Statistikker, metrikker og rapporter for bedre felles sikkerhet

Like dokumenter
Metoder og verktøy i operativt sikkerhetsarbeid

Avvikshåndtering og egenkontroll

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien

Trusler, trender og tiltak 2009

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

NiSec Network Integrator & Security AS ALT UNDER KONTROLL

GÅRSDAGENS TEKNOLOGI

Hvordan stå bedre rustet mot et målrettet angrep Watchcom Security Group AS

Elhub - Milepæl 2 Uttrekk av grunndata til DAM

Retningslinje for risikostyring for informasjonssikkerhet

Rikets tilstand. Norsk senter for informasjonssikring. Telenor Sikkerhetssenter TSOC

Forelesning 4: Kommunikasjonssikkerhet

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

Obligatorisk oppgave nr 2 i datakommunikasjon. Høsten Innleveringsfrist: 04. november 2002 Gjennomgås: 7. november 2002

Erfaringer med nedbørmåling i Molde kommune. Magne Roaldseth

BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN

Slik stoppes de fleste dataangrepene

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

Kom i gang med InfoWeb Select. - Finn dine beste kunder, og målrett markedsføringen!

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

F-Secure Anti-Virus for Mac 2015

netsense...making sense of IT

Hummerfisket arbeidsrapport

SLUTTEKSAMEN. Emnekode: 6003 Informasjonsbehandling Studiepoeng for emnet: 7,5 100%

Blant de mest omtalte Internett tilpassningene i dag er brannmurer og virtuelle private nett (VPN).

Prosjektbeskrivelsen består av

en arena for krig og krim en arena for krig og krim?

Evaluer & iverksett personvernarbeidet

SIKKERHET OG SÅRBARHET

Ifølge Stortingsmelding nr. 17 ( ) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Sikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres

INF329,HØST

Sikkerhetsarbeid i GigaCampus. 7. september 2005 Per.A.Enstad@uninett.no

Bruker dokumentasjon Web sikkerhet. Universitet i Stavanger

Partnerskap. hva er det? hva kan det brukes til? hva er fellene? noen anbefalinger.

Hva er sikkerhet for deg?

Både føre vár og etter snar. Om Shift Right og Forebyggende Vedlikehold

Kapittel 4: Transportlaget

Ungdomstrinn- satsing

Trusler og mottiltak Mike Andersen Dell SecureWorks

Kapitel 1: Komme i gang...3

Om kartlegging av digital sikkerhetskultur

Læreplan videregående dommerkurs NAF

TRUSLER, TRENDER OG FAKTISKE HENDELSER

Gradert ROS. Fellesnemda 25 april Beredskapskoordinator Tore Sem, Ørland kommune

«State of the union»

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER

NASJONAL SIKKERHETSMYNDIGHET

Følger sikkerhet med i digitaliseringen?

Veileder for bruk av tynne klienter

Angrep. Sniffing ( eavesdropping )

Lisensavtale og generelle bestemmelser

PERSONVERNERKLÆRING FACE.NO

Veiledning for aktivering av. Mobil Bredbåndstelefoni

Forprosjektrapport Sikkerhetskultur i IKT driftsorganisasjon

Prosjektbeskrivelsen består av

Månedsrapport Mai 2005

Østnytt 21. mars 2012, NorDan Otta:

Privatskolesamling 24. mars Innledning. Mina Verlo Grindland / Avdeling for statistikk

IT Service Management

Kvalitetsstempling av dataprodukter

Lysneutvalget

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Resymé: I denne leksjonen vil vi se på typer brannmurer, konfigurering av brannmurer og IDS

A G E N D A. 15 min 60 min 30 min 0 min

Sikkerhet og internett. Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet

HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? NASJONAL SIKKERHETSMYNDIGHET

Vocational school abroad with a shadow teacher at home Yrkesfaglig skole i utlandet med en skyggelærer hjemme

TMA4245 Statistikk: MTBYGG, MTING

Kongsberg Your Extreme. Fra Disney princesses

VEST POLITIDISTRIKT. Trusselbildet. Politioverbetjent Pål Tore Haga Radikaliseringskoordintator Vest pd Side 1

Organisert kriminalitet i Norge

Øyvind N. Jensen, Norconsult Informasjonssystemer

Krav til utførelse av Sikringsrisikovurdering

Viktige læringsaktiviteter

Så hva er affiliate markedsføring?

