KMD’s tilgang til cybertrussler

Public

Afdelingsleder, Information Security KMD, 2014 – Information Security Manager Takeda, 2013 – 2014 Group Risk Consultant DONG Energy, 2010 - 2013 IT-Security Specialist A.P. Moller - Maersk Group, 2007 – 2010 Derudover erfaring fra forsvaret og Novozymes.

SIMON THYREGOD

Civilingeniør, CISSP, CISM

Ca. 3.000 ansatte

40 år gamle

Historiskset hovedsageligt fokus på velfærds Danmark

Eksempler på kunder og projekter:

Hvert år håndterer KMD’s systemer milliardbeløb, der svarer til

mere end 25% af Danmarks bruttonationalprodukt

1 million danskere i den private og offentlige sektor modtager

hver måned deres løn via KMD’s lønsystemer

Kilde: kmd.dk

© KMD A/S UDPLUK FRA KMD’S SIKKERHEDSSTRATEGI

Sikkerhed er vores DNA

Sikkerhed er en kombination af teknologi, processer og personer Vi tager vores egen medicin – vi går til markedet med de produkter

vi selv benytter

Vi vælger stratetiske partnere blandt de bedste (e.g. Symantec, RSA, LogPoint, Cisco)

Vi baserer vores leverancer på kendte standarder, men også egen

ekspertise (bl.a. ISO27001, ISO9001, ISO20000)

Sikkerhed skal gøre forretningen agil – ikke være en hindring

ÅRSAG TIL SIKKERHEDSHÆNDELSER

Vulnerabilities

Weak change mng.

Poor access control

Firewall Configuration Shadow IT

Basis Malware

Lack of logging

?

ISO 27001

Lack of overview

© KMD A/S HVEM ER I RISIKOGRUPPEN FOR FORSKELLIGE TYPER AF ANGREB?

0

5

10

15

20

25

30

35

40

45

IT Offentlig Energi Transport Retail FinansKilde: Verizon 2014

Ikke længere chikane, men motiverede angreb

(ønsker ikke at blive opdaget)

Starter med det svageste led

Herefter eskaleres rettigheder

(Jumping from host to host)

Svært at opdage!

SKIFT I ANGREBSTEKNIKKER

GAMMELDAGS TILGANG

I DAG: PREVENT – DETECT – RESPOND

TEKNOLOGI - UNDERSTØTTET AF PROCESSER OG MENNESKELIG

KOMPETENCE

Perimeter

•DDoS

• Firewalls

• E-mail gateways

•Web gateway

• IDS/IPS

Network

•Network IDS/IPS

•Network Security Analysis

• SIEM

Systems/

Applications

• Virtual Patching

• Vulnerability Management

• Identity & Access Management

• Advanced Intrusion Detection

Endpoint

• Anti-malware

• Vulnerability Management

• Advanced Intrution Detection

•Mobile Device Management

ET LAG ER IKKE NOK – EKSEMPLER PÅ BESKYTTELSESLAG

Øget risiko for DDoS

Øget risiko for defacements

Udnyttelse af sårbare 3.parts applikationer og plugins

Kendte kompromitterede domæner

EKSEMPEL FRA KMD – ADVARSEL FRA CFCS 15. + 18. FEB

Perimeter

•DDoS

• Firewalls

• E-mail gateways

•Web gateway

• IDS/IPS

Network

•Network IDS/IPS

•Network Security Analysis

• SIEM

Systems/

Applications

• Virtual Patching

• Vulnerability Management

• Identity & Access Management

• Advanced Intrusion Detection

Endpoint

• Anti-malware

• Vulnerability Management

• Advanced Intrution Detection

•Mobile Device Management

CFCS - HÅNDTERING I PRAKSIS

Trusselsniveau løftet til GUL (øget bemanding/overvågning)

Øget overvågning af DDoS system

Spærring af kompromitterede domæner i web gateway

Øget overvågning af Network Security Analytics og SIEM

Ekstra sårbarhedsskanning af alle eksterne domæner

Tvangs-patching eller virtual patching af servere

Tvangs-patching af klienter

Dagligt statusmøde

CFCS – HANDLINGSPLAN

Phishing e-mail sendt til KMD medarbejder og rapporteret til

Group Security.

Link til ondsindet kode (malware) fx informationstyv.

Ikke fanget af anti-malware løsninger

EKSEMPEL FRA KMD – PHISHING E-MAIL

Perimeter

•DDoS

• Firewalls

• E-mail gateways

•Web gateway

• IDS/IPS

Network

•Network IDS/IPS

•Network Security Analysis

• SIEM

Systems/

Applications

• Virtual Patching

• Vulnerability Management

• Identity & Access Management

• Advanced Intrusion Detection

Endpoint

• Anti-malware

• Vulnerability Management

• Advanced Intrution Detection

•Mobile Device Management

PHISHING E-MAIL - HÅNDTERING I PRAKSIS

Hvem/hvor mange har modtaget e-mailen?

Hvem har klikket på linket?

ER VI SÅRBARE?

PHISHING EMAIL – YDERLIGERE UNDERSØGELSER

Trusselsniveau bibeholdes på GRØN

Afsender spærres (gerne på IP/server-niveau)

Link spærres

Malware sample analyseres (fx Cuckoo Sandbox)

Sample sendes til anti-virus og signaturer opdateres

RSA Network Security Analytics opdateres

Data Packets gennemsøges

Advanced Intrusion Detection på klienter og servere gennemgås

for aktive processer med samme fingerprint

Potentielt inficerede klient renses eller geninstalleres

PHISHING EMAIL – HANDLINGSPLAN

Cryptolocker prøver at kryptere lokale filer og fildrev

Nøgle skal købes mod løsepenge (?)

Eksempelvis havde vi en kunde hvor KMD har ansvaret for

filserverne, men ikke klienterne eller deres gateways.

EKSEMPEL – CRYPTOLOCKER

Perimeter

•DDoS

• Firewalls

• E-mail gateways

•Web gateway

• IDS/IPS

Network

•Network IDS/IPS

•Network Security Analysis

• SIEM

Systems/

Applications

• Virtual Patching

• Vulnerability Management

• Identity & Access Management

• Advanced Intrusion Detection

Endpoint

• Anti-malware

• Vulnerability Management

• Advanced Intrution Detection

•Mobile Device Management

CRYPTOLOCKER - HÅNDTERING I PRAKSIS

Trusselsniveau bibeholdes på GRØN

Stop ulykken!

Filer genskabes vha. backup hvor muligt

KMD ikke har klient eller mail gateway ansvar –> det er svært at

forebygge!

SIEM –> Antal filændringer

Advanced Intrusion Detecion -> Filnavne el. informationsfil

Network Security Analytics -> Beacon Pattern

CRYPTOLOCKER – HANDLINGSPLAN

Get the basics right!

Husk de opdagende kontroller

Informationssikkerhed er alles ansvar, men bør være et uafhængigt organ

Informationssikkerhed kræver ledelses-engagement

ANBEFALINGER

http://www.google.dk/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&uact=8&ved=0CAcQjRw&url=http://modernsurvivalonline.com/15-questions-to-answer-about-when-the-shtfteotwawki-happens/&ei=N9P-VPuaJMfZPaqOgdgE&bvm=bv.87920726,d.ZWU&psig=AFQjCNHAp54H3Rhc2mrG3Hj3PsDXKp-4Dg&ust=1426072740951975