Operativ Sikkerhet. Nett- og infrastruktursamling Per Arne Enstad, UNINETT

Like dokumenter
2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG

HÅNDTERING AV NETTANGREP I FINANS

Hendelser skjer - hvordan håndterer vi dem?

Hendelseshåndtering - organisering, infrastruktur og rammeverk

Velkommen til fagsamling

Metoder og verktøy i operativt sikkerhetsarbeid

Erfaringer fra etableringen av institusjonsvise sikkerhetsteam

Behovet for formalisering/etablering av institusjonsvise responsteam (IRT) i sektoren

«State of the union»

Hvordan stå bedre rustet mot et målrettet angrep Watchcom Security Group AS

Sikkerhetsarbeid i GigaCampus. 7. september 2005 Per.A.Enstad@uninett.no

SUHS konferansen 2012 CSO forum for sikkerhetsansvarlige. Rolf Sture Normann CSO, UNINETT

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

Målrettede angrep. CIO forum 6.mars Tore Terjesen Head of MSS & SOCs - Nordics tore.terjesen@secode.com

6105 Windows Server og datanett

Post mortem-erfaringer fra incident response -om å gjøre det beste ut av en dårlig situasjon. Margrete Raaum (MIS) FIRST SC og UiO-CERT

Hva består Internett av?

Informasjon om håndtering av IKT-sikkerhetshendelser

Gode råd til deg som stiller til valg

Gode råd til deg som stiller til valg

SENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE

6107 Operativsystemer og nettverk

Digital svindel. Hva er det og hvordan kan vi beskytte oss mot det?

NASJONAL SIKKERHETSMYNDIGHET

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

TRUSLER, TRENDER OG FAKTISKE HENDELSER

FIRE EFFEKTIVE TILTAK MOT DATAANGREP

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no

Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: Versjon: 1.0

Personvernerklæring Samtykke Direktechat Informasjonskapsler Skreddersydde e-poster til markedsføringsformål

Trusler, trender og tiltak 2009

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Det digitale trusselbildet Sårbarheter og tiltak

Ifølge Stortingsmelding nr. 17 ( ) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Spamfree. Security Services Tjenestebeskrivelse. Eier: Sissel Joramo Agent: Atle Rønning Tekniker: Designer:

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

Sanntid. UNINETT fagdager 2018 Tirsdag 10. april Jardar Leira

Oppsett av brannmur / router 1.0. Innholdsfortegnelse

Steg 1: Installasjon. Steg 2: Installasjon av programvare. ved nettverkstilkoblingen på baksiden av kameraet. Kameraet vil rotere og tilte automatisk.

Hvordan og hvilke personopplysninger samler vi inn, og til hvilket formål?

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

HelseCERT Situasjonsbilde 2018

HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? NASJONAL SIKKERHETSMYNDIGHET

UTS Operativ Sikkerhet - felles løft

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Vi tar godt vare på personopplysningene dine knyttet til våre eventer.personvern for Mestring & Event AS

Åpen telefonistruktur

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Næringslivets Sikkerhetsråd trusler, sårbarheter og kjenner vi vår risiko godt nok? Arne Røed Simonsen Seniorrådgiver

6105 Windows Server og datanett

GÅRSDAGENS TEKNOLOGI

CYBER-TRUSSELEN. Finans Norge seminar om operasjonell risiko 5. September Morten Tandle, daglig leder FinansCERT Norge AS/Nordic Financial CERT

6107 Operativsystemer og nettverk

Regler og informasjon til foresatte om bruk av datautstyr for trinn

6105 Windows Server og datanett Jon Kvisli, HSN Skriveradministrasjon - 1. Utskrift i nettverk

Identitetstyveri. NIRF Nettverk IT-revisjon / Nettverk Misligheter Nettverksmøte v/ seniorrådgiver Tommy Antero Kinnunen

IKT-reglement for Norges musikkhøgskole

Nettbutikkenes trusler i det digitale rom. Thor M Bjerke, sikkerhetsrådgiver Virke.

(U)Sikkerhet og (u)kjente feil

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Beskyttelse av trusselutsatte personer- Adressesperre. NCIS Norway National Criminal investigation Service

Vår digitale sårbarhet teknologi og åpne spørsmål

6105 Windows Server og datanett

Bergvall Marine OPPGAVE 3. Jon Vegard Heimlie, s Vijitharan Mehanathan, s Thore Christian Skrøvseth, s171679

ELEKTRIKER GUIDEN. For elektrikere som ønsker å øke oppdragsmengden!

Personvernerklæring for Clemco Norge AS

BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN

Hvordan å lage og publisere ditt personlige visittkort

Lærebok. Opplæring i CuraGuard. CuraGuard Opplæringsbok, - utviklet av SeniorSaken -

Public. Sikker sone. - har konseptet en framtid? Peter Engelschiøn, Knut-Erik Gudim og Simen Myrum

Innføring av 2-faktor autentisering ved pålogging - for kunder som benytter Evolution -

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

orske virksomheter i det digitale rom

6105 Windows Server og datanett

SIKKERHETSBULLETIN XRX FRA XEROX

Få enda mer ut av SurveyXact. Fem nyttige opsjoner du bør kjenne til

Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier IKT-risikobildet. Dataangrep mot kritisk infrastruktur og informasjon

Grensesnittdokumentasjon for FEST

Brukerforum Vitari Høsten 2013 (11. november)

Informasjonssikkerhet i UH-sektoren

Sikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres

Regelverk for IoT. GDPR eprivacy

Vedlegg C: Behandling i Standardiseringsrådet, DMARC

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Beskyttelsesteknologier

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Hvordan komme i gang på

Ta ordet! Sluttrapport

Vedlegg 1: GJENNOMGANG AV PASIENTFORLØP

Informasjonssikkerhet. Miniseminar om datakriminalitet 29. aug Rolf Sture Normann og Øivind Høiem

NASJONAL SIKKERHETSMYNDIGHET: DO'S AND DON'TS. Gardermoen, 27. september Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet

NorCERT IKT-risikobildet

Til IT-ansvarlige på skolen

Ofrenes rettigheter. Europarådets konvensjon om tiltak mot menneskehandel

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Transkript:

Operativ Sikkerhet Nett- og infrastruktursamling 2014 Per Arne Enstad, UNINETT

Agenda UNINETT CERT og sertifisering Trusselbildet Kontaktpunkt for sikkerhetshendelser FirewallBuilder Planer for operativt sikkerhetsarbeid i 2014 19. desember 2013 2

UNINETT CERT og sertifisering UNINETT CERT mottok sin sertifisering fra Trusted Introducer den 10.februar 2014 Dette er det høyeste sertifiseringsnivået som utstedes til sikkerhetsteam i Europa 1. Listed (registrert) 2. Accredited (akkerditert) 3. Certified (sertifisert) I øyeblikket er det 8 team som har fått tildelt denne sertifiseringen. (Det er for tiden 207 registrerte sikkerhetsteam i Europa) 19. desember 2013 3

UNINETT CERT og sertifisering Sertifiseringen dokumenterer at UNINETT CERT har prosedyrer, dokumentasjon og modenhet i henhold til SIM3 Maturity Model O Organisation H Human T Tools P Processes Hva betyr dette for dere? Informasjon vi mottar, bearbeider og lagrer om forhold som angår dere blir håndtert på en sikker og konsistent måte Gir oss tilgang til de beste informasjonskilder og nettverk som i sin tur kommer dere til gode 19. desember 2013 4

Trusselbildet Vi ser en klar dreiing vekk fra rampestreker og mot mer inntektsbringende kriminalitet. Hovedtyngden ligger på vanlig svindel, dvs. stjeling av (bank)passord og kredittkortinformasjon APT Advanced Persistent Threat Vi har allerede hatt noen tilfeller i UNINETT-land og flere kommer nok Angrepene er målrettet Formålet med aktiviteten er informasjonsinnhenting, både forretningsinformasjon og personopplysninger Aktiviteten foregår VELDIG diskret, - disse aktørene ønsker IKKE å bli oppdaget Klorer seg fast, skaffer seg som oftest flere brohoder hos offeret Angrepsmetoder: Slemvare av ulik opprinnelse Sosial manipulering ( Social Engineering ) Spear Phishing Waterholing Hjelp oss med å kommunisere dette innad i egen organisasjon! 19. desember 2013 5

19. desember 2013 6

Hva heter verdens nye valuta? Svaret er IKKE BitCoin Personopplysninger? KORREKT!! Hva tror dere Google lever av? Hvis noe er gratis så er du ikke kunden du er produktet! UH-institusjonene har til enhver tid et stort antall studenter knyttet til seg Det lagres betydelige mengder personopplysninger om hver av disse Hvordan står det til med ved virksomhetens håndtering av personopplysninger? 19. desember 2013 7

Trusselbildet Men også mer tradisjonelle ting skjer! DRDOS Distributed Reflector Denial of Service har hatt et oppsving den siste tiden UDP-basert, en enkelt avsender kan skape enorme trafikkmengder mot et gitt offer med liten innsats. 19. desember 2013 8

Trusselbildet NTP Network Time Protocol har vært hjemsøkt den siste tiden Sårbarheten ble publisert den 10.januar 2014, men er gammel som alle hauger Støttefunksjonen monlist innholder opplysninger om inntil 600 av de siste maskinene som NTP har pratet med Dette kan brukes til å skape et reflektorangrep Problemet ligger ikke i selve NTPs kjernefunksjonalitet Det finnes ulike måter å unngå problemet på: Oppgradere til en ikke sårbar versjon Regulere tilgang ved å stramme opp konfigurasjonsfila ntp.conf Opprette pakkefiltre som regulerer tilgang mot NTP fra Internett UNINETT CERT (og mange andre) har sendt ut diverse beskrivelser og veiledninger om dette Les denne informasjonen og ta grep når dere kommer hjem! 19. desember 2013 9

