Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier IKT-risikobildet. Dataangrep mot kritisk infrastruktur og informasjon

Transkript

1 IKT-risikobildet Dataangrep mot kritisk infrastruktur og informasjon NSR Sikkerhetskonferanse 2010 Dr.ing. Christophe Birkeland Avdelingsdirektør NorCERT Nasjonal sikkerhetsmyndighet INTRODUKSJON Cybercrime has entered a third age, maturing from a geeky hobby and then a money-making enterprise to become a global political, industrial and perhaps even military tool! Sophos Mid Year Threat Report 2010! A total of 327,598,028 attempts to infect usersʼ computers in different countries around the world were recorded that's 26.8% more than in the previous quarter.! Kaspersky, Information Security Threats in the First Quarter of

2 Et sårbart nettverksbasert samfunn Cyber terrorists have a number of ways to mount a major cyber attack on U.S. Internet infrastructure due to the general instability of its base (US-CERT)! 3 Et sårbart nettverksbasert samfunn (forts.) 4 2

3 Et sårbart nettverksbasert samfunn (forts.)! Nettverkskonvergens systemer knyttes sammen! Internett, adm-systemer, styringssystemer, telekom! Teknologikonvergens samme teknologi brukes overalt (alt over IP IP overalt)! Krav til mobilitet og tilgjengelighet! Stadig mer kompleks skadevare! Trusselaktører med økende kompetanse og ressurstilgang Aktører og aktiviteter Statsdrevede Informasjonsoperasjoner Terrorisme Trussel-! aktivitet! Økonomisk kriminalitet Hacktivisme Hacking Script-kiddy aktivitet Scenario! FRED KRISE KRIG Håndterings-! prinsipper! Nærhet Likhet Ansvar og Samordning 3

4 TRENDER FRA NORCERT ANTALL HÅNDTERTE HENDELSER SISTE 3 ÅR 7 TRENDER FRA NORCERT DE MEST ALVORLIGE HENDELSENE! Spionasje! Informasjon lagret i IKT systemer stjeles! Sabotasje! Tjenestenektangrep DDoS! (Påvirke datastyrte fysiske prosesser) 4

5 SPIONASJE VED BRUK AV MÅLRETTEDE TROJANERE! Skadevare designet for å stjele informasjon.! Smugles inn som vedlegg til epost, weblink eller med USB minnepinner.! Utnytter ukjente sårbarheter. Detekteres ikke av antivirus.! Kan operere skjult over lang tid i infiserte systemer.! Oppdages stadig oftere i målrettede angrep mot mål i Norge.! Typiske angrepsmål er ledere og nøkkelpersoner i viktige offentlige og private virksomheter SPIONASJE Kjennetegn til skadevare benyttet i avanserte angrep i 2010! Bruk av ukjente sårbarheter kombinert med sosial manipulering! Godt skjult etter infeksjon, opererer i lang tid på datasystemer før de oppdages! Bruk av kryptering for å skjule kommunikasjon! Digitalt signert skadevare! Endrer virkemåte avhengig av infisert system 5

6 Spådommer i 2007 Stuxnet Trojaner rettet mot industrisystemer (prosess- og kontrollsystemer, SCADA) 6

7 STUXNET Skadevare rettet mot industrisystemer! Avansert skadevare! Trojaneren utnytter 0-day sårbarheter i Windows! Skadevaren har signerte komponenter (sertifikat fra JMicron og Realtek)! Trojaneren tilpasser sin oppførsel avhengig av systemet den identifiserer! Spredning:! over flyttbare lagringsmedia (USB minnepinner) og delte nettverksmapper! Tidslinjal:! Rapportert oppdaget in the wild 17. juni 2010! Ulike kilder hevder å ha sett spor eldre enn ett år gamle 13 STUXNET Overordnet vurdering! Teknisk avansert skadevare med stort potensiale! Trojaneren henter ut SCADA designdokumenter og annen intern dokumentasjon om nettverksstrukturen! Trojaneren har funksjonalitet for å påvirke industrisystemer, herunder omprogrammere styringsenheter (PLC-enheter)! Skadeomfanget er ukjent. Det foreligger ingen offentliggjorte rapporter om at Stuxnet har forårsaket fysisk ødeleggelse 14 7

8 STUXNET Hva har vi lært?! NSM har produsert et sikkerhetsvarsel fordi:! Selv om muligheten for at SCADA systemer kan bli rammet har vært kjent lenge, er det nå oppdaget skadevare in the wild.! Stuxnet er første målrettede angrep på industrisystemer, med bred spredning.! Stuxnet indikerer en dreining i IKT-trussel og sårbarhetsbildet.! Last ned sikkerhetsvarslet med råd, tiltak og anbefalinger på 15 Hva må vi gjøre? På myndighets- (nasjonalt) nivå må det satses på:! Kompetanse og sterke fagmiljøer! Samarbeid / informasjonsdeling nasjonalt og internasjonalt! Mer robuste systemer! Mer samordning Virksomhetene må ha oversikt og kontroll over egne systemer (infrastruktur, programvare og informasjon):! Forstå trusselbildet og risikovurdere egne IKT-systemer! Policy, rutiner og prosedyrer for å sikre systemene (Kompetanse)! Evne til å oppdage og håndtere hendelser (Kompetanse+teknologi)! Kompetanse til å stille krav til tjenesteleverandører 8