Forelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet

Transkript

1 Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2019 Workshop-oppgaver med løsningsforslag Forelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet Oppgave 1 Se på listen over standarder i ISO27000 serien, for eksempel på Wikipedia, Se på NIST SP800 (Special Publications) serien på: a. Prøv å identifisere lignende standarder i ISO serien og i NIST SP800 serien. b. Hva kan grunne være for at ulike organisasjoner utvikler separate sett med lignende standarder? a. Nedenfor er grupper av lignende standarder fra ISO og fra NIST. Mange flere lignende standarder fra ISO og NIST fins også. Ledelse av informasjonssikkerhet ISO Information security management systems Requirements ISO Code of practice for information security controls ISO Information security management system implementation guidance ISO Guidelines for information security management systems SP800-14: Generally Accepted Principles and Practices for Securing IT Systems Måling av informasjonssikkerhet ISO Information security management Measurement SP800-55: Performance Measurement Guide for Information Security Risikostyring ISO Information security risk management SP800-30: Guide for Conducting Risk Assessments SP800-37: Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach Hendelseshåndtering ISO Security incident management SP800-61: Computer Security Incident Handling Guide Kontinuitetsplanlegging ISO Guidelines for ICT readiness for business continuity SP Contingency Planning Guide for Federal Information Systems

2 b. Faktorer for utvikling av ulik sikkerhetsstandarder kan være: - USA ønsker ikke å være avhenge av ISO med hensyn på standarder for informasjonssikkerhet, derfor utvikler de sine egne standarder. - Selv om NIST publiserer mange gode standarder, ønsker resten av verden ikke å være avhenge NIST for standarder om informasjonssikkerhet.. Oppgave 2 a. Hvordan er standardene ISO/IEC og ISO/IEC relatert? b. Hva betyr "system" i forkortelsen ISMS (Information Security Management System) (LSIS: Ledelsessystem for informasjonssikkerhet)? c. Hvilken av ovennevnte standarder danner grunnlag for sertifisering, og hvorfor? d. Hvordan bør en organisasjon avgjøre hvilke sikkerhetstiltak som skal implementeres? a. ISO/IEC beskriver et ISMS (LSIS: Ledelsessystem for informasjonssikkerhet), det vil si et rammeverk for å etablere og forvalte et sikkerhetsprogram i organisasjoner. ISO/IEC er en sjekkliste over sikkerhetstitlak som organisasjoner bør vurdere å implementere. b. ISMS er et rammeverk for hvordan organisasjoner kan lede/styre info-sikkerhet på en systematisk måte, som er grunnen til å si at ISMS er et "system". ISMS oversettes som LSIS (Ledelsessystem for informasjonssikkerhet) c. Organisasjoner kan bli sertifisert etter ISO/IEC 27001, ikke etter ISO/IEC Årsaken er at ISO beskriver en prosess for kvalitetsstyring av sikkerhetsledelse som lik for alle organisasjoner, og kan verifiseres av en ekstern part. ISO beskriver et stort antall forskjellige sikkerhetstiltak, hvor ikke alle tiltak alltid er relevante for en organisasjon, fordi det avhenger av trussel- og risikobildet for hver organisasjon. Men det er selvsagt mulig å sjekke at trussel- og risikovurderinger er gjort, og at relevante sikkerhetstiltak er på plass, som vanligvis utføres av IT-sikkerhetsrevisorer. d. Risikovurdering brukes til å bestemme områder der det er nødvendig å innføre sikkerhetstiltak. De mest kost-effektive tiltak velges for å mitigere risikoen. Oppgave 3 a. ISO27002 og 20CSC har samme fokus. Forsøk å sette opp en korrespondans mellom de 14 kategoriene av sikkerhetstiltak i ISO27002 og de 20 kategoriene av sikkerhetstiltak i 20CSC. Presentasjonen fra forelesningen (s.16 og s.18) gir en oversikt over kategoriene. Legg f.eks. s.16 og s.18 ved siden av hverandre og trekk/tenk streker mellom dem. b. Gjør en vurdering av hvor godt sammenfallende kategoriene fra ISO27002 og 20CSC er. ISO (2013 og 2016) har 14 kategorier av sikkerhetstiltak, men tidligere versjoner hadde færre kategorier. 20CSC har alltid beskrevet 20 kategorier av sikkerhetstiltak, men disse er endret over tid. Nyest versjon av 20CSC er v7 fra Forslag til korrespondanse mellom ISO og 20CSC settes opp i workshopen; De korresponderer ikke perfekt, men begge standardene fokuserer mer eller mindre på de samme kategoriene av sikkerhetstiltak.

