FÖRHINDRA DATORINTRÅNG!

Transkript

1

2 FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser Strategier för ett effektivt skydd Hur gör du när det händer

3 Trender där hackervärlden möter affärsvärlden Det är personligt, dvs den som gör intrånget samlar in mycket information om den verksamhet som skall attackeras Gäller både stora och mindre företag/organisationer Det är planerat och i många fall gör man avledningsmanöver (desinformation) för att det verkliga intrånget inte skall synas Flera oönskade händelser inträffar samtidigt - det verkliga intrånget görs i smyg Man går både mot publikt exponerade system och interna system Det är tidskritiskt, 0 day exploits, dvs samma dag som en uppdatering släpps används brister vid intrång Utnyttjar social medier för att göra intrång (dvs man använder brister i den senaste hypen )

4 En utveckling Filer med skadlig kod (datavirus) Drivkraft Förstöra Visa att man kan Erkännande Program för virusskydd Makro i dokument Skydd för att aktivera makro (nivåer och certifikat) Länkar i e-post Program för virusskydd och spamskydd Scriptade attacker Engångslösen, begränsa rättigheter, teknisk lösning Drivkraft Utpressning Konkurrensfördelar Pengar By proxy attacker Teknisk lösning Chained exploits

5 Hur görs ett datorintrång Falska länkar för att bli en länk mellan din dator och den dator som du går till ( man in the middle ) Vill fånga upp lösenord, kreditkortsnummer, meddelanden, mm SQL injection Skickar in parametrar till en databasfråga Cross site scripting Använder programkod på webbserver för att komma åt information Brute force Använder program som testar lösenord tills man lyckas logga in Utnyttjar existerande funktioner på annorlunda sätt Exempelvis webshop, social medier, bloggar Interna intrång för samla in information och lösenord

6 Demonstration av ett datorintrång

7 Demonstration av ett datorintrång Vad har vi sett: Hur man använder indatafält för att ställa SQL frågor Hur man använder bruteforce attacker med lösenordslista Hur man använder en keylogger som sparar både text som skrivs och skärmdumpar Vilka misstag har vi observerat: Dåligt skrivna webblösningar Begränsa vad man får skriva in Ger för mycket information vid fel inloggning Bristande loggfunktionalitet Låg kvalitet på lösenord

8 Erfarenheter analyser och tester Omvärld Strategi Organisation Patch Dokumentation Blandade miljöer gör det omöjligt att göra uppgraderingar Kompetens Resurser Kommunikation Konfiguration Regler Risker Hårdvara Applikationer Projektplaner Organisationsstruktur Databaser Verksamhetsplaner

9 Erfarenheter analyser och tester Eftersatt uppdatering och återinvesteringen i IT-miljön gör det omöjligt att installera patchar Man använder komponenter som ägs annat företag och som man därmed inte kan påverka själv Bristande rutiner Använda länkar, mm Mänskliga faktorn Misstag och felbedömning

10 Tolkning av rapporter från analyser

11 Strategier för ett effektivt skydd Standardisering Lättare att upprätthålla kunskap, lägre totalkostnad för drift Prioritering Kombinera reaktiva åtgärder med förebyggande aktiviteter Automatisering Inför lösningar för att automatisera installation av patchar Dokumentera Skapa utrymme för att dokumentera konfiguration och arkitektur Säkerhetsarkitektur och godkännande Komplettera IT-arkitektur med säkerhetsarkitektur och ändringshantering Kontinuerliga sårbarhetsanalyser Stanna inte med engångstester Se på hela IT-miljön Fysiska och virtuella servrar, nätverkskomponenter, databaser, applikationer

12 Hur gör du när det händer!

13 HUR ARBETAR VI Vi har en pragmatisk och affärsmässig syn på IT- och Informationssäkerhet Vi är en oberoende part, dvs vi installerar inte och kontrollerar därmed inte vårt eget arbete Vi prioriterar regelbundet återkommande sårbarhetsanalyser

14 Analyscykel med Core Impact Scanning och informationsinsamling Vad kan en angripare känna till om våra system? Utnyttjande (Exploitation) Vilka av våra system är egentligen sårbara? Proxyattacker (Pivoting) Kan andra system angripas via sårbara system? Efter utnyttjande (Post exploitation) Vilka data kan angriparen komma åt? Rapportering Vad skall vi göra åt sårbarheterna? Patchning och uppdatering Kan vi lita på info från tillverkare/leverantörer? Omtestning Är våra åtgärder tillräckliga? Når vi kraven från standards, lagar och intressenter?

15 Att införa Informationssäkerhet ISO/IEC Bra IT-säkerhet förutsätter ledningens stöd och vi rekommenderar att man inför ISO/IEC Ledningssystem för Informationssäkerhet. Plan Do Avgränsningar och IT/Informationssäkerhetspolicy Riskanalysmetodik, Riskanalys, Riskhanteringsplan och Uttalande om tillämplighet Pre-audit med certifieringsinstitut Ta fram säkerhetshandbok och inför säkerhetssystem Utbilda och inför säkerhetsåtgärder Check Act Genomför internrevision och Ledningens genomgång Åtgärda brister från internrevision ISO/IEC 27001:2005 Certifikat

16 Vad är ISO/IEC Ledningssystem för IT- och Informationssäkerhet Arbetet utgår från riskanalys och riskhantering 11 kapitel Styrning och organisation Säkerhetspolicy Organisation av informationssäkerheten Hantering av tillgångar Personalresurser och säkerhet Fysisk säkerhet Fysisk och miljörelaterad säkerhet Logisk säkerhet Styrning av kommunikation och drift Styrning av åtkomst Anskaffning, utveckling och underhåll av informationssystem Hantering, planering och efterlevnad Hantering av informationssäkerhetsincidenter Kontinuitetsplanering Efterlevnad

17 Samlad kompetens för att utveckla verksamheten med stöd av en stabil, säker och förändringsbar IT Säkerhetsanalyser i nätverk och brandväggar Informationssäkerhet & IT Service Management Integritet, etik, bedrägeri och oegentligheter Verksamhetsutveckling och processanalyser Gassås Syd AB Kärleksgatan 2A MALMÖ Tfn: