Download   Report
  1. No category

Ledningsstrategier för nätbaserade hot

Ledningsstrategier för
nätbaserade hot
2012-06-05
Innehåll
• Kända dataintrång
• Verizon breach report 2008 - 2012
• Risk, Scope och Strategi
• Vad ska man göra?
You never reach greatness if you don’t take risks!
Sten Lannerström
Knowit Secure
Erfarenhet
30+ år med IT
15+ år med IS/IT-säkerhet
Älskar
Min familj
Alpin skidåkning
Att göra ett bra jobb
Intrångshistorik
• Före 2000
•
•
•
•
Robert Morris, ”Morris Worm”, intrång lite överallt…, skyddstillsyn 3 år + böter 10.000$
Kevin Mitnick, riktat mot huvudsakligen telecombransch, bedrägeri i olika former, fängelse 4 år
”En Hacker i systemet”, d.v.s. Markus Hess, riktat mot militära anläggningar i USA, spionage, fängelse 3 år
Intrång riktat mot Citibank av Vladimir Levin, bedrägeri och stöld, fängelse 3 år + skadestånd till Citibank 240.015$
• 2000-2010
•
•
•
•
Adrian Lamo, riktat mot bl.a. New York Times, MS, Yahoo & MCI WorldCom, 6 mån husarrest + 65.000$
UFO-intresserade Gary McKinnon, riktat mot försvarsanläggningar i USA, ”riskerar” 60 års fängelse i USA
Albert Gonzalez, riktat mot TJX m.fl stöld av kreditkortsinformation, fängelse 20 år
Arbetssökande Csaba Richter, riktat mot Ericsson, fängelse 3 år
• 2010 och framåt
•
•
•
•
•
Antisec, intrång i syfte att stoppa kommersialisering kring intrångsteknik…
LulzSec, riktat mot Sony, flera personer gripna men ingen rättegång
Anonymous, intrång och DoS m syfte att arbeta mot internet censur och för frihet att sprida digital info.
Stuxnet, avancerad mask/trojan riktad särskilt mot Siemens processtyrsystem för Irans urananrikning
Dataintrång hos RSA som exempelvis även påverkar Lockheed Martin
Exploited a hole in Adobe Flash
Transfer "many" password-protected RAR
files over FTP
Performed privilege escalation
RSA released this illustration that shows step-by-step how it was attacked.
Attack mot RSA
Tydliga trender kring dataintrång?
Intrång till komprometterat data
Upp till 24tim Mer än 1 dygn
Komprometterat data till upptäckt
Upptäckt till åtgärder
Upp till 24tim Mer än 1 dygn
Upp till 24tim Mer än 1 dygn
2008
47
53
3
97
10
90
2009
48
52
8
92
6
94
2010
39
61
11
89
13
87
2011
47
53
4
96
11
89
2012
60
40
2
98
10
90
Verizon breach reports 2008-2012
Tydliga trender kring dataintrång?
Intrång till komprometterat data
Upp till 24tim Mer än 1 dygn
Komprometterat data till upptäckt
Upptäckt till åtgärder
Upp till 24tim Mer än 1 dygn
Upp till 24tim Mer än 1 dygn
2008
47
53
3
97
10
90
2009
48
52
8
92
6
94
2010
39
61
11
89
13
87
2011
47
53
4
96
11
89
2012
60
40
2
98
10
90
Verizon breach reports 2008-2012
Tydliga trender kring dataintrång?
Hur vet man vilken skyddsnivå man ska
välja om man inte vet vilka risker som
finns?
Basic Elements of Risk
The correlated combination of Impact and Probability
Risk
The negative effect a threat may have on an asset
The assessed likelihood for the combination of
vulnerability and exploit for a given asset
According to a chosen company scale
Primary
Processes/Activities
Information Entities
Supporting
IT System
Application
Network
Site
Personnel
Organization
According to a chosen company scale
Business Impact
Probability
The potential to
succeed and take
advantage of a
vulnerability linked with
an asset
Asset
Threat
Åtgärder
Something causing
Financial loss / Loss of business performance
Loss of goodwill / Bad reputation
Legal violation / Environmental or Personnel safety
Breach of confidentiality / Loss of integrity
Vulnerability
Exploit
Automatiseras
Lack of control that is linked with an asset and as a
result might open up for an exploit
Dataintrång – Kräver ledningsstrategi?
• Dataintrång drabbar utrustning med dåligt skydd
• Låg säkerhetsbudget, med sämre patchning, sämre
behörighetskontroll och sällan ordentligt testade
• Tid för upptäckt är ofta lång…
• Dagar, veckor och månader…
• Vid intrång hinns det med att göra mycket vid svag skyddsnivå…
• Med korrekta identiteter kan data hämtas/modifieras i
verksamhetskritiska system
• Vilka system kan det typiskt handla om?
• Icke verksamhetskritiska från början, men de allvarliga
konsekvenserna sker i väsentliga system
• Ofta utanför scope sett ur ett Ledningssystemsperspektiv (ISMS)
och utifrån ett enskilt system sett svårmotiverat att höja säkerhet
• En ledningsfråga
• Samordnad skyddsnivå inom vissa områden för ALLA system
• Strategisk fråga att bestämma nivå och metod
Risk i olika nivåer
• Strategisk risk, 3-5 år
Rapportering
• Taktisk risk, 1-12 månader
• Operationell risk, dagar och veckor
Styrning
När är risken störst?
• Utökning av tillgångar
• Ny utrustning
• Ny verksamhet
• Nya processer
• Ökad hotbild
• Känslig bransch som stöter grupperingar av människor
• Vid stora förändringar i verksamheten
• I medialt blåsväder
• Ökad utnyttjande
• När Ni är off-guard t.ex. i samband med egen/annans katastrof eller medial skandal
• När nya enkla verktyg sprids
• När nya sårbarheter uppdagas
• Ökad sårbarhet
• När Ni har bråttom att införa ett ”temporärt” system
• När Ni är dåligt skyddade via system utanför LIS omfattning
Vad ska man göra?
• Arbeta riskorienterat
• Utifrån tillgångar eller utifrån roller om rollbeskrivningar finns
• En strategiskt vald lägsta basnivå för alla system
• Ägarskap, utr. placering, malware, patchning, behörighetskontroll och incidentrapportering
• Kanske bara en regelbunden monitorering av system utanför scope
• Mota Olle i grind
•
•
•
•
•
•
Det finns tid att monitorera eftersom väsentliga intrång kan ta tid
Externa hot är störst, men kan självklart assisteras från insidan
Identifiera portscanning som även initieras inne på egna nätet
Identifiera felinloggningar i serier (typ en/två som inte spärrar)
Öva på att hantera incidenter
Säkerhetsmedvetande/Säkerhetskultur
• Ta hjälp!
• PCI/DSS, penetrationstest, konfigureringar
• Riskantering och (decentraliserad) styrning av IS/IT säkerhet
Arbeta riskorienterat!
Fånga risker på alla nivåer, operativt, taktiskt och
strategiskt samt styr med informerade beslut.
Utse ett övergripande strategiskt ansvar för en
grundläggande basnivå för säkerhet som även
inkluderar de system som inte ingår i den
huvudsakliga omfattningen av verksamhetskritiska
system.
Sten Lannerström
sten.lannerstrom@knowit.se
Konflikt och immaterialrättsliga intrång (JUEN11) Uppgifter till PM 1

