M Y P E N D I U M Et tema-kompendium fra mymayday.com mypendium FRA MALWARE TIL WARFARE OM MALWARE, RISIKO, UTILSTREKKELIGE VERKTØY OG HVORDAN NYE INNFALLSVINKLER KAN SNU EN NEGATIV SPIRAL. April 2012 Malware har gjort livet surt for IT-verden siden 2007. Utilstrekkelige verktøy, halve verden infisert og situasjonen blir verre år for år. Bedre motivasjon for å tenke annerledes er vanskelig å finne. Veien tilbake til god IT-sikkerhet starter med pragmatisme og fortsetter med utnyttelse av muligheter. Mange av dem finnes allerede. Flere er underveis. Team Mellvik as Postboks 155 NO-1556 SON T 988 66 007 www.mymayday.com info@mymayday.com
Temafokus for IT-markedet Et mypendium er en tema-orientert samling analyser og kommentarer fra mymayday.com. Konsolidert, oppdatert, utvidet og tilrettelagt for å øke nytteverdien og effektivisere bruken av innholdet i tema-orienterte settinger: Strategi-diskusjoner, tekniske veivalg, budsjett-prosesser og i forbindelse med intern opplæring. Som betegnelsen indikerer et kompendium. Et verktøy som øker anvendeligheten av fagstoffet på mymayday.com. Et mypendium fra mymayday.com Av Helge Skrivervik Utgitt av Team Mellvik as, Postboks 155, 1556 SON T 988 66 007 9201 7146 info@mymayday.com www.mymayday.com Redaksjonen avsluttet: April 2012 ISBN 978-82-91519-21-0 (pdf) ISBN 978-82-91519-22-7 (ibook) Copyright 2012 Team Mellvik as Kopiering uansett format kun etter avtale med utgiver. Et mypendium fra mymayday.com" 1" 2012 Team Mellvik as
IT-sikkerhet: Fra desperasjon til pragmatisme IT-sikkerhet er en business, en profesjon og en gigantisk utfordring. Av mange årsaker. Av så mange årsaker at det er mulig å miste oversikten. Trusselbildene er uoversiktlige, risikoprofiler og angrepsvektorer likeså. Halve verden er virkelig malware-infisert uten at vi kan gjøre noe med det på kort sikt. Selv oversikten over hvilke verdier vi egentlig sitter på, er mangelfull. Av historiske årsaker. IT-verden kneler under egen suksess: Vi har lykkes i å konvertere verden fra analog til digital, men ikke rukket å agere på suksessen. Dermed arkiverer, sikrer og beskytter vi enorme digitale søppelhauger i stedet for å selektivt sikre etter behov. Malware og uoversiktlige datamengder er to av elementene som gjør dagens sikkerhetssituasjon uholdbar. Den negative spiralen startet i 2007 da tradisjonell virus ble avløst av moderne malware og slo bena under alle etablerte forsvarsverker. Helt på fote igjen har forsvarssiden aldri kommet, og i 2012 er det rimelig å spørre seg om malware kan bekjempes eller bare begrenses. Svaret kommer an på perspektivet: Begrensing på kort sikt, bekjempelse på lang sikt. Fordi betydelige deler av dagens IT-plattformer ikke lar seg sikre og i realiteten har gått ut på dato. For å komme på offensiven, trenger markedet en IT-sikkerhets-reset. En tilbake-til-start øvelse. En gjenintroduksjon av sunn fornuft som element i ligningen. Motivasjon til å flytte aktivitetene fra symptom-kurering til fjerning av underliggende årsaker. Kurering av symptomer som er hva vi har gjort de siste 25 årene er som å trå vannet. Det holder oss flytende, men flytter oss ikke mot land eller fast grunn. Den bakenforliggende årsaken til denne langvarige trå-vannet-øvelsen er ikke manglende forståelse for sammenhengene eller utfordringene, men en generell oppfatning av at den nødvendige behandlingen har vært verre enn sykdommen. Når oppfatningen nå sakte, men sikkert endres, er årsaken nye strømmer i vannet som gjør situasjonen er uholdbar. Markedet driver mot fastere grunn så og si: Nye plattformer, moderne arkitekturer, bygget med sikkerhet som implisitt parameter i stedet for utenpå, i ettertid. Vår utfordring som IT-profesjonelle og sikkerhetsansvarlige er å se og utnytte mulighetene etterhvert som de blir tilgjengelige, og samtidig ta hånd i hanke med kompleksitets-driverne som har vanskeliggjort effektiv sikring i et tosifret antall år. Herværende utgave av mypendium er et bidrag til å bootstrappe denne prosessen. Komme i gang, se og utnytte muligheter, redusere forvirring og parkere salgskåte leverandører som gjerne vil selge løsning på mer eller mindre teoretiske problemer når gamle trusselbilder blir borte. Et mypendium fra mymayday.com" 2" 2012 Team Mellvik as
Om innholdet I første del spenner vi opp et lerret og presenterer virkeligheten uten pynt: Malware er ITverdens pest. Malware: Big Storm Rising forteller hvordan sikkerhetsverden ble satt på hodet i 2007, beskriver nykommeren som ble rollemodell både teknisk og konseptuelt for en industri som i dag omsetter for milliarder av USD på årsbasis. Innsikt i hvordan malware fungerer er essensielt for å forstå trusselbilder og risiko på den ene siden, og kompleksiteten i forsvaret på den andre. Situasjonen og utviklingen utdypes videre i Mega-D, Stuxnet og den første hjemmeseier, før vi gjør opp status i 2012: Uværet fortsetter. Enkelte lyspunkter til tross, finnes det fortsatt ingen effektive forsvarsmekanismer. Produkter og tjenester på markedet finner og fjerner i beste fall halvparten av malware-variantene som muterer med eksplosiv hastighet. Konklusjonen fra første del er entydig. Situasjonen er uholdbar. Markedet som hittil har evaluert kuren som verre enn sykdommen, har endret innstilling med god hjelp av faktorer vi var inne på ovenfor: Smertegrensen er passert og nye behandlingsalternativer har dukket opp. Innstillingen endres fra det går nok en stund til til nok er nok. Tiden er moden for å avløse symptomkurering med fokus på fjerning av de underliggende årsakene. Endringen skaper energi og kreativitet. Og aksept for at noen av tiltakene blir drastiske: Et plattformskifte er uunngåelig og trekker med seg et arkitekturskifte. Prosessen har allerede startet i realiteten en del av industrialiseringen IT-sektoren gjennomgår i disse dager. Sett fra en sikkerhets-synsvinkel blir prosessen todelt. Første del består i å optimalisere dagens situasjon, flytte nivået fra uholdbart til akseptabelt. Det er både ironisk og inspirerende at pragmatisme og sunn fornuft utgjør en vesentlig del av ammunisjonen i den forbindelse. Gamle, ofte glemte, erkjennelser kombinert med nye innfallsvinkler kan snu en tilsynelatende umulig situasjon til et akseptabelt mellomspill. Vi bringer dem til heder og verdighet igjen i Tenk risiko, glem sikkerhet og viderefører den pragmatiske tankegangen i Sikkerhet er aldri viktigst. Andre fase har i sin tur to hovedingredienser: Nye tjeneste-arkitekturer, der riktig sikkerhet bygges inn i tjenestene, og nye klienter. Begge resultater av naturlig utvikling som forlengst er i gang, og som introduseres i Det grenseløse nettverket: Praktiske steg mot et nytt nivå ved å utnytte forandring som allerede er et faktum. Resultatet er forenkling, forbedring og fleksibilitet både generelt og i forhold til sikring: Sikkerhetsnivået kan velges i stedet for å presses. Et mypendium fra mymayday.com" 3" 2012 Team Mellvik as
