KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset...
23
KMD’s tilgang til cybertrussler Public
Transcript of KMD’s tilgang til cybertrussler - Cisco...Ca. 3.000 ansatte 40 år gamle Historiskset...
KMD’s tilgang til cybertrussler
Public
Afdelingsleder, Information Security KMD, 2014 – Information Security Manager Takeda, 2013 – 2014 Group Risk Consultant DONG Energy, 2010 - 2013 IT-Security Specialist A.P. Moller - Maersk Group, 2007 – 2010 Derudover erfaring fra forsvaret og Novozymes.
SIMON THYREGOD
Civilingeniør, CISSP, CISM
Ca. 3.000 ansatte
40 år gamle
Historiskset hovedsageligt fokus på velfærds Danmark
Eksempler på kunder og projekter:
Hvert år håndterer KMD’s systemer milliardbeløb, der svarer til
mere end 25% af Danmarks bruttonationalprodukt
1 million danskere i den private og offentlige sektor modtager
hver måned deres løn via KMD’s lønsystemer
Kilde: kmd.dk
© KMD A/S UDPLUK FRA KMD’S SIKKERHEDSSTRATEGI
Sikkerhed er vores DNA
Sikkerhed er en kombination af teknologi, processer og personer Vi tager vores egen medicin – vi går til markedet med de produkter
vi selv benytter
Vi vælger stratetiske partnere blandt de bedste (e.g. Symantec, RSA, LogPoint, Cisco)
Vi baserer vores leverancer på kendte standarder, men også egen
ekspertise (bl.a. ISO27001, ISO9001, ISO20000)
Sikkerhed skal gøre forretningen agil – ikke være en hindring
ÅRSAG TIL SIKKERHEDSHÆNDELSER
Vulnerabilities
Weak change mng.
Poor access control
Firewall Configuration Shadow IT
Basis Malware
Lack of logging
?
ISO 27001
Lack of overview
© KMD A/S HVEM ER I RISIKOGRUPPEN FOR FORSKELLIGE TYPER AF ANGREB?
0
5
10
15
20
25
30
35
40
45
IT Offentlig Energi Transport Retail FinansKilde: Verizon 2014
Ikke længere chikane, men motiverede angreb
(ønsker ikke at blive opdaget)
Starter med det svageste led
Herefter eskaleres rettigheder
(Jumping from host to host)
Svært at opdage!
SKIFT I ANGREBSTEKNIKKER
GAMMELDAGS TILGANG
I DAG: PREVENT – DETECT – RESPOND
TEKNOLOGI - UNDERSTØTTET AF PROCESSER OG MENNESKELIG
KOMPETENCE
Perimeter
•DDoS
• Firewalls
• E-mail gateways
•Web gateway
• IDS/IPS
Network
•Network IDS/IPS
•Network Security Analysis
• SIEM
Systems/
Applications
• Virtual Patching
• Vulnerability Management
• Identity & Access Management
• Advanced Intrusion Detection
Endpoint
• Anti-malware
• Vulnerability Management
• Advanced Intrution Detection
•Mobile Device Management
ET LAG ER IKKE NOK – EKSEMPLER PÅ BESKYTTELSESLAG
Øget risiko for DDoS
Øget risiko for defacements
Udnyttelse af sårbare 3.parts applikationer og plugins
Kendte kompromitterede domæner
EKSEMPEL FRA KMD – ADVARSEL FRA CFCS 15. + 18. FEB
Perimeter
•DDoS
• Firewalls
• E-mail gateways
•Web gateway
• IDS/IPS
Network
•Network IDS/IPS
•Network Security Analysis
• SIEM
Systems/
Applications
• Virtual Patching
• Vulnerability Management
• Identity & Access Management
• Advanced Intrusion Detection
Endpoint
• Anti-malware
• Vulnerability Management
• Advanced Intrution Detection
•Mobile Device Management
CFCS - HÅNDTERING I PRAKSIS
Trusselsniveau løftet til GUL (øget bemanding/overvågning)
Øget overvågning af DDoS system
Spærring af kompromitterede domæner i web gateway
Øget overvågning af Network Security Analytics og SIEM
Ekstra sårbarhedsskanning af alle eksterne domæner
Tvangs-patching eller virtual patching af servere
Tvangs-patching af klienter
Dagligt statusmøde
CFCS – HANDLINGSPLAN
Phishing e-mail sendt til KMD medarbejder og rapporteret til
Group Security.
Link til ondsindet kode (malware) fx informationstyv.
Ikke fanget af anti-malware løsninger
EKSEMPEL FRA KMD – PHISHING E-MAIL
Perimeter
•DDoS
• Firewalls
• E-mail gateways
•Web gateway
• IDS/IPS
Network
•Network IDS/IPS
•Network Security Analysis
• SIEM
Systems/
Applications
• Virtual Patching
• Vulnerability Management
• Identity & Access Management
• Advanced Intrusion Detection
Endpoint
• Anti-malware
• Vulnerability Management
• Advanced Intrution Detection
•Mobile Device Management
PHISHING E-MAIL - HÅNDTERING I PRAKSIS
Hvem/hvor mange har modtaget e-mailen?
Hvem har klikket på linket?
ER VI SÅRBARE?
PHISHING EMAIL – YDERLIGERE UNDERSØGELSER
Trusselsniveau bibeholdes på GRØN
Afsender spærres (gerne på IP/server-niveau)
Link spærres
Malware sample analyseres (fx Cuckoo Sandbox)
Sample sendes til anti-virus og signaturer opdateres
RSA Network Security Analytics opdateres
Data Packets gennemsøges
Advanced Intrusion Detection på klienter og servere gennemgås
for aktive processer med samme fingerprint
Potentielt inficerede klient renses eller geninstalleres
PHISHING EMAIL – HANDLINGSPLAN
Cryptolocker prøver at kryptere lokale filer og fildrev
Nøgle skal købes mod løsepenge (?)
Eksempelvis havde vi en kunde hvor KMD har ansvaret for
filserverne, men ikke klienterne eller deres gateways.
EKSEMPEL – CRYPTOLOCKER
Perimeter
•DDoS
• Firewalls
• E-mail gateways
•Web gateway
• IDS/IPS
Network
•Network IDS/IPS
•Network Security Analysis
• SIEM
Systems/
Applications
• Virtual Patching
• Vulnerability Management
• Identity & Access Management
• Advanced Intrusion Detection
Endpoint
• Anti-malware
• Vulnerability Management
• Advanced Intrution Detection
•Mobile Device Management
CRYPTOLOCKER - HÅNDTERING I PRAKSIS
Trusselsniveau bibeholdes på GRØN
Stop ulykken!
Filer genskabes vha. backup hvor muligt
KMD ikke har klient eller mail gateway ansvar –> det er svært at
forebygge!
SIEM –> Antal filændringer
Advanced Intrusion Detecion -> Filnavne el. informationsfil
Network Security Analytics -> Beacon Pattern
CRYPTOLOCKER – HANDLINGSPLAN
Get the basics right!
Husk de opdagende kontroller
Informationssikkerhed er alles ansvar, men bør være et uafhængigt organ
Informationssikkerhed kræver ledelses-engagement
ANBEFALINGER