Trusselbildet DNS Domain Name System Sårbar for samme type angrep som NTP (DRDOS) Problemet har vært kjent i flere år nå, men likevel finner stadig UNINETT CERT sårbare tjenere! Dette dreier seg ikke om en sårbarhet i selve koden, men er snarere et resultat av uheldig arkitektur og konfigurasjonspraksis Tjeneren er IKKE kompromittert selv om den har vært benyttet i et DRDOS UNINETT har laget et beste praksis dokument som beskriver et korrekt oppsett av DNS I korte trekk: Vis varsomhet når du eksponerer DNS navnetjenere direkte mot Internett Tjenere som svarer rekursivt skal enten gjøre dette basert på avsenderens ip-adresse eller være plasseres innenfor et sikkerhetsperimeter eller være betryggende beskyttet på annet vis Anbefalt DNS-oppsett består av to tjenere, en publiserende (ekstern) og en rekursiv (intern) Tjenere som er eksponert for Internett skal IKKE ukritisk svare rekursivt! 19. desember 2013 10

Trusselbildet Det finnes en del UDP-baserte tjenester som er sårbar for samme typen utnyttelse: SNMPv2 NetBIOS SSDP CharGEN QOTD BitTorrent Kad Quake Network Protocol Steam Protocol Bruker dere noen av disse så vurder risikoen med å ha de eksponert Ta grep om nødvendig 19. desember 2013 11

Kontaktpunkt for sikkerhetshendelser KOMPAKT-tidens sikkerhetsansvarlig har forvitret noe med tiden En enkeltperson er uansett lite egnet som kontaktpunkt for sikkerhetshendelser UNINETT CERT har innført abuse@<domenenavn>.no som nytt kontaktpunkt for sikkerhetshendelser Bør være en distribusjonsliste på mottakerstedet som ekspanderer til en gruppe personer som har som oppgave å håndtere sikkerhetshendelser Pålitelig varsling er ofte avgjørende for utfallet av en sikkerhetshendelse Dette er hjelp til selvhjelp og det burde være i egen interesse å etablere dette kontaktpunktet og vedlikeholde hvor innkommende meldinger skal rutes 19. desember 2013 12

Kontaktpunkt for sikkerhetshendelser Vi har foretatt en undersøkelse ved å sende en spesiell melding med anmodning om respons til alle registrerte kontaktpunkt Slik gikk det: < 2 timer: 38% (Utmerket!) < 24 timer: 10% (Tilfredsstillende) < 1-5 virkedager: 0% > 5 virkedager: 3% (Alt for tregt!) Bounce: 13% Ikke svar: 36% 49% av kontaktpunktene svarte ikke, eller var ikke etablert (?) Tar vi med de som først svarte etter 5 virkedager er det over halvparten av kontaktpunktene som ikke responderte som de burde Dette stemmer dessverre også godt med det vi opplever til daglig. Vi ønsker i utgangspunktet tilbakemelding på at saker er lest, forstått og tatt aksjon på! Dette kan vi ikke leve med, noe må gjøres! 19. desember 2013 13

FirewallBuilder Videre utvikling og vedlikehold av denne programvaren har dessverre stoppet opp UNINETT har imidlertid satt av litt ressurser til vedlikehold rettet mot vårt eget (og sektorens) behov Vi har en student som jobber med ACL-generator for Junos Ser meget lovende ut! 19. desember 2013 14

Planer for operativt sikkerhetsarbeid Hendelseshåndtering og koordinering vil være Business as usual Ønsker å gjennomføre kurs for de som håndterer sikkerhetshendelser ( IRT-kurs ) Oppfrisking av et kursopplegg som vi gjennomførte under GigaCampus Ønsker å få til en sikkerhetssamling for sektoren med fokus på operative emner 19. desember 2013 15

IRT kurs Formålet med kurset er å utvikle og vedlikeholde relevant kompetanse for personer som skal håndtere sikkerhetshendelser Kursmaterialet er utviklet og vedlikeholdes av prominente sikkerhetsteam i Europa Kurset tilbys under navnet TRANSITS - rettighetene tilhører TERENA Kurset belyser: Organisering Tekniske emner Operative emner Juridiske emner UNINETT får tilgang til dette materialet for å holde egne kurs Dette er gratis gjennom vårt medlemskap i TERENA Interessert? Ta kontakt med cert-info@uninett.no eller undertegnede 19. desember 2013 16

Sikkerhetssamling med sektoren Grunnide: 1 dags (kanskje to?) samling hvor vi diskuterer utfordringer og mulige løsninger med operativ sikkerhet som bakteppe Dialog og involvering er ønskelig, det fungerer antakelig dårlig om kun UNINETT CERT forteller om sitt bilde av verden Les: Vi ønsker innlegg fra dere som sitter nærmest de daglige utfordringene! Forslag til emner mottas med takk! Ta kontakt med meg i en pause eller send en e-post til cert-info@uninett.no 19. desember 2013 17

Er det andre ting dere ønsker at UNINETT CERT kan hjelpe dere med? Kontakt meg i en pause eller send en e-post til cert-info@uninett.no 19. desember 2013 18

Takk for oppmerksomheten! 19. desember 2013 19

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding