Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen 1
Agenda Security Awareness Har du slått på den sosiale brannmuren? Demonstrasjoner Manipulert SMS Telefon / rom avlytting Falsk e-post og CryptoLocker Utnyttelse av fysisk tilgang (exploit) Spørsmål 2
Jens Kristian Roland Utdannelse fra forsvaret og politiet Kripos ØKOKRIM Kystjegerkommandoen Master i Informasjonssikkerhet (pågående) Arbeidet i 15 år fulltid med Datakriminalitet Internasjonal erfaring Interpol Europol FBI Sertifiseringer ISO 27005 Risk Manager EnCE, CMFS, CBCE (Digital Forensics) dynatrace (APM sertifisering) 3
Ernst Kristian Henningsen Master i Informasjonssikkerhet Masteroppgave om Sosial Manipulasjon Over 4 års erfaring innen Informasjonssikkerhet Sikkerhetsanalytiker(Avansert analyse av mulige hacker-angrep) Sikkerhetskonsulent(Risk & Compliance) Foredrag om Sosial Manipulasjon/ Security Awareness Sertifiseringer ISO 27001 Auditor Iso 27005 Risk manager 4
Faksimile Dagens Næringsliv 02.06.2013 5
Faksimile Stavanger Aftenblad 27.08.2014 6
Hva er Security Awareness? Security Awareness er de kunnskaper og holdninger ansatte i en bedrift besitter om beskyttelse av det fysiske miljø/omgivelser, og om informasjonen/teknologien til organisasjonen. Ha bevissthet for risikoer i forskjellige situasjoner Hvordan du som bruker bør adressere informasjonssikkerhet, trusler og hendelser. Forsikre deg om at du har lukket døren hvorfor? Sørg for å sikre verdifulle eiendeler, det være seg informasjon til fysiske eiendeler Hvorfor? Vær varsom med å klikke på lenker i e-post Hvorfor? Vær varsom med å koble deg til ukjente trådløse nettverk Hvorfor? Ikke slipp fremmede inn på arbeidsplassen- Hvorfor? Image Sans Institute 7
Mørketallsundersøkelsen 2012 & 2014 Næringslivets Sikkerhetsråd (NSR) Mørketallsundersøkelsen 2012 viser at det er et større gap enn tidligere mellom trusler og sikkerhetstiltak blant norske virksomheter parallelt med at ITavhengigheten øker. Mørketallsundersøkelsen 2014 er basert både på anmeldte hendelser, innnrapportertehendelser og aggregerte sensordata. Sammenligning av sensordata og svar i gruppen store virksomheter viser at halvparten er utsatt for datainnbrudd i en eller annen form. I årharundersøkelsenogsåsattsøkelysetpå personvern, men bare 5 virksomheter har rapportert personvernhendelser. Datatilsynetharselv100 avviksmeldinger på hendelser som innebærer uautorisert utlevering av personopplysninger. Norske virksomheter, særlig ledere og styrer, mangler kunnskap om informasjonssikkerhet og har ikke oversikt over trusler og hendelser.dette kan forklare at mange virksomheter ikke har tatt i bruk tilgjengelige sikkerhetstiltak og heller ikke fokusert på sikkerhetskultur. 8
Demonstrasjoner Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen 9
Demonstrasjoner Angrep er i en viss grad avhengig av Sosial Manipulasjon Man blir forledet til å utføre en bestemt handling Manipulert SMS Telefon / rom avlytting Falsk e-post og CryptoLocker Utnyttelse av fysisk tilgang (exploit) 10
Demonstrasjon - Manipulert SMS 11
Demonstrasjon Manipulert SMS 12
Demonstrasjon - Manipulert SMS 13
Demonstrasjon - Manipulert SMS Hvordan beskytte seg mot manipulerte SMS Må være målrettet for å dra nytte av kontaktlisten. Det kan være relativt dyrt å sende mange SMS til mange mottakere E-post er gratis Man må ikke slutte å stole på SMS, men være oppmerksom hvis avsenderen ber om noe utenom det vanlige Klikke på lenker Sensitiv informasjon 14
Ledende personell må gå foran som gode eksempler på god sikkerhetsatferd. Forebyggende sikkerhetsarbeid krever lederforankring, og systematisk arbeid over tid for å oppnå resultater. Du kan være et middel for å nå målet for kriminelle. Du innehar informasjon, som kan ha stor verdi for utenforstående. Det må jevnlig bevisstgjøring /oppdatering til for å innarbeide en god sikkerhetskultur. 15
Social Engineering / Sosial manipulasjon Å manipulere brukere til å gjøre noe de vanligvis ikke vil gjøre. Å anskaffe seg uautorisert tilgang til sensitiv og/eller konfidensiell informasjon. Eller tilgang til beskyttete områder som f.eks. serverrom. Hackere bruker sine tekniske ferdigheter. Personer som benytter sosial manipulasjon benytter sin sosiale ferdigheter. 16
Social Engineering / Sosial manipulasjon Mange har den misforståelse at nettkriminelle kun gjennomfører målrettede angrep mot store selskaper eller organisasjoner, mens de i realiteten også angriper enkeltpersoner som deg. I tillegg til at disse angripere bruker en rekke avanserte verktøy, er den enkleste måten å hacke seg inn i en organisasjon ved å angripe bedriftens ansatte. Reelle eksempler NFKRskonferanse på Kripos -Jens Kr. Roland Den selvsikre direktøren Fornøyelsespark En angriper benytter mer enn gjerne privat, og følelsesmessig informasjon for å nå målet. En angriper spiller på en ansatts gode natur, og ønske om å være hjelpsom 17
Du besitter informasjon og/eller har tilgang til systemer som data kriminelle ønsker tilgang til. Fornuftig tilnærming vs. paranoia Image deadformat.net 18
Tenkt tilfelle Sverdrup feltet Leverandører Børsnotert selskap Falsk Twitter melding f.eks. NTB Dette har skjedd! 19
Tenkt tilfelle Sverdrup feltet Leverandører Børsnotert selskap Falsk Twitter melding f.eks. NTB Dette har skjedd! 20
Drivkreftene? Penger Idelogi Skadeverk Hvem er de? Det kan være hvem som helst Organisert kriminell i f.eks. Russland og Ukraina Et skandinavisk nettverk Et miljø i Stavanger Personen som sitter ved siden av deg på bussen Nabo gutten/jenta Hvorfor gjør de dette? Økonomisk vinning Nyopprettet virksomhet, som blomstrer grunnet et patent Hva skjer hvis patentet blir stjålet En annen virksomhet går veldig bra Hva vil skje hvis teknologien blir stjålet Skadeverk Utsettelse av prosjekter 21
Demonstrasjoner Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen 22
Demonstrasjon Falske e-post Stort fokus på dette: Phishing / Spear-phisihing Spearphishing er forsøk på datainnbrudd ved hjelp av e-post som er skreddersydd for å lure mottakeren. E-posten kan se ut som den kommer fra noen du stoler på, og inneholder ofte en lenke som du blir fristet til å klikke på, eller et vedlegg med tilsynelatende interessant innhold. Konsekvenser ved å få en trojaner på sin datamaskin Den kan være usynlig du vet ikke om din datamaskin er infisert. Zero-day exploit Angriperen kan få total kontroll over din datamaskin Remote shell Tyveri av sensitiv informasjon Penge overføringer Cryptolocker Krypterer filer på din datamaskin Skadevare Formål til å skade eller stanse produksjon 23
Demonstrasjon Falske e-post 24
Demonstrasjon Falske e-post 25
Demonstrasjon Falsk e-post Hvordan beskytte seg mot falske e-post Kontroller avsender adressen Vær skeptisk (bevist) hvis du mottar noe som ikke er normalt fra avsenderen. Kontroller om lenken leder deg dit den hevder Bedre å spørre avsenderen om han/hun virkelig sendte denne mailen. Backup! 26
Localityof exploitability Alvorlighetsgraden av «exploitene» er avhengig av gjennomførbarheten. Dette påvirkes bl.atilgjengelighet og privilegier. Angrep fra utsiden (Remote exploit) Ingen andre forutsetninger enn en (defekt eller feilkonfigurert) nettverks tjeneste er nødvendig for dette angrepet. Den mest alvorlige typen angrep Angrep hvor man trenger lokal tilgang (Local exploit) Angriperne må ha tilegnet seg kunnskap om eksisterende privilegier. Uautorisert tilgang kan enten utføres med fysisk tilgang til en maskin eller via uautorisert nettverkstilgang. Fysisk tilgang Angripere må ha fysisk tilgang til enheten de skal angripe. 27
Noe for deg og din bedrift? Kontakt Bouvet ved: Steffen Myklebust Tlf: 911 36 988 steffen.myklebust@bouvet.no Andre tjenester: Gap Analyse (ISO 27001) Risiko- og sårbarhets analyse (ISO 27005 / 31000) Sårbarhets scan Penetrasjonstesting / Social Engineering 28