Transcript presentatie - Leven op de Cloud – 12 november

Hoe zorg je ervoor dat je
geen slachtoffer wordt
van Cybercrime
Stef Liethoff
[email protected]
Stef_Liethoff
033-4563663
12-11-2014
Cloud app
revenue
explosion
Hoe komen cloud apps binnen de organisatie
10%
IT-led
70%
Business-led
Gecontrolleerd
Meestal
ongecontrolleerd
(buiten IT om)
20%
User-led
Realiteit: IT heeft geen overzicht meer wat er
gebeurt!
Cloud Services
Business Critical
• Business gaat buiten IT om en installeren Cloud apps
• Lastig voor IT om alle cloud apps te beheren en te
beveiligen
• Cloud app per direct beschikbaar. Via IT duurt het te
lang
• Verbindingen lopen niet altijd via datacenter
Training
videos from
iPhone
Sales from the
road on iPad
• Business verwacht wel dat IT alles veilig houdt en de
performance wordt gegarandeerd
Corporate
storage
Office from
everywhere
Marketing
user groups
HQ
IT heeft twee keuzes:
Home/Hotspot
VPN
• IT blokkeert, Business zet toch door
• IT faciliteert en maakt gebruik cloud apps
acceptabel en veilig voor de business
On-the-go
Regional
Hub
Branch
Branch
Lopen we teveel met onze hoofd in de wolken?
Waarop zal een hacker zich richten?
Cloud Services
Business Critical
Data Center Services
Business Critical
Hoe ziet een gerichte aanval eruit?
Attackers Move Methodically to Gain
Persistent & Ongoing Access to Their Targets
• Backdoor variants
• VPN subversion
Maintain
Presence
Move
Laterally
• Sleeper malware
Initial Compromise
Establish Foothold
Escalate Privileges
Internal Recon
• Net use
commands
• Reverse shell
access
Complete Mission
• Social engineering
• Custom malware
• Credential theft
• Critical system recon
• Staging servers
• Spear phishing e-mail
with custom malware
• Command and control
• Password cracking
• Data consolidation
• 3rd party application
exploitation
• “Pass-the-hash”
• System, active directory &
user enumeration
• Data theft
At organizations where Mandiant responded to a targeted attack in the last
year, the typical attacker went undetected for 229 days.
10-stappen plan voor Cloud vertrouwen!
Are you being compromised?
Welke “kroonjuwelen” in de cloud en welke impact?
Welke cloud apps zijn er nu in gebruik?
Analyseer de cloud apps?
Monitor, detectie en forensisch onderzoek
Classificeer data en voorkom dataverlies?
Handhaaf gebruik cloud apps en data via policies?
Bescherm uw endpoints tegen Cybercrime aanvallen?
Incident response
Controleer uw Cloud Service provider (en u zelf)
1) Are you being compromised?
2) Welke kroonjuwelen in de cloud en welke
impact?
3) Welke cloud apps zijn er nu in gebruik?
• Inventariseer alle cloud apps (IT
goedgekeurd of niet)
• Waar draaien apps op en waar
vandaan
• Beoordeel apps of ze geschikt zijn
voor bedrijfsmatige doeleinden
(security, business continuity,
auditable)
• Beoordeel risico’s
• Standaardiseer waar mogelijk
4) Analyseer de cloud apps
• Wie gebruikt de app, welke groepen
gebruikers, welk device, welke
browser, locatie, tijd
• Welke activiteiten voert app uit:
download, upload, share, edit, beheer
• Welke data wordt gedeeld: files, welke
classificatie, mag dit conform policy
• Welke data bevindt zich binnen de
app, mag dit conform de policy
5) Monitor, detectie en forensisch onderzoek
Uit analyse blijkt dat een medewerker die
op het punt staat de organisatie te
verlaten, een excel sheet met alle
klantgegevens heeft ge upload naar een
cloud storage app. De toegang tot deze
app is met zijn persoonlijke login!
IT wil een audit trail hebben van iedere
cloud app actie van de betreffende
gebruiker
• Monitoren en analyseren van
gebruikers activiteiten en
detecteren van afwijkend gedrag
• Forensisch onderzoek naar
aanleiding van een incident, bv
datalek
6) Classificeer data en voorkom dataverlies?
Classificeer de data (gebruiker, DLP of hybride) en
merk de informatie met deze classificatie
informatie
Beveilig de bron tegen ongeautoriseerde toegang
en gebruik, onafhankelijk waar het document staat
(binnen of buiten)
Neem risico weg dat geautoriseerde gebruikers
informatie (per ongeluk) delen met
ongeautoriseerde gebruikers
Behoud controle over de privacy, vertrouwelijkheid
en integriteit van informatie door de toegang en
gebruiksrechten te beperken
Audit het gebruik en delen van informatie.
Audittrail is van belang bij forensisch onderzoek
7) Handhaaf gebruik cloud apps en data via
policies?
Voorbeelden:
• Faciliteer gebruik collaboration apps, maar
voorkom dat vertrouwelijke informatie
gelezen kan worden door mensen buiten
de organisatie
• Voorkom file uploads met gevoelige
informatie naar cloud storage apps of zorg
ervoor dat de data beveiligd is
• Sta toe dat HR medewerkers toegang
hebben tot HR apps, maar zorg ervoor dat
bv de informatie niet gedownload kan
worden buiten Nederland of informatie
niet ingezien kan worden buiten de
organisatie
8) Bescherm uw endpoints tegen Cybercrime aanvallen?
Notify
IOCs
Confirm
A
Detect
FireEye threat prevention
platform (NX, EX, FX, or
AX) detects threat and
generates alerts with
analysis detail.
A
A
A
A
A
A
Contain
A
A
A
Validate
Discover
Upon matching an indicator,
a threat is confirmed. Agent
notifies HX which then alerts
the operator.
HX is notified. HX
generates indicator and
pushes to endpoint
agents. Agents look for
matching events in lookback cache and continues
to monitor future events.
A
A
A
A
A
Contain
Operator can contain the
compromised endpoint by
blocking all traffic with
single click workflow while
continue with investigation
9) Incident response
Prevention=Friction
Layered security slows down targeted
attacks but cannot
fully stop them.
Now
What??
Priority = detection & response
When determined attackers get through, rapid
detection and response ensures they do not
achieve their ultimate objective.
10) Controleer uw Cloud Service provider
• Voldoet uw provider aan de Cloud
Controls Matrix (CCM) van de Cloud
Security Alliance?
• CCM levert u ook inzicht wat er aan uw
zijde dient te gebeuren
• CCM is gebaseerd op industriestandaarden als ISO 27001/27002,
ISACA COBIT, PCI, NIST
• ISAE3402 verklaring en A&P testen
Allow is the new block (allow is new block green light slide)
Samenvattend:
• Inzicht krijgen
• Huidig gebruik
• Ben ik al gehackt?
• Wat wil ik (policy)
• Handhaven en controleren
Het 10-stappenplan van Nováccent biedt
een praktische leidraad om te komen tot
“Met vertrouwen Leven op de Cloud”