Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna

Transkript

1 Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna Landstinget i Uppsala län BDO Risk Advisory Services Oslo, 25. Februari 2015

2 1. Inledning Innehåll 1. Innledning 1.2 Sammanfattning revision 2. IT-säkerhetsrevision 2.1 Tillvägagångssätt och begränsningar ITsäkerhetsrevision 2.2 Sammanfattning IT-säkerhetsrevision 3. Penetrationstest 3.1 Skillnaden mellan externt och internt penetrationstest 3.2 Tillvägagångssätt och begränsningar Externt penetrationstest 3.3 Tillvägagångssätt och begränsningar Internt penetrationstest 3.4 Metodik Säkerhetstestning intern/extern 3.5 Sammanfattning Externt penetrationstest 3.6 Sammanfattning Internt penetrationstest 4. Tillstånd på rekommendationer från IT-säkerhetsrevision genomförd i Nya rekommendationer från IT-säkerhetsrevision Status på tidigare rekommendationer från externt penetrationstest genomfört i Nya rekommendationer från externt penetrationstest Status på tidigare rekommendationer från internt penetrationstest genomfört i 2011 Bakgrund Landstingets revisorer upphandlade i 2011 PWC för att genomföra en granskning av säkerhetsprocesser för IT samt externa och interna penetrationstest. Detta gjordes för att säkerställa att Landstingsstyrelsen har en adekvat IT-säkerhet avseende skydd mot obehörigt intrång. Landstingets revisorer önskade genomföra en uppföljning av den tidigare genomförda granskningen av landstingets IT-säkerhetsprocesser samt interna och externa penetrationstester. Syfte Syftet med denna granskning är att säkerställa att Landstinget i Uppsala Län (LUL) har vidtagit åtgärder utifrån revisionens rekommendationer och att landstinget i övrigt bedriver ett ändamålsenligt och systematiskt arbete med IT-säkerhet. Testerna och granskningen vill utvärdera landstingets interna och externa IT-säkerhet, identifiera potentiella säkerhetsbrister samt ge rekommendationer för riskreducerande åtgärder. Uppdraget genomfördes under januari och februari Den överordnade frågan som denna revision skall svara på är: Har landstinget vidtagit åtgärder utifrån revisionens rekommendationer och finns det idag ett ändamålsenligt och systematisk arbete med IT-säkerhet? Begränsningar Genomgången, intervjuerna och testen är styckprovsbaserade och vill ge en ögonblicksbild av säkerhetstillståndet i LUL. Revisionen ger ingen garanti för att alla säkerhetsbrister och fel identifieras. Det kan därför vara flera säkerhetsrisker i IT-miljön som inte omtalas i denna rapport. 9. Nya rekommendationer från internt penetrationstest Bilagor Siv Irene Aasen Projektledare Karl-Ludvig Mauland Ansvarig Partner Rapport - Landstinget i Uppsala län 2

3 Sammanfattning revision ITsäkerhetsrevision Vårt övergripande intryck efter granskningen av IT-säkerhetsprocesser hos LUL är att det är etablerat en del processer för att värna om IT-säkerheten i den operativa verksamheten, då IT-säkerhet är en integrerad del av hela verksamheten. IT-säkerhetsprocessen är emellertid inte tillfredsställande i alla delar, och det finns utrymme för förbättringar i styrning och ledning av IT-säkerhet, förankring av roller och ansvar, inkluderat mätning och uppföljning av området. Ett särskilt förbättringsbehov är identifierat inom åtkomstkontroller i de operativa processerna. Externt penetrationstest Baserat på genomförda tester framstår LULs externa nätverk som gott skyddat mot angrepp från internet. Servrar, tjänster och information verkar vara väl säkrat mot extern åtkomst och manipulation. Vi ser att säkerheten är förbättrad sedan förra säkerhetstestet 2011, men det återstår fortfarande något arbete för att säkra nätverket i förhållande till bästa praxis. Det har under detta penetrationstest inte avtäckts några allvarliga sårbarheter eller fel. Den största risken idag är utdaterad programvara på exponerade servrar. Detta var också en av dom största riskerna som drogs fram under förra testet Jämfört med 2011, har landstingets exponering ökat, men dock minimalt och är inom vad som borde anses som acceptabelt. Internt penetrationstest Baserat på genomförda tester framstår LULs interna nätverk som tillräckligt skyddat mot interna hot som exempelvis missnöjda anställda eller skadlig programvara. Kritiska servrar, tjänster och information verkar vara tillräckligt säkrade mot tillgång och manipulation. Enskilda mindre kritiska servrar och klienter har visat sig vara sårbara och det har varit möjligt att uppnå administrativa rättigheter på flera av dessa. De största riskerna idag är utdaterad programvara och operativsystem på en del interna servrar och klienter, användandet av osäkrade tjänster och användandet av lokala standard- eller svaga lösenord Rapport - Landstinget i Uppsala län 3

4 2. IT-säkerhetsrevision 4

5 2.1 Tillvägagångssätt och begränsningar IT-säkerhetsrevision Tillvägagångssätt Uppdraget är genomfört i två delar, där del 1 omfattar informationsinhämtning och -genomgång, och del 2 omfattar genomförande av intervjuer och styckprovsbaserad testning av tillfälligt utvalda områden. Utgångspunkten för denna revision är tidigare genomförd revisionsslutrapport med fynd och eventuella förslag till förbättringar. Vi använder oss av ISO 27001/2 och COBIT 5 vid utarbetandet av revisionsprogrammet på detta område och vi kommer att använda dessa ramverk vid kvalitetssäkring. Vi har inhämtat, och genomgått, relevant dokumentation för de olika områdena. Struktur Vi har delat upp olika frågor i 6 huvudkategorier i vår granskning. Frågorna bygger på områdan i ISO och COBIT Styrning och ledning 2. Riskvärdering 3. Organisering 4. Resurser och kompetens 5. Operativa processer 6. Mätning och förbättring Vid genomföring av ITsäkerhetsrevisionen önskar vi bland annat att få svar på följande frågor: Är säkerhetsarbetet förankrat i ledningen? Genomförs riskanalyser regelbundet och vid ändringar? Blir riskanalyser genomförda enligt ett enhetligt och gemensamt ramverk? Är det etablerat en process för händelsehantering, tillgångshantering och kontroll med administrativ tillgång till systemen? Är det utarbetat KPI-er (Key Performance Indicator) för säkerhetsarbetet? Är dessa mätbara och blir det rapporterat och uppföljt? Område 1 Område 2 Område 2 Område 5 Område 6 Område 6 Vi har intervjuat följande personer: Petter Könberg IT-direktör Fredrik Rosenberg Informationssäkerhetsansvarlig Johan Lindqvist MSI, Avdelingschef Greger Söderqvist MSI, Teknisk stöd IT Petter Larsson MSI, Nät och server Caroline Sundevall MSI, IT system Per Foyer MSI, IT säkerhetskonsult Mikael Ekberg och Tomas Roland Säkerhet och beredskap 5

6 2.2 Sammanfattning IT-säkerhetsrevision (1/3) Vårt övergripande intryck efter granskning av IT-säkerhetsprocesser hos LUL, är att en del processer är etablerade för att värna om IT-säkerheten i den operativa verksamheten, då IT-säkerhet är en integrerad del av hela verksamheten. ITsäkerhetsprocessen är emellertid inte tillfredsställande i alla delar, och det finns utrymme för förbättringar i styrning och ledning av IT-säkerhet, förankring av roller och ansvar, inkluderat mätning och uppföljning av området. Ett särskilt förbättringsbehov är identifierat inom åtkomstkontroller i de operativa processerna. Styrning och ledning Koncernledningen har traditionellt sätt inte varit involverade i styrning och ledning av IT-säkerheten i LUL. Riktlinjer och åtgärder inom IT-säkerhet från centralt håll har varit beroende av initiativ från enskilda personer. Informationssäkerhetsansvarlig har tagit initiativ på området, men han står väldigt ensam. Riskvärdering Det är etablerat processer för riskvärderingar inom LUL. Riskvärderingar från olika objekt och verksamheter sys ihop till en gemensam riskvärdering för landstinget. IT-säkerhet och informationssäkerhet är egna områden innanför detta område. Organisering Det är få personer som arbetar dedikerat med IT-säkerhet och informationssäkerhet inom LUL. Informationssäkerhetsansvarig centralt är den enda personen som har ett formellt ansvar i förhållande till detta, medan övriga individer runt om i organisationen upprätthåller uppgiften som en integrerad del av sin ställning. Utifrån landstingets storlek och komplexitet bedöms antalet resurser som arbetar dedikerat med IT-säkerhet och informationssäkerhet som lågt. Resurser och kompetens Kurs för upplärning inom bland annat informationssäkerhet och IT-säkerhet hålls för nyanställda. Det arbetas också med att etablera en kurs för ledare inom Landstinget. Det är inte ställt formella krav till kompetens inom IT och IT-säkerhet för IT-samordnare i verksamheterna. Det är få resurser i Landstinget som arbetar dedikerat med informationssäkerhet och IT-säkerhet. 6

7 2.2 Sammanfattning IT-säkerhetsrevision (2/3) Operativa processer IT-säkerhet är en integrerad del av de operativa processerna i Landstinget och i MSI. Operativa processer som utförs utanför MSI är emellertid i mindre grad utsatt för kontroll, och ansvaret är i stor grad beroende på den enskilda Systemförvaltaren/Objektägaren. Vi har identifierat områden med behov av förbättringar inom operativa processer som ändringshantering och åtkomstkontroller. Mätning och förbättring Informationssäkerhetsansvarig har definierat mål i förhållande till mätning av IT-säkerhet i LUL. Dessa mätningar är inte förankrade i de olika verksamheterna, och det är inte etablerat processer för mätning och uppföljning. Det är emellertid etablerat en process för egenkontroll där alla verksamheter gör en evaluering av sitt eget tillstånd. Detta uppsummeras och presenteras för koncernledningen. 7

8 2.2 Sammanfattning IT-säkerhetsrevision (3/3) Nr. Prioritet/Status 2015 Prioritet/Status 2011 Rekommendation A5.4 Hög - Ändringshantering Icke-auktoriserad mjukvara A5.6 Hög - Åtkomstkontroll Lokala administratorer inom nätet A5.7 Hög - Åtkomstkontroll Lokala administratorer på egna datorer A5.9 Hög - Åtkomstkontroll Privilegierade användarkonton inom serverdrift Medium Hög Öka övervakning av applikationer/ system som är en del av infrastrukturen för att minimera intrång risker Medium Medium Utarbeta formellt dokumenterade acceptabla krav och regler gällande säkerhetsparametrar A1.1 Medium - Förankring i ledningen A1.2 Medium - IT-strategi A1.3 Medium - Styrningsdokumentation A3.1 Medium - Organisering av IT-säkerhetsorganisationen A4.1 Medium - Kompetens bland IT-samordnare A4.2 Medium - Medvetenhet kring IT-säkerhet A5.1 Medium - Operativa processer gemensamt. A5.2 Medium - Händelsehantering A5.3 Medium - Ändringshantering kategorisering av ändringar A5.5 Medium - Åtkomstkontroll Periodisk genomgång av användare och åtkomster A5.8 Medium - Åtkomstkontroll Funktionstillgångar A6.1 Medium - Mätningsparameter för IT-säkerhet A2.1 Låg - Process för riskvärdering A2.2 Låg - Acceptanskriterier för risk A4.3 Låg - Formella krav till utbildning inom IT-säkerhet A6.2 Låg - Egenkontroll 8

