Veien til et velfungerende sikkerhetsregime...er det så mye annerledes nå? John Arild A. Johansen, Helsedirektoratet / Direktoratet for e-helse Buypass, BAS-brukerforum Oslo, 14.4.2016
3
Veien til et velfungerende sikkerhetsregime...er det så mye annerledes nå? John Arild A. Johansen, Helsedirektoratet / Direktoratet for e-helse Buypass, BAS-brukerforum Oslo, 14.4.2016
Veien til et velfungerende sikkerhetsregime...er det så mye annerledes nå? John Arild A. Johansen, Sjef for De mørke krefter & tjenester, Helsedirektoratet
Overhørt fra ansatt tirsdag morgen, kl. 8:50 : «Jeg er allerede 20. min forsinket til møtet grunnet den jævla Windows Update n!» «Men nå ser jeg den er på 26 av 29 så da går det vel bra»
Zzzzzzz. 14.04.2016
14.04.2016 10
Litt om meg selv (Facebook 1988 ) Utdannet Dataingeniør Jobbet i Post- og teletilsynet Wilhelmsen Lines Wilh. Wilhelmsen ASA Wallenius Wilhelmsen Buypass AS Helsedirektoratet Direktoratet for e-helse Tidl. styreleder i ISF (www.isf.no) CISA / CISM Drift Drift IT- og informasjonssikkerhet Kontinuitet og kriseplanlegging Sikkerhetssjef Sikkerhets- og kvalitetssjef / PVO Informasjonssikkerhetsleder/PVO Informasjonssikkerhetsleder
Agenda 3 områder innen sikkerhet: Hva er likt i dag? Hva har forandret seg? Tips til forbedring og håndtering 1. Sikkerhetsrollen 2. Trusselbildet 3. Forankring & holdningsskapende arbeid
Sikkerhetsrollen X X
14.04.2016 14
Hvordan oppfattes sikkerhet i din virksomhet?
Sikkerhet skal aldri ødelegge for business!
Sikkerhetssjef
Sikkerhetsfolk må være endringsvillige
Sikkerhetsfolk må være endringsvillige
Hva er en sikkerhetssjef? Overordnet ansvar for sikkerhet Ansvar for fysisk sikkerhet Ansvar for informasjonssikkerhet Ansvar for compliance (overensstemmelse) Gode kommunikative evner Må ha god menneskelig innsikt Må ha høy grad av forretningsforståelse Bør ha et godt internt og eksternt nettverk Må ha god teknisk innsikt Må ha god systemmessig innsikt Må være godt likt, respektert og flinkest i klassen.
Tema for presentasjonen 14.04.2016 21
Trusselbildet den menneskelige faktor
Trusselbildet den menneskelige faktor Svindlere spiller fremdeles på tre faktorer: Frykt Tillit Fristelser Og vi er fremdeles dumme vi trykker i vei & biter på agnet
Vi har ledd av disse
Spearphising Sofistikert phising Del av et målrettet angrep mot en virksomhet Informasjon om virksomheten brukes i en e-post for å få deg til å klikke på en lenke - gjerne mot ledere («CEO-Fraud») Malware installeres 27
28
Angriperne blir flinkere selv om det ikke ser slik ut Sendt:11.4.2014.
31
Anbefalinger Tiltak innen BÅDE sikkerhetskultur OG teknologi: Opplæring, holdningsskapende arbeid -> god sikkerhetskultur Vekk med lokal administrator Whitelisting / forhåndsgodkjenning av applikasjoner 14.04.2016
Tema for presentasjonen 14.04.2016 33
Trusselbildet tekniske aspekter ABC80 fra Luxor Z80 prosessor@3,00mhz 16Kb Minne Luxor Basic OS Nettverk: kommuniserte mot felles diskettstasjon og kassettspiller
1956 5MB / 1 tonn 14.04.2016 35
1986 Sårbarhetsutvalget (!)
The Morris Worm - 1988
Hva har forandret seg? Avhengighet til IT-systemer! Et samfunnsproblem
Større avhengighet enn noen gang Forretningsprosser Samfunnstjenester Kommersielle tjenester Mer og mer handel Privatlivet Alt er knyttet sammen OG DET FINNES FÅ MANUELLE BACKUPLØSNINGER
14.04.2016 40
Et samfunnsproblem? Tja
Et samfunnsproblem?
Smelter sammen med privatlivet
Internet Of Things (IOT)
Internet Of Things (IOT)
Før
APT - Hvor avansert er det egentlig..?
Aftenposten, 6. mars: Dagbladet & DinSide, 7. mars:
Mørketallsundersøkelsen Gapet mellom trusselbildet og tiltak øker Informasjonssikkerhet i norske bedrifter er rett og slett digitalt rot Helt grunnleggende sikkerhet gjennomføres ikke Risikoforståelsen er for lav, også blant ledere DET MÅ SMELLE FØRST
APT hvor avansert er det egentlig? John Arild A Johansen, Sikkerhetsleder / Personvernombud ISF Høstkonferansen Strömstad, 2. september 2015
APT - Definisjon APT - Hvor avansert er det egentlig..?
APaTi? Dette blir så avansert at vi ikke kan stå i mot Kinesiske myndigheter (People s Liberation Army) har egne sektorvise grupperinger (les: vi er sjanseløse ): IT, olje, maritim, helse, finans, kraft, etc Massevis av motiver: økonomiske, nysgjerrig, hevn, berømmelse, politisk, spionasje, etc., etc. (fyll inn ) Vi trenger masse ny (dyr) programvare, bokser og tjenester APT - Hvor avansert er det egentlig..?
APT - Hvor avansert er det egentlig..?
APT Lifecycle (sukk ) APT - Hvor avansert er det egentlig..?
Sony Pictures 2014 DigiNotar 2011 Target 2015 APT - Hvor avansert er det egentlig..?
Fellesnevnere Ingen to-faktor autentisering Manglende segmentering av nett og kritiske komponenter Svak eller manglende nettverksmonitorering og logging Lite holdningsskapende arbeid ovenfor ansatte Manglende tilgangsstyring Dårlig handtering av brukernavn (fellesbrukere) og passord (statiske) Enkelt å kjøre brute-force angrep på pwd Manglende (!!!) eller utdatert anti-malware Manglende patching og oppgradering Ingen DLP (Hallo! Sony Pictures!!) Operasjonell IDS, men ble ikke sett eller blokkert (IPS slått av..) Manglende oppfølging av underleverandører og samarbeidspartnere APT - Hvor avansert er det egentlig..?
Hva kan virksomheten gjøre?
Hva kan virksomheten gjøre? Tenk helhetlig sikkerhet i alle ledd Plukk det beste fra sikkerhetsstandarder
Aftenposten, 1988 Forankring, opplæring & holdningsskapende arbeid
Først noen kjepphester DET ER MULIG å lære opp våre ansatte i informasjonssikkerhet. Mange mener det motsatte og alle policies må tvinges igjennom via tekniske sikkerhetsmekanismer. MAN KAN bygge en god sikkerhetskultur. Mange mener slaget er tapt og at det kun er «forretningskulturen» som gjelder og det er flaks hvis den støtter oppunder sikkerhet. THE HUMAN FIREWALL er viktigere enn teknologien. 20% teknologi - 80% mennesker, kunnskap og gode prosesser.
Side 187 (av 197!): Ledelsen har det overordede ansvaret for datasikkerhet De EDB-ansvarlige for det utøvende ansvaret Dataforlaget 1991
Side 191 (av 197!): Opplæring av alle i datasikkerhet er nødvendig Det viktigste sikringstiltak er den enkeltes kunnskap Dataforlaget 1991
All honnør til virksomheter som åpner seg!!
Normalfordeling i enhver virksomhet
Hva virker? Hvordan spre det gode budskap? HorrorShow (men ikke hele tiden) Budskap tilpasset målgruppen Vise hvor lett det er! Vise hvor ille det kan gå (med andre ) Vise til konsekvenser av hendelser Eksterne foredragsholdere Rapportere faktisk hendelser og statistikk - hva vi er utsatt for Skape forståelse for hva vi er pålagt Fange opp sitater fra toppledelsen Betydning for forretningsprosessene Sikkerhet som markedsføring Money Talks!
Populærkulturens hackere
Virkelighetens hackere Captain Crunch (1971) Kevin Mitnick (1988) Phiber Optik (1984) Kevin Poulsen (1991)
The Art of War (500 år f.kr.) To know your Enemy, you must become your Enemy. Sun Tzu Know yourself and you will win all battles Sun Tzu 14.04.2016 69
INFORMATION GATHERING TO PLAN THE ATTACK Footprinting OPEN SOURCE SEARCH WHOIS DNS ZONE TRANSFER SCAN FOR SERVICES TO IDENTIFY THE MOST PROMISING WAY TO ATTACK MORE INTRUSIVE PROBING TO IDENTIFY POORLY PROTECTED SHARES OR USERACC. INFORMED ATTEMPT TO ACCESS THE TARGET IF ONLY USER ACCESS ATTEMPT FULL ACCESS/CONTROL INFORMATION GATHERING TO GAIN TRUSTED ACCESS HIDE THE FACT OF TOTAL OWNERSHIP TRAP DOORS TO ENSURE FUTURE PRIVILGED ACCESS IF UNSUCCESSFULL ACCESS BRING THE SYSTEMS DOWN Scanning Enumeration Gaining Access Escalating Privilege Pilfering Covering Tracks Creating back doors Denial of Service PING SWEEP TCP/UDP PORT SCAN OS DETECTION LIST USER ACCOUNTS LIST FILE SHARES IDENTIFY APPLICATIONS PASSWORD EAVEDROPPING FILESHARE BRUTE FORCE PASSWORD FILEGRAB BUFFER OVERFLOWS PASSWORD CRACKING KNOWN EXPLOITS EVALUATE TRUSTS SEARCH FOR PWD IN CLEARTEXT CLEAR LOGS HIDE TOOLS CREATE ACCOUNTS CREATE BATCH JOBS EDIT STARTUP FILES INSTALL SOFTWARE ++ SOFTWARE BOTNET
Konsekvenser av sikkerhetshendelser Negativ medieomtale Tap av troverdighet / varemerke svekkes Tap av marked og muligheter Brudd på lover & regler Finansielle tap / bøter Straffesak Tap av sertifiseringer og utmerkelser Ekstraarbeid og mye mer
Hva virker ikke? Gjentatte HorrorShow = ulv-ulv Engangsopplæring Budskap gjennom en kanal alene Det Interne Sikkerhetspolitiet
Annet Fra mantraet Konfidensialitet Integritet Tilgjengelighet Sikkerhet = Håndtering av risiko Sikkerhet = Hvordan gjøre det! Fra ødeleggende moro til kriminell vinning Vi er fremdeles naive
Konklusjoner Mange bra og enkle løsninger få «baseline» på plass Tilgangsstyring, sikkerhetskultur, IT-Drift, arkitektur, hendelsehåndtering,.. Masse med erfaringer å hente fra sikkerhetsog sertifiseringsstandarder (Normen, ISO, ) Mer fokus fra media hjelper Er fremdeles dyrt budsjetter avgjørende Mer viktig og større avhengighet enn noen gang Det går fremdeles for sakte Det må fremdeles smelle først For fremdeles mange rigide sikkerhetssjefer Smelter sammen med privatlivet For fremdeles lite forståelse (også privat) De kriminelle ligger fremdeles foran Mer viktig enn noen gang / stor avhengighet
Insecurity bores me - Francis Underwood, House Of Cards Kontakt: john.johansen@helsedir.no / tlf. 9169 4321