Säkerhet i en telefonimiljö Nortel s användarförening 2008-11-11 Per Sundin Product Manager
Kontrollfråga Vad är detta? Rätt svar - Cap n Crunch Bosun Whistle. Kom i flingpaket, ca 1964 Vad användes den till? Första hackerverktyget användes av John Draper Producerade en ton, 2600 Hz, som användes av AT&T för att indikera att en trunk var redo för ett nytt samtal Fler toner hittades som används för att styra växeln Kuriosa John Draper fick 5 års skyddstillsyn Arbetade sedan flera år med Jobs och Gates 17. november 2008 2
Agenda Kommer inte att prata om: Användaridentifiering/administration Tillgänglighet i form av design och redundans Patchning och uppdateringar Back-up UPS/Strömförsörjning Fysiska skalskydd Riskanalys Hot, risk, insats, konsekvens Lagar och förordningar Kommer att prata om: Styrning och kontroll QoS och analys Anti-X Virus, maskar, trojaner och annat småkryp 17. november 2008 3
Drivkraften Publikt nät Traditionell PBX 17. november 2008 4
Drivkraften Data V Publikt nät Telefoniserver Övriga verksamhetskritiska servrar och applikationer 17. november 2008 5
Drivkraften och varför är den så stark? Data V Publikt nät 17. november 2008 Övriga verksamhetskritiska servrar och applikationer Telefoniserver 6
Styrning och kontroll QoS och analys 17. november 2008 7
Olika karaktär på trafiken Data Voice Ojämn belastning Tar det som finns Okänslig för fördröjningar Okänslig för variationer Okänslig för störningar Okänslig för omsändningar vs. Jämn trafikström Tar vad som finns kvar Känslig för fördröjningar Känslig för variationer Känslig för förlorat data Använder inte omsändningar 17. november 2008 8
Ett IP-nät kräver kontroll SQL Slammer, KaZaA, Mission-critical Voice breaking WWW email & usage Video news apps Wide area network 17. november 2008 9
Utmaningar Rätt kvalitet för affärskritiska applikationer Rätt kvalité för realtidsapplikationer Rätt prioritet per applikationer Säkerhet - Förändrade användarbeteenden och nya hot kräver ett aktivt säkerhetsarbete en del av alla IT-projekt Proaktivitet För dagens nätverk med dess applikationer och användare duger inte reaktivitet Förändringshantering - Vad händer om en ny applikation implementeras i nätverket? Vad händer om vi centraliserar driften? SLA Krav på uppföljning av kvalitet och åtagande Det handlar om leverans & kvalitetssäkring!! 17. november 2008 10
Strukturen Användare Resurser Operatörs tjänster Internet Applikationer Servrar och operativsystem Samtalshantering Hänvisningsdator Stödsystem Kommunikationsplattform Klientutrustning Trådbundet Klientutrustning Trådlöst Klientutrustning VPN 17. november 2008 11
IP-nät med trafikkontroll Shaping on Underlag för hantera aggresiv trafik Undvika omsändningar QoS förbygger omsändningar 17. november 2008 12
men vilken trafik har vi i nätet? 17. november 2008 13
Webbkategorier 17. november 2008 14
Även Quality of Service (QoS) är säkerhet QoS är en säkerhetsfunktion. Vid överbelastning: Prioritera affärskritisk trafik Stryp misstänkt/icke prioriterad trafik 100 Mbps 17. november 2008 15
Anti-X Virus, maskar, trojaner och annat småkryp 17. november 2008 16
Säkerhet en del av varje projekt Utmaning Fler affärskritiska applikationer i samma nätverk Förändrat beteende hos användare och applikationer Mobilitet Angriparna har bytt taktik Brandvägg och antivirus räcker inte längre 17. november 2008 17
Ett perspektiv på säkerhet En bank i USA utbildade slutanvändare i hur man ska hantera inloggningsuppgifter användarnamn och lösenord (källa RSA, 2007) Test 200 mail till slumpvis utvalda användare Frågan Ge exempel på komplexa lösenord Resultat 75 svar 23 av svaren var skarpa lösenord 17. november 2008 18
Säkerhet kan inte köpas för pengar Säkerhet Handlar om kunskap och beteende En tydlig och implementerad policy och strategi för all IT i verksamheten Tekniken är bara ett verktyg att styra, kontrollera och rapportera Anpassat regelverk med syfte att skydda verksamhetens värde Tydliga enkla rutiner och processer Etablerade incidentrutiner Lika viktigt att tänka igenom före som att efteråt värdera vad som hände och varför, däremellan Design Implementation best practice Drift Mäta och kontrollera Förbättra/finjustera 17. november 2008 19
Klassiskt skalförsvar (IT) Brandväggar, Antivirus Besegras av: Mobila användare Applikationsattacker Trojaner DoS... Internet 17. november 2008 20
Tjyvknep att störa vår affärskommunikation Avlyssning Denial of Service, DoS X Vår strategi är att Utge sig för någon annan Hej, jag heter Per. Kan ni skicka mig våra bankkontouppgifter Hallå? Hallå? Är det någon där? Förlorad integritet/förändring Sätt in 1.000 kr på konto 123 456 789 Kund 17. november 2008 Sätt in 10.000 kr på konto 987 654 432 Bank 21
Hackare på insidan Skaffar sig åtkomst via annans behörighet Åtkomst genom att överta någons arbetsplats Mål Att stjäla, förändra eller förstöra data Motmedel Fysiskt skydd/åtkomst till arbetsplats Internet 17. november 2008 22
Trojansk häst Internet Ingen egen spridningsförmåga. Spridning via program, webbsidor, mail etc. Kan innehålla olika typer av hot Kan fjärrstyras från utsidan av nätet Triggar på kommando, tid ed. Mål Att stjäla, förändra eller förstöra data Motmedel Anti-X skydd 17. november 2008 23
Maskar Internet Sprider sig via e-post, mellan datorer via nätet Kan innehålla olika typer av hot Kan fjärrstyras från utsidan av nätet Skaffar sig åtkomst via annans behörighet Mål Att stjäla, förändra eller förstöra data. Belastningsattacker Motmedel Anti-X skydd, IPS 17. november 2008 24
Zombies Ligger i vila på hijackade och ovetande maskiner Producerar massiv last mot ett eller flera mål Attackstart synkroniseras Mål att slå ut tjänster, DoS Motmedel En operatör som kan känna igen trafikmönstret Internet 17. november 2008 25
Ett exempel Kontroll vid access Centrala resurser Kontrollservrar - Rätt Anti-X produkt, version? -Rätt patchning? Karantän - Uppdateringsservrar - Intern användare - Konsult - Annan tillfällig gäst - Via trådbundet, trådlöst eller VPN 17. november 2008 26
Ett exempel Trafikkontroll Centrala resurser Internet 17. november 2008 27
Summering 17. november 2008 28
Vilka kostnader ska räknas in i en ROI? Säkerhet Direkt förknippade med lösningen Investeringskostnad för produkter Abonnemang på uppdateringar på olika produkter $1 000 Administration hantering av loggar, användare, felsökning, buggar Supportavgifter Utbildning Förändringsarbete Indirekta kostnader Förlorad och/eller stulen information Återställning av data Produktionsbortfall $800 $600 $400 Total kostnad för nätverket $904 $606 Förlorade eller försenade affärer/fakturering Sanering av PC och servrar $200 $298 Inte snabb tillgång till korrekt information på resande fot Skadestånd/viten $0 Skadad trovärdigheten, dålig publicitet utåt Badwill hos personalen Hantera regelverk i olika lösningar Supporthantering i olika lösningar Flera lösningar OpEx CapEx $642 $423 $219 En huvudlösning 17. november 2008 29
Hur möter vi verksamhetskraven? Lösning för skydd / kontroll Verksamhetskrav Drift och anv.beteende www wlan mail ftp chat p2p streaming ip-telefoni Uppföljning Policy Begränsning Styrning 17. november 2008 30
Det här är vad vi hör talas om 17. november 2008 31
Det är det här det handlar om Nyttja tekniken för att ge verksamheten fördelar Bättre nå ut till vår målgrupp kunder, leverantörer, allmän information Ge medarbetare tillgång till externa verktyg och information Effektivare verksamhet/arbetssätt Skydda verksamhetens värden optimalt Våga vara kreativ Intranet Extranet Internet Anställda Leverantörer och kunder Publik exponering 17. november 2008 32
Tre råd på vägen Säkerhet en del av alla projekt, även telefoni... Policy Drift, användning Tekniken är bara ett sätt att verkställa policyn Verifiera nätverket innan, under och regelbundet Organisation Ansvarsfördelning Kompetens inom applikationer och nät (tele, data ) Förändringshantering Tekniska förutsättningar 17. november 2008 33
Tre råd på vägen Säkerhet en del av alla projekt, även telefoni... Policy Drift, användning Tekniken är bara ett sätt att verkställa policyn Verifiera nätverket innan, under och regelbundet Organisation Ansvarsfördelning Kompetens inom applikationer och nät (tele, data ) Förändringshantering Tekniska förutsättningar Det går inte att investera bort ett hot, men man kan minska risken 17. november 2008 34
Tack för f r uppmärksamheten. 17. november 2008 35