Incidenthantering ur ledningskontra teknisktperspektiv. Stefan Öhlund & André Rickardsson 2010-12-14

Relevanta dokument
FÖRHINDRA DATORINTRÅNG!

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

Granskning av räddningstjänstens ITverksamhet

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

Tekniskt driftdokumentation & krishantering v.1.0

Bilaga Från standard till komponent

POLISMYNDIGHETEN I IT-POLICY 1 (5) ÖSTERGÖTLANDS LÄN Förvaltningsavdelningen

IT-riktlinjer Nationell information

ISA Informationssäkerhetsavdelningen

LEDNINGSÄGARMODUL. Systemkrav 1(6)

Håbo kommuns förtroendevalda revisorer

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER...

Säkra trådlösa nät - praktiska råd och erfarenheter

Cyber security Intrångsgranskning. Danderyds kommun

Punkt 19 Riktlinje för regelefterlevnad

IT-miljö för Undervisning Solna. Roland Orre Solna Gymnasium

IT-säkerhetsinstruktion Förvaltning

Lumia med Windows Phone

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Att. Vad kan vi hjälpa er med?

Granskning av IT-säkerhet - svar

Informationssäkerhetspolicy för Ånge kommun

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Nej, Latitude ON Flash är för närvarande endast tillgängligt på följande Dell datorer: Dell Latitude E4200 Dell Latitude E4300

ANVÄNDARHANDBOK. Advance Online

Hantering av IT-brottsutredningar

Capitex dataservertjänst

IT-säkerhet i Svenska kyrkan gemensamma IT-plattform GIP

SÄKERHETSLÄGET. för svenska små och medelstora företag 8 december, Check Point Software Technologies Ltd.

Program för skrivarhantering

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM

IT-säkerhetspolicy för Landstinget Sörmland

Användardokumentation för CuMaP-PC. Fleranvändarsystem och behörigheter

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Granskning av säkerheten i mobila enheter. Internrevisionsrapport

Strategi Program Plan Policy» Riktlinjer Regler

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Konfigurera Outlook för OCS

Program för skrivarhantering

Instruktion för funktionen för regelefterlevnad

Ämnesintroduktion. Varför incidenthantering? Vårt mål? Incidenthantering - Datautvinning

Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område,

Grattis till ett bra köp!

Din guide till en säkrare kommunikation

Dokumenttyp. Namn på uppdraget. Det mobila kontoret åtkomst till dokumentation inom kommunens vård och omsorg

Riktlinjer för hantering av intressekonflikter

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhet - Instruktion för förvaltning

Riskanalys och riskhantering

Social Engineering - människan som riskfaktor

Riktlinjer för personuppgiftshantering

Den mobila användaren sätter traditionella säkerhetssystem ur spel

Statistiska centralbyrån

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Kraftsamling 2015 IT-säkerhetsdemonstration. Angrepp mot en anläggning

The question is not if you are paranoid, it is if you are paranoid enough. Anonymous

Använda Office 365 på en Android-telefon

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Så här hanterar du din OneDrive i Office 365

Sjunet standardregelverk för informationssäkerhet

Instruktion. Datum (12) Coverage Dokument id Rev Status? Godkänd. Tillhör objekt -

10 TIPS FÖR ATT SÄKRA DIN HEMSIDA. Hur du gör för skydda dig mot att din hemsida ska hackas.

EBITS Totalförsvarets Forskningsinstitut David Lindahl Erik Westring

UNDERLAG FÖR LOKALT HANDLINGSPROGRAM FÖR AVVIKELSEHANTERING Basen i det fortlöpande förbättringsarbetet. Avvikelsehanteringsrutiner

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Myndigheten för samhällsskydd och beredskaps författningssamling

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Lathund Elektronisk fakturahantering

F6 Exchange EC Utbildning AB

Intrångstester SIG Security, 28 oktober 2014

STYRKAN I ENKELHETEN. Business Suite

Grundläggande säkerhet för PC, mobil och läsplatta. Joakim von Braun Säkerhetsrådgivare von Braun Security Consultants Senior Net Danderyd

Användarmanual för Pagero Kryptering

Flyttbar hårddisk USB 2.0 Bruksanvisning

WHAT IF. December 2013

Hot + Svaghet + Sårbarhet = Hotbild

Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? EBITS,

Datasäkerhet. Informationsteknologi sommarkurs 5p, Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.

Konfigurationsprogram för NetWare nätverk

HANTERA DOKUMENT I OFFICE FÖR LIVE@EDU (SKYDRIVE)

Uppdatera Easy Planning till SQL

Hur hanterar du säkerhetsincidenter du inte vet om?

Lathund för ny hemsida IFK Viksjö P01-2

Linuxadministration I 1DV417 - Laboration 7 SSH-magi och systemtrolleri. Marcus Wilhelmsson 6 mars 2013

Datasäkerhet. Hur ska vi göra för att skydda våra datorer mot virus och andra hot?

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Policy och instruktioner för regelefterlevnad

E-post på ett säkrare sätt

Regler för användning av skoldatanätet i Vaxholms stad.

Riskhantering & Informationssäkerhet. Agneta Syrén Säkerhetschef/Informationssäkerhetschef Länsförsäkringar AB

Beslutad av Magnus Johansson, vård- och omsorgsdirektör den 4 april 2016.

Årlig plan 2012/13. Likabehandlingsplan och Plan mot kränkande behandling. Gällande för elever och personal på Alingsås Yrkesgymnasium AB

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden

Regler för användning av Riksbankens ITresurser

Att hantera överbelastningsattacker 1

Transkript:

Incidenthantering ur ledningskontra teknisktperspektiv Stefan Öhlund & André Rickardsson 2010-12-14

Stefan Öhlund Senior Advisor Ansvarig för affärsområdet Risk Management Bakgrund från Säkerhetspolisen och Försvarsmakten m.m.

André Rickardsson Co-founderBitsec AB Principal Administrative Officer Swedish Security Service Senior Administrative Officer Government Offices of Sweden

Agenda Scenario Incidenten Uppdraget Genomförande Sammanfattning Frågor, frågor, frågor och åsikter

Incidenten Intrånget upptäcktes i januari 2010 Styrelseordförande S i bolaget B får e-post från VD V med ett Excel dokument arsredovisning.xls S öppnar filen och ser att den är tom S vidarebefordrar dokumentet till V och undrar vad det är V öppnar också filen och blir undrande V har ett ledningsmöte, i pausen frågar han IT-chefen om det är något fel på e-posten V förklarar det mystiska e-posten som S fått av V IT-chef startar utredning

Uppdrag För att kunna genomföra en menbedömning önskade kunden, förmedlat via IT-chefen, att utredningen sökte svar på följande frågor, i prioritetsordning: VAD NÄR HUR VEM VARFÖR, senare

Uppdrag Skäl till frågeriktningar VAD är viktigt för att fastställa om det finns ett aktivt hot, eller om det är kvalitetsbrist (motsv.). Anger möjlig avgränsning och omfattning för utredningen. NÄR anger ev. kopplingar till omkringliggande händelser (tidskontextuell del). Är det inträffade t.ex. en konsekvens av, symptom på eller förutsättning för andra händelser? HUR anger tillvägagångssättet och metoden (Modus Operandi) för attacken. Genom att studera metod och tillvägagångssätt kan vi t.ex. dra slutsatser om kompetensnivå hos angriparen (om attacken genomförts av amatör eller proffs ). VEM är intressant om det finns tecken på om det är en insider eller angripare utifrån, eller om det är en samordnad attack med flera involverade. Att verkligen identifiera källan till intrång är dock mycket svårt då dessa oftast inte sker direkt utan genom någon annan. VARFÖR avgör vilka bakomliggande motiv eller strategier som avgör ev. fortsatta attacker. Är målet t.ex. uppnått genom attacken, är det ett villospår, eller ett delmoment. Även här måste en fördjupad kontextuell analys ske utifrån klarlagd profil och kopplade drivkrafter hos angriparen.

Metod Målformulera utredningen Vad vill ni uppnå? När måste det var klart? Vem är mottagaren? Frysa läget Samtal ( vittnen ) Dokumentation Säkra datamedia Säkerhetskopior Spegelkopiering Analys Verksamhet Kontextbedömning, övergripande Kodgranskning Time line Rapportering Verksamhetrelaterad Teknisk

Analys, Verksamhet Tekniskt angrepp i ett sammanhang Objektiv grund för subjektiva skäl Verksamhet i finansbranschen, inga elaka aktiviteter Inte börskritisk, möjligen börspåverkande i ytterkanten Inga uttalade hot eller dokumenterade omkringliggande incidenter Inga i direkt närhet tidsliggande aktiviteter av mer strategisk natur (t.ex. uppköp, försäljning, omorganisation) Ingen uppenbar koppling i andra externa sammanhang (etik, politik, religion, etnicitet) Inga personrelaterade hotbilder

Analys, Verksamhet Tekniskt angrepp i ett sammanhang Vi ska fria, inte fälla Inga uppenbara kvalitetsbrister (oaktsamhet, vårdslöshet) i organisation eller system Inga uppenbara drivkrafter hos närliggande personal (ledningsfunktioner, IT, andra ) Riskspridning av händelsen begränsad (liten grupp som känner till någon, än färre som vet allt) Medialt bevakning låg/obefintlig (normalbild)

Analys, teknik Kodanalys visar att Excel filen innehåller två okända exploits, en för Excel och en för Windows Installera Remote Admin Trojan (RAT) Poisen Ivy (PI) med systembehörighet PI kopplar upp sig mot server i Kina via port 80 PI möjliggör att angriparen har full kontroll och tillgång till offrets dator

Analys, teknik Poisen ivy installeras i alla Windows dator som kör Excel filen Excel filen har öppnats i ordförandens dator Excel filen har öppnats i VD:ns dator Ordförandens dator är bärbar och administreras inte via något bolaget På datorn finns information för ett antal bolag VD:ns dator är en bärbar som används och administreras i bolaget På dator och speciellt när den är inkopplad i bolagets nätverk finns i princip all bolagsinformation

Sammanfattning Slutsatser Utredningens bedömning är att: Intrånget startade den 25 januari 2010 och avslutades den 27 januari 2010 Tillvägagångssättet och använda metoder talar för att det är en riktad attack med styrelseordförande som mål Bolaget var alltså inte det primära målet, men blev en uppkommande möjlighet. Omfattningen avgörs i huvudsak av tillgång till information i berörda pc samt tidsfaktorn.

Sammanfattning Rekommendation Utredningen rekommenderar att: Klarlägg ansvarsförhållanden för ordförandens dator och övrigt IT-stöd Skapa och implementera skyddande rutiner runt nyckelfunktioner på styrelsenivå Tydliggör rutiner för incidenthantering (eskalering, integritet, kommunikation) både för styrelse och bolaget i övrigt Rensa ordförandes dator och köra WOLF Ominstallera datorer/system i bolaget Återställa information i bolagets system till före den 25 januari 2010 Segmentera åtkomst av information inom bolaget Kryptera och signera e-post Övervaka nätverket för onormal utgående trafik Utbildning av berörd personal och ledning.

Frågor, frågor? Eller åsikter?

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss