Det gjør ikke noe om jeg blir hacket for jeg har ingenting å skjule

Transkript

1 Det gjør ikke noe om jeg blir hacket for jeg har ingenting å skjule Næringsforeningen, Stavanger Ernst K. Henningsen Delivering Transformation. Together.

2 AGENDA 1 Cyber Security - Risiko og Security Awareness 2 Hva er viktig for deg? 3 Trusselbildet 4 En liten «privat hendelse» 5 Angrep, kjennetegn og konsekvenser 6 Anmelde datakriminalitet 7 Anbefalte tiltak 8 Oppsummering 2

3 Meg - Ernst Senior Sopra Steria Cyber Security Community Lead Mastergrad i Informasjonssikkerhet Masteroppgave om Sosial Manipulasjon Ca syv års erfaring innen Informasjonssikkerhet Sikkerhetsovervåkning og hendelseshåndtering i «Security Operations Centre SOC» Governance, Risk & Compliance Security Awareness Sertifiseringer Certified Information Security Manager (CISM) ISO Lead Implementer & Auditor ISO Risk Manager Mars: GMON (Continuous Monitoring and Security Operations) ernst.henningsen@soprasteria.com 3

4 Mitt mål i dag At dere sitter igjen med en bedre forståelse av trusselbildet og hvorfor praktisere visse tiltak Jeg vil være her til arrangementet er over, og litt til 4

5 Cyber Security Addressere risiko og trusler knyttet til IT Ikke alltid like enkelt å forstå seg på.. Truslene kan virke «usynlige» Har du noen gang tatt deg selv i å tenke tanken: «Det gjør ikke noe om jeg blir hacket for jeg har ingenting å skjule?» Du er dyktig på å vurdere risiko i den fysiske verden.. 5

6 Risiko og Security Awareness Kunnskap og oppførsel knyttet til risiko ved aktiviteter Steg 1 er å forstå at det eksisterer risiko.. Eksempel: Du tar på bilbeltet når du skal ut å kjøre (forhåpentligvis!) Men hvorfor gjør du det? Hvor ofte trenger du faktisk å bruke bilbeltet? Hva er poenget? Jeg har aldri trengt det men det betyr ikke at jeg ikke trenger det i morgen.. 6

7 Risiko i vår kontekst Sikring av informasjon og tjenester Konfidensialitet Integritet Tilgjengelighet 7

8 Bruker du data i jobben? Hvor viktig er dataen for den jobben du gjør? Se for deg at den plutselig en dag er borte hva betyr det for deg? Hva er det som gjør dataen viktig? Er det bestillingslisten for ukens kunder? Er det innlogging til en webside som tar imot bestillinger? Er det epost? Hva hvis filene på dataen plutselig blir lekket på internett hva betyr det for deg? Personopplysninger? 8

9 GDPR Mai 2018 er dere klare? 9

10 Har du fått virus? Hvor mange har en eller annen gang fått, eller tror de har fått, virus på sin datamaskin? Var det skummelt? Det er ikke viruset i seg selv som er «farlig» det er hva det kan gjøre «mot» deg 10

11 Black Energy For mange organisasjoner, ikke en direkte konsekvens for helse og sikkerhet Men.. 11 Ref: welivesecurity.com,

12 Wannacry Brukte verktøy som visstnok ble gjort tilgjengelig gjennom en lekkasje relatert til NSA Utnyttet sårbarhet i en velkjent nettverkstjeneste «alle» system bruker. «Fiksen» var tilgjengelig flere måneder før (patch/oppdatering) Viktigheten av å oppdatere! 12 Ref: tv2.no,

13 Petya / NotPetya 13 Ref: nrk.no,

14 Petya / NotPetya 14 Ref: e24.no,

15 Innbrudd - Sykehuspartner 15 Ref: sykehuspartner.no,

16 Internet of things Alt skal kobles til internett! Vi skal ha tilgang til alt uansett hvor vi er Det betyr også at andre har tilgang til det samme så lenge de kan utgi seg for å være oss 16

17 17 Ref: softpedia.com,

18 18 Ref: digi.no,

19 19 Ref: tv2.no,

20 NSM - Helhetlig IKT-risikobilde 2017 «NSM erfarer fortsatt at digitale angrep så godt som alltid innledes med bruk av ulike varianter av skadevare distribuert via e-post, og at denne typen angrep fremstår med økende grad av profesjonalitet.» «I 2017 har det vært en økning i spearphishing mot private e-postadresser. Målet med disse e-postene kan være å lure til seg innloggingsinformasjon til andre systemer, som for eksempel e-postkonto på personens arbeidsplass eller skylagringstjenester.» «NSM registrerer et jevnt trykk av målrettede digitale spionasjeoperasjoner fra fremmede stater mot norske virksomheter.» 20

21 En syden-ferie i 2015 del 1/4 Min samboer og jeg var på ferie i Hellas Midt under oppholdet fikk hun en melding på facebook fra ei veninne: «Er det du som har skrevet dette?» Veninna refererte til en kommentar tilsynelatende fra min samboer på en post hvor det sto noe ala «Check this video out goo.gl/1234» Ved nærmere sjekk så det ut til at en slik kommentar sto på ALLE poster til hennes venner på facebook Flere og flere begynte å spørre henne om hva som skjedde Ernst gikk inn i «Incident Response» modus endelig litt action på ferien 21

22 En syden-ferie i 2015 del 2/4 Første konklusjon vi visste facebook-kontoen hennes var kompromittert men ikke hvordan.. Første prioritering var å få kontroll på situasjonen Det «verste» ville være hvis noen hadde tilgang til hennes epost-konto (Gmail) og hadde brukt den til å resette passordet til facebook-kontoen I så tilfelle hadde noen tilgang til å resette passord på alle hennes tjenester og se alt i epost-konto Better safe than sorry: passordet til Gmail-kontoen ble endret og to-faktor (sms-kode) ble verifisert at var aktivert Rett før kommentarene ble postet fikk hun flere eposter fra facebook til hennes Gmail-konto hvor det sto at telefonnummer og lignende til kontoen hadde blitt fjernet Hennes Hotmail-konto ble også fjernet fra facebook-kontoen Det viste seg at hun hadde to epost-adresser assosiert med facebook-kontoen: Gmail OG Hotmail Hotmail-kontoen var ikke lenger i bruk og passordet husket hun ikke Ettersom Hotmail-kontoen ble fjernet fra facebook og ikke Gmailkontoen, kunne vi fremdeles resette passordet til facebook 22

23 En syden-ferie i 2015 del 3/4 Trolig hadde angriperne fått tilgang til passord assosiert med Hotmail-kontoen gjennom en passord-lekkasje hos Adobe i 2013: Min teori er at samme passord ble brukt på facebook som Hotmail-kontoen, eller at angriperne brukte Hotmail-kontoen for å resette passordet til facebook-kontoen. Angriperne gjorde nok en tabbe med å fjerne Hotmail-kontoen kuttet av grenen.. 23

24 En syden-ferie i 2015 del 4/4 Etterpå ble det mye manuelt arbeid med sletting av kommentarer, og resetting av passord på andre tjenester «for sikkerhetsskyld» Det ble aktivert «to-faktor autentisering» på facebook-kontoen hennes SMS-kode Hadde dette allerede vært gjort hadde nok ikke angriperne kommet seg inn.. 24

25 Lesson learned Ikke bruke enkle passord da det går raskt å gjette disse Ikke bruke samme passord på flere tjenester Spesielt ikke på tjenester som har forskjellig kritikalitet Eksempel et tilfeldig forum på internett og din nettbank Aktiver to-faktor autentisering der det er mulig Spesielt på epost! 25

26 26 Haveibeenpwned.com

27 Angrep Epost Lenker som viser til en nettside; med skummelt innhold som prøver kapre informasjon som brukernavn og passord Vedlegg med skummelt innhold Direktørsvindel (CEO-fraud) «Microsoft Helpdesk» Trådløse nettverk 27

28 Epost - kjennetegn på lureri - 1 OBS: det kan se ut som den går mot google Men den går egentlig mot en fransk nettside Avsender Hvor lenken fører Innholdet 28

29 Epost - kjennetegn på lureri - 2 To forskjellige avsendere -.no vs.de Avsender Prøver å etterligne Telenor? Angriperne kan også gjøre feil.. Tidskritisk! Prøver å bygge tillit Bare tekst som er lagt inn Innholdet Mer legitimt denne gangen 29

30 En kjerneregel aldri bruk lenken Logg direkte inn på websiden du kjenner Fått et viktig dokument fra banken? Fått en ny melding på en tjeneste? Betalingsmiddel som er utløpt? Et godt tilbud? Er du i tvil? Spør de som har sendt eposten! Ring og spør banken 30

31 Epost - vedlegg Word-dokument med macro 31 Ref: arstechnica.net

32 Konsekvenser Ransomware/Cryptolocker Filer på din datamaskin blir låst ned og utilgjengelig Backup! Backup! Backup! Key-loggere, spionering gjennom webcam/mikrofon Uthenting av informasjon / lekkasje Systemer utilgjengelig Total kompromittering av hele nettverket Angriperne finner stadig nye måter å tjene penger på Infisere en maskin for så benytte den til Coin-mining Mindre risiko for angriper ettersom det ikke er så alvorlig 32

33 Credential Theft / kapring av brukernavn og passord En populær angrepsmetode er å kapre brukernavn og passord til en epost-konto, og så bruke denne kontoen til å sende falske eposter til dens kontakter Disse falske epostene kan være vanskelig å fange opp ettersom de faktisk er sendt fra vedkommende sin epostkonto Derfor er det også viktig å være obs på uventede eposter fra kjente adresser Denne angrepsmetodikken kan treffe bredt «Orm-lignende» angrep 33

34 34 «Automatisk» infisering og spredning ved brukernavn og passord

35 Epost-videresending Oppsett av epost-videresending kan være en følge-konsekvens av kaprede brukernavn/passord Idet angriperen har tilgang til epost-konto, blir den satt opp til å videresende all epost som blir mottatt til en ekstern adresse Ved identifisering av kapret brukernavn/passord blir (forhåpentligvis!) alltid passord resatt Men epost-videresending vil fortsatt være aktivt i et slikt tilfelle.. Burde være blokkert i utgangspunktet? Det kan være bekvemmelig å få alt tilsendt den «vanlige» epostkontoen (som gjerne er privat?) Men husk at en aldri vet hvor sensitivt det som kommer inn er og da har en allerede sendt det ut av selskapet 35

36 Forfalskning av epost Alle kan lage seg hvilken som helst Gmail-konto.. 36

37 Direktørsvindel Sende falsk epost til økonomiansvarlig fra CEO På de fleste hjemmesider til selskaper kommer det veldig klart frem hvem en kan sende fra og til.. Eksempel: Hei Ronny, Jeg trenger at du overfører ,- til en leverandør omgående kan du få til det? Hilsen Kjell 37

38 Direktørsvindel Brukeren blir manipulert til å overføre penger Ref: vg.no, Ref: Mørketallsundersøkelsen

39 Microsoft scams En blir oppringt fra noen som påstår at de er fra Microsoft Helpdesk De forsøker å bygge tillit ved å henvise til «unike» nøkler som beviser at de er fra Microsoft siden de også kan nøklene Ber deg eksempelvis om å skrive inn kommandoer som gjør at følgende kommer frem: Denne nøkkelen er lik på tvers av systemer ikke unik for ditt system Men det kan være overbevisende når «Microsoft» ramser opp hver enkelt tall/bokstav.. 39

40 Microsoft scams Videre vil de gjerne bevise at det er noe skummelt som skjer på din maskin ved å vise til «eventlogger» på din maskin Målet til svindlerne kan være å få deg til å oppgi kredittkort-numre for kjøp av verktøy for å fjerne det som er skummelt, eller å få innstallert noe som gjør at de kan fjernstyre din maskin 40

41 Trådløse nettverk Vær skeptisk til trådløse nettverk du ikke kjenner Surfer du ikke med «HTTPS» kan «alle» se hva du gjør Vær skeptisk hvis du får opp noe lignende som dette: 41

42 Anmelde datakriminalitet 42 Ref:

43 Anbefalte tiltak - NSM (Nasjonal sikkerhetsmyndighet) 43 Ref:

44 Oppsummering Tiltak: Sjekk epost godt før en gjør noe (innhold,avsender,lenker) Aktivere to-faktor autentisering der dette er mulig Ikke bruke samme passord flere steder Backup av data Gå gjennom interne rutiner for utbetaling av penger er de gode nok? Lag en sikkerhetspolicy Lovverk som sier at en eksempelvis skal bruke bilbelte er nødvendig ettersom det vil kreve mye å skape en felles forståelse for relaterte risiko På samme måte er det også nyttig med en «Sikkerhetspolicy» som sier noe om hva en skal gjøre når 44

45 Takk for oppmerksomheten! Delivering Transformation. Together. 45 TLF: