Operativ Sikkerhet Nett- og infrastruktursamling 2014 Per Arne Enstad, UNINETT
Agenda UNINETT CERT og sertifisering Trusselbildet Kontaktpunkt for sikkerhetshendelser FirewallBuilder Planer for operativt sikkerhetsarbeid i 2014 19. desember 2013 2
UNINETT CERT og sertifisering UNINETT CERT mottok sin sertifisering fra Trusted Introducer den 10.februar 2014 Dette er det høyeste sertifiseringsnivået som utstedes til sikkerhetsteam i Europa 1. Listed (registrert) 2. Accredited (akkerditert) 3. Certified (sertifisert) I øyeblikket er det 8 team som har fått tildelt denne sertifiseringen. (Det er for tiden 207 registrerte sikkerhetsteam i Europa) 19. desember 2013 3
UNINETT CERT og sertifisering Sertifiseringen dokumenterer at UNINETT CERT har prosedyrer, dokumentasjon og modenhet i henhold til SIM3 Maturity Model O Organisation H Human T Tools P Processes Hva betyr dette for dere? Informasjon vi mottar, bearbeider og lagrer om forhold som angår dere blir håndtert på en sikker og konsistent måte Gir oss tilgang til de beste informasjonskilder og nettverk som i sin tur kommer dere til gode 19. desember 2013 4
Trusselbildet Vi ser en klar dreiing vekk fra rampestreker og mot mer inntektsbringende kriminalitet. Hovedtyngden ligger på vanlig svindel, dvs. stjeling av (bank)passord og kredittkortinformasjon APT Advanced Persistent Threat Vi har allerede hatt noen tilfeller i UNINETT-land og flere kommer nok Angrepene er målrettet Formålet med aktiviteten er informasjonsinnhenting, både forretningsinformasjon og personopplysninger Aktiviteten foregår VELDIG diskret, - disse aktørene ønsker IKKE å bli oppdaget Klorer seg fast, skaffer seg som oftest flere brohoder hos offeret Angrepsmetoder: Slemvare av ulik opprinnelse Sosial manipulering ( Social Engineering ) Spear Phishing Waterholing Hjelp oss med å kommunisere dette innad i egen organisasjon! 19. desember 2013 5
19. desember 2013 6
Hva heter verdens nye valuta? Svaret er IKKE BitCoin Personopplysninger? KORREKT!! Hva tror dere Google lever av? Hvis noe er gratis så er du ikke kunden du er produktet! UH-institusjonene har til enhver tid et stort antall studenter knyttet til seg Det lagres betydelige mengder personopplysninger om hver av disse Hvordan står det til med ved virksomhetens håndtering av personopplysninger? 19. desember 2013 7
Trusselbildet Men også mer tradisjonelle ting skjer! DRDOS Distributed Reflector Denial of Service har hatt et oppsving den siste tiden UDP-basert, en enkelt avsender kan skape enorme trafikkmengder mot et gitt offer med liten innsats. 19. desember 2013 8
Trusselbildet NTP Network Time Protocol har vært hjemsøkt den siste tiden Sårbarheten ble publisert den 10.januar 2014, men er gammel som alle hauger Støttefunksjonen monlist innholder opplysninger om inntil 600 av de siste maskinene som NTP har pratet med Dette kan brukes til å skape et reflektorangrep Problemet ligger ikke i selve NTPs kjernefunksjonalitet Det finnes ulike måter å unngå problemet på: Oppgradere til en ikke sårbar versjon Regulere tilgang ved å stramme opp konfigurasjonsfila ntp.conf Opprette pakkefiltre som regulerer tilgang mot NTP fra Internett UNINETT CERT (og mange andre) har sendt ut diverse beskrivelser og veiledninger om dette Les denne informasjonen og ta grep når dere kommer hjem! 19. desember 2013 9
Trusselbildet DNS Domain Name System Sårbar for samme type angrep som NTP (DRDOS) Problemet har vært kjent i flere år nå, men likevel finner stadig UNINETT CERT sårbare tjenere! Dette dreier seg ikke om en sårbarhet i selve koden, men er snarere et resultat av uheldig arkitektur og konfigurasjonspraksis Tjeneren er IKKE kompromittert selv om den har vært benyttet i et DRDOS UNINETT har laget et beste praksis dokument som beskriver et korrekt oppsett av DNS I korte trekk: Vis varsomhet når du eksponerer DNS navnetjenere direkte mot Internett Tjenere som svarer rekursivt skal enten gjøre dette basert på avsenderens ip-adresse eller være plasseres innenfor et sikkerhetsperimeter eller være betryggende beskyttet på annet vis Anbefalt DNS-oppsett består av to tjenere, en publiserende (ekstern) og en rekursiv (intern) Tjenere som er eksponert for Internett skal IKKE ukritisk svare rekursivt! 19. desember 2013 10