Forsterkerkartlegging

Regjeringens strategi for bekjempelse av hvitvasking, finansiering av terror og finansiering av spredning av masseødeleggelsesvåpen

Modellering av fart for vanlig sykkel og elsykkel

PERSONVERN I C-ITS

Brukerhåndbok for Nokias musikkstasjon MD utgave

De nasjonale e-helseløsningene i Direktoratet for e-helse og nye personvernregler. Maryke Silalahi Nuth Normkonferansen

Cybersikkerhet hva er det og hva er utfordringene? Karsten Friis

«Dataverdens Trygg Trafikk»

Nøkkelinformasjon. Etatsstyring

Håkon Olsen Overingeniør Lloyd s Register Consulting

Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett

Mange definisjoner. Hva er datagruvedrift (data mining)?

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Psykologisk kontrakt - felles kontrakt (allianse) - metakommunikasjon

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE

PC til elever på Hebekk skole

TMA4240 Statistikk H2010

Utfordring. TMA4240 Statistikk H2010. Mette Langaas. Foreleses uke 40, 2010

Huldt & Lillevik Ansattportal. - en tilleggsmodul til Huldt & Lillevik Lønn. Teknisk beskrivelse

Denne uken: kap : Introduksjon til statistisk inferens. - Konfidensintervall - Hypotesetesting - P-verdier - Statistisk signifikans

Skatteetatens trusselbilde og strategi for bekjempelse av arbeidsmarkedskriminalitet. Tor Kristian Gulbrandsen, Metodeutvikling Skattedirektoratet

Komparative design. Forelesning 12 Mer om kvantitative forskningsdesign. Sammenligninger av to eller flere case i rom og tid

Transkript:

Statistikker, metrikker og rapporter for bedre felles sikkerhet

Kan vi måle sikkerhet? Logger er opphav til mye nyttig informasjon Men du verden så mye annet også De som gir råd om analyse snakker ut fra et generelt perspektiv Logger fra blant annt IDSer, Brannmurer, Netflow, arbeidstasjoner kan gi svært spesifikk og viktige sikkerhetsmetrikker

Metrikker må være gjenkjennbart Antall portscannere per dag er et eksempel på hva man kan se. Det er mye av det, alle er utsatt for det, og det kan være mange forskjellige hensikter. Gode metrikker: Utvetydige og meningsfulle for en forutbestemt hensikt, og lesbar for en sikkerhetsanalytiker Å måle for å få en metrikk bør ikke koste mye, verken i midler eller trafikkforstyrrelse. Målinger skal gjøres med samme metode, med tilstrekkelig intervall mellom målinger, og helst med automatiske metoder.

Hver metrikk har sitt publikum Antall portscannere per dag er fint for analytikerne, men er av mindre verdi for ledelsen Metrikker kan for eksempel tiltenkes Teknikere Operative sikkerhetsanalytikere Strateger Ledelse

Metrikker må ha en kontekst Antall portscannere per dag gir ingen mening om man ikke vet hva som er normalen. Man må kjenne baseline. Kunnskap om omgivelsene: For eksempel: Dersom det er mye falske positiver må man ta dette med i beregningen nå man danner seg et bilde av aktiviteten. Av og til gir også andres data en viktig kontekst Trusselbildet blir tydeligere

Flere ledd i datainnsamling Det blir store mengder data, som stiller høye krav til MINST maskinvare og analytikere (potensielt også finansene) Selv om man benytter seg av sampling for å dra ut data vil det være formålstjenlig å ha tilgang til de opprinnelige data dersom resultatene fører til grundigere undersøkelser

Feil som oppstår IDSer er sensitive til falske positiver, spesielt om der er store mengder falske positiver IDSer (eller brannmurer) som blir utsatt for ondsinnet trafikk fra the usual suspects kan rapportere dette kontinuerlig, og dette kan forvirre de metrikker man faktisk er ute etter Tuning av disse verdiene, kontinuerlig oppfølging

