Testing av intern IT-sikkerhet

Transkript

1 Advisory Testing av intern IT-sikkerhet Siv. ing. Eivind Dees Tellefsen Dette dokumentet er Ernst & Youngs eiendom. Dokumentet kan ikke benyttes av eller videreformidles til andre uten å på forhånd ha innhentet skriftlig tillatelse. 28. mars 2007

2 Agenda Hvilket risikobilde står bankene overfor mht. intern IT-sikkerhet Hvordan tester vi den interne IT-sikkerheten (det tekniske perspektivet) Hvordan skal finansinstitusjonene håndtere risikobildet 2 Advisory

3 Helhetlig kontroll av IT-sikkerhet Tradisjonell IT-revisjon, IT-generelle kontroller (ITGC) - Nødvendig, men alene ikke tilstrekkelig Penetration-testing - Nødvendig, men alene ikke tilstrekkelig - (Hvem tør plante virus for åteste sikkerheten?) - Sikkerhetstesting bør være et supplement til IT-revisjon Arkitektur-revisjon - Nødvendig, men alene ikke tilstrekkelig 3 Advisory

4 Mørketallsundersøkelsen 2006 Utsendt til 2000 virksomheter, 749 svar. estimert at norske virksomheter ble utsatt for nærmere 3900 datainnbrudd siste 12 måneder Virksomheter er godt rustet på tekniske sikringstiltak... understreker viktigheten av å arbeide med andre tiltak enn tekniske for å bedre sikkerheten Mørketall for finanssektoren? 4 Advisory

5 5 Advisory

6 Agenda Hvilket risikobilde står bankene overfor mht. intern IT-sikkerhet Hvordan tester vi den interne IT-sikkerheten (det tekniske perspektivet) Hvordan skal finansinstitusjonene håndtere risikobildet 6 Advisory

7 Iboenerisikobilde finans intern risiko Konsekvens Lav Medium Høy > ? > ? < ? RISKOMATRISE Penger flyttes uautorisert 2. Uautorisert tilgang til forretningskritisk informasjon 3. Hærverk mot bankens/felles ITinfrastruktur Aldri 5-50 år? 1-5 år? <1 år? Lav Medium Høy Sannsynlighet 7 Advisory

8 Ønsket situasjon Konsekvens Lav Medium Høy > ? 1 > ? 2 3 < ? RISKOMATRISE Penger flyttes uautorisert 2. Uautorisert tilgang til forretningskritisk informasjon 3. Hærverk mot bankens/felles ITinfrastruktur Aldri 5-50 år? 1-5 år? <1 år Lav Medium Høy Sannsynlighet 8 Advisory

9 Angående Advisory

10 Angående 2 10 Advisory

11 Angående 3 11 Advisory

12 Agenda Hvilket risikobilde står bankene overfor mht. intern IT-sikkerhet Hvordan tester vi den interne IT-sikkerheten (det tekniske perspektivet) Hvordan skal finansinstitusjonene håndtere risikobildet 12 Advisory

13 Sikkerhetstesting sett i en større sammenheng Forretningsprosesser Utlån Innlån Prinsippskisse Andre prosesser System1 System2 IKT-infrastruktur Applikasjon Database Operativsystem Applikasjon Database Operativsystem Nettverk Eksempel påmulige kompromitteringer i infrastrukturen 13 Advisory

14 Hva ønsker vi åundersøke, og hvorfor? 14 Advisory

15 Hva ønsker vi åundersøke, og hvorfor? Tekniske blundere? Manglende prosedyrer? Svikt i etterlevelse av prosedyrer? En sikkerhetstest kan gi håndfaste beviser for at internkontrollen ikke fungerer tilfredsstillende. Den kan peke i retningen av bakenforliggende årsak ved at symptomene oppdages. 15 Advisory

16 System1 Applikasjon Database Operativsystem System2 Applikasjon Database Operativsystem 1. Oppkopling og kommunikasjon Prosess1 Prosess2 Prosess3 I hvilken grad kan vi benytte uautorisert utstyr? - Policy: OK at uautorisert utstyr kan koples til og kommunisere med nettverket? - EKSEMPEL? - Hvilke kontroller eksisterer for å hindre uautorisert utstyr på nettverket? - Vil uautorisert utstyr oppdages? I hvilken grad kan vi benytte virksomhetens eget utstyr til å utføre uautoriserte handlinger? - Policy: OK at deres eget utstyr kan benyttes til å kjøre uautorisert software? - Hvilke kontroller eksisterer for å hindre at virksomhetens eget utstyr benyttes? Nettverk 16 Advisory

17 17 Advisory

18 System1 Applikasjon Database Operativsystem System2 Applikasjon Database Operativsystem 2. Kommunikasjon og kartlegging Prosess1 Prosess2 Prosess3 Nettverk I hvilken grad er det mulig å kommunisere med internett? - Er det nødvendig og hensiktsmessig at alle ansatte har direkte tilgang til internett? (Tjenestelig behov?) - Hva er mulig å laste ned? Kjøre på lokal maskin på nettverket? Hva ser vi når vi kun lytter? - Konfidensiell informasjon? Passord? Er det mulig å snappe opp passord på nettverket? - Mange applikasjoner (inkl. internett-sites) sender login-credentials i klartekst - SYNKRONISERING Verktøy: Cain & Abel, Ethereal, Ettercap, John the Ripper 18 Advisory

19 3. Aktiv fase, kartlegging Utlån System1 Applikasjon Database Innlån Andre proses ser System2 Applikasjon Database Operativsystem Operativsystem Hvilke maskiner har vi tilgang til og hvilke tjenester tilbyr disse? - Andre kontorer? - Samarbeidspartnere? - Andre nettverk? - Hvilke uautoriserte aktiviteter blir oppdaget? Hvilke operativsystemer, applikasjoner og versjoner ser vi? - Velkjente sårbarheter? Verktøy: nmap, nessus 19 Advisory

20 20 Advisory

21 3. Aktiv fase, kartlegging Utlån System1 Applikasjon Database Innlån Andre proses ser System2 Applikasjon Database Operativsystem Operativsystem Kartlegging av windows-maskiner: - Mulig å logge på fellesområder uten passord (anonymt)? - Mulig å hente ut brukerinformasjon? (Navn) - Mulig å få ut passordpolicy? - Lockout-policy? - Hente ut passord-database? Kartlegging av andre enheter - Linux, Sun, Mac, Switcher, Rutere, FWs - Bruk av fjernadministrasjonsverktøy? Verktøy: enum, nbtenum, ftp, telnet, VNC, remote desktop, google 21 Advisory

22 4. Aktiv fase, utnyttelse av sårbarheter Utlån System1 Applikasjon Database Innlån Andre proses ser System2 Applikasjon Database Operativsystem Operativsystem Logge på anonymt Søke etter passord i klartekst på fellesområder Søke etter sensitiv informasjon på fellesområder Logge på med sniffede passord (ikke uten godkjennelse) Teste databaser for tilgang - Hente ut passord og brukernavn - NB! TESTSYSTEMER Knekke passord Eskalering av rettigheter Verktøy: net use, Win søk, opwg, orabf, Cain&Abel, l0phtcrack 22 Advisory

23 5. Sammenstille med risikobildet, f.eks: Utlån System1 Applikasjon Database Innlån Andre proses ser System2 Applikasjon Database Operativsystem Operativsystem 1. Penger flyttes uautorisert - Kan vi opptre som andre personer i systemene? - Hvilke forretningssystemer kan vi logge på? - Kan vi utføre transaksjoner? Hvordan vil disse spores? 2. Uautorisert tilgang til forretningskritisk informasjon Hvilken informasjon har vi fått tilgang til? 3. Hærverk mot bankens/felles IT-infrastruktur Hvilke systemer har vi tilgang til, og i hvilket nivå? HÅNDFASTE REVISJONSBEVISER FAKTA Etter sikkerhetstesten kommer den viktigste jobben: Tiltak og oppfølging! - Tiltakene må rettes mot organisasjon og prosess still spørsmålet Hva er ÅRSAKEN til at de oppdagede avvikene/svakhetene er oppstått. 23 Advisory

24 En IT-sikkerhetstest gir et snapshot av teknisk sikkerhet på det aktuelle tidspunkt Dagens organisering Dagens produkter/ tjenester Et sikkerhetsparadigme Gitte samarbeidspartnere System- Konfigurasjon/ IT-Sikkerhet Definert brukermasse Teknologien som er i bruk Lover og regler Dagens versjoner av software 24 Advisory

25 Agenda Hvilket risikobilde står bankene overfor mht. intern IT-sikkerhet Hvordan tester vi den interne IT-sikkerheten (det tekniske perspektivet) Hvordan skal finansinstitusjonene håndtere risikobildet 25 Advisory

26 Iboenerisikobilde finans intern risiko Konsekvens Lav Medium Høy Aldri > ? > ? < ? 5-50 år? 26 Advisory RISKOMATRISE år? Lav Medium Høy Sannsynlighet 2 <1 år? 1 1. Penger flyttes uautorisert 2. Uautorisert tilgang til forretningskritisk informasjon 3. Hærverk mot bankens/felles ITinfrastruktur Tverrfaglige risikoog sårbarhetsanalyser

27 Faktorer som påvirker sikkerheten Mikko Hyppönen (F- Secure) til Computerworld: [Brukerne] stoler fremdeles alt for mye på oss Teknologi Entydige roller og ansvar oppfølging Sikkerhetspolicy Arkitektur-revisjon Organisasjon Retningslinjer sikkerhetsrevisjoner Konfigurasjonsstyring Endringsledelse Informasjonssikkerhet Sikkerhetskompetanse bedriftskultur opplæring Sikkerhetssamtale IT-revisjon Prosess Hendelsesrapportering Overvåkningsverktøy Sikkerhetsoppdatering 27 Advisory

28 28 Advisory

29 Takk for oppmerksomheten 29 Advisory