TI TILTAK FOR BESKYTTELSE AV DATAMASKINER

Transkript

1 TI TILTAK FOR BESKYTTELSE AV DATAMASKINER NSMs Sikkerhetskonferanse John Bothner Avdeling for Teknologi Nasjonal sikkerhetsmyndighet SLIDE 1 NASJONAL SIKKERHETSMYNDIGHET

2 TRUSLER OG VERDIER Tiltak: Menneske / Org Trusselaktører Datasystem med verdifull eller sensitiv info Tiltak: Teknologiske 2

3 DET FINNES MANGE TYPER DATAANGREP Fokus i denne presentasjonen: Angrep med skadevare fra internett («virus» mm.) Lenker i en epost Vedlegg i en epost Infisert minnepinne (uten modifisert Firmware) I tillegg, angrep som ikke omtales her: Avlytting: trafikk på internett, av brukerens omgivelser, mm Tjenestenektangrep Infisert minnepinne (med modifisert Firmware) Mm. SLIDE 3 NASJONAL SIKKERHETSMYNDIGHET

4 AGENDA 1. De mest populære sikkerhetstiltak er ikke nok 2. Hvilke tiltak har størst beskyttelseseffekt 3. De 10 mest effektive tekniske IT-sikkerhetstiltakene 4. Oppsummering 4

5 DEL 2 De mest populære sikkerhetsløsningene hjelper ikke nok SLIDE 5 NASJONAL SIKKERHETSMYNDIGHET

6 DE MEST POPULÆRE SIKKERHETSTILTAK ER IKKE SÅ EFFEKTIVE Fra media hører man stadig om vellykkede ITangrep Oftest så er det brukerne som er uforsiktige Farlige vedlegg eller lenker i epost, mm. 6

7 POPULÆRE SIKKERHETSTILTAK Følgende populære tiltak (som ikke hjalp) ble brukt: Antivirus og Brannmur (antagelig mest populært) Diverse andre populære tiltak Disse populære tiltakene tilsvarer Sikre huset med vindushasper (mot de som kan klatre) Dørene er uansett åpne (som flere angripere benytter) Slike produkters popularitet: tradisjoner fra 1990? 7

8 DE MEST POPULÆRE SIKKERHETSTILTAKENE NSM vil absolutt at norske virksomheter skal ha bl a brannmur og antivirus, men det blir en sovepute for mange Hvorfor hjelper ikke f eks brannmur/antivirus nok? Brannmurer må åpne for brukernes web og epost bruk, ellers får de ikke utført jobben sin Antivirusproduktene omgås lett av angripere i dag Brukerne lures, og kjører angripers program 8

9 DEL 2 Å beskytte seg: vi vet hva som virker og hva som ikke virker SLIDE 9 NASJONAL SIKKERHETSMYNDIGHET

10 RANGERING AV SIKKERHETSTILTAK 1. plass: tiltaket som stopper flest angrep Plass 1-4 vinnerne, disse kommer vi tilbake til Brannmur på PC: plass. Virksomhetsbrannmur ikke en gang nevnt Antivirus: 22 og 30 plass plass: tiltaket som stopper færrest angrep

11 UNDERSØKELSE: UNØDVENDIGE BRUKERRETTIGHETER Effektivt tiltak: slutt å gi admin-rettigheter til brukerne Andel av Microsofts sårbarheter i 2013 som er ufarlig hvis dette tiltaket er på plass 96% av kritiske sårbarheter mht Windows ufarlig 100% av alle sårbarhetene i Internet Explorer ufarlig 91% av sårbarheter i MS Office ufarlig 100% av sårbarheter ifm fjernstyring av offerets datamaskin ufarlig Dette stemmer god med info NSM har 11 Kilde: avecto.com

12 DEL 3 Tekniske sikkerhetstiltak som monner SLIDE 12 NASJONAL SIKKERHETSMYNDIGHET

13 TILTAK Oppgrader IT-produktene til siste versjoner Adobe Reader 9 kontra versjon 11 Windows XP kontra Windows 7 / 8 2. Installer sikkerhetsoppdateringer raskt Operativsystemet, Adobe Reader, Java, MS Office, Adobe Flash 3. Ikke la sluttbrukere få administratorrettigheter Ikke la angriperen få alle rettigheter! 4. Blokkèr kjøring av ikke-autorisert programvare (Applocker) Hviteliste filmapper er enklere enn å svarteliste programmer Det er disse 4 tekniske prinsippene vi regner som de mest grunnleggende for å beskytte datamaskiner og telefoner. SLIDE 13 NASJONAL SIKKERHETSMYNDIGHET

14 HVORFOR BENYTTER IKKE FLERE DISSE TILTAKENE? Sannsynlige forklaringer Manglende kunnskap om sikkerhetseffekten av tiltak Manglende kunnskap om sikkerhetsfunksjoner som er innebygget i operativsystemene Lite utviklet sikkerhetskultur, dvs. høy risikoaksept og lav risikoforståelse 14

