HÅNDTERING AV NETTANGREP I FINANS

Transkript

1 HÅNDTERING AV NETTANGREP I FINANS Sikkerhetssymposiet 31. oktober 2013 Morten Tandle

2 Agenda Om FinansCERT Bakgrunn Status «Værmelding» / Trusselbilde Om hendelseshåndtering Hvorfor? Små og store hendelser Erfaringer og tilnærming

3 Om FinansCERT BAKTEPPE

4 Digitalisering av finansbransjen Første minibank: ca 1978 Første nettbanker: ca 1996 Har gradvis lagt sin forretning ut på nettet siden det Fått rene internett-banker Status 2013: De enkle produktene og tjenestene er automatisert. Dagligbank. Fortsatt mange mer kompliserte tjenester og produkter som krever manuelt arbeid 4

5 efraud i finansbransjen (Kreditt)kort Skimming Phishing Informasjonsstjeling (trojaner) Nettbank Tradisjonell svindel (folk blir lurt) Diverse kreative «Microsoft-telefoner», krypterings-malware, Falsk AV Trojanerbasert nettbanksvindel

6 Trojanerbasert nettbanksvindel Lite eller intet i Norge før 2007 Jul/påske 2007 Enkeltepisoder Kraftig økning i antall forsøk de siste årene Starter hos de største bankene, men sprer seg etterhvert til mange banker

7 Nettbanksvindel a la 2007 Reis til, eller bo i Norge Skaff konto i en eller flere banker Hensikt: testing/utvikling av trojaner/angrepskode Skaff et botnett med norske PCer som brukes til nettbank for de(n) aktuelle banken(e) Skaff en nettbanktrojaner med ønsket funksjonalitet Skaff «muldyr» (pengehelere) Gjennomfør svindel Kjør angrepskode på bankkunders bot-pc er Når kunden logger inn i sin nettbank: Overfør penger til muldyrs konto fra offerets konti Muldyr tar ut kontanter, og sender til mottager i «lite sporbart» land

8 Om FinansCERT OPPRETTELSE

9 Et sektorcert blir til NorCERT mener at det bør opprettes sektor- CERTer i Norge Finanstilsynet hadde samme syn Finansbransjen (banker og forsikringsselskaper) valgte å utrede det En arbeidsgruppe analyserte mulige alternativer i 2012 Høsten 2012 ble det vedtatt å opprette et FinansCERT i den form det har fått

10 Hva er en CERT? Computer Emergency Response Team (CERT) Et annet navn på det samme er Computer Incident Response Team (CSIRT) Håndterer IT-sikkerhetshendelser, blant annet ved varsling og informasjonsdeling I Norge er følgende CERT og CSIRT mest kjent (?) NorCERT (Nasjonal CERT for samfunnsviktig infrastruktur) Helse CSIRT Justis CSIRT Telenor CERT Uninett CERT 10

11 Bokstavlapskaus CERT Computer Emergency Response Team CSIRT Computer Security Incident Response Team IRT Incident Response Team ISAC Information Sharing and Analysis Center NOC Network Operations Center SOC Security Operations Center OpSec Operational Security Team

12 Eksterne kontaktpunkter Mulige samarbeidspartnere for FinansCERT Europol Leverandør av etterretningsinformasjon Forsikringsselskaper: IRT Svindelteam Banker: IRT Svindelteam Kripos Andre aktører i finansnæringen Finanstilsynet FinansCERT Tjenesteleverandører Norske ISP er NorCERT Nets NNI / BankID sentral infrastruktur BankID Norge NORSIS / Stopp nettsvindelen FIRST ENISA FS-ISAC Bankenes sikkerhetsforum BSK FNO 12

13 Status FinansCERT pr nå Egen organisasjonsenhet eid av FNO 3 ansatte begynner Q Oppstart/oppbygging: Basis Operativ CERT-funksjon Info.delingsfunksjon

14 FinansCERT sin rolle Formål fra vedtektene: «Bidra til effektiv håndtering av IT-sikkerhetshendelser i, eller rettet mot, banker og livselskaper» Viktigste oppgave: Dele informasjon i næringen om hendelser, gjennomførte tiltak og skadeforebygging Andre oppgaver: Ha oversikt over trusselbildet Trusselvurderinger og (ad)varsler Spredning av generell sikkerhetsinformasjon Koordinere finansinstitusjonenes arbeid ved hendelser Katastrofeplanlegging Øvelser 14

15 Værmelding Norge, høsten 2013 Nettbanktrojanere (liten aktivitet) DDoS Phishing Epost-baserte svindelforsøk Phishing, innbrudd i epost (Gmail/Hotmail m.fl.)

16 Kontakte oss? Epostmottak: PGP Fingerprint: 67E3 0D10 36B8 B51B 3DA4 D507 8FAB CB4F 9E43 0E94 Besøksadresse: Hansteens gt 2, Oslo Postadresse: Boks 2644 Solli 0203 Oslo

17 HENDELSESHÅNDTERING

18 Hendelseshåndtering Hvorfor håndtere hendelser? Svar: Effektivt tiltak Reduserer konsekvens (skadebegrenser) Hindres i å bli mer alvorlig enn nødvendig Varer kortere Kostnadene reduseres

19 Små og store hendelser Klient/PC infiseres med malware Mye smått, bryderi Ansatt tar seg til rette Større: Malware setter bedrift ut av spill i flere dager APT (Advanced Persistent Threat) Spionasje Foregår. P = ofte over 1 år

20 Hva gjør man? Første gang: håndteres som en ad-hoc hendelse/krise Fordel å ha kriseberedskap og planer som kan dras nytte av Etterhvert: operasjonaliserer og effektiviserer håndteringen

21 Generell prosess (basert på SANS) Forebygge Kjenne trusselbildet Oppdage Håndtere hendelser Skadebegrense Retur til normalsituasjon Lære av erfaringen Tiltak

22 Forberedelser Etterretning/trusselbilde Risikovurderinger Bygge reaksjonsevne og kapasitet Teknisk Organisatorisk Bygge verktøykasse med mottiltak

23 Håndtering Oppdagelse/deteksjon Rask og effektiv håndtering Deling av informasjon mellom rammede banker Koordinering og kommunikasjon Kundesenter, sikkerhet/anti-svindel ivareta kundene Ledelse, informasjon/kommunikasjonsavd

24 Øvelse gjør mester Reelle hendelser Øvelser Skrivebordsøvelser Større

25 Komme i gang? NorSiS, gode enkle veiledninger Risikovurdering Hendelseshåndtering For de fleste: vurder å kjøpe tenester fra en MSS Deteksjon (f.eks. IDS e.l.) Beredskap/hendelseshåndtering

26 Spørsmål?

27 Takk for oppmerksomheten Morten Tandle Daglig leder, FinansCERT Norge Hansteens gate 2, Pb2644 Solli, 0203 Oslo Mobil: epost: web:

28