Malwarebeskyttelse med DNS er på flere måter en variant over samme tema: En ny idé anvendt på eksisterende virkelighet, med potensiale til å redusere eksponeringen uten å verken syns eller merkes. En idé under uttesting og en måte å tenke på som inspirerer. Vi avslutter med å slå an tonen for den nære fremtiden: I Fra desperasjon til pragmatisme oppsummerer vi først virkeligheten i tall fra Sophos, Cisco og flere. I seg selv er tallene mest egnet til å skape desperasjon. Med de foregående kapitlene som bakteppe, leverer de først og fremst realisme. Et ytterligere incitament til å tenke annerledes, flytte fokus fra symptomene til årsakene. Og en påminnelse om at optimal sikkerhet handler mer om forståelse og aksept enn om mekanismer, UTM og Security as a Service. Inklusive forståelse for at samtlige elementer i ligningen er i bevegelse. Truslene, mulighetene, behovene, tjenestene og mye mer. Med andre ord: Tallene er håpløse, situasjonen er krevende. Samtidig: Industrialiseringen av IT, en prosess hele verden har startet, vil implisitt bidra til riktigere sikring og bedre sikkerhet. Bli med på en pragmatisk reise. Et mypendium fra mymayday.com" 4" 2012 Team Mellvik as
Innhold Malware: Big Storm Rising! 6 The Storm Worm unik, uslåelig og uakseptabel" 6 Fra Storm til krig" 9 Mega-D, Stuxnet og den første hjemmeseier! 11 Identifisere, diagnostisere, terminere" 11 Globalt problem, lokal utfordring" 12 Kurering av symptomer" 13 2012: Uværet fortsetter 14 Ri stormen av " 14 Tenk risiko, glem sikkerhet! 16 Fra risiko til sikkerhet" 16 Risiko Sikring Sikkerhet" 18 Fra tanke til handling" 19 Sikkerhet er aldri viktigst 21 Det grenseløse nettverket 23 Hvor ble det av trafikken?" 24 Kontakt med virkeligheten" 24 Det grenseløse nettverket" 24 Fra holdning til handling" 25 Bottom Line" 27 Malware-beskyttelse med DNS 29 Filtrering med bismak" 29 Fra desperasjon til pragmatisme 31 Mål nr. 1: Redusert eksponering" 32 Mål nr. 2: Balansert sikkerhet" 34 Et mypendium fra mymayday.com" 5" 2012 Team Mellvik as
Storm-viruset eller ormen, som er den korrekte betegnelsen ble oppdaget i januar 2007. I løpet av det påfølgende året lærte IT-markedet en unik lekse: At det meste av etablert kunnskap og sannheter om beskyttelse og sikring hadde gått ut på dato. Hva gjør vi når vi blir konfrontert med en trussel vi ikke kan beskytte eller forsvare oss mot? 1. Malware: Big Storm Rising! Januar 2007: Storm-viruset egentlig en orm slo bena under samtlige kjente beskyttelses- og forsvarstiltak, og startet en ny tidsregning for sikring og beskyttelse av IT-systemer. Det tok mer enn et år for beskyttelsesindustrien å komme tilbake til knestående. Der står den fortsatt mens anslagsvis 250 millioner Windows-baserte PCer er med i sleeper cells - sovende medlemmer i internasjonale botnett. Den kjente sikkerhets-eksperten Bruce Schneier oppsummerte utfordringen (Crypto- Gram 15/10-2007) etter at hele IT-sikkerhetsverden hadde famlet mer eller mindre i blinde i over 6 måneder: Redesigning the Microsoft Windows operating system would work, but that's ridiculous to even suggest. Creating a counterworm would make a great piece of fiction, but it's a really bad idea in real life. We simply don't know how to stop Storm, except to find the people controlling it and arrest them. The Storm Worm unik, uslåelig og uakseptabel Vi vet av erfaring at programmerere av toppklasse kan gjøre underverker. Dyktige programmerere forstår teknologien, sammenhengen, infrastrukturen og verktøyene som til sammen blir muligheter. Erfaring har også lært oss at dyktighet og redelighet ikke nødvendigvis følger hverandre. The Storm Worm synliggjorde disse erfaringene med ubehagelig presisjon: Om ikke akkurat genialt, så var produktet så sinnrikt konstruert at det unngikk alle kjente og tenkelige tiltak for beskyttelse og deteksjon, og var umulig å få has på. Det eneste den trengte var et offer, et miljø å vokse og trives i. Ofrene fantes, finnes fortsatt og heter Windows. Et mypendium fra mymayday.com" 6" 2012 Team Mellvik as