Advisory Testing av intern IT-sikkerhet Siv. ing. Eivind Dees Tellefsen eivind.tellefsen@no.ey.com Dette dokumentet er Ernst & Youngs eiendom. Dokumentet kan ikke benyttes av eller videreformidles til andre uten å på forhånd ha innhentet skriftlig tillatelse. 28. mars 2007
Agenda Hvilket risikobilde står bankene overfor mht. intern IT-sikkerhet Hvordan tester vi den interne IT-sikkerheten (det tekniske perspektivet) Hvordan skal finansinstitusjonene håndtere risikobildet 2 Advisory
Helhetlig kontroll av IT-sikkerhet Tradisjonell IT-revisjon, IT-generelle kontroller (ITGC) - Nødvendig, men alene ikke tilstrekkelig Penetration-testing - Nødvendig, men alene ikke tilstrekkelig - (Hvem tør plante virus for åteste sikkerheten?) - Sikkerhetstesting bør være et supplement til IT-revisjon Arkitektur-revisjon - Nødvendig, men alene ikke tilstrekkelig 3 Advisory
Mørketallsundersøkelsen 2006 Utsendt til 2000 virksomheter, 749 svar. estimert at norske virksomheter ble utsatt for nærmere 3900 datainnbrudd siste 12 måneder Virksomheter er godt rustet på tekniske sikringstiltak... understreker viktigheten av å arbeide med andre tiltak enn tekniske for å bedre sikkerheten Mørketall for finanssektoren? 4 Advisory
5 Advisory
Agenda Hvilket risikobilde står bankene overfor mht. intern IT-sikkerhet Hvordan tester vi den interne IT-sikkerheten (det tekniske perspektivet) Hvordan skal finansinstitusjonene håndtere risikobildet 6 Advisory
Iboenerisikobilde finans intern risiko Konsekvens Lav Medium Høy >100.000.000? >10.000.000? <1.000.000? RISKOMATRISE 3 2 1 1. Penger flyttes uautorisert 2. Uautorisert tilgang til forretningskritisk informasjon 3. Hærverk mot bankens/felles ITinfrastruktur Aldri 5-50 år? 1-5 år? <1 år? Lav Medium Høy Sannsynlighet 7 Advisory
Ønsket situasjon Konsekvens Lav Medium Høy >100.000.000? 1 >10.000.000? 2 3 <1.000.000? RISKOMATRISE 3 2 1 1. Penger flyttes uautorisert 2. Uautorisert tilgang til forretningskritisk informasjon 3. Hærverk mot bankens/felles ITinfrastruktur Aldri 5-50 år? 1-5 år? <1 år Lav Medium Høy Sannsynlighet 8 Advisory
Angående 2 21.2.07 20.2.07 9 Advisory
Angående 2 10 Advisory
Angående 3 11 Advisory
Agenda Hvilket risikobilde står bankene overfor mht. intern IT-sikkerhet Hvordan tester vi den interne IT-sikkerheten (det tekniske perspektivet) Hvordan skal finansinstitusjonene håndtere risikobildet 12 Advisory
Sikkerhetstesting sett i en større sammenheng Forretningsprosesser Utlån Innlån Prinsippskisse Andre prosesser System1 System2 IKT-infrastruktur Applikasjon Database Operativsystem Applikasjon Database Operativsystem Nettverk Eksempel påmulige kompromitteringer i infrastrukturen 13 Advisory
Hva ønsker vi åundersøke, og hvorfor? 14 Advisory
Hva ønsker vi åundersøke, og hvorfor? Tekniske blundere? Manglende prosedyrer? Svikt i etterlevelse av prosedyrer? En sikkerhetstest kan gi håndfaste beviser for at internkontrollen ikke fungerer tilfredsstillende. Den kan peke i retningen av bakenforliggende årsak ved at symptomene oppdages. 15 Advisory
System1 Applikasjon Database Operativsystem System2 Applikasjon Database Operativsystem 1. Oppkopling og kommunikasjon Prosess1 Prosess2 Prosess3 I hvilken grad kan vi benytte uautorisert utstyr? - Policy: OK at uautorisert utstyr kan koples til og kommunisere med nettverket? - EKSEMPEL? - Hvilke kontroller eksisterer for å hindre uautorisert utstyr på nettverket? - Vil uautorisert utstyr oppdages? I hvilken grad kan vi benytte virksomhetens eget utstyr til å utføre uautoriserte handlinger? - Policy: OK at deres eget utstyr kan benyttes til å kjøre uautorisert software? - Hvilke kontroller eksisterer for å hindre at virksomhetens eget utstyr benyttes? Nettverk 16 Advisory
17 Advisory
System1 Applikasjon Database Operativsystem System2 Applikasjon Database Operativsystem 2. Kommunikasjon og kartlegging Prosess1 Prosess2 Prosess3 Nettverk I hvilken grad er det mulig å kommunisere med internett? - Er det nødvendig og hensiktsmessig at alle ansatte har direkte tilgang til internett? (Tjenestelig behov?) - Hva er mulig å laste ned? Kjøre på lokal maskin på nettverket? Hva ser vi når vi kun lytter? - Konfidensiell informasjon? Passord? Er det mulig å snappe opp passord på nettverket? - Mange applikasjoner (inkl. internett-sites) sender login-credentials i klartekst - SYNKRONISERING Verktøy: Cain & Abel, Ethereal, Ettercap, John the Ripper 18 Advisory
3. Aktiv fase, kartlegging Utlån System1 Applikasjon Database Innlån Andre proses ser System2 Applikasjon Database Operativsystem Operativsystem Hvilke maskiner har vi tilgang til og hvilke tjenester tilbyr disse? - Andre kontorer? - Samarbeidspartnere? - Andre nettverk? - Hvilke uautoriserte aktiviteter blir oppdaget? Hvilke operativsystemer, applikasjoner og versjoner ser vi? - Velkjente sårbarheter? Verktøy: nmap, nessus 19 Advisory
20 Advisory
3. Aktiv fase, kartlegging Utlån System1 Applikasjon Database Innlån Andre proses ser System2 Applikasjon Database Operativsystem Operativsystem Kartlegging av windows-maskiner: - Mulig å logge på fellesområder uten passord (anonymt)? - Mulig å hente ut brukerinformasjon? (Navn) - Mulig å få ut passordpolicy? - Lockout-policy? - Hente ut passord-database? Kartlegging av andre enheter - Linux, Sun, Mac, Switcher, Rutere, FWs - Bruk av fjernadministrasjonsverktøy? Verktøy: enum, nbtenum, ftp, telnet, VNC, remote desktop, google 21 Advisory
4. Aktiv fase, utnyttelse av sårbarheter Utlån System1 Applikasjon Database Innlån Andre proses ser System2 Applikasjon Database Operativsystem Operativsystem Logge på anonymt Søke etter passord i klartekst på fellesområder Søke etter sensitiv informasjon på fellesområder Logge på med sniffede passord (ikke uten godkjennelse) Teste databaser for tilgang - Hente ut passord og brukernavn - NB! TESTSYSTEMER Knekke passord Eskalering av rettigheter Verktøy: net use, Win søk, opwg, orabf, Cain&Abel, l0phtcrack 22 Advisory
5. Sammenstille med risikobildet, f.eks: Utlån System1 Applikasjon Database Innlån Andre proses ser System2 Applikasjon Database Operativsystem Operativsystem 1. Penger flyttes uautorisert - Kan vi opptre som andre personer i systemene? - Hvilke forretningssystemer kan vi logge på? - Kan vi utføre transaksjoner? Hvordan vil disse spores? 2. Uautorisert tilgang til forretningskritisk informasjon Hvilken informasjon har vi fått tilgang til? 3. Hærverk mot bankens/felles IT-infrastruktur Hvilke systemer har vi tilgang til, og i hvilket nivå? HÅNDFASTE REVISJONSBEVISER FAKTA Etter sikkerhetstesten kommer den viktigste jobben: Tiltak og oppfølging! - Tiltakene må rettes mot organisasjon og prosess still spørsmålet Hva er ÅRSAKEN til at de oppdagede avvikene/svakhetene er oppstått. 23 Advisory
En IT-sikkerhetstest gir et snapshot av teknisk sikkerhet på det aktuelle tidspunkt Dagens organisering Dagens produkter/ tjenester Et sikkerhetsparadigme Gitte samarbeidspartnere System- Konfigurasjon/ IT-Sikkerhet Definert brukermasse Teknologien som er i bruk Lover og regler Dagens versjoner av software 24 Advisory
Agenda Hvilket risikobilde står bankene overfor mht. intern IT-sikkerhet Hvordan tester vi den interne IT-sikkerheten (det tekniske perspektivet) Hvordan skal finansinstitusjonene håndtere risikobildet 25 Advisory
Iboenerisikobilde finans intern risiko Konsekvens Lav Medium Høy Aldri >100.000.000? >10.000.000? <1.000.000? 5-50 år? 26 Advisory RISKOMATRISE 3 1-5 år? Lav Medium Høy Sannsynlighet 2 <1 år? 1 1. Penger flyttes uautorisert 2. Uautorisert tilgang til forretningskritisk informasjon 3. Hærverk mot bankens/felles ITinfrastruktur Tverrfaglige risikoog sårbarhetsanalyser
Faktorer som påvirker sikkerheten Mikko Hyppönen (F- Secure) til Computerworld: [Brukerne] stoler fremdeles alt for mye på oss Teknologi Entydige roller og ansvar oppfølging Sikkerhetspolicy Arkitektur-revisjon Organisasjon Retningslinjer sikkerhetsrevisjoner Konfigurasjonsstyring Endringsledelse Informasjonssikkerhet Sikkerhetskompetanse bedriftskultur opplæring Sikkerhetssamtale IT-revisjon Prosess Hendelsesrapportering Overvåkningsverktøy Sikkerhetsoppdatering 27 Advisory
28 Advisory
Takk for oppmerksomheten 29 Advisory