NorCERT IKT-risikobildet

Transkript

1 5/2/13 NorCERT IKT-risikobildet Aktuelle dataangrep som rammer norske virksomheter Torgeir Vidnes NorCERT, Nasjonal sikkerhetsmyndighet (NSM) 1 Faksimile: 1

2 Et nettverksbasert samfunn IKT-avhengighet er sektorovergripende Myndighetsutøvelse Forsvaret Nødetater Bank & finans Telekom Kraftforsyning Transport Olje/gass Vann 3 Totalt håndterte saker i operasjonssenteret Norwegian National Security Authority Making Society Secure 4 2

3 Hva er truslene? Krigføring Info OPS Sabotasje Spionasje Finansiell kriminalitet Politiske protester Rampestreker Kilde: Colourbox 5 Håndterte alvorlige saker Spionasje Andre saker som får høy prioritet pga potensielt skadeomfang 6 3

4 Skadevare Økning i spredning fra norske nettsteder En kraftig økning i antall rapporter om infiserte nettsider i Digital spionasje - Hendelsesforløp Infeksjon Oppdagelse Ryddet opp Rekognosering Håndtering Dwell time (468 dager) 8 4

5 Eksempler fra virkeligheten Hendelse #1: Virksomhet kompromittert noen dager Eksternt firma varslet NorCERT om hendelsen Hendelse #2: Virksomhet kompromittert i fem måneder Hendelse oppdaget i NorCERTs sensorsystem (VDI) Hendelse #3: Virksomhet kompromittert i 18 måneder Ekstern samarbeidspartner varslet NorCERT Hendelse #4: Virksomhet kompromittert i 15 måneder Hendelse oppdaget av egne ansatte Hendelse #5: Virksomhet kompromittert i over en måned NorCERT analysert liknende skadevare og ba virksomhet sjekke egne systemer 9 Digital spionasje Kilde: Dagensit.no 10 5

6 Digital spionasje Kilde: Mandiant Hvor stort er egentlig problemet? Vi opplevde fra desember 2009 og frem til september 2010 åtte målrettede angrep mot våre datasystemer. Flere av disse angrepene hadde sin opprinnelse fra Kina. Ole Ingarth Karlsen, IT-sjef i våpenselskapet NAMMO på Raufoss. I forbindelse med en kontraktsforhandling knyttet til et prosjekt i utlandet ble virksomheten utsatt for et vellykket angrep, der en målrettet trojaner infiserte nøkkelpersonell i en kritisk fase av forhandlingene. [ ] Virksomhetens tapte posisjon i kontraktsforhandlingene er anslått til flere hundre millioner kroner. 6

7 Noen utfordringer Søkemotorer søker etter åpne SCADA-systemer på internett Finner informasjon om bruk og beliggenhet SCADA har blitt et eget tema på hacker-konferanser Hackere søker aktivt etter sårbarheter Angrepene mot SCADA-systemer har blitt mer automatiserte Moduler i exploit-kits/metasploit Sikring av SCADA-systemer kan være krevende Systemene er ofte ikke designet for hyppige endringer Kan være utfordrende med antivirus og oppdateringer Konsekvensene ved nedetid kan være store If it works, don t fix it 13 Vanlige sårbarheter Mangelfull konfigurering av brannmuren Dårlig kryptering på trådløse nettverk Udokumentert tilgang via telefonlinjer (Dialup) Standard leverandørpassord Svake eller blanke passord Dårlig konfigurert Active Directory (rettigheter, tilgangskontroll) Ubrukte testkontoer Udokumenterte SCADA-systemer på bedriftsnettverket Administrativ tilgang fra bedriftsnettverket Manglende sikkerhetsoppdatering av bedrifts- og SCADAsystemer Dårlig nettverkssegregering (inndeling i forskjellige nettverk) Kilde: Symantec 14 7

8 Angrep mot Smart Meter Årets BlackHat-konferanse i USA Sårbarheter i SCADA-systemer et hett tema Schneider ION Smart Meter. Kilde: ecmweb.com 15 Luftkontrollsystemet ADS-B Kilde: Neowin.net 16 8

9 Hva kan vi gjøre? Foto: 17 Foto:

10 Hvor er de som arbeider med sikkerhet? 19 Foto:

11 Hvordan oppdage? 21 Hvordan sikre seg? Lederforankring Verdivurdering Separering av operasjonelt nettverk fra administrativt nett/internett IDS/IPS Oppdatert programvare Oppdatert anti-virus og brannmuroppsett Rutiner for rapportering av sikkerhetshendelser Rutiner for hendelseshåndtering Øvelser Penetrasjonstesting Opplæring Sikkerhetsbevisste og årvåkne sluttbrukere!

12 Takk for oppmerksomheten! NorCERT, Nasjonal sikkerhetsmyndighet (NSM) Hendelser: Andre henvendelser: 23 12