Innsamling av data for informasjon Man kan korrelere data for å kunne gjenkjenne visse typer angrep Man kan også lage nye egne metrikker for dette Dette er metrikker som kan deles Det er også metrikke som det tjenes penger på Blacklist-baserte metrikker er alltid nyttig, med eller uten korrelering C&C, TOR, kjente skadevarekilder, kjente kompromitterte Man kan gå dypt å for eksempel logge feil protokoll, feil bruk av en protokoll (f.eks. ulovlige flagg i TCP eller forsøk på å svare på ikke-etablerte sesjoner) Man kan benytte slike data i forbindelse med geografisk sperring På enkeltmaskiner kan man loggen endringer i executables, men da må man vite hva man har. Det gjelder alt.

Innsamlig av data til informasjon II Generelt vil man kunne skape metrikker ved å observere status quo (ikke bandet), f.eks Ulovlige enheter på nettverket Ulovlige minnepinner Alle disse kan også snevres inn, særlig for kontekst Variasjon i trafikkvolum Ha oversikt over ordinær datamengde eksfiltrasjon av data illegitim nedlasting av payload Ulovlige innlogginger (kontekst: var det lovlige?) Alerter på suspekt og/eller usannsynlig brukeraktivitet f.eks. innlogging fra flere steder, rare steder eller på rare tider (dette blir dog fort brennbart) Hvis man også logger mengde av vanlige data som f.eks. HTTP 4xx eller 200 OK vil dette f.eks kunne være indikasjon på DDoS

Trusselbildet I dag er det et gap mellom det myndigheter uttrykker om trusselbildet og det som understøttes ved statistiske data eller rapporter. Det nasjonale trusselbildet som foreligger for bransjen er ikke-transparent. Politiske motiver og vilje til å ta de rette beslutninger på departementsnivå bør være fundert i realistiske metrikker.

Trusselvurdering for bransjen ut fra statistikker og metrikker Man må kunne samle relevante data, f.eks. antall portscannere per dag totalt, og bevegelser i hvem som er utsatt for dette. Metoden må ha lav kostnad, gjøres på lik måte hver gang og helst være automatisk Metoden må ikke ha negative konsekvenser for selskapene, også mht sikkerhetspolicier og GDPR.

Trusselvurdering fra metrikker Hva er trusselbildet for en enkelt tjeneste hos et selskap? Hva er trusselbildet på tvers? Kanskje noen prøver forskjellige angrep på samme tjeneste hos forskjellige selskap. Krysskorrelering av data i enkeltselskap gir metrikker for egne trusler Krysskorrelering på tvers av selskapene gir metrikker både for enkeltselskap, tuning-data og verdifull informasjon for kritisk infrastruktur

Hva kan man se når man ser flere Early warning for andre Angrep kamuflert som mundan støy Angrep kamuflert i andre angrep

Spørsmål? Ta kontakt på cert@kraftcert.no eller margrete.raaum@kraftcert.no

Statistikker, metrikker og rapporter for bedre felles sikkerhet

Kan vi måle sikkerhet? Logger er opphav til mye nyttig informasjon Men du verden så mye annet også De som gir råd om analyse snakker ut fra et generelt perspektiv Logger fra blant annt IDSer, Brannmurer, Netflow, arbeidstasjoner kan gi svært spesifikk og viktige sikkerhetsmetrikker

Metrikker må være gjenkjennbart Antall portscannere per dag er et eksempel på hva man kan se. Det er mye av det, alle er utsatt for det, og det kan være mange forskjellige hensikter. Gode metrikker: Utvetydige og meningsfulle for en forutbestemt hensikt, og lesbar for en sikkerhetsanalytiker Å måle for å få en metrikk bør ikke koste mye, verken i midler eller trafikkforstyrrelse. Målinger skal gjøres med samme metode, med tilstrekkelig intervall mellom målinger, og helst med automatiske metoder.