Konflikt och immaterialrättsliga intrång (JUEN11) Uppgifter till PM 1

Dia 1 - Injab Kraft Teknik AB

Dia 1 - Injab Kraft Teknik AB

Sveriges lagar

Sveriges lagar

Får man portförbjuda kunder i butiken?

Får man portförbjuda kunder i butiken?

Hela ISO 55000 Seminariet - presentationen

Hela ISO 55000 Seminariet - presentationen

Djurskyddspolisen i Stockholms län

Djurskyddspolisen i Stockholms län

Klicka här för att läsa pressmeddelandet i PDF-format

Klicka här för att läsa pressmeddelandet i PDF-format

EXAMENSARBETE - pure.ltu.se - Luleå tekniska universitet

EXAMENSARBETE - pure.ltu.se - Luleå tekniska universitet

Prioriterade prejudikatfrågor 2015

Prioriterade prejudikatfrågor 2015

Carina, 48 har dödat sina män | Nyheter

Carina, 48 har dödat sina män | Nyheter

LISTA: Alla livstidsdömda i Sverige | Nyheter | Aftonbladet

LISTA: Alla livstidsdömda i Sverige | Nyheter | Aftonbladet

Sebbe Staxx - Maria Östlin

Sebbe Staxx - Maria Östlin

Am 2015 2434 - Åklagarmyndigheten

Am 2015 2434 - Åklagarmyndigheten

Placeringsbrev mars 2013 - Ålandsbanken Asset Management

Placeringsbrev mars 2013 - Ålandsbanken Asset Management

Nasdaq stäms för missbruk av dominerande

Nasdaq stäms för missbruk av dominerande

Jag, Maria Perkhed som är kursledare har arbetat med min egen p

Jag, Maria Perkhed som är kursledare har arbetat med min egen p

Bryggan Malmö arbetar med barn vars föräldrar är eller har varit

Bryggan Malmö arbetar med barn vars föräldrar är eller har varit

SVENSK MÄKLARSTATISTIK AB– ALLMÄNNA VILLKOR, VERSION

SVENSK MÄKLARSTATISTIK AB– ALLMÄNNA VILLKOR, VERSION

Påföljdbestämning i narkotikamål 2

Påföljdbestämning i narkotikamål 2

Läs hela caset här

Läs hela caset här

för vacker miljö och trygg el Säkert sågverk

för vacker miljö och trygg el Säkert sågverk

abcdocz.com

© Copyright 2024