9 3. Penetrationstest 9

10 3.1 Skillnaden mellan externt och internt penetrationstest Externt penetrationstest Simulera ett angrepp från internet Genomförs från en extern plats Intern penetrationstest Simulera ett angrepp från insidan (anställda med ett illvilligt uppsåt, ondsinnad kod m.m.) Genomförs från kundens lokaler 10

11 3.2 Tillvägagångssätt och begränsningar Externt penetrationstest Tillvägagångssätt Genomförande av ett externt penetrationstest kan göras med olika tillvägagångssätt och med olika förutsättningar och verktyg. I detta genomförande har det primära focuset varit att följa upp fynd från det förra penetrationstest som genomfördes Syftet med detta har varit att verifiera om åtgärder är implementerade och om de fungerar effektivt. Avtäckande av nya fynd och sårbarheter har haft sekundärt fokus. Det externa penetrationstestet genomfördes från BDOs lokaler i Oslo med egen testutrustning med krypterade diskar. BDO använde en dedikerad internetuppkoppling från sitt test lab under testningen. Allmänt tillgängliga verktyg, kommersiella och freeware, och tekniker som antas användas av datakriminella för att avtäcka sårbarheter och tillägna sig information användes under testningen. Begränsningar Kända tekniker som potentiellt används av kriminella, men som inte har varit en del av detta genomförande, är social manipulation och överbelastningsangrepp. Förstnämnda är primärt ett icke-teknisk tillvägagångssätt, medan sistnämnda kan resultera i instabilitet och avbrottstid. Därutöver har inte varianter av tekniken «brute force», som fordrar utskickane av stora mängder trafik, använts. Detta då det kan resultera i instabilitet och avbrottstid. Då ett stort antal system påträffats i externa nätverket, har tester endast genomförts på ett begränsat urval av dessa. Tester har, på grund av tidsbegränsningar, endast skett mot ett urval av de tjänster och system som varit tillgängliga. Det innebär sannolikt att det finns fler brister än de som identifierats och redogörs för i denna rapport. De tester som genomförts ger endast en ögonblicksbild av brister och säkerhetsnivån för det aktuella tillfället då testerna utfördes. Ingen hänsyn tas till aktiviteter som genomförts före eller efter testperioden. Omfång Följande IP-adresser har blivit kartlagda under denna genomföring:

12 3.3 Tillvägagångssätt och begränsningar Internt penetrationstest Tillvägagångssätt Genomförande av ett externt penetrationstest kan göras med olika tillvägagångssätt och med olika förutsättningar och verktyg. I detta genomförande har det primära focus varit att följa upp fynd från det förra penetrationstest som genomfördes Syftet med detta har varit att verifiera om åtgärder är implementerade och om de fungerar effektivt. Avtäckande av nya fynd och sårbarheter har haft sekundärt fokus. Det interna penetrationstestet genomfördes genom att koppla upp sig till landstingets interna nätverk från ett mötesrum i konferenscentret. Under penetrationstesten användes egen testutrustning som kör Windows 7 och Kali Linux. Allmänt tillgängliga verktyg, kommersiella och freeware, och tekniker som antas användas av datakriminella för att avtäcka sårbarheter och tillägna sig information användes under testningen. Begränsningar Kända tekniker som potentiellt används av kriminella, men som inte har varit en del av denna genomföring, är social manipulation och överbelastningsangrepp. Förstnämnda är primärt ett icke-teknisk tillvägagångssätt, medan sistnämnda kan resultera i instabilitet och avbrottstid. Därutöver har inte varianter av tekniken «brute force», som fordrar utskickane av stora mängder trafik, använts. Detta då det kan resultera i instabilitet och avbrottstid. Då ett stort antal system påträffats i externa nätverket, har tester endast genomförts på ett begränsat urval av dessa. Tester har, på grund av tidsbegränsningar, endast skett mot ett urval av de tjänster och system som varit tillgängliga. Det innebär sannolikt att det finns fler brister än de som identifierats och redogörs för i denna rapport. De tester som genomförts ger endast en ögonblicksbild av brister och säkerhetsnivån för det aktuella tillfället då testerna utfördes. Ingen hänsyn tas till aktiviteter genomförts före eller efter testperioden. Omfång Följande IP-adresser har blivit kartlagda under denna genomföring:

