig Return On Investment• Driftsforstyrrelser• Tabt troværdighed og kunder• Løsninger, som ikke følger medtruslerne• DobbeltarbejdeEric Ouellet, Gartner: “What we have found is that organizations that spend more than sevenpercent of the IT budget on security are actually less secure because they use reactionaryapproaches. They end up with point solutions where there’s no overarching theme and nointegration.”http://www.securecomputing.net.au/News/123479,gartner-dispels-security-myths.aspx

Kompleksitet• Sikkerhed er komplekst• Flere opgaver• Manglende interne ressourcer ogkompetencer• Angreb stiger i kompleksitet oghyppighed• Store og stigende omkostninger veddatatab• Krav om at tilføre forretningen værdi• Dokumenteret sammenhængmellem forretningsmæssig risiko ogit-sikkerhed• Budgetmæssige overvejelser• Køb af services frem for produkterog investeringer• Tilføre forretningsmæssige fordele –optimering af forretningsprocesser,der kan retfærdiggøre forøgedebudgetterKilde: InformationWeek - 2011 Strategic Security Survey: CEOs take Notice

Udfordringer – baggrund for Dubex platformenKompleksitet• Mange produkter og mange konfigurationerManagement & drift• Håndtering af mange ændringerAdaptability• Behov for hurtig tilpasning og ændringerForretningsmæssig risikostyring• Tilpasning af sikkerhedsniveau til behovTrusler• Konstant ændret trusselsbilledeTeknologi• Cloud, Virtualisering, Mobility, Big data & Sociale Medier

Hvordan løser Dubex dine sikkerhedsudfordringer?DUBEX-PLATFORMENMenneskerPolitikProcesForretningCONSULTINGFINANCIAL SERVICESINDUSTRIALINSURANCEIT & TELECOMMEDIAMEDICAL & BIOTECHPUBLIC SECTORTeknologiRETAIL & CONSUMER PRODUCTSTRANSPORTATION

Vi tilpasser teknologier til dine forretningsbehovDUBEX-PLATFORMENEXPERT SUPPORTCONSULTINGFINANCIAL SERVICESTECHNOLOGYEVALUATION &SOLUTIONDEVELOPMENTOPERATION ANDMAINTENANCELICENSEMANAGEMENTCONSULTING &PROJECTMANAGEMENTINDUSTRIALINSURANCEIT & TELECOMMEDIAMEDICAL & BIOTECHPUBLIC SECTORRETAIL & CONSUMER PRODUCTSCASEMANAGEMENTTRANSPORTATION

Risikobaseret tilgang• Risikostyring er et værktøj til at sikre korrekt anvendelseaf ressourcer• Identificerer informationsaktiver, deres værdi og risiko• Sikkerhed er altid et spørgsmål om prioritering• Implementering af sikkerhed forbundet med udgifter• Som regel begrænsede ressourcer• Beslutninger baseres på en vurdering af risici• Informationscenteret• Viser de faktiske sårbarheder i en forretningsmæssigesammenhæng• Risikobaseret• Klar prioritering og baggrund forsikkerhedsinvesteringerInformationRisikoForanstaltninger• Risikostyring er en løbende proces

Løsninger - Security in depthKontrol og overblik• Flere forskellige redundante og uafhængigesikkerhedsmekanismer• Sikkert design – proaktiv/generisk sikkerhed• Anvend forebyggende teknologier• Indbyg sikkerhed i systemerne• Aktiv beskyttelse – reaktiv sikkerhed• Supplerer den ”indbyggede” sikkerhed• Overvåger intern trafik for afvigende mønstre• Overvågning• Overvågning af handlinger på systemer ognetværk• Konsolidering, sammenstilling og intelligentanalyse af logfilerPolitikker og procedurerManagementOvervågning &korrelationPerimeterNetværkHostApplikationDataBrugereMurphy's law: Anything that can go wrong will go wrong.

Beskyttelse mod sårbarhederAdvanced Threat ProtectionMetoder til at detektere dag-0 angrebEmulering af ukendte filers opførsel i et sandbox-miljøBlokerer for indgåede dag-0 angreb via web og mailBlokering af ”callback” funktionerKarantæne af mistænkelige filer og e-mailDetaljeret rapportering om mistænkelige hændelserIPS - Intrusion Prevention SystemSignaturbaseret overvågning af trafik til netværk og klienterMulighed for at blokere for trafik i realtidBeskyttelse af systemer med manglende opdateringer – virtuelpatching - inddæmning af et udbrud/angreb, mens det skerIDS/IPS leverandører frigiver mønstre der kan detekterer ogblokerer for sårbarheder samtidig med patchenTIDDag-0 sårbarhedUkendtOpdagelseOffentliggørelsePatch tilgængeligIPS Signatur frigivesPatch ManagementPatchen fjerner den grundlæggende ”root cause” sårbarhedSikring af patches installeres på alle systemerSikrer opdatering af operativsystem, applikationer og alle plug-insUnderstøttelse for alle anvendte applikationerRapportering af compliance og patchniveauPatch installeret

Advanced Threat ProtectionEt paradigme skifte til mere pro-aktive foranstaltninger• Generisk beskyttelse mod ukendte sårbarheder og malware• Målrettede angreb anvender unik malware• Miljø til virtuel afvikling af mistænkelige filer• Forskellige operativ systemer, programmer og versioner• Opsamling af information om kommunikation så efterfølgende angreb kangenkendes• Kontrol af alle kommunikationskanaler• Web• Mail• Filer• Blokering af mistænkelig kommunikation• Rapportering• Information om mistænkelig filer• Information om inficerede maskiner

Overvågning• Mulige angreb fra intern og eksten• Overvågning af bruger aktivitet, applikationsaktivitet og tilgang til data• Efter en kompromittering ligner ekstern trafik som oftest intern trafik• Tidlig opdagelse er essentiel• Signaturer er ikke effektive• Mønstergenkendelse er vigtigere

Cyberkrig - risikostyringEfter Stuxnet bliver risikoen forcyberkrig taget seriøst• Risiko for angreb på ”kritiskinfrastruktur” dvs. elektricitets-, vand-,og energiforsyningen• Samfundets afhængighed affungerende it-systemer vokser• Eksempler på hændelser bl.a. modEstland og GeorgienCyberkrig er større trusselmod Danmark end terrorTorsdag den 25. oktober 2012, 21:45Digitale angreb er nu den størstetrussel mod Danmark, fastslårForsvarets Efterretningstjeneste (FE).Det skete for Estland i 2007, da ministeriers,mediers og telefonselskabers hjemmesider blevangrebet. Det skete for Georgien i 2008, da etkæmpemæssigt cyberangreb lammede et stortantal officielle hjemmesider, og det skete for Iran i2010, da det iranske atomanlæg Natanz blevangrebet af computervirussen Stuxnet.• Risikoen for cyberkrig bliver i dagtaget seriøst»Der er en stigende trussel mod Danmark i cyberspace. I taktmed, at vi bliver mere digitaliserede, bliver vi også mere sårbare,og derfor kræver truslen fra cyberspace mere opmærksomhed.Vi oplever, at danske interesser og danske myndigheder mereeller mindre konstant er under angreb i cyberspace,«Thomas Ahrenkiel, chef Forsvarets Efterretningstjeneste (FE).http://www.b.dk/nationalt/cyberkrig-er-stoerre-trussel-mod-danmark-end-terror

It-sikkerhed enabler forretningen• Forøg værdien af forretningen• Forbindelse med kunder• Integration medsamarbejdspartnere• Myndiggør medarbejderne• Understøtter dataintegritet ogtilgængelighed• Sikre dataintegritet• Forbedre beslutningskvalitet• Undgå civile / strafferetligesanktioner• Forbedring af brand / omdømme• Optimer og beskyt værdien afinformationsaktiver• Administrer omkostningerROI(Return OnInvestment)ForbundetProduktivePålideligOmkostningsbevidstBesparelserOmkostniger

Forretningsmæssig værdiVærdi: RisikostyringVærdi: Forretningsunderstøttelse• Produktivitetstab - Indirektekonsekvenser (mistet salg, mistetkonkurrenceevne, mistettroværdighed)• Juridiske konsekvenser(manglende overholdelse afkontrakter, lovgivning m.m.)• Udvidelse af forretningen• Flere salgskanaler, kundeservice,fastholdelse af kunder• Nye kundesegmenter og forøgetomsætning, billigere leverance ogkonkurrencemæssige fordele• Understøttelse af brand• Hurtigere reaktionsevne• SLA overholdelse til kunder ogleverandører• Interne compliancekrav• Persondataloven• Regulatorisk compliance PCI DSS• EU Data Protection Act• Konkurrencemæssige complianceStandarder - COBIT, ISO27002• Besparelser – forbedring afforretningsprocesser• Undgåede udgifter – skalerbarhed• Brug af eksisterende ressourcer• Effektivitet – behov for færreressourcer, nye og forbedredeforretningsprocesserVærdi: Opretholde ComplianceVærdi: Optimering af omkostninger

Forudsætninger for ordentlig sikkerhed• Et behov for ændrede færdighederog indsigt• Hurtig udvikling og ændring aftrusselsbilledet• Krav om særlige færdigheder ogkompetencer• Forankring og integration afsikkerhed i virksomheden• Voksende forståelse for atsikkerhed også er enledelsesopgave• Hurtig reaktionsevne• Behov for hurtig, konsistent,koordineret ogsammenhængende reaktion påalle niveauer i organisation vedhændelser• Dannelse af en it-sikkerhedsbevidstorganisation• Klarlægge roller og ansvar fratoppen og ned• Revurdere sikkerhedsfunktionensegnethed og parathed• Opnå et 360-graders overblik overtrusselsbilledet• Opret et incident response team• Opdyrk og del kompetencer• Indtag en aktiv og gennemsigtigholdning over for trusler og angreb• Vælg den rigtige samarbejdspartner

Top 12 forudsigelser for 2012 - status• Hændelse med alvorligkompromittering af størreCloud leverandør –sikkerhed bliver enprioritet. Cloud anvendestil angreb• Fortsat kompromitteringaf kommercielle CA’er ogtyveri af certifikater –hvad og hvem kan manstole på? Angreb modselve SSL protokollen• APT / Spear Phishingangreb vil fortsætte,modnes ogautomatiseres modalmindelige virksomhederog brugere• Ny teknologi, nyesårbarheder – angrebspecifikt rettet modmultimedie funktioner• Enabler for private Cloud.Flere hypervisorer.Specifikke angreb rettetmod virtuelle miljøer –forsøg på at udnyttehypervisior sårbarhederCloudSSLAPTHTML5Virtualisering• Falsk konkurrencer ogreklamer, hacking afpersonlige oplysninger,specifikke angreb modsærligt Facebook tvingerdem til at forbedresikkerheden for deresbrugere• Fortsatte politiskmotiverede angreb modregeringer og andre somanonymous o.lign.grupper ser sig sure på• Fokus på sikkerhed iApps, Kriminelle vil søgeat placerer malware iAppStores, mangeangreb fremtvingerforbedret sikkerhed iAndroid Marked• Malware/worms modSmartPhones, førsteeksempler på malwareder rammer Apple iOSenheder, locationawaremalware, mindre BotNetpga. effektive juriskeaktioner• “Bring your own device”betyder også “Bring andclean your owninfections”, stigende antalsager pga. mistedeenheder med kritiskedataFacebookHacktivistsAppsMalwareBYOD• DDoS angreb bliverbilligere, hacktivists vilfortsætte deres angreb,DDoS mod kritiskinfrastruktur og DDoSangreb som del afafpresning• Eksempler på Cyberwar,Første angreb mod kritiskinfrastrukturDDoSSCADA

Forudsigelser for 2013 – tendenser og hændelser (1)• Hacking af devices – smart tv’s, biler (carjacking), bygninger, maskiner m.m.• Cross-platform angreb – angreb mellem forskellige platforme – Smart Phonestil desktops, desktops til smart tv’s, køleskabe og vaskemaskiner m.m.• Udbredelsen af SmartPhones og anvendelsen til mobil betaling, online adgangm.m. gør dem til et fristende mål for IT kriminelle – særligt Google Androidpga. udbredelse og åbenhed er et sandsynligt mål• Fortsat malware og anden privacy krænkende software i appstores – primærtGoogle Appstore. Viden om udvikling til mobile platforme vokser og dermedviden om hvordan angreb kan gennemføres. Problemer med Jailbrokenenheder og falske appstores

Forudsigelser for 2013 – tendenser og hændelser (2)• Angreb på webservere – webserver sårbarheder og sårbarheder særligt i contentmanagement systemer (Joomla, Wordpress m.m.) bliver misbrugt tilkompromittering og hosting af malware – fokus på opdateringer, patching ogkonfiguration• Hactivisem og politisk motiveret hacking vil fortsætte med mere avancerendemetoder, men formentlig have mindre succes• Regeringsstøttede angreb vil fortsætte – både som spionage mod virksomhederog det offentlige, men også som egentlige cyber krigsførelse• Efterhånden som virtualisering vinder frem vil flere og flere angreb være målrettetvirtuelle miljøer. Malware kan detekterer og skelne mellem Sandbox miljø og rigtigtserver miljø• Spear phishing – angreb bliver mere avancerede og e-mail vil være den primæreinitiale angrebsmetode – automatisk domænegenerering og ”forsinket” infektion afwebsider• IPv6 bliver stadig mere udbredt – ny teknologi, nye sårbarheder og ingen bestpractise

Risikobegrænsning• Risikoen kan ikke fjernes, kun begrænses• Sikkerhed kan ikke købes som produkt• Sikkerhed opnås ved en blanding af• Procedure & ledelse / (Management issues)• Design, værktøjer og tekniske løsninger• Løbende overvågning og vedligeholdelse• Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem

Thank youFor more information please contactjhe@dubex.dk