BRUK AV VERKTØY OG METODER I RISIKOSTYRING
Kort om meg Master i informasjonssikkerhet (HiG) Pågående Master of Management ved BI - Risikostyring - Finansiell strategi - Strategisk ledelse 5 år i mnemonic, hvor jeg blant annet har - Ansvarlig for implementeringen av egrc-verktøy hos 2 store kunder - Utleid som sikkerhetsansvarlig - Mye erfaring med gjennomføring av risikovurderinger i inn- og utland
Hva ønsker vi å oppnå? Ivareta organisasjonens interesser Forstå og identifisere organisasjonens mål, verdier, prosesser og risiko appetitt Identifisere risikoer som kan negativt påvirke organisasjonens forretningsmål og verdier - Snudd på hode vil dette også hjelpe til med å finne teknologier og tiltak som muliggjør organisasjonens mål Identifisere nåværende status, både hva gjelder trusler og svakheter Komme med anbefalinger som vil redusere risiko til et akseptabelt nivå
Ivareta organisasjonens interesser Sony Pictures «The Hack Of The Century» Bakgrunn - Mandag 24. november (2014) begynte ondsinnet kode å spre seg internt, og begynte å slettet informasjon på ulike systemer - Bevisene tyder på at angriperen(e), «Guardians of Peace», hadde hatt tilgang i over et år - Amerikanske myndigheter mener at Nord-Koreanske myndigheter hadde en sentral rolle knyttet til angrepet - Andre mener det ikke er bevist for dette, og Norse mener å kunne bevise at det var en innsidejobb, utført av tidligere ansatte
Ivareta organisasjonens interesser Sony Pictures «The Hack Of The Century» Konsekvenser - Påvirket alle forretningsområdene i Sony - Slettet informasjon på i overkant 3000 PCer og 830 servere - Uthenting av informasjon (100 TB) over en lengre tidsperiode, som igjen ble publisert over en 3 ukersperiode Film manuser, 5 filmer interne e-poster, lønningslister, og 47000 personnummer - Selskapets egne estimerte kostander: $41 millioner ++
Ivareta organisasjonens interesser Target Bakgrunn - Angriper kom seg inn via 3. part (leverandør av ventilasjonsanlegg) - Malware ble installert på betalingssystem som fanget opp kortdata - Fikk varsling om mulig pågående hendelse, men reagerte ikke (tidsnok) Konsekvenser - Kortinformasjon til 40 millioner kunder på avveie - Navn, nummer og adresse på 70 millioner kunder på avveie - Kostnader er estimert til å være $105 millioner ($252 millioner) - 46% tapt fortjeneste i Q4 (2013) sammenlignet med året før - CEO og CIO måtte gå og 7 personer i styret ble anbefalt byttet ut
Ivareta organisasjonens interesser Norske selskaper er selvfølgelig ikke skånet
Så hvor skal vi starte? Noen relevante rammeverk og metoder Establishing the context ISO/IEC 27005 ISO/IEC 31000 COSO ERM Risk assessment Risk identification Intel Threat Agent Library Critical Security Controls (Council on Cyber Security) Cyber Kill Chain Analysis Cyber Security Framework Communication and consultation Risk analysis Risk evaluation Monitoring and reveiw Risk treatment
Det viktigste er å velge det som er riktig for deg Eksterne og interne faktorer er med på å bestemme hvilke verktøy og metoder som bør brukes Eksterne faktorer - Den politiske situasjonen, regulatoriske krav, konkurransesituasjon, økonomi, teknologi - Nøkkeldrivere og trender som påvirker forretningsmålene Interne faktorer - Organisasjonens struktur, kultur, prosesser, informasjon og strategi - Teknologi, ressurser, kunnskap og modenhet
Det viktigste er å velge det som er riktig for deg Risikokriterier - Konsekvens og sannsynlighet Det er noen helt klare utfordringer med å vurdere sannsynligheten for at noe skjer Kunnskapsbasert sannsynlig (i motsetning til frekvensbasert) - Trefaktormodellen: Verdi/Konsekvens, sårbarhet og trussel Mulighetsanalyse ifm valg av trusler Fortsatt utfordringer knyttet til å vurdere trusselen, men hjelper med å bli bevist på farene - Tilsiktede vs. utilsiktede uønskede hendelser - Faktum er at vi sannsynligvis uansett bommer med estimatene Det viktigste er prosessen, og at man får frem ulike problemområder Og da er det viktig med metoder og verktøy som bistår i kartleggingen
Ivareta organisasjonens interesser hvordan? Gjennomføre en analyse (verdivurdering og BIA) for igjen å kunne identifisere risikoer som kan negativt påvirke organisasjonens forretningsmål Operasjonell risiko kan beskrives som «Main Cause -> Main Event» Risk Operational Risk Main Cause => Main Event «Main Cause» identifiseres ved å: - Avdekke trusselaktører - Lage hendelsesscenarioer - Avdekke eksisterende kontroller og svakheter Threats (Threat Agent + Incident Scenario) Targeted Attack 1 Generic Attack 1 Generic Attack 2 Key Controls Learn from others En slik fremgangsmåte vil hjelpe med å - finne tiltak som adresserer de faktiske problemområdene, og - således kunne redusere den reelle risikoen til organisasjonen Controls (People, Process, Technology) A B C D Husk å også måle effekten av eksisterende kontroller, og å jevnlig få et oppdatert bilde av nye sårbarheter, trusler og risikoer Metrics (Automated, Computed, Manual) 1 2 3 4
Metoder og verktøy La oss se (litt) nærmere på følgende: Intel Threat Agent Library Hypotese-drevet testing Critical Security Controls (CSC) Cyber Kill Chain Analysis Cyber Security Framework egrc-verktøy (konseptuelt)
Intel Threat Agent Library Rammeverk for å bistå i arbeidet med å kartlegge trusselaktører Godt utgangspunkt, men dekker ikke alle typer trusler har derfor utvidet denne - Ta utgangspunkt i gode metoder, og tilpass de til ditt behov
Intel Threat Agent Library
Hypotese-drevet testing En risikobasert tilnærming til intervjuer Hypotesene (hendelsesscenarioene) kan lages før datainnsamling gjennomføres Hypotesene brytes ned i mindre deler inntil vi har områder som vi ønsker besvart for å vurdere om scenarioet er gjennomførbart eller ikke Vår erfaring er at en slik scenariobasert tilnærming er mye mer effektivt enn sjekklister, og gir et mer korrekt bilde av situasjonen
Critical Security Controls (CSC) Initiativ fra US Office of the Secretary of Defense En rekke ulike organer fra USA og andre land analyserte angrep mot organisasjoner, og hvorfor de var vellykket Kom frem til 23 ulike «attack types» (incident scenarios), med tilhørende 20 kontrollområder.
Critical Security Controls (CSC) Strukturen pr kontrollområde - Control Area (Name) - Why the control is critical - How to implement the control - Procedures and tools - Effectiveness Metrics - Automation Metrics - Effectiveness Test - System Entity Relationship Diagram
Critical Security Controls (CSC) CSC 14: Maintenance, Monitoring, and Analysis of Audit Logs Deficiencies in security logging and analysis allow attackers to hide their [..] activities [..]. Even if the victims know that their systems have been compromised, without protected and complete logging records they are blind to the details of the attack and to subsequent actions taken by the attackers How to implement the control - Include at least two synchronized time sources [..] - Validate audit log settings for each hardware device and the software installed on it [..] - Ensure that all systems that store logs have adequate storage space [..] - Deploy a SIEM (Security Incident and Event Management) or log analytic tools for log aggregation and consolidation [..] - Ensure that the log collection system does not lose events during peak activity [..]
