Slik stoppes de fleste dataangrepene Oktober 2014, Nasjonal sikkerhetsmåned John Bothner Avdeling for Teknologi Nasjonal sikkerhetsmyndighet 1
Agenda 1. De mest populære sikkerhetstiltakene er lite effektive 2. Effektiviteten av forskjellige sikkerhetstiltak 3. De mest effektive IT-sikkerhetstiltakene 2
Trusler og verdier Tiltak: Organisatoriske Trusselaktører Datasystem med gradert eller sensitiv info. Tiltak: Teknologiske 3
Mange typer dataangrep Fokus i denne presentasjonen: Angrep med skadevare fra internett («virus» mm.) Lenker i en epost Vedlegg i en epost Infisert minnepine (uten modifisert Firmware) I tillegg, angrep som ikke omtales her: Avlytting Av trafikk på internett Av brukerens omgivelser Tjenestenektangrep Fysisk adgang til datamaskinene Utro tjenere Infisert minnepinne, med modifisert Firmware Mm. 4
DE POPULÆRE LØSNINGENE HJELPER IKKE NOK 5
Vellykkede dataangrep Fra media hører man stadig om vellykkede ITangrep Farlige vedlegg eller lenker i epost, mm. Stressede brukerne som er uforsiktige Norsk virksomhet som ble angrepet i 2014, til pressen: Vi trodde jo at vi var trygge når vi hadde brannmurer og god sikkerhet. Men vi ser jo nå at det er folk som er interesserte i det vi holder på med. (NB Dette er en helt vanlig reaksjon) 6
Tradisjonelle og populære sikkerhetstiltak Følgende populære tiltak (som ikke hjalp nok) ble brukt: Antivirus og Brannmur (antagelig mest populært) Passord, med mer Disse populære tiltakene tilsvarer Sikre huset med vindushasper (mot de som kan klatre) Dørene er uansett åpne (som flere angripere benytter) Populariteten til Antivirus og Brannmur: tradisjoner fra 1990? 7
De mest populære sikkerhetstiltakene NSM vil absolutt at virksomhetene skal ha bl a brannmur og antivirus, men det blir en sovepute for mange Hvorfor hjelper ikke f eks brannmur/antivirus nok? Brannmurer må åpne for brukernes web og epost bruk, ellers får de ikke utført jobben sin Antivirusproduktene omgås lett av angripere i dag Brukerne lures, og kjører angripers program 8
Å BESKYTTE SEG: VI VET HVA SOM VIRKER, OG HVA SOM IKKE VIRKER 9
Australsk undersøkelse Australske sikkerhetsmyndigheters målinger av angrep på offentlig sektor (målrettede) Rangering av sikkerhetstiltak Undersøkt kontinuerlig, rapport ca årlig Samme resultat over tid, med små justeringer pr år Tiltak som stopper flest angrep øverst i rangeringen Totalt 35 sikkerhetstiltak Hvordan gjør «populære» tiltak det i en slik undersøkelse? Antivirus? Brannmurer? 10
Rangering av 35 sikkerhetstilltak, fra Australia 1. plass: tilltaket som stopper flest angrep Plass 1-4 vinnerne, disse kommer vi tilbake til Brannmur på PC: 12 + 13 plass. Virksomhetsbrannmur ikke en gang nevnt Antivirus: 22 og 30 plass 35. plass: tiltaket som stopper færrest angrep 11
Undersøkelse: unødvendige brukerrettigheter Effektivt tiltak: slutt å gi admin-rettigheter til brukerne Andel av Microsofts sårbarheter i 2013 som er ufarlig hvis dette tiltaket er på plass 96% av kritiske sårbarheter mht Windows ufarlig 100% av alle sårbarhetene i Internet Explorer ufarlig 91% av sårbarheter i MS Office ufarlig 100% av sårbarheter ifm fjernstyring av offerets datamaskin ufarlig Dette stemmer god med info NSM har Kilde: avecto.com 12
EFFEKTIVE OG BILLIGE SIKKERHETSTILLTAK 13
Fire effektive sikkerhetstiltak 1. Oppgrader utstyr til siste versjoner Adobe Reader 9 kontra versjon 11 Windows XP kontra f eks Windows 7 2. Installer sikkerhetsoppdateringer raskt Operativsystemet, Adobe Reader, Java, MS Office, Adobe Flash 3. Ikke la sluttbrukere få administratorrettigheter Ikke la angriperen få alle rettigheter! 4. Blokkèr kjøring av ikke-autorisert programvare (hvitelisting) F eks Applocker, SRP, 3. part Det er disse 4 tekniske prinsippene vi regner som de mest grunnleggende for å beskytte datamaskiner 14
Flere tiltak 4 tiltak + 6 tiltak til Se NSMs brosjyre/ sjekkliste S-02 NSM har foreløpig ikke observert internettrelaterte skadevareangrep som samtidig klarer å omgå alle disse ti tiltakene De fleste av disse tiltakene krever ikke nyinnkjøp 15
De fire tiltakene: Effekter IT-avdelingen må etablere bedre rutiner raskere sikkerhetsoppdateringer bedre styring av brukerrettigheter Ha oversikt over godkjente applikasjoner For brukerne reduseres konsekvensene av å bli lurt Kan ikke kjøre og installere ukjente programmer Kan ikke kjøre programmer på minnepinner Kan ikke endre sikkerhetsinnstillinger Ingen/liten konsekvens selv om bruker åpner angripers epost-vedlegg / web-lenke (80-90% av angrepene) 16
Hvorfor benytter ikke flere disse tiltakene? Sannsynlige forklaringer Manglende kunnskap om sikkerhetseffekten av tiltak Manglende kjennskap til sikkerhetsfunksjoner som er innebygget i operativsystemene Lite utviklet sikkerhetskultur, dvs. høy risikoaksept og lav risikoforståelse Avslutning: NSM anbefaler flere virksomheter å ta i bruk disse tiltakene, som erfaringsmessig er effektive og stopper flertallet av slike dataangrep. 17
Konsekvenser av dagens praksis Hvis man ikke følger disse rådene* fra NSM: Drift og sikkerhetsbeslutningene outsources fra ITavdelingen til sluttbrukerne (og til angriperen) Konsekvenser Kontroll? Sikkerhet! Sparer man egentlig på denne «outsourcingen»? * (spesielt det å ikke følge råd nr 3 og 4) 18
Takk for meg! Les mer på www.nsm.stat.no: Søk på dokumentene «S-01», «S-02» og «U-01» Spørsmål 19