Cyber Security – Hvordan får vi mest sikkerhed for pengene?

Transcription

Cyber Security – Hvordan får vi mest sikkerhed for pengene?
Industriel IT-sikkerhed
OT-sikkerhedens fire faser:
Predict, Prevent, Detect and
Respond
Jacob Herbst, CTO, Dubex A/S
Rambøll A/S, København, 28. September 2015
Dubex A/S – Facts
Lean forward
Security Partner
Quality
Service
Skills
Certified Security
Professionals
Managing risk –
Enabling growth
Attractive
Work Place
Private Owned
Self-financed
First mover
Since 1997
Global foot print
Dubex mission
Dubex is known and recognized as the leading and preferred
security partner
We must be the most desired workplace
Through our services, we bring our customers skills, agility
and knowledge that they are not able to maintain on their
own, but which are necessary to maintain and develop their
business and enable growth
We know our customers and work closely with them. Our
insight into their business, combined with our broad
knowledge of IT security ensures that we can easily, quickly
and efficiently identify value-added solutions
OT er ikke et nyt område, men det bliver digitalt
Analoge systemer
Embedded
Proprietary OS
Embedded
Commercial OS
Embedded
Commercial OS +
Proprietary Access
Important
Udviklingen er drevet af:
- Billig og let tilgængelig standard teknologi
- Behovet for forbindelse til andre systemer
- Gode udviklingsværktøjer
- Bedre integrationsmuligheder
Embedded
Commercial OS +
IP-addressable
Access
Rapportering
Management
Vital
Data
opsamling
Proces
konfiguration
Critical
Proces kontrol
OT – Anvendte teknologier
Fjernadgang fra leverandører
Internet
Business Zone
ERP systemer
Standard labtops med kontorsoftware
Standard tcp/ip netværk
Operation Management Zone
Legacy standard operativ systemer
Standard kommerciel ”hyldevare-software”
Standard tcp/ip netværk
Process Control Zone
Legacy standard operativ systemer
Standard kommerciel ”hyldevare-software”
Proprietær seriel kommunikation
PLC specifikke protokoller – Modbus, ProfiBus
Digitial sikkerhed
Informationssikkerhed
Fysisk
sikkerhed
It-sikkerhed
ICS-sikkerhed
Cybersikkerhed
Digital sikkerhed
IoTsikkerhed
OT systemer er mere udbredte og værdifulde
•
De "skjulte" og oversete netværk
• Anvendes til ATM, bygninger, processtyring,
transport, informationssystemer og lignende
• Opsætning og drift uden for it-afdelingen
• Kritiske for stabil drift og produktion
•
Særlige forhold
• Manglende mulighed for antivirus og
opdateringer
• Specifikke løsninger - manglende opdateringer
• Ofte gamle systemer og teknologier
• Etableret uden tanke for og fokus på sikkerhed
• Manglende bruger- og adgangsstyring
• Ofte ”bagveje” fx til leverandører og konsulenter
• Temperatur i
serverrum
• Ventilation
• Produktion
• Transportbånd
• Olieproduktion
• El-værker
• Vand- og spildevand
• Informationstavler
• Strålekanoner
• Blodprøveapparater
• Postsortering
OT er mere sårbare i dag end nogensinde før
•
Brug af Commercial Off-the-shelf Technology (COTS) og protokoller
• Samme høje kompleksitetsniveau som i normal IT
• Integration af teknologier fx MS Windows, SQL og TCP/IP
• Sårbar overfor samme angreb og metoder som på Internettet
•
Forbudne netværk og systemer – The ”Air gap” is dead
• Forbundet til interne netværk og Internet
• Integration med Enterprise systemer – ERP
• Realtidsdata til rapportering og styring
•
Behov for fjernadgang
• 24/7 adgang for operatører, service og teknisk support
• Fjernadgang for leverandørsupport
•
Let offentlig adgang til information
• Manualer om brug kontrolsystemer er offentligt tilgængelige
• Blueprints for angreb er almindeligt kendt
ICS specific challenges
DHS: Recommended Practice: Improving Industrial Control Systems
Cybersecurity with Defense-In-Depth Strategies
Typiske observation i OT systemer
•
Direkte netværksforbindelser
• OT udstyr tilsluttet kontor netværk
• Ingen adskillelse af eller kontrol med leverandører
• Ingen bruger/gruppe specifik adgangskontrol
• Service-leverandører og partnere med adgang
• Ansvaret og metode til fjernadgang er ikke organisatorisk forankret ét sted
•
Det fysiske netværk er ofte dårligt beskyttet, især på mindre lokationer
• Mangel på fysisk adgangskontrol, logning og overvågning
• Dårlig kontrol med enheder, der er tilsluttet netværket
• Angreb på udstyr anvendt "i feltet”
• Anvendelse af USB-nøgler til datatransmission
•
Andre markante problemer med industrielle produktionssystemer
• Fokus på tilgængelighed, stabilitet og funktionalitet - ikke sikkerhed
• Ofte manglende eller dårlig brug af logins og passwords
• Brugere - og leverandører - bruge generiske konti / fælles login / lokale brugere
• Der er ingen kontrol med de ændringer
• Legacy enheder med dårlig eller ingen sikkerhedsfunktioner
• Ofte ikke er muligt at installere antivirus- og anden sikkerhedskontrol
• Brug gamle versioner af software og OS
• Mangel på ansvar og proces for opdatering af software
• Ofte ikke er muligt at opdatere systemerne
• Ingen logning af brugeraktivitet
Ændrede krav til vores OT/ICS/SCADA-systemer
Fremtidens krav og behov
Adgang via IP baserede
netværk
Real time overvågning og
optimering fra leverandørerne
Nye
operativsystemer
Nye
sikkerhedskrav
Nye teknologier
Nye lovkrav
OT
Anvendelse af cloud-tjenester
Ønsker at bruge tablets og
mobile enheder (iPad og
Android)
Nye standarder:
Nye trusler
- Sikkerhed bliver en prioritet
- F.eks. IEC / ISA 62443-2-1 Industrial automation and
control systems security
management system
SANS The State of Security in Control Systems Today
Top Threat Vectors13
What are your primary business concerns
when it comes to security of your control
systems?
Rank the top three, with “1” indicating the most important driver.
SANS The State of Security in
Control Systems Today
Juni 2015
314 participants conducted
by SANS Institute
Angreb mod processstyring
German iron plant hit
by APT attack
December 19, 2014 | Doug Drinkwater, Senior Reporter
A German federal agency has detailed in a new report how an
Advanced Persistent Threat (APT) attack physically damaged an
unnamed iron plant in the country.
In its 44-page ‘IT Security Situation 2014’ report published on Wednesday,
the Federal Office for Information Security (BSI) outlined the current
information security threats and hacker methodologies, but - most
interestingly - admitted that its critical infrastructure was targeted in one
specified attack during the year.
German iron plant
hit by APT attack
On section 3.3.1 of the report, BSI – which stands for Bundesamt für
Sicherheit in der Informationstechnik – revealed that attackers used spear
phishing and ‘ingenious' social engineering to get an initial foothold on the
office network of an iron plant, at which point they were able to weave their
way to the production networks.
http://www.scmagazineuk.com/germaniron-plant-hit-by-apt-attack/article/389236
Mysterious ’08 Turkey Pipeline
Blast Opened New Cyberwar
11:00 AM CET December 10, 2014 - By Jordan Robertson and Michael A Riley
Dec. 10 (Bloomberg) -- The pipeline was outfitted with sensors and cameras to monitor
every step of its 1,099 miles from the Caspian Sea to the Mediterranean. The blast that blew
it out of commission didn’t trigger a single distress signal.
Hvorfor bliver vi angrebet?
Spionage
Konkurrenter
Terrorisme
Politiske
Kriminelle
IP, financial,
production
information,
plans, strategies
National/Industrial
plans, secrets,
strategies
Cyberkrig
Angreb
Personal ID info.,
banking
information,
fraud, ID theft
Industrial
sabotage,
planning,
strategic secrets
Interne
Gain device
control,
repurpose, rent,
sell processing,
fraud, industrial
espionage
Software
maintenance or
upgrade,
operational errors
Sikkerhedstendenser
Udfordrende trusselsbillede
• APT-angreb
• Dag-0 og polymorfisk angreb
• Målrettede angreb
Avanceret infrastruktur
• Konvergens på IP-netværk
• Virtualisering
• Mobile enheder
Øget kompleksitet
• Sikkerhed er komplekst - flere opgaver
• Manglende interne ressourcer og kompetencer
• Angreb bliver mere komplekse og hyppige
Information er blevet strategisk
• Vores virksomheder bygger på information
• Kommunikation er vital
• Dataeksplosion – Big Data
“Organizations face an
evolving threat scenario
that they are ill-prepared
to deal with….advanced
threats that have
bypassed their
traditional security
protection techniques
and reside undetected
on their systems.”
Industrial malware timeline
Stuxnet
USB Infection
Natanz facility hit
Controller sabotage
Slammer
Davis-Besse Nuclear Plant
Plant monitroring offline for
5-6 hours
2003
2009
Night Dragon
Oil and gas majors
Sensitive information stolen
2010
DuQu
Stuxnet varraiant
Backdoor rootkit
Shamoon
Oil and gas in GCC
30+ devices deleted
2011
Flame
Keystroke logger
Screenshot
Cyber espionage
Mainly in middle east
2012
2013
Red October
Malicious PDF/PPT
Cyber espionage
Swiss Knife of malware
Trusselsbilledet i forhold til OT systemer
•
Let tilgængelige information og viden
• Manualer omkring PLC’ere m.m. kan nemt findes
• Forøget fokus, viden og forståelse blandt angribere
• www.scadahacker.com — Exploits for OT sårbarheder
• www.shodanhq.com – søg efter OT enheder tilgængelige på internettet
•
STUXNET har ændret trusselsbilledet
• Sløret, målrettet, professionelt, avanceret…
• Fokus fra sikkerhedseksperter
• “Security Researchers” har fokus på OT da det er nemme penge og
berømmelse
•
Målrettede angribere har adgang til våben
• Download exploits gratis (Italian list)
• Købe tool kits (Gleg)
• Nemt at lede efter nye sårbarheder
• Windows XP er udgået af support
Generelle udfordringer ved beskyttelse af OT
Lektien fra Stuxnet
•
Målet med Stuxnet var decideret sabotage af et produktionsanlæg
•
Stuxnet er (formentlig) det første offentligt kendte eksempel på decideret elektronisk
sabotage
•
Stuxnet fungerer som inspiration og blueprint til fremtidige angreb
•
Understreger vigtigheden af sikkerhed omkring OT systemerne
Angrebene er
• Målrettede og vedholdende
• Slørede og tilpasset offeret
• Godt forberedte og planlagt
• Bruger avanceret social engineering
• Rettet mod nøje udvalgte personer i
organisationer
Stuxnet is like the arrival of an F-35 fighter
jet on a World War I battlefield. The
technology is that much superior to anything
ever seen before, and to what was assumed
possible. An aspect that should be kept in
mind is that there is no precedence for this
type of attack.
Ralph Langner, Langner
Mulige sikkerhedshændelser
Sabotage
Denial of
service
Uautoriseret
adgang
Uautoriserede
handlinger af
medarbejdere
Naturkatastrofer
Tyveri
Spionage
Afpresning
Uheld
Uautoriserede
handlinger af
leverandører
Opdatering af
software
Virus, orme,
malware
Manipulering af
systemer
Faktiske hændelser i OT systemer
http://www.risidata.com/Database
SANS The State of Security in Control Systems Today
32%
indicated their control system assets or networks
had been infiltrated or infected at some point
15%
reported needing more than a month to
detect a breach
44%
were unable to identify the source of the
infiltration
34%
believe their systems have been breached
more than twice in the past 12 months
SANS The State of Security in Control Systems Today
How long (on average) after the incident began did your control systems
security staff become aware of the situation?
SANS The State of Security in Control Systems Today
What was the identified source or sources of the
infiltrations or infections? (Select all that apply.)
… there are two kinds of companies…
“I mean, there are two kinds
of big companies in the
United States. There are
those who've been hacked by
the Chinese and those who
don't know they've been
hacked by the Chinese.”
James Comey, FBI Director
”Pointen er, at alle er blevet hacket”
http://www.cbsnews.com/news/fbi-director-james-comey-on-threat-of-isis-cybercrime/
Understøttelse af sikkerhedsprocessen
”Pointen er, at alle er blevet hacket”
•
•
Sikkerhed drejer sig i dag om vores proces og tilgang til at
• Risikostyre vores aktiver (Predict & Identify)
• Implementere passende afvejede kontroller (Prevent & protect)
• Opdage når vi bliver kompromitteret (Detect)
• Reagere hurtigt på en kompromittering (Respond & recover)
Understøttelse med værktøjer og processer (Capabilities)
Predict &
identify
Security
capabilities
Prevent &
protect
Detect
Respond &
recover
Risk
management
Vulnerability
management
Fundamental
security
Security
monitoring
Incident
handling
Disaster
recovery
Visibility
Analytics
Advanced
security
Threat
intelligence
Containment
Forensic
Udfordringer
Avanceret infrastruktur
og øget kompleksitet
Compliance - ISO27001
og lovgivning
Udfordrende
trusselsbillede
Forretningskrav
Information er
blevet strategisk
Medarbejdere
og kompetencer
Forbedring af sikkerheden i OT miljøer
1. Risiko og gap-analyse
• Identificere og vurdere eksisterende systemer
• Dokumenter politikker og procedure
• Identificer og luk huller
• Integration mellem OT og normal IT
2. Sikkerhed i dybden
• Segmenter kontrolsystem netværket
• Kontroller adgang til systemet
• Hærde systemets komponenter
• Træn eget personale og leverandører
(awareness)
Predict & identify
Prevent & protect
Detect
3. Overvåge og vedligeholde systemets sikkerhed
4. Reaktion
Respond & recover
Risikobaseret tilgang
•
Risikostyring er et værktøj til at sikre korrekt anvendelse
af ressourcer
• Identificerer informationsaktiver, deres værdi og risiko
• Sikkerhed er altid et spørgsmål om prioritering
• Implementering af sikkerhed forbundet med udgifter
• Som regel begrænsede ressourcer
Predict &
identify
Information
Risiko
•
•
Beslutninger baseres på en vurdering af risici
Informationscenteret
• Viser de faktiske sårbarheder i en forretningsmæssige
sammenhæng
Foranstaltninger
•
Risikobaseret
• Klar prioritering og baggrund for
sikkerhedsinvesteringer
•
Risikostyring er en løbende proces
Predict &
identify
Organisering af sikkerhedsprocessen
Risikostyring
Ledelse (Bestyrelse/CEO/CSO/CIO)
Fokus: Organisatorisk risiko
Aktioner: Risikobeslutning og prioriteter
Prioriteter, risikoappetit
og budget
Ændringer i
risikobilledet
Procesniveau
Fokus: Risikostyring
Aktioner: Valg af risikoprofil
Rapportering, ændringer,
sårbarheder og trusler
Operationelt
Fokus: Sikring af infrastruktur
Aktioner: Implementering af profil
Implementering
Sikkerhedsframework
og -profil
Hvad er ISO 27001?
•
ISO 27001 er ikke bare en standard for et ledelsessystem
• ISO 27001 er også en generel proces, der hjælper med forankring,
behovsanalyse og prioritering af it-sikkerheden
•
Ledelsessystem for informationssikkerhed (ISMS)
• ISMS politik
• Informationsaktiver og klassifikation
• Risikovurdering og planer
• Sikkerhedshåndbog
• Awareness
• Interne ISMS audits
• Hændelser og forbedringer
• Vedligeholdelse
•
Grundlaget er ledelsens commitment og accept
•
Fokus er på forretningen og de forretningskritiske aktiver
•
Valg af kontroller baseret på risikovurdering
• Udvælgelsen er en vigtig del af processen
•
Procesorienteret (Plan-Do-Check-Act)
•
Der lægges vægt på rapportering
Predict &
identify
Standards (example) - 21 Steps to Improve Cyber
Security of SCADA Networks, US-DOE
1. Identify all connections to SCADA networks
2. Disconnect unnecessary connections to the SCADA
network
3. Evaluate and strengthen the security of any remaining
connections to the SCADA network
4. Harden SCADA networks by removing or disabling
unnecessary services
5. Do not rely on proprietary protocols to protect your
system
6. Implement the security features provided by device
and system vendors
7. Establish strong controls over any medium that is used
as a backdoor into the SCADA network
8. Implement internal and external intrusion detection
systems and establish 24-hour-a-day incident
monitoring.
9. Perform technical audits of SCADA devices and
networks, and any other connected networks, to
identify security concerns
10. Conduct physical security surveys and assess all
remote sites connected to the SCADA network to
evaluate their security
11. Establish SCADA “Red Teams” to identify and
evaluate possible attack scenarios
Predict &
identify
12. Clearly define cyber security roles, responsibilities,
and authorities for managers, system
administrators, and users
13. Document network architecture and identify
systems that serve critical functions or contain
sensitive information that require additional levels
of protection
14. Establish a rigorous, ongoing risk management
process
15. Establish a network protection strategy based on
the principle of defense-in-depth
16. Clearly identify cyber security requirements
17. Establish effective configuration management
processes
18. Conduct routine self-assessments
19. Establish system backups and disaster recovery
plans
20. Senior organizational leadership should establish
expectations for cyber security performance and
hold individuals accountable for their performance
21. Establish policies and conduct training to minimize
the likelihood that organizational personnel will
inadvertently disclose sensitive information
regarding SCADA system design, operations, or
security controls.
SANS The State of Security in Control Systems Today
Which cybersecurity standards do you map your
control systems to? Select all that apply.
Predict &
identify
Integration mellem OT og IT
Identifikation





Udvikling
Definition
Management
Optimering
Trin 1: Identifikation: Start med at identificer hvor it og produktionssystemer er
afhængige af hinanden.
Trin 2: Udvikling: Erkend at det kræver ændringer i produktionssystemerne at skabe
sammenhæng mellem it og produktion
Trin 3: Definition: Definer en sammenhængende og ensartet håndtering af it og
produktionssystemer
Trin 4: Management: Integrer infrastruktur mellem it- og produktionssystemer.
Trin 5: Optimering: Integrer ressourcer til it, produktionssystemer og management.
Hvordan udnytter virksomheden sine ressourcer optimalt?
Predict &
identify
OT, IT og IoT – udvikling og intgration
Nuværende situation
Ideel situation
•
•
•
•
•
•
Silo opdelt organisation
Proprietærer systemer
Kulturelle forskelle
IT
OT
IoT
Samlet governance
Standard systemer
Samme kultur
OT
IT
IoT
Prevent &
protect
Security in Depth
Kontrol og overblik
•
Flere forskellige redundante og uafhængige
sikkerhedsmekanismer
•
Sikkert design – proaktiv/generisk sikkerhed
• Anvend forebyggende teknologier
• Indbyg sikkerhed i systemerne
•
Aktiv beskyttelse – reaktiv sikkerhed
• Supplér den ”indbyggede” sikkerhed
• Overvåg intern trafik for afvigende mønstre
•
Overvågning
• Overvågning af handlinger på systemer og
netværk
• Konsolidering, sammenstilling og intelligent
analyse af logfiler
Murphy's Law: Anything that can go wrong will go wrong.
Politikker og procedurer
Management
Overvågning &
korrelation
Perimeter
Netværk
Host
Applikation
Data
Brugere
Segmentering af kontrolnetværket
Prevent &
protect
•
Inddæmme en eventuel kompromittering til en begrænset del af netværket
•
Begrænse ”normale” brugere og systemers adgang i netværket
•
Mulighed for at beskytte særligt sårbare systemer på separate segmenter
•
Mulighed for at begrænse og kontrollere den adgang, der gives til
samarbejdspartnere, kunder og leverandører o.a.
•
Mulighed for at begrænse og kontrollere den adgang, der gives til fjernbrugere
•
Mulighed for opsamling af logs og audit trails, således at hændelser kan
efterforskes
•
Endelig skal segmenteringen
• være skalérbar, så den ikke introducerer flaskehalse i netværket
• opfylde normale krav til tilgængelighed og pålidelighed
• være fleksibel, så der nemt kan etableres flere segmenter
Prevent &
protect
Arkitektur
Dividing common control systems architecture into zones can assist
organizations in creating clear boundaries in order to effectively apply
multiple layers of defense.
•
External Zone is the area of connectivity to the Internet, peer locations, and backup or remote
offsite facilities. This is not a demilitarized zone (DMZ) but is the point of connectivity that is
usually considered untrusted. For industrial control systems, the external zone has the least
amount of priority and the highest variety of risks.
•
Corporate Zone is the area of connectivity for corporate communications. E-mail servers, DNS
servers, and IT business system infrastructure components are typical resources in this zone.
A wide variety of risks exist in this zone because of the amount of systems and connectivity to
the External Zone. However, because of the maturity of the security posture and redundancy of
systems, the Corporate Zone’s precedence can be considered to be at a lower priority than
other zones, but much higher than the External Zone.
•
Manufacturing/Data Zone is the area of connectivity where a vast majority of monitoring and
control takes place. It is a critical area for continuity and management of a control network.
Operational support and engineering management devices are located in this zone along side
data acquisition servers and historians. The Manufacturing Zone is central in the operation of
both the end devices and the business requirements of the Corporate Zone, and the priority of
this area is considered to be high. Risks are associated with direct connectivity to the External
Zone and the Corporate Zone.
•
Control/Cell Zone is the area of connectivity to devices such as Programmable Logic
Controllers (PLCs), HMIs, and basic input/output devices such as actuators and sensors. The
priority of this zoneis very high as this is the area where the functions of the devices affect the
physical end devices. In a modern control network, these devices will have support for TCP/IP
and other common protocols.
•
Safety Zone usually has the highest priority because these devices have the ability to
automatically control the safety level of an end device (such as Safety Instrument Systems).
Typically, the risk is lower in this zone as these devices are only connected to the end devices
but recently many of these devices have started to offer functionality for TCP/IP connectivity for
the purposes of remote monitoring and redundancy support.
DHS: Recommended Practice: Improving Industrial Control Systems
Cybersecurity with Defense-In-Depth Strategies
Harden the components of the system
Prevent &
protect
Have to look at all the different
accesses to the system
Harden software and access
•
Overview of all different accesses to
systems
• Wide focus – avoid only looking at a
single entry point such as USB keys
• Make sure to have a strategy to monitor
and protect all accesses
•
•
Consider all possible entry points:
• Removable media (CDs, DVDs, USB
drives)
• File transfers (Databases, PDF files,
PLC project files)
• Portable devices (laptops, storage
devices, configuration tools)
• Internal network connections (business,
monitoring, Lab, QA, Support)
• External network connections (Support,
suppliers, Construction, Customers)
• Wireless (802.11, 802.15, Mobile,
Wireless HART, ISA-100a Bluetooth,
USB pairing)
• Other interfaces (Serial, Data
Highways)
Control and monitor the access to ICS
resources
• AAA – Authentication, Authorization and
Accounting
• Logical and physical controls
• Monitoring and control
•
Software hardening
• OS architecture
• Change and control management
• New development practices
• Patch management
Træn personale og leverandører (Awareness)
•
Sørg for, at alle personer med adgang til OTsystemer er opmærksom på sikkerhed
•
Give målrettet uddannelse for at sikre relevant
information
•
Kræver samarbejde mellem it-medarbejdere og
processtyringsmedarbejder
• Forskelligt ordforråd - Sørg for, at de involverede
alle taler samme sprog
• IT har utilstrækkelig viden om og erfaring med
OT-systemer til at yde den nødvendige støtte
• Proceskontrol personale skal samarbejde med itsikkerhedsspecialister
• Træn IT i OT og undervis processtyring om
sikkerhed
Prevent &
protect
TCP/IP, NetBIOS,
MSSQL, SAP,
server, netværk,
firewall
It-medarbejder
Profibus, fieldbus,
MODBUS,
Magnetventil,
Turbine,
hydraulisk,
pneumatisk
Processtyringsmedarbejder
Overvågning
Detect
Opdagelse af angreb - hastighed
Opdagelse af angreb - hvordan
82%
66%
af alle organisationer var flere
måneder eller år om at opdage det
initiale indbrud
af alle hændelser blev
opdaget af eksterne
12%
af alle hændelser blev
tilfældigt opdaget internt
Percent of breaches that remain
undiscovered for months or more
Kun 6%
af alle hændelser blev
aktivt opdaget internt
… så det normale er, at der efter nogle måneder kommer
nogle eksterne og fortæller, at vi er blevet hacket…
Overvågning - udfordringen med logning
Server and Desktop
OS
•
Firewalls/
VPN
Directory
Services
Physical
Infrastructure
IPS/IDS
Identity
Management
System Health
Information
Network
Equipment
Vulnerability
Assessment
Anti-Virus
Databases
Applications
•
Detect
Alle hændelser bliver som regel logget et eller andet sted
• Overvældende antal logs
• Behov for logs fra alle typer systemer
• Mange forskellige formater
De kritiske events går tabt og bliver overset i mængden
•
?
… og de fleste angreb eller fejlkonfigurationer går oftest
fuldstændigt uset hen.
Of the following system components,
select those that you are collecting
and correlating log data from.
Security Intelligence - SIEM
Server and Desktop
OS
Detect
Security
Intelligence
Information
Firewalls/
VPN
Sårbarheder
Geo-lokation
Trusler
Directory
Services
Network
Equipment
Alarmer
Lokation
Threats
Geo
System Health
Information
Korrelering
Baseline
Troværdighed
Identity
Management
Enheder
Sårbarheder
IPS/IDS
Normalisering
Kategorisering
Rapportering
Physical
Infrastructure
Få mistænkelige
hændelser
Vulnerability
Assessment
Anti-Virus
Databases
Applications
Inventory
Brugere
Analyse og Big Data
Konfiguration
Netflow
Security Incident Response
Undgå at gå i panik!
•
Vigtigt at have en Security Incident Response plan på
plads
• Krav ved nogle forskellige certificeringer
•
Incident management ansvar – klare roller og
ansvarsområder
•
Passende Security Incident Response til forskellige
typer hændelser
•
Beredskab – intent og eksternt
• Incident Response Team
• Husk test af beredskabet!
•
Rydde op på ramte systemer og få produktionen op og
køre igen hurtigst muligt
Respond &
recover
The plan should
include:
• Response team
• Reporting
• Initial response
• Investigation
• Recovery and
follow-up
• Public relations
• Law enforcement
Processen helt generelt
START
Begynd med
ledelsesaccept og
omfang (scope)
Sikre medarbejder
awareness
Sikre overvågning
Identificer de
forretningskritiske
informationsaktiver
(og ejerne)
Dokumenter
processer
(og efterlevelsen)
Test beredskabet
Udarbejd
risikovurdering og
risikohåndteringsplan
Implementer de
valgte kontroller (og
ISMS processerne)
Vedligehold systemet
Understøttelse af sikkerhedsprocessen
Predict &
identify
Security
capabilities
Prevent &
protect
Respond &
recover
Detect
Risk
management
Vulnerability
management
Fundamental
security
Security
monitoring
Incident
handling
Disaster
recovery
Visibility
Analytics
Advanced
security
Threat
intelligence
Containment
Forensic
Dubex Security Professionals & Consulting
Security Operations Center / Security Analytics Center
Dubex Managed Services
Dubex Support options
Technology providers
IT Trends - Technology Changes
New technologies
• Cloud
• Social media
• Mobil
• Big data
• Internet of things
New innovative
usage of the new
technologies
• Sharing Economy
• Intelligent housing
• Streaming media
services
• Mobile Payment
• Wearables
• BYOx
Ransomware be applied to IoT
A car lockdown?
A house blackout?
Different changes in
multiple fields effect
cyber security
• Attacks against
other vectors
• New methods
• New precedents
• New technologies
• New attackers
• Geopolitical
A pacemaker threat?
Risikobegrænsning
•
Risikoen kan ikke fjernes, kun begrænses
•
Sikkerhed kan ikke købes som produkt
•
Sikkerhed opnås ved en blanding af
• Procedure & ledelse (Management issues)
• Design, værktøjer og tekniske løsninger
• Løbende overvågning og vedligeholdelse
•
Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem
Hold dig opdateret fra Dubex
Abonner på Dubex nyhedsbrev
Besøg
www.dubex.dk
Følg Dubex
på
LinkedIn
http://www.dubex.dk/update/
Deltag på Dubex arrangementer
http://www.dubex.dk/arrangementer/
Security & Risk Management Summit 2015
På årets Dubex Security & Risk Management Summit forholder vi os til den kendsgerning, at
cyberangreb rammer alle virksomheder. Spørgsmålet er hvornår, og hvordan din virksomhed sikrer de
mest forretningskritiske data og processer?
På konferencen kan du høre mere om emner som
• CIOs Balancing Risk, Compliance and Security
• Managing Risk, Enabling Growth at Board Level
• Security Technologies and Operations
• Security Trends
• Opportunities and Risks in the Digitised Organisation
• The EU Data Protection Regulation
• Secure Cloud & Mobility
• Technologies & Operations
Tid og sted
Den 3. november 2015 kl. 9.00-18.00
Du kan bl.a. høre:
•
•
•
•
•
•
•
•
•
•
•
Ken Bonefeld Nielsen, CSO, Director, Sony Mobile Communications
Peter Andersen, Executive Partner, Gartner
Ramsés Gallego, Security Strategist & Evangelist, Dell Software
Jess Pilegaard, CIO, Udenrigsministeriet
Thomas Johansen, CFO, SimCorp
Torben Jørgensen, Vice President Information Security, Vestas
Claus Ritter, Stabschef, CIO, Slagelse Kommune
Jesper D. Sørensen, Executive Director, EY
Matthew McClean, Solutions Architect, Amazon Web Services
Michael Hopp, Advokat og partner, Plesner Advokatfirma
Jacob Herbst, CTO, Dubex
DGI-Byen (CPH Conference)
Tietgensgade 65
DK-1704 København V
Læs mere og tilmeld dig på www.dubex.dk/summit2015
Deltagelse er gratis, men kræver registrering.
Thank you
For more information please contact
[email protected]