Trusler og mottiltak Mike Andersen Dell SecureWorks 1
Aktører Scriptkiddies Vandalisme og medieoppslag, kun for morro Lav kapasitet Hactivister Oppmerksomhet om politisk budskap Lav kapasitet Kriminelle Penger og informasjon Høy kapasitet Fremmede stater Informasjon Meget høy kapasitet og veldig målrettet 2
3
4
Kilde: Bluecoat 5
CVE-2012-4681 Java 0-day timeline Proof of Concept is disclosed to public Blackhole Exploit Kit incorporates exploit Aug 26 Aug 27 Aug 28 Aug 30 Metasploit module released Oracle issues an emergency path CVE-2012-4969 IE 0-day timeline Vulnerability discovered Kein Exploit Kit includes exploit Microsoft releases update Sep 14 Sep 17 Sep 18 Sep 19 Sep 21 Metasploit module released Microsoft issues initial advisory Microsoft updates advisory, releases workaround 6
De kriminelle utnytter nye sårbarheter innen 2-4 dager hvor lang tid bruker du på å installere sikkerhetsoppdateringer? 7
Målrettede angrep Kjennetegnes ved at de retter seg mot helt bestemte mål (person, organisasjon eller tjeneste) benytter nye og ukjente sårbarheter har skreddersydd skadevare bruker sosial manipulering Eksempler Industrispionasje Bank-trojanere Observasjoner Angrepskode har blitt distribuert fra store seriøse web-steder Vellykkede målrettede angrep mot nettverk adskilt fra Internet Kostnader på mange millioner som resultat av angrep mot en person Dwell-time: Flere år fra velykket angrep til det ble oppdaget 8
http://intelreport.mandiant.com/mandiant_apt1_report.pdf Cyber attacks edging out terrorism as No. 1 threat In the not too distant future, we anticipate that the cyberthreat will pose the No. 1 threat to our country. No company is immune, from the Fortune 500 corporation to the neighborhood mom and pop business. I am convinced there are only two types of companies: those that have been hacked and those that will be. And even they are converging into one category: companies that have been hacked and will be hacked again. Source: FBI Director Robert Mueller Speaking at 2012 RSA Conference 9
100% Assume you are operating in a state of compromise Michael Versace, IDC, Stockholm 20 th September 2011 Noen tall fra vårt sikkerhetssenter 38 000 000 000 Totalt antall eventer 2 000 000 000 Eventer av interesse 10 000 Til manuell analyse 2 000 Sikkerhetshendelser hver dag 10
Hvordan beskytte seg? Hva skal beskyttes? Ha en klar oversikt over hva som skal beskyttes Ledelsen må vite hva de ønsker å beskytte...ikke overlat dette til teknikkere alene. Hvem skal ha tilgang? Need-to-know Åpne for alle er veldig enkelt......men øker risikoen betraktelig. 11
Beskyttelse og deteksjon Antivirus, IDS/IPS, brannmur, m.m. Førstelinje-forsvar Nytteløst mot nye og målrettede angrep......men veldig nyttig for å unngå det som er kjent. Logging. trafikk-, system- og brannmurlogger. Innbrudsdeteksjon Beskyttelse og deteksjon Brukeropplæring Enkle ting bruker bør være oppmerksom på Apparat til å ta i mot og undersøke henvendelser fra brukeren Etterretning Samle og samenstille informasjon om ny angrepsmetodikk og aktørerne som står bak 12
Hvordan håndterer du sikkerheten? Gjøre alt selv 24x7x365 overvåkning av nettverket SIM verktøy, konfigurasjon, korrelering Systems administration Drive egen etteretning Gjør ingenting Gå i partnerskap med en større leverandør som allerede har disse kapasitetene Dangerous gap between demands and resources 13
The 3 Pillars of Dell SecureWorks Security & Risk Consulting MSS alert data analysis Counterintelligence Countermeasure development CTU Open and close source monitoring Vulnerability discovery Cybercrime monitoring Malware analysis 27 Informasjonssikkerhet er sikring av informasjon i den form den opptrer og omgivelsene den opptrer i. 14
The Cloud SaaS Public Hybrid Private PaaS IaaS 15