Ledningsstrategier för nätbaserade hot 2012-06-05 Innehåll • Kända dataintrång • Verizon breach report 2008 - 2012 • Risk, Scope och Strategi • Vad ska man göra? You never reach greatness if you don’t take risks! Sten Lannerström Knowit Secure Erfarenhet 30+ år med IT 15+ år med IS/IT-säkerhet Älskar Min familj Alpin skidåkning Att göra ett bra jobb Intrångshistorik • Före 2000 • • • • Robert Morris, ”Morris Worm”, intrång lite överallt…, skyddstillsyn 3 år + böter 10.000$ Kevin Mitnick, riktat mot huvudsakligen telecombransch, bedrägeri i olika former, fängelse 4 år ”En Hacker i systemet”, d.v.s. Markus Hess, riktat mot militära anläggningar i USA, spionage, fängelse 3 år Intrång riktat mot Citibank av Vladimir Levin, bedrägeri och stöld, fängelse 3 år + skadestånd till Citibank 240.015$ • 2000-2010 • • • • Adrian Lamo, riktat mot bl.a. New York Times, MS, Yahoo & MCI WorldCom, 6 mån husarrest + 65.000$ UFO-intresserade Gary McKinnon, riktat mot försvarsanläggningar i USA, ”riskerar” 60 års fängelse i USA Albert Gonzalez, riktat mot TJX m.fl stöld av kreditkortsinformation, fängelse 20 år Arbetssökande Csaba Richter, riktat mot Ericsson, fängelse 3 år • 2010 och framåt • • • • • Antisec, intrång i syfte att stoppa kommersialisering kring intrångsteknik… LulzSec, riktat mot Sony, flera personer gripna men ingen rättegång Anonymous, intrång och DoS m syfte att arbeta mot internet censur och för frihet att sprida digital info. Stuxnet, avancerad mask/trojan riktad särskilt mot Siemens processtyrsystem för Irans urananrikning Dataintrång hos RSA som exempelvis även påverkar Lockheed Martin Exploited a hole in Adobe Flash Transfer "many" password-protected RAR files over FTP Performed privilege escalation RSA released this illustration that shows step-by-step how it was attacked. Attack mot RSA Tydliga trender kring dataintrång? Intrång till komprometterat data Upp till 24tim Mer än 1 dygn Komprometterat data till upptäckt Upptäckt till åtgärder Upp till 24tim Mer än 1 dygn Upp till 24tim Mer än 1 dygn 2008 47 53 3 97 10 90 2009 48 52 8 92 6 94 2010 39 61 11 89 13 87 2011 47 53 4 96 11 89 2012 60 40 2 98 10 90 Verizon breach reports 2008-2012 Tydliga trender kring dataintrång? Intrång till komprometterat data Upp till 24tim Mer än 1 dygn Komprometterat data till upptäckt Upptäckt till åtgärder Upp till 24tim Mer än 1 dygn Upp till 24tim Mer än 1 dygn 2008 47 53 3 97 10 90 2009 48 52 8 92 6 94 2010 39 61 11 89 13 87 2011 47 53 4 96 11 89 2012 60 40 2 98 10 90 Verizon breach reports 2008-2012 Tydliga trender kring dataintrång? Hur vet man vilken skyddsnivå man ska välja om man inte vet vilka risker som finns? Basic Elements of Risk The correlated combination of Impact and Probability Risk The negative effect a threat may have on an asset The assessed likelihood for the combination of vulnerability and exploit for a given asset According to a chosen company scale Primary Processes/Activities Information Entities Supporting IT System Application Network Site Personnel Organization According to a chosen company scale Business Impact Probability The potential to succeed and take advantage of a vulnerability linked with an asset Asset Threat Åtgärder Something causing Financial loss / Loss of business performance Loss of goodwill / Bad reputation Legal violation / Environmental or Personnel safety Breach of confidentiality / Loss of integrity Vulnerability Exploit Automatiseras Lack of control that is linked with an asset and as a result might open up for an exploit Dataintrång – Kräver ledningsstrategi? • Dataintrång drabbar utrustning med dåligt skydd • Låg säkerhetsbudget, med sämre patchning, sämre behörighetskontroll och sällan ordentligt testade • Tid för upptäckt är ofta lång… • Dagar, veckor och månader… • Vid intrång hinns det med att göra mycket vid svag skyddsnivå… • Med korrekta identiteter kan data hämtas/modifieras i verksamhetskritiska system • Vilka system kan det typiskt handla om? • Icke verksamhetskritiska från början, men de allvarliga konsekvenserna sker i väsentliga system • Ofta utanför scope sett ur ett Ledningssystemsperspektiv (ISMS) och utifrån ett enskilt system sett svårmotiverat att höja säkerhet • En ledningsfråga • Samordnad skyddsnivå inom vissa områden för ALLA system • Strategisk fråga att bestämma nivå och metod Risk i olika nivåer • Strategisk risk, 3-5 år Rapportering • Taktisk risk, 1-12 månader • Operationell risk, dagar och veckor Styrning När är risken störst? • Utökning av tillgångar • Ny utrustning • Ny verksamhet • Nya processer • Ökad hotbild • Känslig bransch som stöter grupperingar av människor • Vid stora förändringar i verksamheten • I medialt blåsväder • Ökad utnyttjande • När Ni är off-guard t.ex. i samband med egen/annans katastrof eller medial skandal • När nya enkla verktyg sprids • När nya sårbarheter uppdagas • Ökad sårbarhet • När Ni har bråttom att införa ett ”temporärt” system • När Ni är dåligt skyddade via system utanför LIS omfattning Vad ska man göra? • Arbeta riskorienterat • Utifrån tillgångar eller utifrån roller om rollbeskrivningar finns • En strategiskt vald lägsta basnivå för alla system • Ägarskap, utr. placering, malware, patchning, behörighetskontroll och incidentrapportering • Kanske bara en regelbunden monitorering av system utanför scope • Mota Olle i grind • • • • • • Det finns tid att monitorera eftersom väsentliga intrång kan ta tid Externa hot är störst, men kan självklart assisteras från insidan Identifiera portscanning som även initieras inne på egna nätet Identifiera felinloggningar i serier (typ en/två som inte spärrar) Öva på att hantera incidenter Säkerhetsmedvetande/Säkerhetskultur • Ta hjälp! • PCI/DSS, penetrationstest, konfigureringar • Riskantering och (decentraliserad) styrning av IS/IT säkerhet Arbeta riskorienterat! Fånga risker på alla nivåer, operativt, taktiskt och strategiskt samt styr med informerade beslut. Utse ett övergripande strategiskt ansvar för en grundläggande basnivå för säkerhet som även inkluderar de system som inte ingår i den huvudsakliga omfattningen av verksamhetskritiska system. Sten Lannerström [email protected]