Trusselbildet Det finnes en del UDP-baserte tjenester som er sårbar for samme typen utnyttelse: SNMPv2 NetBIOS SSDP CharGEN QOTD BitTorrent Kad Quake Network Protocol Steam Protocol Bruker dere noen av disse så vurder risikoen med å ha de eksponert Ta grep om nødvendig 19. desember 2013 11
Kontaktpunkt for sikkerhetshendelser KOMPAKT-tidens sikkerhetsansvarlig har forvitret noe med tiden En enkeltperson er uansett lite egnet som kontaktpunkt for sikkerhetshendelser UNINETT CERT har innført abuse@<domenenavn>.no som nytt kontaktpunkt for sikkerhetshendelser Bør være en distribusjonsliste på mottakerstedet som ekspanderer til en gruppe personer som har som oppgave å håndtere sikkerhetshendelser Pålitelig varsling er ofte avgjørende for utfallet av en sikkerhetshendelse Dette er hjelp til selvhjelp og det burde være i egen interesse å etablere dette kontaktpunktet og vedlikeholde hvor innkommende meldinger skal rutes 19. desember 2013 12
Kontaktpunkt for sikkerhetshendelser Vi har foretatt en undersøkelse ved å sende en spesiell melding med anmodning om respons til alle registrerte kontaktpunkt Slik gikk det: < 2 timer: 38% (Utmerket!) < 24 timer: 10% (Tilfredsstillende) < 1-5 virkedager: 0% > 5 virkedager: 3% (Alt for tregt!) Bounce: 13% Ikke svar: 36% 49% av kontaktpunktene svarte ikke, eller var ikke etablert (?) Tar vi med de som først svarte etter 5 virkedager er det over halvparten av kontaktpunktene som ikke responderte som de burde Dette stemmer dessverre også godt med det vi opplever til daglig. Vi ønsker i utgangspunktet tilbakemelding på at saker er lest, forstått og tatt aksjon på! Dette kan vi ikke leve med, noe må gjøres! 19. desember 2013 13
FirewallBuilder Videre utvikling og vedlikehold av denne programvaren har dessverre stoppet opp UNINETT har imidlertid satt av litt ressurser til vedlikehold rettet mot vårt eget (og sektorens) behov Vi har en student som jobber med ACL-generator for Junos Ser meget lovende ut! 19. desember 2013 14
Planer for operativt sikkerhetsarbeid Hendelseshåndtering og koordinering vil være Business as usual Ønsker å gjennomføre kurs for de som håndterer sikkerhetshendelser ( IRT-kurs ) Oppfrisking av et kursopplegg som vi gjennomførte under GigaCampus Ønsker å få til en sikkerhetssamling for sektoren med fokus på operative emner 19. desember 2013 15
IRT kurs Formålet med kurset er å utvikle og vedlikeholde relevant kompetanse for personer som skal håndtere sikkerhetshendelser Kursmaterialet er utviklet og vedlikeholdes av prominente sikkerhetsteam i Europa Kurset tilbys under navnet TRANSITS - rettighetene tilhører TERENA Kurset belyser: Organisering Tekniske emner Operative emner Juridiske emner UNINETT får tilgang til dette materialet for å holde egne kurs Dette er gratis gjennom vårt medlemskap i TERENA Interessert? Ta kontakt med cert-info@uninett.no eller undertegnede 19. desember 2013 16
Sikkerhetssamling med sektoren Grunnide: 1 dags (kanskje to?) samling hvor vi diskuterer utfordringer og mulige løsninger med operativ sikkerhet som bakteppe Dialog og involvering er ønskelig, det fungerer antakelig dårlig om kun UNINETT CERT forteller om sitt bilde av verden Les: Vi ønsker innlegg fra dere som sitter nærmest de daglige utfordringene! Forslag til emner mottas med takk! Ta kontakt med meg i en pause eller send en e-post til cert-info@uninett.no 19. desember 2013 17
Er det andre ting dere ønsker at UNINETT CERT kan hjelpe dere med? Kontakt meg i en pause eller send en e-post til cert-info@uninett.no 19. desember 2013 18
Takk for oppmerksomheten! 19. desember 2013 19