Hur hanterar du säkerhetsincidenter du inte vet om?

Transkript

1 Hur hanterar du säkerhetsincidenter du inte vet om? Anna Barkvall

2 Hur hanterar du säkerhetsincidenter du inte vet om? Vad är en allvarlig säkerhetsincident och hur skapar du detektionsförmåga för det du inte kan se i dagsläget? För att kunna vidta rätt åtgärder måste man tidigt upptäcka och bedöma allvarlighetsgraden i en incident. Ju längre inkräktarna tillåts verka desto mer ökar kostnaderna och risken för att konfidentiell information lämnar företaget. Med en hotbild som ständigt ändras och ökar är det en stor utmaning för säkerhetschefer framöver att snabbt nog upptäcka och hantera varje incident korrekt så att konsekvenserna minimeras. NTT Com Security vet hur hanteringen av säkerhetsincidenter kan förenklas och förbättras. Anna Barkvall, affärsutvecklare och säkerhetsexpert, NTT Com Security (fd Secode) 2

3 Dagens hotbild Organiserade hackers Kostsam och icke skalbar åtgärd Tusentals incidenter Måste förhindra attacker, perimeter, moln och mobile Ökande volymer Sofistikerade Begränsad korrelation mellan osammanhängande säkerhetsteknologier Limiterat antal säkerhetsexperter CSO-utmaningar 3

4 Idag > Appar flyttar från nätverket > Användare flyttar från nätverket > Servrar flyttar till molnet > Krypterad trafik ökar Verizon Cloud BETA 4

5 IT Outsourcing 5

6 Kan du lita på din Sourcing partner? YES and NO > Det är en delad miljö, det är en del av affärsmodellen och större skador är inte ovanliga > De är inte alltid säkerhetsexperter > Intressekonflikt att göra säkerhetsincidenter kända 6

7 APT en blandad attackprofil Följer inte mönster så mönsterbaserade mekanismer kommer inte att upptäcka dem. Bästa möjligheten till upptäckt är att leta efter anomalier. En förutsättning för att detta skall vara möjligt är att man har teknik och processer på plats så att bruset blir hanterbart. Kräver att man vet vad som är normalt Nyfikna och kunniga människor behövs utöver teknik 7

8 Sverige Norge Application Specific Attack 25% Service Specific Attack 3% Network Manipulation 7% Malware 8% Web Application Attack 16% Data Exfiltration Activity Known Bad 2% Source 3% Client Botnet Activity 3% Evasion Attempts 3% Brute Forcing 4% Other 9% Application Specific Attack 15% Reconnaissance 6% Suspicious 8% Web Application Attack 17% Reconnaissance 10% Service Specific Attack 7% Suspicious 11% DoS / DDoS 10% Malware 14% DoS / DDoS 10% Network Manipulation 9% 8

9 Kill Chain Increasing risk & cost to contain and remediate Pre-compromise Compromise Post-compromise 9

10 Vad kan man göra? 10

11 Viktigt > Hur effektiv är investeringen mot de senaste hoten? > Är organisationen öppen för angrepp genom personal eller system? > Hur påverkas varumärket av ett intrång? > Hur kan man minska konsekvenserna av ett intrång? 11

12 Regelbundet granska din egen organisation > Att förstå hur en angripare ser din organisation > Hoten förändras ständigt > Förstå hur din organisation kan skadas 12

13 Olika lager av säkerhetsområden att täcka Staff Business processes Infrastucture Applications Company loyalty Separation of duties Security architecture Security architecture Staff screening Security controls Security awareness Exception detection Security controls Security testing Identity & Access Management Auditability & Traceability Security Incident Management 13

14 Incidentscenarion Sourcing partner SOC CIRT SOC Företag Sourcing partner SOC > Holistisk säkerhetsvy över hela sin IT-leverans > Mycket kompetent säkerhetspersonal > Intelligenta system som adderar korrelation och kontext till incidenterna > Incidenteskalering och styrning till relevanta parter Sourcing partner Sourcing partner SOC SOC 14

15 Upptäcktsförmåga Test Kvalificering Beredskap Prioritering Åtgärder 15

16 Sammanfattning Tekniken löser inte allt! Det behövs Processer Regelbunden översyn Kompetens Korrelaton mellan säkerhetssystem 16

17 Tack Anna Barkvall