Transcript Document 7637518

Hotbild och riskhantering i cyberrymden
[email protected]
Sten Sörenson
1
sten.sö[email protected]
ar-bolaget
Mandator
Security Dynamics Acquires
DynaSoft
Sten Sörenson
2
Sten Sörenson
3
Cyberrymden - några karaktärsdrag
 Teknikutvecklingen tillsammans med ”CNN-effekten”, suddar ut
nivåerna: Taktiskt - Operativt - Strategiskt
 Internet ger obegränsad access med ett minimum av
spårbarhet
 Spridningen av hot och kapabla aktörer står i skarp konstrast till
skyddande åtgärder (begränsade tillgångar på teknik och människor)
 Den moderna cyberrymden skiljer sig markant från etablerade och
”antika” spelregler och lagar för försvar och brottsbekämpare.
 Ökade hot och sårbarheter är parallell med den ökade nyttan
 Samma teknik som möjliggör globala kommunikationer och affärer,
möjliggör även omfattande massförstörelse och massiva störningar.
 ”Osynligheten” hos cyberrelaterade hot i kombination med det
ömsesidiga beroendet mellan stat och näringsliv av samma system,
suddar ut skiljelinjen mellan statlig och privat sektor.
Sten Sörenson
4
Infosäkerhet
tillväxtfaktorer







Mobiler av olika slag - radiolan
Distribuerad datalagring
Globalisering och affärslösningar
24 timmars myndigheter
Intelligenta hushåll
Nya lagar för digitala signaturer
Frihet för kryptoexport
Sten Sörenson
5
IT säkerhet – trender
Trådlöst
 WLAN, DECT, Bluetooth, GSM, Mobitex
Biometri
 I kombination med med andra teknologier
Computer Forensics
 Behov av att ”obducera” IT-system, Krypterad e-post eller
HD, steganografi, PLD’er, mobiltfn, IC-/bank-/SIM-kort.
 Resursbrist
Sten Sörenson
6
Personligt
nätverk
låg kostnad
2002 CSI/FBI Computer Crime and
Security Survey (släpptes 8 april)
7:e året i rad, årets upplaga bygger på 503 respondenter
inom IT-säkehet bland amerikanska bolag, myndigheter,
finansiella och medicinska institutioner samt universitet.
90 % (främst stora företag och myndigheter) upptäckte
IT-säkerhetsrelaterade incidenter.
44 % kunde/ville kvantifiera därav uppstådda kostnader.
41 respondenter kunde/ville kvantifiera kostnaderna för
informationsstölder; Högsta förlusten 50 miljoner dollar,
den genomsnittsliga förlusten drygt 4 miljoner dollar.
Sten Sörenson
8
2002 CSI/FBI Computer Crime and
Security Survey
Varför denna exceptionella ökning i uppskattade förluster?
 Angriparen vet mer om vad som är värdefullt och har allt
bättre metodik- och teknikstöd.
 Den angripne har fått ökade insikter i att information
har ett värde och att själva värderingen har ökat.
Ett exempel:
Juli 2001 - domstolen i Santa Clara County, USA dömde
mjukvaruföretaget Avant att betala 182 miljoner dollar i
kompensation till konkurrenten Cadence, eftersom Avantpersonal funnits skyldiga till stöld av källkoder från Cadence.
Sten Sörenson
9
2002 CSI/FBI Computer Crime and
Security Survey
74 % uppgav Internetanslutningen som frekvent attackmål
34 % uppgav även interna system som frekvent attackmål
Trots att 89 % hade brandväggar och 60 % IDS, kunde 40 %
rapportera systempenetration från utsidan.
Trots att 90 % använde anti-virusprogram, blev 85 % smittade
med virus, maskar etc.
1/3 rapporterade olika IT-relaterade intrång till polisen,
vilket är en uppåtgående trend, polisens tjänster är ju gratis...
Sten Sörenson
10
Politiska/fysiska konflikter kopplat till
cyberattacker
En amerikansk rapport (sommaren 2001) studerade
konflikterna mellan:
Pakistan/Indien, Israel/Palestina, NATO/Serbien (Kosovo) och
Kina/USA (spionplanskraschen);


Cyberattacker följer på fysiska attacker
Politiskt motiverade cyberattacker ökar i volym, blir allt mer
sofistikerade och koordinerade


