Tilsiktede uønskede handlinger Innledning til øvelse NIFS 2016
Hva skal jeg snakke om? Hendelsesforløp Sett fra virksomheten Sett fra trusselaktøren ISO/IEC 27035 Beredskapsplaner Beredskapsorganisasjon Tiltakskort Beredskapsnivåer
Et lite forbehold Det arbeides for tiden med beskrivelsen av en modell for hendelseshåndtering. Dette betyr at navn på begreper og beskrivelse av hendelsesforløp kan endre seg i løpet. ISO arbeider med revisjon av ISO/IEC 27035 «Information security incident management». (Gjeldende utgave er fra 2011)
Hendelsesforløp (virksomheten) 1. (det som skjer før hendelsen oppdages) 2. Hendelsen oppdages Hvor alvorlig? Avvik uten skade, eller sikkerhetsbrudd Hva er det egentlig som hender? Årsaksanalyse? (Neppe nå) 3. Varsling / Rapportering 4. Respons Begrens skade Få hendelsen under kontroll (dvs.: etablere tiltak) 5. Forbedringer? 6. Gjenopprett (ny) normal tilstand
Eskalering Er hendelsen et avvik / sikkerhetsbrudd som kan håndteres som en rutinehendelse? Skal man be om bistand fra CERT / CSIRT? Må det settes krisestab og etableres kriseledelse? Når skal overordnet myndighet varsles? Vurdering av alvorlighetsgrad er en løpende vurdering. Det er ønskelig å øve på denne.
Hendelsesforløp (trusselaktør) «Cyber kill chain» 1. Reconnaissance 2. Weaponization 3. Delivery 4. Exploitation 5. Installation 6. Command & Control 7. Actions on Objectives NB! Det er ikke alltid alle trinn brukes
Rekognosering Angriper velger ut et offer og finner svakheter ved hjelp av personlige og profesjonelle websider samt sosiale medier. De ser spesifikt etter informasjon som kan hjelpe dem til å konstruere tillitsvekkende eposter med link til websider trusselaktør kontrollerer. (kilde: Helhetlig IKT-risikobilde 2015, NSM)
Våpenkonstruksjon Bygging av ondsinnet kode i vedlegg, som sendes via epost, sosiale medier eller lignende. (kilde: Helhetlig IKT-risikobilde 2015, NSM)
Levering Leverer ondsinnet kode ved hjelp av sosiale medier eller epost til en ansatt. (kilde: Helhetlig IKT-risikobilde 2015, NSM)
Utnyttelse Den ansatte åpner filen og skadevaren blir eksponert. (kilde: Helhetlig IKT-risikobilde 2015, NSM)
Installering Ondsinnet skadevare installeres på klienten. (kilde: Helhetlig IKT-risikobilde 2015, NSM)
Kommando og kontroll Angriper tar kontroll over systemet. (kilde: Helhetlig IKT-risikobilde 2015, NSM)
Tiltak på målet Angriper kan finne og få adgang til kritiske data. (kilde: Helhetlig IKT-risikobilde 2015, NSM)
ISO/IEC 27035 Information security incident management Standard som er i samsvar med ISO/IEC 27001 Vedlegg med samsvarsmatrise Vedlegg som gir veiledning til kategorisering og klassifisering av uønskede hendelser Ny utgave av standarden er i sluttfasen av revisjonsarbeidet.
Beredskapsplan (1) Prinsipp for krisehåndtering Ansvar Nærhet Likhet Samvirke http://internkontroll.infosikkerhet.difi.no/ledelsens-styring-ogoppfolging/krise-og-beredskapshandtering En beredskapsplan bør dekke håndteringen av uønskede hendelser i hele skalaen fra mindre hendelser til alvorlige hendelser og krisesituasjoner.
Beredskapsplan (2) Beredskapsplan bør minimum inneholde Organisasjonsbeskrivelse med kontaktinformasjon Kontaktinformasjon for eksterne kontaktpunkter CERT/CSIRT, underleverandører, overordnet myndighet o.s.v. Beskrivelse av planlagte tiltak (tiltakskort) Beredskapsplan kan med fordel inneholde Forhåndsdefinerte beredskapsnivåer Lister over midlertidige tiltak som er tilpasset forskjellige situasjoner og forskjellige trusselnivåer
Tiltakskort Et tiltakskort er en strukturert beskrivelse av et enkelt tiltak. Tiltakskort beskriver gjerne Navn på tiltak Hvem som kan beslutte å etablere tiltaket Rettslig grunnlag (lovhjemler) Kort beskrivelse av tiltaket Hvem som er ansvarlig for at tiltaket etableres Hvem som utfører etableringen eller deler av etableringen Hvordan tiltaket skal utføres (skisse eller plan) Forutsetninger (materiell/ressurser)
Tiltak kan deles i faser For noen tiltak kan etablering deles inn i faser for bedre styring med etablering av tiltaket. For eksempel følgende trinn Forbered tiltaket (planlegging av etablering i nåsituasjon) Gjør klar for etablering Iverksettelse av tiltaket
Tiltakskort og øvelsesplanlegging Tiltakskort er nyttige under planlegging av øvelser Ved utarbeidelse av dreiebok kan tiltakskort angi forventet reaksjon på et innspill Innspill kan utformes for å utfordre valg av hensiktsmessig tiltak, eller kreve tilpassing av tiltak til en uventet hendelse eller situasjon