GRUNNPRINSIPPER FOR IKT-SIKKERHET

Transkript

1 GRUNNPRINSIPPER FOR IKT-SIKKERHET NSM sikkerhetskonferanse 2017 Are Søndenaa Jon Erik Thoresen SLIDE 1

2 SLIDE 2

3 Sikkerhet er ikke et produkt, det er en prosess som skal støtte opp under virksomhetens primæraktivitet. God sikkerhet vil gjøre det mulig å ta høyere forretningsmessig risiko Dagens tema - NSMs grunnprinsipper for IKT sikkerhet Verktøy for IKT-ledere for å: Velge ut de riktige sikringstiltakene Begrunne hvorfor tiltakene bør implementeres Etter avtale med Lunch Børge Lund - strandcomics.no SLIDE 3

4 ET BILDE AV EN VIRKSOMHET Toppledelse Fokus: Organisasjonens risiko Handling: Risikohåndtere og prioritere Endring i risiko Prosesseiere og systemeiere Fokus: Ledelse & forvaltning av prosesser / infrastruktur Handling: Tildeler budsjettmidler, velger sikringstiltak Forretningsprioritet, risikoappetitt & budsjett Implementasjonsstatus, endringer i konfigurasjon, sårbarheter og trusler Implementasjons -og driftsnivå Fokus: Sikre og operere infrastruktur Handling: Implementere sikringstiltak Plan og strategi SLIDE 4 Figur basert på NIST CSF

5 HVORDAN IVARETA SIKKERHET? Sikkerhetsstyring ISO27001 Tiltak ISO27002 Detaljerte anbefalinger/krav SLIDE 5

6 EN REALITETSORIENTERING Teori Praksis* Svakheter ved ledelsesforankring, risikostyring og identifisering og klassifisering av aktiva. For flere virksomheter er det manglende sammenheng mellom klassifisering, risikovurdering og tiltak. Det er store mangler i implementasjonen av tiltak SLIDE 6 *NSMs helhetlig IKT risikobilde Data fra Riksrevisjonen

7 HVA KAN VÆRE ÅRSAKEN? Påstand #1: Få virksomheter klarer å gjennomføre gode nok risikovurderinger til å identifisere sikkerhetstiltakene som gir best reell effekt. Påstand #2: Få virksomheter klarer å kommunisere risiko knyttet til IKT-sikkerhet på en god måte innad i egen organisasjon. Påstand #3: Mange av dagens standarder, rammeverk og «beste praksiser» relatert til IKTsikkerhetstiltak er krevende å ta i bruk for norske virksomheter. Det krever ofte inngående kompetanse og erfaring, mangler et felles språk for de ulike ledelsesnivåene, og tar lang tid før man ser effekten av dem. SLIDE 7

8 RAMMEVERK FOR IKT-SIKKERHET Et systematisk sett med de viktigste tiltak for sikring av IKT-løsninger. Legger til rette for gjenbruk i og på tvers av ulike sektorer ved å bygge på etablerte internasjonale standarder. Tiltakene prioriteres basert på NSMs og andre relevante miljøers kunnskap og erfaring. Sikkerhetstiltakene vil være dynamiske og oppdateres med den teknologiske utviklingen. NSM vil i 2017 prioritere grunnprinsippene som gjelder for både ugraderte og graderte løsninger. Sikkerhetsstyring Tiltak ISO27001 ISO27002 Grunnprinsipper for IKT-sikkerhet Detaljerte anbefalinger/krav SLIDE 8

9 VERDIØKNING UT OVER ISO Basert på NSMs kunnskap: Gi virksomheter en beskrivelse av hva og de bør fokusere på og hvorfor for å redusere risiko knyttet til IKT-sikkerhet innen ulike tiltaksområder. Gi retning innen utvalgte tiltaksområder Ivareta mangler i standarden SLIDE 9

10 HVA LIGGER I LEVERANSEN? Hvorfor Hva SLIDE 10 Figur hentet fra NIST CSF

11 HVA LIGGER I LEVERANSEN? SLIDE 11 Etter avtale med Statoil ASA

12 HVA ER DET OG HVORDAN SKAL DET BENYTTES? Grunnprinsipper SLIDE 12

13 OMFANG OG AVGRENSNING IKT-sikkerhet P Fysisk sikkerhet Personellsikkerhet SLIDE 13

14 ARBEIDSPROSESS Relevante standarder og rammeverk ISO NIST CSF CIS CSC 20 BSI Grundschutz Cyber Essentials Sikkerhetsloven ++ Relevante standarder og rammeverk Innspill og justeringer Kunnskap og erfaringer NSM Rådgivning Penetrasjonstest Tilsyn Hendelser (NorCERT) Kravutvikling Samarbeidspartnere Kunnskap og erfaring NSM Innspill og justeringer Sektormyndigheter og myndighetsorganer Offentlige og private virksomheter Grunnprinsipper IKT-sikkerhet SLIDE 14

