Cyberförsvarsförmåga genom tekniska cyberförsvarsövningar SESAM - Ledning och verkan i Cyberåldern 2015-06-09 Magnus Sparf Enhetschef magnus.sparf@foi.se
FOI Informationssäkerhet Forskning, expertstöd och utbildning utgående från Tekniska egenskaper hos informationssystem Sociala aspekter Säkerhetsprinciper på systemnivå Verksamhet baserad på kundernas behov Integritet, relevans och vetenskaplig kvalitet
Inriktningar informationssäkerhet Strategiskt expertstöd cybersäkerhet Teknik för IT-säkerhet IT-forensik Träning och övning inom försvar av IT-system Säkerhet i industriella informations- och styrsystem Bedömning av informationssäkerhetsrisker Sociala aspekter av informationssäkerhet
Hotet - Kapplöpning
Några egenskaper på cyber Mer krigförande Mindre krigförande Kärnvapen Konventionella stridskrafter Cyber Diplomati och ekonomi Libicki, M. (2009), Cyberdeterrence and cyberwar. Användbart både innan och under en väpnad konflikt. Svårförutsägbar verkan. Vådabekämpning och misslyckande möjligt. Man har kanske bara en variant av varje skott. I princip omöjligt att med säkerhet peka ut den skyldiga.
Defaitistisk (realistisk?) syn på cyberhotet Innan det händer När det händer Efter det hänt Utveckla säker programvara Pålitlig leverantörskedja Konfigurera programvaror att vara säkra Hantera arvet Backup Utbilda och träna användare och specialister Minimera och avgränsa skada Fortsatt drift av kritiska funktioner Säkerställ bevisning Forensisk analys tillsammans med polis Återställ infekterade system Erfarenhetsåtermatning
CRATE Cyber Range And Training Environment, www.foi.se/crate
Cybersäkerhetsförmåga Nationell Myndighet Företag Globalt till småföretag Hemma Träning
Behov SOU 2015:23 6 i Förslag till förordning för statliga myndigheters informationssäkerhet Myndigheten ska aktivt, genom utbildning och övning, verka för att en god säkerhetskultur etableras i organisationen. 9.8.1 Framtida övningsutveckling inom informations- och cybersäkerhetsområdet Bedömning: Övningsverksamhet inom informations- och cybersäkerhetsområdet bör fortsätta och förstärkas. Det finns även behov av att utveckla övningar av olika slag för flera sektorer och nivåer i olika organisationer. Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i staten, SOU 2015:23
Behov TNA Cyber Rekommendation 3 tillämpad träning Vid genomförande av studien har det klarlagts att den befintliga utbildning som idag förekommer eller som föreslås under kap 4.2 måste kompletteras med tillämpad träning. Tillämpad träning innebär i praktiken att skapa möjligheter att prova och öva teoretiska kunskaper i verkliga, typlika eller simulerade system alternativt att träna rapportering, konsekvensanalyser och stabsmetodik. TNA Cyber Analys av utbildningsbehov inom cybersäkerhetsområdet C3IOP rapport #147, 15FMV1980-1:1.2
Test och övningsanläggningar (ranges)
CRATE - Cyber Range And Training Environment Designad för cyberförsvarsövningar, utbildning och experiment ~400 fysiska servrar Förmåga att rulla ut virtuella maskiner (3000+) med olika sårbarheter i olika organisationsstrukturer i en kontrollerad miljö (Windows, Linux) Klientbaserade trafik- och händelsegenererade agenter som simulerar användarbeteende Internet BGP routing Webbaserat verktyg för att designa och hantera utrullning av olika konfigurationer Verktyg för att logga, följa, rekonstruera och utvärdera Används till vardags i kurser samt vid större övningar
Den huvudsakliga idén Träning och övning: Realistiska tekniska övningar är kul och medvetandehöjande. Operationer i cybermiljön och dess taktik behöver prövas. Test och evaluering: IT-säkerhetsprodukter (IDS, brandväggar, SIEM, mm) IT-avdelningar Experiment och forskning Beteende hos grupper, individer och på skadlig kod Algoritmer, Protokoll Värdering av säkerhetsåtgärder och säkerhet i system Experiment och forskning Träning och övning Test och evaluering
Sandlåda för experiment, träning och taktisk/operativ övning Produkt på marknaden Teknikmognad Utveckling CYBER RANGE Demonstration Grundläggande forskning Tid Tillhandahåller realistisk simulerad operativ miljö på teknisk nivå. Mötesplats för akademi, institut, industri och operatörer/användare.
Tidslinjal Webbaserat konfigurationsverktyg Agentdrivet beteende Donationer av hårdvara från Linköpings universitet Förenklad fjärranslutning Donationer av hårdvara från SMHI Automatiserad konfiguration och utrullning MSB investerar i modern hårdvara N* N* N* IT-incidenthanteringskurs I* 2008 2009 2010 2011 2012 2013 2014 DDoS-övningar med svenska myndigheter, NATO CCDCOE. *I/N = (inter)nationell övning Baltic Cyber Shield: 6 blå lag, ett rött lag ~30, mer än 100 deltagare från olika länder. Experiment och test med Försvarsmakten. Fokus på intrångsdetektion och röda lag. 2015
Management & configuration Management interface (web based tool) Administration network (1 Gbps) Game network (1 Gbps) Up to 2048 VLAN:s Command and Control Server - Storage and distribution of VM templates - Execution of scripts ~ 400 servers Traffic monitoring (sniff server)
Evaluation
Methods for gathering objective and subjective data
What shall we train? Virus Venn Diagram http://xkcd.com/1180/
Kontaktuppgifter magnus.sparf@foi.se www.foi.se www.foi.se/informationssakerhet www.foi.se/crate