Sikkerhetstrender og IT-sikkerhetstrusler. Utarbeidet av SaaS Security as Egil Løseth

Transkript

1 2015 Sikkerhetstrender og IT-sikkerhetstrusler Utarbeidet av SaaS Security as Egil Løseth

2 SaaS Security er en Norsk IT-sikkerhetsdistributør med spesialiserte forhandlere over hele Norge og i Sverige. Selskapet gir nå ut sin årlige analyse av trusler og trender i IT- sikkerhetsmarkedet og nå publiseres en minianalyse for Sterke trender er nettfiske, målrettet nettfiske, avansert malware, spionprogramvare, falske mobilmaster og mobile trusler. Sikkerhetstrusselen er sterkt økende og mer målrettet. NSM melder mer enn 100 støre angrep registrert i Norge i 2014, mot 50 i Angriperne har blitt mer organisert, angrepene har blitt mer sofistikerte, og alle truslene er blitt farligere og utgjør større risiko, noe som igjen gir større risiko for virksomheter. Skulle man bli utsatt for et vellykket angrep kan man også få skadet virksomhetens omdømme, samtidig som man kanskje også blir et mål for andre angripere som ser muligheter. Angrepene blir mer målrettede der den kriminelle samler inn mest mulig informasjon om offeret på forhånd slik at angrepet får størst mulig sjanse for å bli vellykket. Gode kilder for angriperen er sosial medier som Facebook, Linkedin, Twitter, virksomhetens hjemmeside, offerets egen hobby hjemmeside og idrettslagets hjemmeside med mer. Under finnes en oversikt over trusler og trender vi tror man må ha fokus på i Selvsagt finnes det andre vurderinger av trusler og trender, og det kan være nyttig å lese flere analyser. Som virksomhet vil det også være av betydning av hvilken bransje man driver, hvilke sensitive data man har, størrelse på virksomheten, om man driver internasjonalt, om man utvikler høyteknologi eller har unik produkter, tjenester eller kompetanse. Største sårbarheter og hendelser 2014 HeartBlead - Den absolutt største sårbarhet oppdaget, eksponerer data og passord over HTTPS ShellShock - Muliggjør angriper å legge sin spion-sw på websiter for å samle inn data og passord. Sony - Det største og mest kjente angrep i Tap av sensitive data, intern e-post, og passord. Apple icloud - Brukernes private foto avdekket og publisert offentlig av ukjente. Regin - Avansert spionkode brukt siden 2008 først oppdaget november Stjeler passord, data og overvåker nettverkstrafikk. Zeus gameover - Trojaner spesielt rettet mot bankunder. Infiserer nå mer enn 1 million PC JP Morgane Case Bank - Angrep og datatap på 83 millioner kundefiler fordelt over 76 millioner privatkunder og 7 millioner bedrifter. Stjålne data også brukt i nye nettfiskeangrep mot kundene. EBAY millioner kundedata stjålet. Brukernavn, e-post og passord. Brukt i nye angrep. Norge: Falske mobilmaster - avdekket utenfor stortinget, regjeringskvartal og finansområder. Avdekker informasjon i tale og data. Under etterforskning. Angripere ukjent.

3 DDOS - Angrep mot Dnb, SP1, NB, SAS, Norwegian, Widerøe, Netcom, Telenor mfl. gjorde systemen periodevis utilgjengelige. 17-åring fra Bergen fengslet. Punktene er satt opp i tilfeldig rekkefølge. 1. Upressingsangrep En sterk økende trend det siste året er at de kriminelle låser informasjon på brukerens harddisk. CryptoWall er et slikt eksempel der malware blir overført på e-post og brukeren åpner denne. Dermed krypteres innhold i mapper der den kriminelle oppbevarer krypteringsnøkkelen i sitt eget datasenter. Offeret må betale penger for å få nøkkel til å dekryptere sin egen informasjon og igjen få tilgang til sine egen data. CryptoLocker nettverk tatt ned i 2014 av FBI. 2. BYOD Private smarttelefoner og pads Bruk av private smarttelefoner og pads blir stadig mer brukt i virksomheter i alle størrelser. Denne måten å benytte en enhet på der enheten benyttes delt til både privat bruk og til jobbruk gjør den også til et mål for kriminelle. Antall angrep vil øke og antall risiko-apper vil øke. Det er avslørt i romjulen 2013 at NSA har full tilgang til Apples telefoner og pads i Der Spiegel. I tillegg er det avslørt falske GSM basestasjoner. Samtidig viser undersøkelser at brukere av mobile enheter ofte ukritisk til oppkobling til ulike WIFI nettverk, speilet når de er på reise. Oppkoblig av smarttelefon eller laptop til et falskt wifi nettverk gir den kriminelle full synlighet av datatrafikken og kan også medføre at den kriminelle tar kontroll over enhetene til offeret. Falske mobilmaster fanger trafikk og avdekker tale og data er et økende problem. i 2014 har vi sett mobil malware som krypterer telefondata og krever penger av bruker for å låse opp krypteringen. Mobile enheter må i utgangspunktet betraktes som usikre medium. 3. Målrettet nettfiske mot ledelse, IT-personell og nøkkelpersoner Den farligste og mest vanlig 1.trinn angrepsmåten i dag. De kriminelle gjør gjerne grundig analyse av sitt offer før de går i gang med målrettede angrep mot sine offer. Jo mer informasjon de finner om sitt offer jo desto bedre kan de lage sine angrep som i hovedsak starter med en uskyldig falsk e-post der mottaker blir lurt til å åpne et vedlegg eller klikke på en link. De kriminelle benytter kilder som Internett, facebook, twitter, linkedin, virksomhetens websider, sider der offeret driver sin hobby etc for å gjøre angrepet så målrettet som mulig slik at offeret ikke fatter mistanke. Målene vil være ledelse, nøkkelpersoner og IT-personell. Automatiserte angrep med angrepskit som utnytter data fra sosiale medier og lager skreddersydde målrettede angrep. Ledende e-post sikkerhetsselskaper har sanntids klikk-beskyttelse der e-post linken automatisk analyseres i produsentens datasenter i det øyeblikk bruker trykker på link. 4. P2P/fildelingsverktøy Det finnes stadig flere programmer for fildeling. Det kan være risiko med selve programmet og i tillegg følger det ofte med malware som fester seg til nettleser og OS. Når et fildelingsprogram er installert kan det søkes etter musikk, filmer og andre typer data. Lastes det ned beskyttet materiale fra en maskin i virksomhetens nettverk er virksomheten

4 selv ansvarlig for eventuelle rettighetsbrudd. I tillegg vet man ikke alltid hva som lastes ned og det kan like godt være skadelige elementer. Samtidig kan stasjonene som deles overstyre av eksterne og settes til en nettverksdisk, slik at den og innholdet blir søkbar utenfra nettverket. I tillegg benyttes P2P i økende grad til å kontrollere Botnet fordi den kriminelle slipper risikoen med at hele bootnettet mistes hvis sin kontrollserver tas ned 5. Datalagring av sensitive og personlige data i nettskyen Stadig mer informasjon lagres i skyen som bilder, dokumenter og sensitive data. Data i skyen kan nås fra hele verden og vil bli et stadig mer atraktivt mål for angripere. Derfor vil de førsøke på ulike måter å få tak i kontodetaljer som brukernavn og passord. Det er viktig å være kritisk i hva som legges i skyen. I tillegg bør online kontoer ha context basert pålogging og/eller 2-faktors autentisering, 6. Trusler overført via websurfing Malware og andre skadelige elementer som fester seg til nettleser under websurfing har vært en langvarig trend i mange år og vil forsette i De datakriminelle vil også på ny sette fokus mot finansielle tjenester. Angriperne vil også i enda større grad lure sin offer til å trykke på falske linker i e-post. Når offeret trykker på linken blir maskinen infiserte av skadelige elementer. Selv sikre sider kan inneholde farlige elementer spesielt gjennom 3.parts annonse nettverk samt hvis webserver ikke er oppdatert er den sårbar for angrep og spionkode. Økende grad av falske nettsteder med eneste formål å spre ondsinnet kode. 7. Økt bruk av kryptering I 2013 ble året da det endelig ble bekreftet det mange har trodd, at NSA driver utstrakt overvåking av datatrafikken verden rundt. Det ble også avdekket samarbeid mellom store amerikanske IT-giganter og NSA. Dette har i tillegg vært med på å synliggjøre behovet for kryptering av sensitive data, en trend som klart vil fortsette i Behov vil også ofte være å beskytte sine sensitive data også når de er hos 3. part, hindre feilsending og videresending og at delte sensitive data kan trekkes tilbake. 8. Denial-of-service angrep Det meldes om en kraftig økning i DOS angrep der virksomhetens webservere ble tvunget i kne av hackere som hadde kontroll med mange eksterne PC verden rundt, såkalte bootnet. Hackerne overbelaster enheten med trafikk eller kommandoer slik at enheten blir satt ut av spill for kortere eller lengre perioder. Det er registrer mange DDOS nettverk der de kriminelle har kontroll med opptil titalls tusen PC som igjen kan brukes mot målrettede angrep. Trenden med DOS angrep ser ut till å fortsette i akselererende tempo. For hackerne selv er de sårbare hvis styringsserveren blir avdekket og da kan de miste hele nettverket. En ny trend er å bruke P2P nettverk for dette da man ikke er avhengig av sin egen sentrale server/sentral. Ny trend er også samarbeidende Botnet. Små ressurser kreves for å starte en angrep.trenden er også en kraftig økning i datamengden på selve angrepet gjør det vanskelig for lokale sikkerhetssystemer å motstå.

5 9. Økt bruk av Contex basert sikkerhet og 2-faktor autentisering som en tjeneste Context basert sikkerhet baserer seg på bruk av situasjonsbasert brukerinformasjon slik som identitet, geolokasjon, tid, nettleser, operativsystem med mer, der påloggingssystemet kjenner igjen brukeren og enheten han logger på med. Med stadig flere enheter i bruk og antall systemer man benytter, og da gjerne med nettleser, vil det contex basert pålogging gi et ekstra sikkerhetsnivå utover bare brukernavn og passord. Ledende 2-faktors systemer vil kunne tilby contex basert pålogging sammen med eller uten 2-faktor som en valgmulighet. Bruk av 2-faktors brukerautentisering som en tjeneste vil øke. 10. National Security Agency - NSA Avsløringene av fra tidligere NSA ansatt Edward Snowden om en snikende dannelse av en overvåkingsstat, kom bare som en bekreftelse på det mange hadde trodd, og PRISM programmet var et målrettet system for overvåking av data verden rundt. Det er også nylig avslørt at NSA står bak sitt eget Botnet, samarbeid med store sikkerhetsleverandører som RSA om bruk av krypteringsalgoritme, samarbeidsavtale med store amerikanske dataselskap som Microsoft, Google og Apple om datauthenting. Det er også bekreftet NSA innehar selv en stor samling av skadevare som gir full adgang til å overvåke og opprette bakdører i elektronisk utstyr fra et stort antall produsenter. HP, Cisco, Apple, Dell, Huawei og Juniper Networks er blant selskapene som blir nevnt. Dette har igjen gitt en ekstra fokus og oppmerksomhet knyttet til sikring av sensitive data, mer bevissthet rundt hvor virksomhetens data er lagret og hvilke lover og regler som gjelder i området data er lagret. Dokumentasjonen fremlagt av Snowden viser en utbredt overvåking og vi vet nok enda bare litt om det som foregår både av NSA og etterretningstjenestene i andre land. Uansett er avsløringen av NSA den mest alvorlige siden den virker svært omfattende og det er sterke band mot de store amerikanske datagigantene. Og kan det stilles spørsmål om den informasjon NSA samler inn havner andre steder? Får data og telecom selskaper som velvillig samarbeider med NSA noen fordeler tilbake knyttet til den informasjon som samles inn? Fortsatt siver det ut info om PRISM programmet og det er all grunn til å tro at slike programmer finnes i de fleste land i et eller annet omfang og formål. Hvordan møte truslene? Hvordan skal vi så møte det økte trusselnivået og de nye trusslene. Gode og oppdaterte sikkerhetssystemer som dekker truslene er svært viktig. Men nesten like viktig er hvordan ansatte opptrer og at de er skolerte, siden mange dataangrep starter med en bruker gjør feil, lar seg lure eller tar feil valg. Med sosiale medier som bla. Facebook og Linkedin, hva legges ut og hvem kan lese det, og kan det gi angriper nyttig informasjon som kan øke sjansen for at et angrep lykkes? Og legges virksomhetens nøkkelpersonell ut på virksomhetens nettside som eksponerer dem for angrep fra bla målrettet nettfiske? Benytter ansatte ukritisk ukjente WIFI-aksesspunkter? Hvordan behandles sensitive data på reise eller fra hjemmekontor? De fleste trussler starter med nettfiske eller målrettet

6 nettfiske. Passerer slike e-post gjennom ditt sikkerhetssystem idag og havner hos brukeren som må ta valget og ekte eller falsk? Har virksomheten 2-faktors autentisering som sikrer sensitive data, persondata og virksomhetens forretningshemmeligheter? Testes systemene jevnlig mot svakheter, sårbarheter og feilkonfigurasjon? Om SaaS Security SaaS Security as er Norsk distributør av sikkerhetssystemer til spesialiserte forhandler over hele Norge og i Sverige. Sikkerhetssystemene leveres som software gateways eller fra nettskyen som Security-Software-as-a-service og DRaaS Diaster recovery Service. Selskapet har distribusjonsavtaler med Egress, Proofpoint, Secpoint, Plan B og Safenet. Hovedområdene er e-postkryptering, e-postsikkerhet, DLP, e-postarkivering, Disaster-Recovery-as-a-Service, 2-faktor multitoken brukerautentisering som en tjeneste og sikkerhetsanalyse/testing. SaaS Security as videreselger alle produktene 100 % gjennom forhandlere over hele Norge og avholder viktige seminarer som "Reselling the cloud" og "Cloud Security Day" Forretningsområder Safenet: 2-faktor brukerautentisering som en tjeneste med fri token mix, apps, SMS, SW, HW, Smartkort, Grid med mer. Sw eller cloud. Nr.1 i analyseselskapet Gartner Groups magiske kvadrant for sterk brukerautentisering. Proofpoint: E-post sikkerhetstjeneste, e-post arkivering, foretningskontinuitet med mer. Cloud, SW gateway eller hostet gateway- Sw eller cloud. Nr.1 i analyseselskapet Gartner Groups magiske kvadrant for sterk SW Security Gateways. Unike URL-Defense funksjon stopper klikk på nettfiskelinker i sanntid. Egress : Kryptering av e-post og andre media for sikker deling av sensitive data med 3.part, inkl. bruks- og rettighetskontroll. SW gateway, hosted gateway eller cloud. Vinner i UK IT Awards. Eneste godkjente krypteringssystem for bruk i det offentlige i UK. Plan B : Disastser-Recovery-as-a-Service (DRaaS). Appilance snapshopper virksomhetenes servere og kjører i gang serveren i Plan B sitt datasenter på 15 minutter når det oppstår en data-katastrofe eller uventet nedetid i virksomheten. SecPoint : Online sikkerhetssjekk av alle virksomhetens IT-objekter som vises ut mot Internett. Software lastes også ned fra operatørsenteret i skyen for å sikkerhetsscanne objekter i det interne nettverket. Om Egil Løseth Egil Løseth har mer en 20 års erfaring med Internettsikkerhet i Norge, gjennom IT-sikkerhetsdistributørene Trygg Data og SaaS Security. Mer info på og post@saassecurity.no

7 SaaS Security as Utarbeidet av Egil Løseth. Videre bruk av tekst eller delere av tekst i kommersielt formål er ulovelig uten skiftelig avtale. For bruk i presse/media må kilde oppgis.