13 Metodik Säkerhetstestning intern/extern Ett penetrationstest har som mål att avtäcka sårbarheter knutna till tjänster och underliggande infrastruktur som är exponerade idag. BDOs ramverk för penetrationstestning är baserat på bästa praxis från flera allmänt kända institutioner för att säkra ett så fullständig test som möjligt. Uppstart och planläggning - Fastsätta mål, ramar och omfång - Utarbeta körregler - Inhämta godkännande - Signering av kontrakt - Sätta upp och konfigurera verktyg och maskiner - Inhämta och systematisera information - Utarbeta nätverksskiss - Göra eventuella prioriteringar innan nästa fas Kartläggning/ Informationsinhämtning Sårbarhetsanalys och -utnyttjande - Genomföra sårbarhetsanalys - Genomföra sårbarhetsutnyttjande - Riskevaluering av eventuella fynd* * Kritiska fynd rapporteras omedelbart Rapportering - Verifiera observationer och fynd - Utarbeta förslag till korrigerande åtgärder - Skriva rapport - Presentera rapport 13

14 3.5 Sammanfattning Externt penetrationstest Baserat på genomförda tester framstår LULs externa nätverk som gott skyddat mot angrepp från internet. Servrar, tjänster och information verkar vara väl säkrat mot extern åtkomst och manipulation. Vi ser att säkerheten är förbättrad sedan förra säkerhetstestet 2011, men det återstår fortfarande något arbete för att säkra nätverket i förhållande till bästa praxis. Det har under detta penetrationstest inte avtäckts några allvarliga sårbarheter eller fel. Den största risken idag är utdaterad programvara på exponerade servrar. Detta var också en av de största riskerna som drogs fram under förra testet, i Exponeringen mot internet för LUL utgörs av 109 öppna portar, fördelat på 67 olika IP-adresser, med 15 olika typer av protokoll/tjänster. Jämfört med 2011, har landstingets exponering ökat, men dock minimalt och är inom vad som borde anses som acceptabelt. Nr. Prioritet /Status 2015 Prioritet/Status 2011 Rekommendation Medium Hög Komplettera uppdateringsrutiner för applikationer på servrar B1 Medium - Begränsa exponeringen av personliga uppgifter Låg Medium Åtgärda övriga identifierade applikationer med SQL injektion Låg Medium Förbättra rutiner kring produktionssättning av webbtjänst Låg Låg Reducera exponering av oanvända tjänster Låg Låg Begränsa exponering av administrativa funktioner Låg Låg Begränsa läckage av kontonamn mot Internet B2 Låg - Avaktivera omdirigering Risk hanterad Hög Åtgärda SQL injektion på medsys Risk hanterad Hög Säkra konfiguration av Lotus Quickr på qp1.lul.se Risk hanterad Medium Begränsa exponering av tillfälliga, privata, tjänster mot Internet Risk hanterad Medium Förhindra obehöriga zontransfereringar Risk hanterad Medium Förhindra exponering av lösenord till applikation Mikromarc Risk hanterad Låg Verifiera förutsättningar för extern parts tjänst på LUL:s nätverk 14

15 3.6 Sammanfattning Internt penetrationstest Baserat på genomförda tester framstår LULs interna nätverk som tillräckligt skyddat mot interna hot som exempelvis missnöjda anställda eller skadlig programvara. Kritiska servrar, tjänster och information verkar vara tillräckligt säkrade mot tillgång och manipulation. Enskilda mindre kritiska servrar och klienter har visat sig vara sårbara och det har varit möjligt att uppnå administrativa rättigheter på flera av dessa. De största riskerna idag är utdaterad programvara och operativsystem på en del interna servrar och klienter, användandet av osäkrade tjänster och användandet av lokala standard- eller svaga lösenord. Nr. Prioritet/Status 2015 Prioritet/Status 2011 Rekommendation Medium Hög Komplettera uppdateringsrutiner för interna servrar Medium Hög Komplettera uppdateringsrutiner för interna klienter Medium Medium Ersätt installationer av utgångna operativsystem C1 Medium - Begränsa tillgången till SNMP C2 Medium - Ändra lösenord på web-gränssnitt mot övervakningskameror C3 Medium - Avaktivera konfigurationsporten och ändra på Lantronix-enheter Låg Medium Fastställ och applicera komplexitets-krav på lösenord Låg Låg Utöka filtreringen i nätverket C4 Låg - Begränsa tillgång till NetBIOS C5 Låg - Genomföra regelmässig periodisk genomgång av användare och tillgångar. C6 Låg - Hindra enumerering av Oracle databas. C7 Låg - Ändra lösenord på SSH-tjänster C8 Låg - Begränsa möjligheten till att koppla främmande utrustning till nätverket C9 Låg - Maskinnamn indikerar tjänster C10 Låg - Begränsa tillgång till FTP-servrar Risk hanterad Hög Efterlev eller etablera krav på lösenord i databaser Risk hanterad Medium Inför utelåsning i UAS-domänen Risk hanterad Låg Avaktivera lagring av lösenord i LanMan-format 15

16 1. Förklaring till symboler Symbolen indikerar vår uppfattning av situationen vid genomförandet av projektet. Utvärderingarna är baserade på kartläggning, observationer och testning gjort i samband med projektgenomförandet, och ger inte någon total konklusion, men hellre en indikation på status på säkerhetsarbetet. Det kan därför vara förhållanden som inte är värderade och som hade kunnat medföra andra konklusioner. Utvärderingar Kvaliteten måste förbättras omgående Möter inte minsta rekommendation till bästa praxis. Kritiska risker eller väsentliga svagheter är inte hanterade på ett tillfredsställande sätt. Väsentliga ekonomiska, regulativa eller anseendemässiga förluster kan inträffa. Åtgärder måste initieras omedelbart Kvaliteten måste förbättras Möter inte alla rekommendationer till bästa praxis. Väsentliga risker eller svagheter är inte hanterade på ett tillfredsställande sätt. Väsentliga förluster kan inträffa. Åtgärder måste initieras så snart som möjligt. Kvaliteten bör förbättras Möter inte alla rekommendationer till bästa praxis. Enskilda risker är inte hanterade på ett tillfredsställande sätt. Förluster kan inträffa. Åtgärder bör initieras. Kvaliteten kan förbättras Möter de flesta rekommendationer till bästa praxis. Det är inte avtäckt väsentliga risker som inte är hanterade på ett tillfredsställande sätt. Förluster kan ändå inträffa, och det vill vara områden som kan förbättras. Kvaliteten är tillfredsställande Möter de allra flesta rekommendationer till bästa praxis. Det är inte avtäckt väsentliga risker som inte är hanterade på ett tillfredsställande sätt. Förluster kan ändå inträffa, och det vill vara områden som kan förbättras. Rekommendationer Hög Medium Låg Risk hanterad Rapport - Landstinget i Uppsala län Hög prioritet Anger en kritisk risk eller ett lagstadgat krav som inte är hanterat på ett tillfredsställande sätt. Det måste initieras åtgärder snarast. Medium prioritet Anger en risk som inte är hanterat på ett fullt ut tillfredsställande sätt. Åtgärder bör initieras så snart som möjligt. Låg prioritet Anger en risk som inte är hanterad på en fullt ut tillfredsställande sätt, men där risken inte värderas att ha stor betydelse. Åtgärder bör initieras. Informativ Risk avtäckt under tidigare testning som nu är hanterad. 16

17