15 FLERE TILTAK 4 tiltak + 6 tiltak til Se NSMs brosjyre/ sjekkliste S-02 NSM har ikke observert internett-relaterte skadevare-angrep som samtidig klarer å omgå alle disse ti tiltakene De fleste av disse tiltakene krever ikke nyinnkjøp 15

16 NR 5: AKTIVER KODEBESKYTTELSE Aktiver kodebeskyttelse mot ukjente sårbarheter DEP: «Data Execution Prevention» skille CPU-instruksjoner fra data SEHOP: avbruddshåndtering ASLR: randomisering av minne-allokering EMET: Microsoft verktøy som installeres på klientene stopper angrep som benytter kjente prinsipper, men som er ukjent for AVS-leverandørene Søk på «U-01» på for mer informasjon SLIDE 16 NASJONAL SIKKERHETSMYNDIGHET

17 NR 6: HERDE APPLIKASJONER Applikasjoner som behandler data direkte fra internett MS Office Internett Explorer Adobe Reader Disse har «Protected Mode» / Protected View» Må aktiveres helt! Brukere må ikke kunne slå av! Reduserer kontakt mellom OS og dokumenter / data applikasjonene behandler Søk på «U-01» på for mer informasjon SLIDE 17 NASJONAL SIKKERHETSMYNDIGHET

18 NR 7: BRUK BRANNMUR PÅ KLIENTENE Hvorfor ha en brannmur på klientene (PC ene) Bærbare PC er ikke alltid bak virksomhetsbrannmuren Eget nett ikke alltid tryggere - kollegaers PC er og BYOD er kan ha blitt hacka: angriper interne klienter Windows Firewall følger med Windows og er normalt påslått Ikke la brukerne skru av denne Skiller på type nettverk: jobb, hjemme, annet Kan konfigurere til å styre trafikken i lokalnett Kan styres sentralt med Group Policies Også alternative produkter SLIDE 18 NASJONAL SIKKERHETSMYNDIGHET

19 NR 8: SIKKER OPPSTART OG DISKKRYPTO Ved ulovlig fysisk tilgang til PC Oppdage manipulering av maskinvare og programvare Beskytte data ved tyveri/tap av PC Diskkryptering, Bitlocker + TPM Kryptering av hele oppstartdisken C: Sjekker PC-integritet TPM-brikke i PC en Sikker oppstart «Windows Measured Boot» Ved oppstart av PC Krever moderne maskinvare (UEFI) SLIDE 19 NASJONAL SIKKERHETSMYNDIGHET

20 NR 9 ANTIVIRUS Svartelister og stopper primært kun kjent skadevare Noen produkter kjører først ukjent programvare i et lukket miljø Markedsføres som: «sandkasse», «mikrovirtualisering», «heuristic» Antivirus er et greit filter, stopper en del enkel «støy», «kvikk fiks» Man kan da fokusere på andre angrep Kjøpe seg litt tid før man sikkerhetsoppdaterer Bidrar til «forsvar i dybden» Kan i dag omgås av mange angripere SLIDE 20 NASJONAL SIKKERHETSMYNDIGHET

21 NR 10 IKKE TA I BRUK FLERE APPLIKASJONER OG FUNKSJONER ENN NØDVENDIG Unngå unødvendige applikasjoner Mange kontorbrukere trenger kun: nettleser, Office, PDF-leser, multimedia-avspiller, regnskap Fjern gamle versjoner når nye installeres Hindre brukere å installere unødvendig programvare Blokker ubrukte funksjoner Adobe Reader: JavaScript og multimedia i PDF-dokumenter MS Office: Add-in, Makroer, osv Færre applikasjoner og funksjoner gir Mindre jobb med sikkerhetsoppdatering Reduserer angrepsflate Søk på «U-01» på for mer informasjon SLIDE 21 NASJONAL SIKKERHETSMYNDIGHET

22 EN FORMANING Mange virksomheter tillater admin rettigheter til brukerne (brudd på råd nr 3) Resultatet: PC-drift og sikkerhetsbeslutningene «outsources» fra ITavdelingen til sluttbrukerne (og videre til angriperen) Brukerne (og angriperen) kan installere hva som helst og skru av sikkerhetsinnstillinger Konsekvensene av en fiendtlig epost / weblink blir kun opp til brukerens årvåkenhet NSM mener IT-avdelingene bør Ha reelt driftsansvar for virksomhetens PC er Styre praktisk IT-sikkerhetspolicy, ikke overlat dette til brukerens innfall og dagsform! Følg rådene fra NSM, og det får sjelden konsekvenser uansett hva brukeren gjør med en fiendtlig epost / webside 22

23 OPPSUMMERING Utfør tekniske sikkhetstiltak som monner mest først Se NSMs brosjyre/ sjekkliste S-02 De fleste av disse tiltakene krever ikke nyinnkjøp Antatt vanlige driftsverktøy og moderne operativsystem på PC ene 23

24 TAKK FOR MEG! Litt videre lesing Søk på dokumentene «S-01», S-02» og «U-01» på Spørsmål 24