Hver metrikk har sitt publikum Antall portscannere per dag er fint for analytikerne, men er av mindre verdi for ledelsen Metrikker kan for eksempel tiltenkes Teknikere Operative sikkerhetsanalytikere Strateger Ledelse

Metrikker må ha en kontekst Antall portscannere per dag gir ingen mening om man ikke vet hva som er normalen. Man må kjenne baseline. Kunnskap om omgivelsene: For eksempel: Dersom det er mye falske positiver må man ta dette med i beregningen nå man danner seg et bilde av aktiviteten. Av og til gir også andres data en viktig kontekst Trusselbildet blir tydeligere

Flere ledd i datainnsamling Det blir store mengder data, som stiller høye krav til MINST maskinvare og analytikere (potensielt også finansene) Selv om man benytter seg av sampling for å dra ut data vil det være formålstjenlig å ha tilgang til de opprinnelige data dersom resultatene fører til grundigere undersøkelser

Feil som oppstår IDSer er sensitive til falske positiver, spesielt om der er store mengder falske positiver IDSer (eller brannmurer) som blir utsatt for ondsinnet trafikk fra the usual suspects kan rapportere dette kontinuerlig, og dette kan forvirre de metrikker man faktisk er ute etter Tuning av disse verdiene, kontinuerlig oppfølging

Innsamling av data for informasjon Man kan korrelere data for å kunne gjenkjenne visse typer angrep Man kan også lage nye egne metrikker for dette Dette er metrikker som kan deles Det er også metrikke som det tjenes penger på Blacklist-baserte metrikker er alltid nyttig, med eller uten korrelering C&C, TOR, kjente skadevarekilder, kjente kompromitterte Man kan gå dypt å for eksempel logge feil protokoll, feil bruk av en protokoll (f.eks. ulovlige flagg i TCP eller forsøk på å svare på ikke-etablerte sesjoner) Man kan benytte slike data i forbindelse med geografisk sperring På enkeltmaskiner kan man loggen endringer i executables, men da må man vite hva man har. Det gjelder alt.

Innsamlig av data til informasjon II Generelt vil man kunne skape metrikker ved å observere status quo (ikke bandet), f.eks Ulovlige enheter på nettverket Ulovlige minnepinner Alle disse kan også snevres inn, særlig for kontekst Variasjon i trafikkvolum Ha oversikt over ordinær datamengde eksfiltrasjon av data illegitim nedlasting av payload Ulovlige innlogginger (kontekst: var det lovlige?) Alerter på suspekt og/eller usannsynlig brukeraktivitet f.eks. innlogging fra flere steder, rare steder eller på rare tider (dette blir dog fort brennbart) Hvis man også logger mengde av vanlige data som f.eks. HTTP 4xx eller 200 OK vil dette f.eks kunne være indikasjon på DDoS

Trusselbildet I dag er det et gap mellom det myndigheter uttrykker om trusselbildet og det som understøttes ved statistiske data eller rapporter. Det nasjonale trusselbildet som foreligger for bransjen er ikke-transparent. Politiske motiver og vilje til å ta de rette beslutninger på departementsnivå bør være fundert i realistiske metrikker.

Trusselvurdering for bransjen ut fra statistikker og metrikker Man må kunne samle relevante data, f.eks. antall portscannere per dag totalt, og bevegelser i hvem som er utsatt for dette. Metoden må ha lav kostnad, gjøres på lik måte hver gang og helst være automatisk Metoden må ikke ha negative konsekvenser for selskapene, også mht sikkerhetspolicier og GDPR.

Trusselvurdering fra metrikker Hva er trusselbildet for en enkelt tjeneste hos et selskap? Hva er trusselbildet på tvers? Kanskje noen prøver forskjellige angrep på samme tjeneste hos forskjellige selskap. Krysskorrelering av data i enkeltselskap gir metrikker for egne trusler Krysskorrelering på tvers av selskapene gir metrikker både for enkeltselskap, tuning-data og verdifull informasjon for kritisk infrastruktur

Hva kan man se når man ser flere Early warning for andre Angrep kamuflert som mundan støy Angrep kamuflert i andre angrep

Spørsmål? Ta kontakt på cert@kraftcert.no eller margrete.raaum@kraftcert.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding