Hackcon #12 Februar 2017 «State of the union» Hendelseshåndtering i kritisk infrastruktur FinansCERT KraftCERT Telenor CERT Morten Tandle Leder Margrete Raaum Leder Frode Hommedal Fagleder Agenda 1. Hva er en CERT? 2. Hvordan ser trusselbildet ut? 3. Hva gjør vi egentlig? 4. Hva tror vi om fremtiden? 1
1 CERT IRT / CSIRT / SIRT / SOC / ISAC Noe vil gå galt. Du må kunne håndtere det. 2
CERT Hvor passer en CERT i sikkerhetsarbeidet? Governance Compliance Awareness SOC Organisasjon Opplæring Innrapportering Hendelseshåndtering Kriseledelse System Herding HIDS Systemanalyse Analyse Nettverk Segmentering NIDS Nettverksanalyse Motstå Overvåke Reagere Alarm Forebygging Beredskap Kriseledelse Triage En CERT er krystalliseringspunktet for kriseledelse ved IKT-sikkerhetshendelser 3
Den nasjonale CERT-strukturen: Nasjonal CERT GovCERT Sektor-CERT 1 Sektor-CERT n Ikke en hierarkisk struktur. Samarbeidet skjer oftes frivillig og «best effort». Arbeidet er nettverksbasert. Etats- CERT Etats- CERT Virksomhets- CERT PSIRT Virksomhets- CERT Virksomhets- CERT Virksomhets- CERT Operasjonsmodell Formål: Levere hendelseshåndtering (IR) SA Forutsetninger: Sikkerhetsovervåkning (SM) Deteksjonsevne (DD) Situasjonsoversikt (SA) IR DE Påstand: Minste lukkede prosessløyfe for en operativ sikkerhetsfunksjon som skal levere hendelseshåndtering SM 4
Kapabilitetsmodell Som SOC og CERT er oppgaven å klatre mot toppen i pyramiden Som sektor-cert er oppgaven å hjelpe andre å nå toppen Kilde: Matt Swann Link: aka.ms/irpyramid Video: youtu.be/azxtckhhaue 2 Trusselbildet Aktivisme / Kriminalitet / Spionasje 5
Samfunnet har blitt veldig sårbart for villede, ondsinnede handlinger mot IKT-infrastruktur. Dette har sikkerhetsfolk visst lenge, men nå går det sakte opp for resten av samfunnet. 6
Men hvordan skal vi forstå trusselbildet? Motivasjon Sabotasje Påvirkning påvirkning Etterretning Spionasje industrispionasje Tyveri Svindel utpresning Formål Kategorisering: Vi kan kategorisere hendelser basert på vår vurdering av hva motivasjon og formål med et innbrudd / angrep er. Emosjonell Politisk Følelser Finansiell Penger Makt ideologisk strategisk 7
Eksempel Motivasjon Aktør: Phineas Phisher Sabotasje og påvirkning Etterretning og industrispionasje Tyveri og utpresning Formål Ideologisk motivet sabotasje? Finansielt motivert sabotasje? Emosjonell ideologisk Finansiell Politisk strategisk Strategisk motivert sabotasje? Mest sannsynlige hypotese: Ideologisk motivert sabotasje. Eksempel Motivasjon Hendelse: Stuxnet Sabotasje påvirkning Etterretning industrispionasje Tyveri utpresning Formål Sabotasje av Irans atomprogram gjennom manipulasjon av sentrifuger som anriket uran. Sikkerhetspolitisk motivert. Emosjonell ideologisk Finansiell Politisk strategisk Må ha vært planlagt basert på tidligere og samtidige E-OPS. 8
Eksempel Motivasjon Aktør: APT1 Sabotasje påvirkning Etterretning industrispionasje Tyveri utpresning Formål Storstilt industrispionasje fra en kinesisk militær enhet, trolig på oppdrag fra kinesiske selskaper. Emosjonell ideologisk Finansiell Politisk strategisk Økonomisk motivert. Trolig også strategisk motivert. (Stort fotavtrykk også i Norge) Hvis du har utstyr med tilgang til Internett, så vil truslene finne deg. 9
Hvilke trusler, avhenger av hvem du er. Sabotasje påvirkning Etterretning industrispionasje Tyveri utpresning Emosjonell ideologisk Motivasjon Finansiell? Politisk strategisk Formål FinansCERT Hovedfokus: Finansielt motivert kriminalitet mot digitale tjenester DDoS Løsepengevirus Svindel (f.eks. «CEO-fraud») Nettbankbedrageri Målretta datainnbrudd Ideologisk påvirkning Strategisk sabotasje? 10
Sabotasje påvirkning Etterretning industrispionasje Tyveri utpresning Motivasjon Formål KraftCERT Hovedfokus: Sabotasje som slår ut kritiske samfunnsfunksjoner IT-hygiene (løsepengevirus) Industrispionasje Sabotasje mot samfunnet Emosjonell ideologisk Finansiell Politisk strategisk Motivasjon Telenor CERT Sabotasje påvirkning Etterretning industrispionasje Tyveri utpresning Emosjonell ideologisk Finansiell Politisk strategisk Formål Hovedfokus: Sabotasje Sekundærfokus: Spionasje Industrispionasje Etterretning mot kunder Sabotasje NB: Telenor har selvsagt miljøer som har fokus på en rekke andre trusler enn disse. Eksempler: IT-hygiene Abonnementssvindel DDoS mot kunder 11
3 Hva gjør vi? En CERT er som sagt ikke én ting, så vi er ganske forskjellige. 12
Telenor CERT og SOC må klatre til topps i pyramiden Visjon: Et forsvarbart Telenor Hvert nivå krever ulik kompetanse og systemer for å kunne lykkes Mål: Motstå angrep på kritisk infrastruktur KraftCERT skal hjelpe sektoren til topps i pyramiden Skjæringspunktet i samarbeidet avhenger av modenhet til den enkelte virksomhet 13
FinansCERT Skal støtte finansnæringens Medlemmer har digitale tilgang satsing til gjennom å redusere konsekvensene av cybertrusler gjennom å trusselbilde håndtere hendelseshåndtering hendelser effektivt følge verktøy med på og trusselbildet datakilder dele portal informasjon for sikker og informasjonsdeling samarbeide forum/møter øving/rådgivning Felles er at vi er opprettet for å beskytte mot baksiden av digitaliseringsmedaljen. 14
4 Krystallkulen Hva bringer den nære fremtid? Det ser ærlig talt ikke særlig bra ut. 15
Større angreps- og lekkasjeflate. Mer oppmerksomhet fra alle kanter. «Det er min mayday». Økning i semi-målretta angrep. Utpresning for ikke å lekke stjålede data. Økonomisk krim. blir enda mer digital. 16
En mer ustabil verden. Flere offensive miljøer. Lettere å være angriper. Sikkerhetspolitikk del av IT-hverdagen. Flere informasjonsoperasjoner. Mer utsatt som forsvarer. 17
Digital kapring av liv og virksomheter kommer til å få alvorligere konsekvenser. Takk for oss FinansCERT KraftCERT Telenor CERT Morten Tandle Leder Margrete Raaum Leder Frode Hommedal Fagleder 18