Hendelser skjer - hvordan håndterer vi dem?

Transkript

1 Hendelser skjer - hvordan håndterer vi dem? En hendelsesleders perspektiv NSRKONF 2017 Mona Elisabeth Østvang mona@mnemonic.no

2 Om meg Mona Elisabeth Østvang Sivilingeniør fra NTNU (2004) Konsulent i mnemonic hendelsesleder, etableringsprosjekter (IRT) Fagansvarlig for mnemonic IRTs rammeverk for håndtering av alvorlige sikkerhetshendelser

3 Agenda Hva er IRT incident response Situasjonsforståelse IRT-rammeverk og operasjonalisering

4 Hva er IRT incident response

5 Hva er et IRT? Incident Response Team Operativ gruppe for IT-sikkerhetshendelseshåndtering Jobber både i respons- og normalsituasjon Respons: spesialistgruppe trår sammen Normal: roller ivaretar sikkerhet i det daglige, bygger kapasitet/ kapabilitet

6 Sammenheng mellom IRT, ITIL incident og beredskap ITIL incident ISO defines the objective of Incident management (part 1, 8.2) as: To restore agreed service to the business as soon as possible or to respond to service requests. IRT Beredskap

7 Situasjonsforståelse

8 Hva slags hendelser er det vi møter på? Crimeware Generisk crimeware Ransomware Tjenestenektangrep Målrettede angrep Målrettet phishing Vannhull Hendelser på grunn av feilkonfigurasjoner, feillesing av logger og annet som tolkes som angrep uten å være det

9 Statlig etterretningsvirksomhet Kontraktører Advanced Persistent Threat (APT) Målrettede angrep fra grupper og individer med økonomisk vinning som hovedmotivasjon Ikke-målrettede angrep fra grupper og individer med økonomisk vinning som hovedmotivasjon

10 Kjennetegn ved hendelser De kjente problemstillingene som muliggjør hendelsene $FIRMA henger etter med patching Nettverket er i liten grad av segmentert Vide tilganger Svake passord

11 NotPetya Eksempel leverandørkjedeangrep: Modifisert legitim programvare Virus spredt via kompromittering av programvareoppdateringsløsningen til den ukrainske regnskapsprogramvaren MeDoc - Brukes av et stort antall ukrainske bedrifter - Traff dermed i hovedsak Ukraina Brukte Eternal Blue ( utviklet av NSA?) lekket av Shadow Brokers for videre spredning. Eksempel på hendelse der tilliten vi har til programvare utnyttes

12 Anbefalinger Revisjon av leverandør Undersøkelser av MeDoc sine servere avdekket: - Langvarig kompromittering - Spor av russisk aktivitet - Manglende sikkerhetsoppdateringer siden 2013 Sikkerhetsoppdateringer Ha gode backup og restore-rutiner

13 IRT-rammeverk og operasjonalisering

14 Hva bør et rammeverk for IRT inneholde? Roller Forskjellige roller man bør ha i IRT-et for at det skal fungere effektivt. Faser De forskjellige fasene i håndteringen av en hendelse. Prosedyrer Veiledende prosedyrer, som gjør det lett å overføre teori til praksis. Tekniske rutiner Tekniske rutiner for IRT. Greit med rutiner for ting man ikke gjør daglig. Scenarioer Eksempler på hvordan rammeverket anvendes i praksis. Verktøysett Verktøy anbefalt eller selv-utviklet (mange beskrevet i tekniske rutiner). Maler Maler for prosedyrene

15 Roller Interne IT-ressurser CISO/ledelse (beslutningstager) Informasjonsansvarlig Leverandører/ Leverandør-IRT Hendelsesleder (internkoordinator) Helpdesk Samarbeidspartnere - NorCERT - Sektor-CSIRT - Politiet - Osv. Logg & logistikk Taktisk analytiker Teknisk analytiker Jurist/ personvernombud

16 Faser i hendelseshåndtering Inndelt i fem faser: 1. Varsling og eskalering 2. Analyse & problemløsning 3. Gjenoppretting 4. Debriefing / Situasjonsanalyse 5. Normalisering

17 Scenarioer Eksempler på hvordan rammeverket anvendes i praksis Bruk gjerne scenarioer fra risikorammeverket det er størst verdi å ha hendelsesscenarioer for hendelsene med størst risiko Scenarioene må være detaljerte nok til å gi faktisk verdi hvis noe tilsvarende skjer En produksjonsbedrift 1. Løsepengevirus a) I kontornett b) I prosessnett 2. Mistenkelig aktivitet på systemer i prosessnett 3. Målrettet industrispionasje En nettbutikk 1. Tjenestenektangrep 2. Løsepengevirus 3. Kompromittert brukerdatabase brukernavn og passord på avveie Målet er at scenarioene skal vi svar på «hva vi gjør, hvem vi varsler, hva vi må dokumentere»

18 Øvelser Viktigste øvelsen er å jobbe med hendelser i det daglige Men de store hendelsene skjer sjelden, og det er viktig å øve i tillegg - Teknisk - Kommunikasjon - Roller Scenarioene fra forrige slide kan være gode utgangspunkt for øvelser Må være en innarbeidet del av hendelseshåndteringskapasiteten, og observasjoner som gjøres må tilgjengeliggjøres for risikovurderinger

19 TAKK FOLLOW US READ mnemonic-as mnemonic.no Market Guide for Managed Detection and Response Services OPEN TOOLS & SERVICES CONTACT ME PassiveDNS.mnemonic.no Investigate historical relationship between domains and IP addresses URLQuery.net Automatically scan public webpages SecureDNS Intercept and block users from known malicious pages. Takes minutes to set up. Mona Elisabeth Østvang