15 GRUNNPRINSIPPER FOR IKT-SIKKERHET Identifisere og kartlegge Beskytte Opprettholde og oppdage Håndtere og gjenopprette SLIDE 15

16 GRUNNPRINSIPPER FOR IKT-SIKKERHET Kartlegg tjenestemodell Etabler prosess for anskaffelse og utvikling Etabler sikker design av IKT-miljø Sørg for god endringshåndtering Beskytt mot skadevare Håndter hendelser korrekt Kartlegg leveranser og tjenester Etabler og vedlikehold sikker konfigurasjon Ha kontroll på nettets utbredelse Verifiser konfigurasjon Gjennomfør penetrasjonstester Oppretthold god ledelse og kommunikasjon Kartlegg enheter og programvare Ha kontroll på kontoer Kontroller bruk av administrative privilegier Overvåk og analyser logger Etabler kapabilitet for gjenoppretting av data Gjenopprett normaltilstand Kartlegg brukere Kontroller dataflyt Beskytt data i ro og i transit Evaluer og lær fra hendelser Beskytt e-post og nettleser Konfigurer logger korrekt Identifisere og kartlegge Beskytte Opprettholde og oppdage Håndtere og gjenopprette SLIDE 16

17 GRUNNPRINSIPPER FOR IKT-SIKKERHET Kartlegg tjenestemodell Etabler prosess for anskaffelse og utvikling Etabler sikker design av IKT-miljø Sørg for god endringshåndtering Beskytt mot skadevare Håndter hendelser korrekt Kartlegg leveranser og tjenester Etabler og vedlikehold sikker konfigurasjon Ha kontroll på nettets utbredelse Verifiser konfigurasjon Gjennomfør penetrasjonstester Oppretthold god ledelse og kommunikasjon Kartlegg enheter og programvare Ha Identifiser Kontroller bruk av kontroll på og kartlegg Overvåk og analyser verdier administrative kontoer logger privilegier Kontroll på konfigurasjon Etabler kapabilitet for gjenoppretting av data Gjenopprett normaltilstand Kartlegg brukere Kontroller dataflyt Beskytt data i ro og i transit Evaluer og lær fra hendelser Beskytt e-post og nettleser Konfigurer logger korrekt Identifisere og kartlegge Beskytte Opprettholde og oppdage Håndtere og gjenopprette SLIDE 17

18 GRUNNPRINSIPPER FOR IKT-SIKKERHET Kartlegg tjenestemodell Etabler prosess for anskaffelse og utvikling Etabler sikker design av IKT-miljø Sørg for god endringshåndtering Beskytt mot skadevare Håndter hendelser korrekt Kartlegg leveranser og tjenester Etabler og vedlikehold sikker konfigurasjon Ha kontroll på nettets utbredelse Verifiser konfigurasjon Gjennomfør penetrasjonstester Oppretthold god ledelse og kommunikasjon Kartlegg enheter og programvare Ha kontroll på kontoer Kontroller bruk av administrative privilegier Overvåk Beskytt Etabler kapabilitet for og analyser verdier Gjenopprett gjenoppretting av logger normaltilstand data Implementer sikringstiltak Kartlegg brukere Kontroller dataflyt Beskytt data i ro og i transit Evaluer og lær fra hendelser Beskytt e-post og nettleser Konfigurer logger korrekt Identifisere og kartlegge Beskytte Opprettholde og oppdage Håndtere og gjenopprette SLIDE 18

19 GRUNNPRINSIPPER FOR IKT-SIKKERHET Kartlegg tjenestemodell Etabler prosess for anskaffelse og utvikling Etabler sikker design av IKT-miljø Sørg for god endringshåndtering Beskytt mot skadevare Håndter hendelser korrekt Kartlegg leveranser og tjenester Etabler og vedlikehold sikker konfigurasjon Ha kontroll på nettets utbredelse Verifiser konfigurasjon Gjennomfør penetrasjonstester Oppretthold god ledelse og kommunikasjon Oppretthold Kartlegg enheter og konfigurasjon Ha kontroll på programvare kontoer Oppdag hendelser Kontroller bruk av administrative privilegier Overvåk og analyser logger Etabler kapabilitet for gjenoppretting av data Gjenopprett normaltilstand Kartlegg brukere Kontroller dataflyt Beskytt data i ro og i transit Evaluer og lær fra hendelser Beskytt e-post og nettleser Konfigurer logger korrekt Identifisere og kartlegge Beskytte Opprettholde og oppdage Håndtere og gjenopprette SLIDE 19

20 GRUNNPRINSIPPER FOR IKT-SIKKERHET Kartlegg tjenestemodell Etabler prosess for anskaffelse og utvikling Etabler sikker design av IKT-miljø Sørg for god endringshåndtering Beskytt mot skadevare Håndter hendelser korrekt Kartlegg leveranser og tjenester Etabler og vedlikehold sikker konfigurasjon Ha kontroll på nettets utbredelse Verifiser konfigurasjon Gjennomfør penetrasjonstester Oppretthold god ledelse og kommunikasjon Kartlegg enheter og programvare Ha kontroll på kontoer Håndter Kontroller bruk av hendelser Overvåk og analyser administrative logger privilegier Gjenopprett normaltilstand Etabler kapabilitet for gjenoppretting av data Gjenopprett normaltilstand Kartlegg brukere Kontroller dataflyt Beskytt data i ro og i transit Evaluer og lær fra hendelser Beskytt e-post og nettleser Konfigurer logger korrekt Identifisere og kartlegge Beskytte Opprettholde og oppdage Håndtere og gjenopprette SLIDE 20

21 GRUNNPRINSIPPER FOR IKT-SIKKERHET Kartlegg tjenestemodell Etabler prosess for anskaffelse og utvikling Etabler sikker design av IKT-miljø Sørg for god endringshåndtering Beskytt mot skadevare Håndter hendelser korrekt Kartlegg leveranser og tjenester Etabler og vedlikehold sikker konfigurasjon Ha kontroll på nettets utbredelse Verifiser konfigurasjon Gjennomfør penetrasjonstester Oppretthold god ledelse og kommunikasjon Kartlegg enheter og programvare Ha kontroll på kontoer Kontroller bruk av administrative privilegier Overvåk og analyser logger Etabler kapabilitet for gjenoppretting av data Gjenopprett normaltilstand Kartlegg brukere Kontroller dataflyt Beskytt data i ro og i transit Evaluer og lær fra hendelser Beskytt e-post og nettleser Konfigurer logger korrekt Identifisere og kartlegge Beskytte Opprettholde og oppdage Håndtere og gjenopprette SLIDE 21

22 EKSEMPEL KARTLEGG ENHETER OG PROGRAMVARE SLIDE 22

23 EKSEMPEL KARTLEGG ENHETER OG PROGRAMVARE Mål Aktivt spore og kartlegg alle maskinvareenheter, programvare og tjenester på nettverket for å skaffe oversikt over autoriserte (og uautoriserte enheter) og ha kontroll på faktisk konfigurasjon. SLIDE 23

24 EKSEMPEL KARTLEGG ENHETER OG PROGRAMVARE Begrunnelse(Hvorfor?) Angripere skanner virksomheter kontinuerlig på jakt etter nye og ubeskyttede systemer og sårbare versjoner av programvare som kan utnyttes eksternt. Angriperne ser også etter enheter (spesielt bærbare) som kobles til og fra virksomhetens nettverk og som mangler sikkerhetsrettinger (patcher) og sikkerhetsoppdateringer. Angripere kan dra nytte av ny maskinvare som er installert på nettverket en kveld, men ikke konfigurert og oppdatert med aktuelle sikkerhetsoppdateringer før neste dag. Selv enheter som ikke er synlige fra internett kan utnyttes av angripere som allerede har fått intern tilgang og er på jakt etter sårbare ofre. Etter hvert som ny teknologi dukker opp har BYOD (ta med din egen enhet), hvor ansatte tar med personlige enheter på arbeid og kobler dem til bedriftens nettverk, blitt svært vanlig. Disse enhetene kan allerede være kompromittert og bli benyttet til å infisere interne ressurser. Noen angripere distribuerer i tillegg ondsinnede nettsider, dokumentfiler, mediefiler og annet innhold via sine egne nettsider eller via en pålitelig tredjeparts nettsteder. Når intetanende ofre åpner dette innholdet med en sårbar nettleser eller sårbare programmer kan en angriper kompromittere maskinene, ofte ved å installere bakdører og web-roboter som gir angriperen langsiktig kontroll over system. Noen avanserte angripere kan bruke 0-dags sårbarheter (zero-day exploits), som utnytter ukjente sårbarheter som det ikke eksisterer sikkerhetsrettinger på fra programvareleverandøren. Manglende kontroll på programvaren som benyttes i en virksomhet fører til at aktiva ikke sikres på en korrekt måte. Dårlig forvaltede maskiner vil ha større sannsynlighet for å enten kjøre unødvendig programvare (noe som kan introdusere potensielle sikkerhetshull ), eller kjøre skadevare som er introdusert av en angriper etter et system har blitt kompromittert. Når en maskin først har blitt utnyttet, vil angripere ofte bruke den som et utgangspunkt for å samle sensitiv informasjon fra det kompromitterte systemet og fra andre systemer som den er koblet til. Kompromitterte maskiner blir i tillegg benyttet som et utgangspunkt for bevegelse rundt i hele nettverket samt i tilknyttede nettverk. På denne måten kan angripere raskt gjøre en kompromittert maskin om til mange. Virksomheter som ikke har en komplett liste over hvilke programvare som kjører og skal kjøre i nettverket evner ikke å finne ut om systemer kjører sårbar eller skadelig programvare og klarer dermed ikke å redusere skadepotensialet eller stenge ute angripere. SLIDE 24

25 EKSEMPEL KARTLEGG ENHETER OG PROGRAMVARE Anbefalte prinsipper(hva?) Utarbeid en oversikt over maskinvare og programvare som er godkjent for bruk i virksomheten. Denne oversikten, gyldig konfigurasjon, bør overvåkes av verktøy for integritetssjekking for å validere at den ikke har blitt endret. Oppretthold en aktivabeholdning av nettverksenheter og alle systemer som er koblet til nettverket, for å få en oversikt over virksomhetens faktiske konfigurasjon. Det bør som et minimum lagres informasjon om nettverksadresser, maskinnavn, formålet med hvert system, en ansvarlig aktiva-eier for hver enhet, og avdelingstilknytning hver enhet. Beholdningen bør inkludere et hvert system som har en IP-adresse på nettverket, inkludert men ikke begrenset til stasjonære og bærbare datamaskiner, servere, nettverksutstyr (rutere, svitsjer, brannmurer, osv.), skrivere, lagringsnettverk, Voice Over-IP-telefoner, virtuelle adresser, osv. Etabler verktøy for oversikt over all programvare i hele virksomheten som dekker hvert operativsystem i bruk, inkludert servere, arbeidsstasjoner og bærbare datamaskiner. Inventarsystemet for programvare bør spore versjon av det underliggende operativsystemet, samt programmer som er installert på det. Inventarsystemet for programvare bør knyttes opp til aktivabeholdning av nettverksenheter slik at alle enheter og tilhørende programvare spores fra ett sted. Automatiser prosessen med å opprettholde en aktivabeholdning. Etabler et automatisert verktøy for å oppdage og samle inn informasjon om enheter i virksomhetens nettverk. Virksomhetens logger kan brukes som støttet til å detektere ukjente systemer i virksomhetens nettverk ved å monitorere avvik fra normaltilstand. SLIDE 25

26 EKSEMPEL HA KONTROLL PÅ KONTOER Mål Aktivt administrer livssyklusen til system- og applikasjonskontoer - Reduserer muligheten for at angripere utnytter dem. - Gjøres gjennom å ha kontroll på kontoers opprettelse, bruk, dvale og deaktivering/sletting. Begrunnelse(Hvorfor?) Utnyttelse av inaktive brukerkontoer - Etterligner legitime brukere - Konto inaktiv, rettigheter ikke fjernet - Eks. konto til terminerte ansatte og konsulenter Aksessering av etterlatte kontoer - Innsidere eller tidligere ansatte får uautorisert tilgang Anbefalte prinsipper(hva?) Utløpsdato på kontoer Prosess for fjerning av systemtilgang - Umiddelbart etter at ansatt slutter - Deaktiver fremfor å slette konto Deaktiver sovende kontoer - Overvåk kontobruk - Varsle bruker eller brukerens leder Autentisering via ett sentralt punkt - Alle kontoer - Eks. Active Directory eller LDAP Mulit-faktor autentisering - Minimum sensitive data/systemer og admin-brukere SLIDE 26

27 EKSEMPEL KONTROLLER BRUK AV ADMINISTRATIVE RETTIGHETER Mål Kontrollere, korrigere, og spore tildeling, bruk og konfigurering av administrative rettigheter - Hindre misbruk av datamaskiner, nettverk og applikasjoner Begrunnelse(Hvorfor?) Misbruk av administrative privilegier - Blant de vanligste metodene - Eks 1: Infisert epostvedlegg, nedlastbar fil med skadevare fra ondsinnet nettside, nettside med skadevare - Eks 2: Eskalering av privilegier (gjette eller knekke passord) Anbefalte prinsipper(hva?) Minimer bruk av admin privilegier 2-stegs pålogging av administratorbrukere - 1. logge på med vanlig bruker, 2. transisjon til administrative privilegier Dedikerte maskiner for admin oppgaver - Isoler fra primærnettverk - Fjerne tilgang til internett Benytt multi-faktor autentisering Fjernadministrasjon over sikre kanaler - Servere, arbeidsstasjoner, nettverksenheter - Eks. SSL, TLS, IPSEC SLIDE 27

28 GRUNNPRINSIPPER FOR IKT-SIKKERHET Kartlegg tjenestemodell Etabler prosess for anskaffelse og utvikling Etabler sikker design av IKT-miljø Sørg for god endringshåndtering Beskytt mot skadevare Håndter hendelser korrekt Kartlegg leveranser og tjenester Etabler og vedlikehold sikker konfigurasjon Ha kontroll Etabler på nettets prosess for utbredelse anskaffelse og utvikling Verifiser Etabler konfigurasjon sikker design av IKT-miljø Gjennomfør Etabler og penetrasjonstester vedlikehold sikker konfigurasjon Oppretthold god Ha kontroll ledelse på nettets og utbredelse kommunikasjon Kontroller dataflyt Kartlegg enheter og programvare Ha kontroll på kontoer Kontroller bruk av administrative privilegier Ha kontroll på kontoer Overvåk og analyser Kontroller logger bruk av administrative privilegier Etabler kapabilitet for gjenoppretting av Beskytt data data i ro og i transit Beskytt e-post Gjenopprett og nettleser normaltilstand Konfigurer logger korrekt Kontroller dataflyt Beskytt data i ro og i transit Beskytte Kartlegg brukere Evaluer og lær fra hendelser Beskytt e-post og nettleser Konfigurer logger korrekt Identifisere og kartlegge Beskytte Opprettholde og oppdage Håndtere og gjenopprette SLIDE 28

29 GRUNNPRINSIPPER FOR IKT-SIKKERHET Sikkerhetsstyring ISO27001 Veileder for sikkerhets styring Håndbok i risikovurdering Tiltak Etabler prosess for anskaffelse og utvikling Etabler sikker design av IKT-miljø Etabler og vedlikehold sikker konfigurasjon Ha kontroll på nettets utbredelse Kontroller dataflyt ISO27002 Ha kontroll på kontoer Kontroller bruk av administrative privilegier Beskytt data i ro og i transit Beskytt e-post og nettleser Konfigurer logger korrekt Beskytte Detaljerte anbefalinger U-01/06 Sikring av windows 7 S-03 Sikring av egne nettverk U-02 Sikring av e-post U-15 Sikring av webtrafikk (HTTPS) SLIDE 29

30 OVERSIKT OVER NSMS IKT-VEILEDERE Målgruppe: både graderte og ugraderte systemer Tiltak anbefalt for ugraderte systemer er første trinn i sikring av de graderte systemene Graderte veiledninger (ved behov) Ugraderte veiledninger (nettside) Sjekklister Sikring av informasjonssystemer Windows 7 Server 2012 Office «Sentralisert og sikker drift av Windows klienter og tilknyttet maskinvare» (presenteres i morgen) Sikring av nettverk (presenteres i morgen) Sikring av tjenester E-post Web (HTTPS) Kryptografiske mekanismer TLS Kryptografiske mekanismer U2F Logging (ny veileder) Sletting og makulering (oppdateres) SLIDE 30

31 VEILEDNINGER TILGJENGELIG PÅ NSM.STAT.NO SLIDE 31

32 VEIEN VIDERE? E-post adresse: SLIDE 32