Critical Security Controls (CSC) De 23 hendelsesscenarioene kan ses på som «Generic Attacks», og er noe de aller fleste organisasjoner må forholde seg til og må ha tiltak for Er derfor et godt utgangspunkt, og vi bruker derfor dette som en baseline Fortsatt viktig å ikke gjennomføre dette som en sjekklistebasert øvelse Alle organisasjoner er unike og man må vurdere hvordan de best bør håndterer scenarioet ikke hvorvidt alle tiltakene er på plass eller ikke
Målrettede angrep I tillegg til å «Generic attacks» så må vi også vurdere «targeted attacks» - Scenarioer som er spesifikke for organisasjonen Med utgangspunkt i verdiene, risikoene, truslene og sårbarhetene - Finne ut hva som kan skje, og hvordan det kan forhindres, eller oppdages og håndteres på en rask og effektiv måte
Cyber Kill Chain Analysis Utarbeidet av Lockheed Martin Tanken er de fleste (avanserte) angrepsformene ikke er en enkelt hendelse, men en prosess bestående av flere steg (en kjede). Denne modellen har derfor som formål å finne tiltak som bryter kjeden, og således forhindrer eller oppdager angrepet Kan være relevant å bruke i enkelte settinger for å forstå angrepet men ikke i alle [1] http://www.darkreading.com/attacks-breaches/deconstructing-the-cyber-kill-chain/a/d-id/1317542
Cyber Security Framework Improving Critical Infrastructure Cybersecurity - Rammeverk laget av NIST basert på Executive Order Vi benytter det for å kommunisere status på kontroller og sårbarheter / svakheter - For å vise hvor man har god dekning, og hvor det er mangelfullt 5 ulike områder: Identify Protect Detect React Restore
Neste steg: Håndtere identifiserte risikoer Velge tiltakene som skal implementeres Gjennom fremgangsmåten vi har diskutert så har vi forhåpentligvis funnet tiltakene som adresserer de faktiske problemområdene, som igjen redusere den reelle risikoen Det kan derimot fortsatt være nødvendig å prioritere hvilke tiltak som skal implementeres - Kost/nytte vurdering kan være et alternativ - Vurdere tiltakene opp mot regulatoriske krav og kundekrav - Vurdere tiltak opp mot strategi og målbildet I tillegg til å velge tiltak, må vi også følge opp implementeringen (som kan gå over lang tid) - egrc-verktøy kan være til stor nytte ifm oppfølgingen av tiltak, i tillegg til øvrige steg i prosessen
egrc-verktøy Muliggjør risikostyring (og mye mer) i større skala Distribuere arbeidet med innrapportering samtidig som monitorering kan sentraliseres Enklere og mer effektiv oppfølging av tiltakene som er besluttet
egrc-verktøy en konseptuell skisse
Oppsummering Hvordan dette bør gjennomføres for hver enkelt organisasjon vil variere, men - Gjennomfør verdivurdering og Business Impact Analysis for å finne ut hva man skal beskytte - Identifiser dine trusselaktører og sårbarheter - Etabler hendelsesscenarioer for å bistå i prioriteringen av tiltak Vurder hvilke verktøy og metoder som kan hjelpe deg og din organisasjon - Ikke gjør det mer komplisert enn du må men samtidig påse at du benytter metoder som faktisk hjelper deg i å identifisere dine viktigste risikoene, truslene og sårbarhetene Og det holder selvfølgelig ikke bare å identifisere risikoer, de må også håndteres. - Finn metoder og verktøy som muliggjør registrering, distribuering og oppfølging av tiltaksplanen Risikostyring må gjøres i hele organisasjonen 1. linje og ledelsen må kunne rapportere hendelser og vurdere risiko i sitt daglige arbeid - Et egrc-verktøy kan være avgjørende for at du muliggjør risikostyring i organisasjonen
Oppsummering Hvordan dette bør gjennomføres for hver enkelt organisasjon vil variere, men - Gjennomfør verdivurdering og Business Impact Analysis for å finne ut hva man skal beskytte - Identifiser dine trusselaktører og sårbarheter - Etabler hendelsesscenarioer for å bistå i prioriteringen av tiltak Vurder hvilke verktøy og metoder som kan hjelpe deg og din organisasjon - Ikke gjør det mer komplisert enn du må men samtidig påse at du benytter metoder som faktisk hjelper deg i å identifisere dine viktigste risikoene, truslene og sårbarhetene Og det holder selvfølgelig ikke bare å identifisere risikoer, de må også håndteres. - Finn metoder og verktøy som muliggjør registrering, distribuering og oppfølging av tiltaksplanen Risikostyring må gjøres i hele organisasjonen 1. linje og ledelsen må kunne rapportere hendelser og vurdere risiko i sitt daglige arbeid - Et egrc-verktøy kan være avgjørende for at du muliggjør risikostyring i organisasjonen magnusf@mnemonic.no