ISA Informationssäkerhetsavdelningen Peter Nilsson, ISA N CISSP, GSLC
FRA Signalunderrättelsetjänsten Drygt 600 personer Informationssäkerhetstjänsten Cirka 35 personer, sakta ökande Se även www.fra.se 2
Förordning med instruktion för Försvarets radioanstalt 4 Försvarets radioanstalt ska ha hög kompetens inom informationssäkerhetsområdet. Försvarets radioanstalt får efter begäran stödja sådana statliga myndigheter och statligt ägda bolag som hanterar information som bedöms vara känslig från sårbarhetssynpunkt eller i ett säkerhetseller försvarspolitiskt avseende. 3
Förordning med instruktion för Försvarets radioanstalt, forts. Försvarets radioanstalt ska särskilt kunna 1. stödja insatser vid nationella kriser med IT-inslag 2. medverka till identifieringen av inblandade aktörer vid IT-relaterade hot mot samhällsviktiga system 3. genomföra IT-säkerhetsanalyser 4. ge annat tekniskt stöd Försvarets radioanstalt ska samverka med andra organisationer inom informationssäkerhetsområdet såväl inom som utom landet. 4
Informationssäkerhetsavdelningen Jan D onnér C IS A M attias E ngström - K arvonen S tf C IS A och S C A rvid K jell C IS A S E nheten för S am verkan (Lovön) C laes Törnem an C IS A N E nheten för N ätverkssäkerhet (Lovön ) S tefan K arlsson C IS A K E nheten för K om m unikationssäkerhet (S ollefteå) 5
Enheten för Nätverkssäkerhet, ISA N Rådgivning såsom experter Säkerhetsgranskning Granskning av vald produkt Analysera skadlig kod Forensisk undersökning Genomföra incidenthantering Utbildning 6
7 nya okända yttre Hur ska vi möta hot?
Hur ska vi möta nya okända yttre hot? Nya Vi har ännu inte sett dem! Okända Vi vet inte hur de ser ut! Yttre Yttre från vad? Hot Malware eller hackers! 8
Vad gör ett virus, en mask, trojan eller en hacker? Jo den tar över någon av de behörigheter som redan finns i datorn, systemet eller nätverket i syfte att sprida sig själv, ta över maskiner eller information, använda maskinerna för eget ändamål t ex bygga botnet, lagra illegal information 9
Hur skyddar man sig? Begränsa våra behörigheter till de vi verkligen behöver för att göra vårt jobb. Vilka behörigheter menar vi då? Alla de behörigheter, tjänster och funktioner som någon användare kan använda på datorn, systemet eller i nätverket oavsett om användaren är medveten om detta eller inte. 10
11 En olycka kommer sällan ensam!
Exempel på händelse i flygvapnet Pilot grälar med sin partner på morgonen Problem att lämna barnen på dagis Röd våg vid alla trafikljus Har glömt sitt ID-kort för inpassage Kommer för sent till morgonbriefingen Hittar inte all utrustning Sen start Sen på plats i övningsområdet Har för hög ambition att klara den svåra övningen Kolliderar med sin rotekamrat och ett haveri är ett faktum! 12
Vad arbetar man med i flygsammanhang? - Identifierar incidenter och tillbud. - Utreder orsaken till dessa i syfte att se till att de inte inträffar igen. Varför gör man just på det viset? 13
Jo Antal incidenter Allvarlighet 14 obetydliga incidenter och tillbud kommer man av naturen få ner antalet stora incidenter, tillbud och olyckor! Kan man få ner antalet små och skenbart
Exempel på händelser i IT-sammanhang En hacker surfar på en organisations hemsida och kollar vad denne kan få ut av det, samt av vad servrarna svarar Använder Google för att söka vidare på personer som finns med namn på hemsidan Facebook, Twitter, tunnelbanan, mobiltelefon... Skickar ett mail med en pdf-fil med skadlig kod Någon klickar på bilagan... 15
Eller En medarbetare med lite IT-kunskaper får för sig att utöka sina befogenheter Kollar vad som exponeras på nätverket Använder ett känt standard-lösenord för att logga in i ett system där denne normalt inte har behörighet Sätter in ett USB-minne och tankar ner information! 16
Exempel på attack-karta Attack via Internet med e-post Klientdator på interna nätverket Forcera lokalt admin-lösenord Angripa datorer med delade lösenord Extrahera lösenord/ Cached Credentials Elevera rättigheter Samla fler Cached Credentials Forcera Cached Credentials Fullständiga behörigheter i domänen 17
De 5 viktigaste erfarenheterna! Nätverkssegmentering och protokoll Klienter Servrar Security in Depth! Uppdateringar av programvara och tjänster Konton och lösenord 18
Medicinsk teknik liknar SCADA-system? Applikationer kräver specifika OS och SP Patchning icke tillåten eller ger osäkra resultat Historiskt fysiskt åtskilda system Leverantörer har egna kopplingar in Alla användare använder samma konto Av verksamhets- och ekonomiskäl vill man nyttja Internet som kommunikationsbärare, trots att detta egentligen kräver, fullständigt uppdaterade OS och SP samt patchar, tydligt styrd åtkomst, inga extra kopplingar, segmentering, ett konto per användare 19
Åtgärder på flera fronter Håll koll på ert nätverk Vad har ni och vad går i nätverket? Håll speciellt koll på externa kopplingar till leverantörer och trådlösa accesspunkter Separera era guldägg från vanlig Internetverksamhet Informationsslussar för extra känsliga system Ställ krav på leverantörer att kunna applicera vanliga IT-säkerhetsåtgärder 20
Lästips! Twenty Critical Controls for Effective Cyber Defense: Consensus Audit Guidelines Sök på Google efter: 20 Critical Controls, eller direkt till: www.sans.org/critical-security-controls/cag.pdf Rekommendationerna i detta dokument stämmer väl med FRA erfarenheter om vad som borde göras. 21
Frågor? 22
Kontaktinformation: Peter Nilsson peter.nilsson@fra.se växel: 08-471 4600 direkt: 08-471 4141 Se även www.fra.se 23