TRUSLER, TRENDER OG FAKTISKE HENDELSER Sikkerhet & Sårbarhet 05.05.2015, Marie Moe (NSM/SINTEF) SLIDE 1
AGENDA Trusler og trender: Hva ser vi? Faktiske hendelser: Hva skjer? Hendelseshåndtering: Hva kan vi gjøre? SLIDE 2
NorCERT NORWEGIAN COMPUTER EMERGENCY RESPONSE TEAM NorCERT er Norges nasjonale senter for å håndtere alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon. NorCERT skal også produsere et oppdatert nasjonalt IKT-risikobilde. Operasjonssenter 24/7 bemannet Varsler om alvorlige angrep, trusler og sårbarheter Nasjonalt kontaktpunkt Utstrakt samarbeid nasjonalt og internasjonalt Drifter sensornettverket VDI SLIDE 3
Trusler og trender Hva ser vi? SLIDE 4
ANTALL ALVORLIGE HENDELSER 100 90 80 70 60 50 40 30 20 10 0 2011 2012 2013 2014 SLIDE 5
HVA ER TRUSLENE? Kaosaktører Politiske protester Rampestreker Økonomisk krim Krise / Krig Sabotasje Spionasje Kompetente, ressurssterke aktører Samfunnsverdi Nasjonal sikkerhet 6
HVORDAN BLIR MAN HACKET?
TRENDER Økning i DDoS Innloggingsinformasjon på avveie Flere alvorlige sårbarheter Destruktiv skadevare/løsepengevirus Vannhullsangrep og spearphishing i kombinasjon SLIDE 8
HVORFOR ER VANNHULL BLITT EN TREND? Lettere å lure observante brukere Omgår flere tradisjonelle sikkerhetsløsninger Vanskelig å etterforske Potensiale for masse-kompromittering VS SLIDE 9 Illustrasjon: colourbox
HVA ØNSKER ANGRIPER Å OPPNÅ? Rekognisering og profilering Forberedelse til påfølgende nettverksoperasjoner Stjele påloggingsinformasjon Levere skadevare Opprette fotfeste og bevege seg videre inn i virksomhetens nettverk SLIDE 10 Illustrasjon: colourbox
Eksempler fra faktiske hendelser Hva skjer? SLIDE 11
SLIDE 12!7
SLIDE 13
SLIDE 14
SLIDE 15
Kilde: http://xkcd.com/1328/ SLIDE 16
TILTAK OG ANBEFALINGER Hva kan vi gjøre? SLIDE 17
HVORDAN FOREBYGGE DIGITAL SPIONASJE? Kjenn dine verdier! Vanlige reaksjoner: Vi har da ingenting av verdi for andre Vi forstår ikke hvorfor vi utsettes for dette SLIDE 18
VANLIGE UTFORDRINGER Vi ser både teknologiske, organisatoriske og menneskelige utfordringer når datainnbruddet er et faktum: Panikk Lammelse Kaos Inkompetanse Utbrenthet og maktesløshet Apati Dette kan unngås ved å være forberedt og ha en plan! SLIDE 19
HVORDAN VÆRE FORBEREDT? Driftsavdeling God oversikt over eget nettverk og egne systemer Kontroll på tilgang og segmentering Rask oppdatering av systemer Hva med skytjenester? Har dere kontroll? Sikkerhetsavdeling Overvåkning av nettverkstrafikk Dyktige medarbeidere som jakter på inntrengere og unormal oppførsel Følger med på trusselbildet og nye sårbarheter Oppdager uønsket aktivitet i nettverk og systemer Beredskapsplan Tydelig avklarte ansvarsforhold Eskaleringsrutiner og kontaktinformasjon Konkret nok til å gi besluttende og utøvende personell støtte til håndtering av hendelser Beredskapsplanen bør øves! SLIDE 20
HVORDAN OPPDAGE DIGITAL SPIONASJE? Trafikklogger Autentiseringslogger Administrasjonslogger Sikkerhetslogger E-postlogger SLIDE 21 Last ned heftet her: bit.ly/digitalspionasje
HVA GJØR NSM NorCERT? Følger med på nye trusler og sårbarheter Deteksjon og varsling Råd og veiledning om hendelseshåndteringen Koordinering av håndtering i saker hvor flere er involvert Analyse av logger, filer og lagringsmedia Korrelasjon av tekniske indikatorer mellom saker Rapportering og informasjonsdeling SLIDE 22
SLIK STOPPER DU DATAANGREPENE Oppgrader program- og maskinvare Installer sikkerhetsoppdateringer så fort som mulig Ikke tildel sluttbrukere administrator-rettigheter Blokker kjøring av ikke-autoriserte programmer Aktiver kodebeskyttelse mot ukjente sårbarheter Herde applikasjoner Bruk klientbrannmur Bruk sikker oppstart og diskkryptering Bruk antivirus / anti-malware Ikke ta i bruk flere applikasjoner og funksjoner enn nødvendig Les mer: http://nsm.stat.no/blogg/enkle-tiltak-mot-dataangrep/ SLIDE 23
Takk for oppmerksomheten! Hendelser: norcert@cert.no Andre henvendelser: post@cert.no Vakttelefon: 02497 24 @NorCERT SIKRE SAMFUNNSVERDIER