3 Oppgave 4 Standardene ISO/IEC og CIS-20CSC-V7 beskriver en rekke sikkerhetstiltak. Info om standardene fins på wikien for IN2120. a. Hvordan kan effektiviteten til et bestemt sikkerhetstiltak måles? Nedenfor finner du eksempler på sikkerhetstiltak fra CIS-20CSC-V7. b. Hvordan kan effektiviteten til disse tiltakene måles? Du kan foreslå en målemetode, eller du kan ta en titt på tilhørende dokument CIS-Controls-Measures-and-Metrics-V7. i) CIS Control 2.2. Ensure that Software is Supported by the Vendor ii) CIS Control Disable Dormant Accounts a. Det fins intet enkelt svar på dette, fordi hvert sikkerhetstiltak krever en annen målemetode som f.eks. kan være kvantitativt eller kvalitativt. Ofte er det mulig å bruke prosentandel eller grad, eller det kan måles som Ja/nei. b. Målemetoder fra CIS-Controls-Measures-and-Metrics-V7 i) Metric 2.2.: What percentage of the organization's software applications or operating systems are not currently supported by the software's vendor? ii) Metric 16.9.: Does the organization automatically disable dormant accounts after a set period of inactivity? How long is this period? Spørsmål 5 Anta at selskap A og selskap B av samme størrelse blir ofre for cyber-angrep, og at begge selskapene får betydelige tap som negativt påvirker kunder og aksjonærer. Under etterforskning av hendelsene ble det funnet at selskap A hadde implementert et ISMS (LSIS) og hadde god modenhet for ledelse av informasjonssikkerhet, mens selskap B manglet ISMS og bare ad-hoc ledelse av informasjonssikkerhet. Hvis man antar at tap for begge selskapene var i samme størrelsesorden, forklare mulige forskjeller for konsekvenser og sanksjoner mot ledelsen av selskapene. Toppledelsen i et selskap er ansvarlig for å sørge for at selskapet har et ISMS (LSIS: Ledelsessystem for informasjonssikkerhet) og for å sette ambisjonsnivå med hensyn til modenhet i ledelse av informasjonssikkerhet. Toppledelsen i selskap B hadde ikke sørget for dette, og kan bli bøtelagt eller risikere fengsel som et resultat, f. eks under Sarbanes-Oxley loven i USA, eller etter Basel II avtalen i Europa.

4 Oppgave 6 a. Beskriv måter å bruke Social Engineering for; 1. få uautorisert tilgang til et selskaps bygning, 2. installere skadevare på PCen til administrerende direktør i et selskap. Du kan få inspirasjon fra SANS InfoSec Reading Room on Social Engineering ( eller andre relevante kilder. b. Tenk deg at ansatte utgjør «intrusion detection» mot sosial manipulerings-angrep. Hva ville være en «falsk positiv» og en «falsk negativ» deteksjon i dette scenariet? c. La oss se på menneskelig forsvar mot sosial manipuleringsangrep som en analogi til brannmurer i nettverk. For å gi tilstrekkelig beskyttelse, må brannmurer være riktig programmert og konfigurert. Hva ville være en analog prosess for å sørge for at ansatte skal gi tilstrekkelig beskyttelse mot sosial manipuleringsangrep? a. Eksempler på Social Engineering angrep. 1. Tilgang til en bygning kan f. eks skje gjennom - tailgating bak andre, f.eks. etter lunsjpausen, eller følge etter de som har vært ute for å røyke sigaretter, - komme bærende med tunge bokser og få hjelp til å åpne døren - vise fram et falskt adgangskort 2. Installere skadevare på computeren til konsernsjefen kan f.eks. skje gjennom: - å sende tilpassede spyd-phising e-post med vedlagt skadevare med mål om sjefen installerer og kjører skadevaren, - Sende tilpassede spyd-phishing e-post med vedlegg eller lenke til nettsted som inneholder en exploit som benytter en «Zero-Day» sårbarhet som fins på konsernsjefens computer. b. En «falsk positiv» er når en legitim autorisert person stoppes. En «fallsk negativ» er når en angriper ikke blir stoppet. c. Analogien til konfigurering av brannmurer vil være å organisere bevissthetstrening om sikkerhet, bygging av sikkerhetskultur, og trene folk til å oppdage og ikke la seg lure av sosial manipuleringsangrep.

5 Oppgave 7 a. Ta utganspunkt i slide s.58 i forelesningsnotatene som nevner oppførselsaspekter som er relevant for digital sikkerhetskultur. Nevn et eksempel på dårlig oppføresel for hvert aspekt i listen på s.58. b. Med utgangspunkt i eksemplene fra a), foreslå tiltak for å forbedre sikkerhetskulturen. a. Det fins uendlig mange eksempler, her er noen:. 1. Du forstår ikke hva phishing-epost er. 2. Du jobber på et sykehus snakker med familie og venner om pasienter. 3. Du finner en minnepinne vet at man ikke skal plugge de inn, men er nysjerrig og gjør det likevel. 4. Du vet ikke om det fins en policy for minneepinner, så du plugger inn når du finner en. 5. Du vet at skjermen skal låses nåt du forlater kontoret, men gjøre det ikke fordi «du skal bare en kort tur ut» 6. Du ser at en kollega har forlatt kontoret med innlogget skjerm som bryter policyen, men nevner det likevel ikke for ham. 7. Du skjønner for sent at du har klikket på en lenke i en phishing epost, men later som intet har skjedd og forteller det ikke til noen. 8. Du har en fil på din PC med alle dine passord i klartekst. 9. Du lar partner/barn bruke din jobb-pc til all slags nettsurfing. 10. Du syns sikkerhet er noe herk, og vil bare få jobben gjort. 11. Du planlegger å bytte jobbe, og kopierer og tar med kundelister og bedriftssensitiv informasjon før du slutter b. Det er stort sett opplæring/bevissthetstrening som er tiltak for forbedring av sikkerhetskulturen, men alle tiltakene på s.60 i forelesningsnotatene kan være aktuelle.