Cyberattacker inriktar sig mot kvalificerade mål
Sten Sörenson
11
www.alldas.de
Sten Sörenson
12
Sten Sörenson
13
Sten Sörenson
14
Sten Sörenson
15
Sten Sörenson
16
Exempel på attacker
 Citibank (1994)
– Hackergrupp ledda av Vladimir Levin bröt sig in i
bankens system och överförde >$10 miljoner till
egna konton
 Solar Sunrise (1998)
– Pentagon och MIT attackerades i en
välorganiserad attack. Två ungdomar från
Kalifornien handledda av”Analyzer” stod bakom
attacken.
 e-Jihad (2000-2002)
– Palestinska och israeliska hackers anfaller mål
bl.a. Bank of Israel, Tel Aviv Exchange Market,
Palestinska myndigheten.
Sten Sörenson
17
Exempel på attacker (forts)
Emulex, augusti 2000
En pressrelease som gav sken att komma från Internet Wire
Inc; ”Emulex med svåra finansiella problem och under utredning
av SEC!”
 Emulex börskurs föll 60 %, motsvarande 2 miljarder dollar.
 Jakobs tjänade 250.000 dollar på terminsaffärer.

World Economic Forum, Davos, februari 2001
”The
theft of the data represented “good sabotage” aimed at
“attacking the powerful and those in power” and at disturbing
“the operation of this welloiled machine.”
Virtual Monkeywrench (Hackergrupp, 4 personer)
Sten Sörenson
18
Exempel på attacker (forts)
Attack mot bank sändes i tysk TV - september 2001

TV-kanalen ARD:s program ”Ratgeber Technik”, visade:
 Hur hackers bryter sig in i HypoVereinsbank (München)
 ARD
är polisanmäld av banken.
 ARD:s inställning är att undersökande journalism skyddas
av tysk lag om ”det är i allmänhetens intresse”.
”Hackarna” såg det som ett sätt att marknadsföra det egna
företaget Multimedia Network Systems.

Sten Sörenson
19
Exempel på attacker (forts)
I november 2001 dömdes två tjänstemän vid Cisco
Systems till vardera tre års fängelse.
De hade brutit sig in i företagets interna system och
tillförskansat sig en avsevärt bättre tilldelning ur företagets
optionsplan
 Det sammanlagda värdet för Cisco var 8 miljoner
dollar.
 De blev ålagda att betala skillnaden mellan 7,8
miljoner dollar i stulna aktier och det beslagtagna värdet
på 5 miljoner dollar i form av juveler, bilar och lyxvaror
som de köpt på sig efter att ha löst ut de flesta aktierna.

Sten Sörenson
20
Exempel på attacker (forts)
I februari 2002 framkom att den japanska rymdmyndigheten (NASDA) blev hackad
En anställd vid NEC Toshiba Space Systems hade i
december tillskapat sig access till NASDAs interna system
och därigenom tagit del av hemlig information från en
konkurrent (Mitsubishi Electric).
 NASDA förbjöd NEC Toshiba Space Systems att
delta i en budgivning under en månad och krävde en
intern förflyttning av den för NASDA oidentifierade
anställde.
 De båda företagen tillsammans med NASDA är
involverade i ett gemensamt projekt för utveckling av
en supersnabb Internetsatellit, planerad för
”rymdsättning” 2005.

Sten Sörenson
21
Incidents: "attempts, either fail
successful, to gain unauthorized
to a system or its data."
Sten Sörenson
22
Cyberhot - Grundläggande komponenter:
Snabba hotbildsförändringar
 Teknikutvecklingen går mycket snabbt och är tämligen
oförutsägbar
 Förmåga kan stjälas, lånas eller köpas
 Mobilisering via nätverk
Sårbarhetsrelaterat hot
 Varje ny identifierad sårbarhet ger potentiella angripare ett
nytt tillfälle
Dolda attacker
Osäkra ursprungskällor
Komplexiteten i nätverken
 Ökar snabbare än förmågan att identifiera kritiska noder och
verifiera säkerheten
Sten Sörenson
23
Cyberattacker - trender
CERT/CC april 2002
1. Automatisering - verktyg får ökad hastighet
• Scanning och attack i ett paket
• Attackverktyg självinitierar nya attackcykler
• Koordinerad ledningsförmåga
2. Mer sofistikerade attackverktyg
• Anti-forensisk - dolda attackprofiler/signaturer
• Dynamiskt uppträdande - slumpmässigt / förbestämt
• Modulbaserade - snabb uppgradering, mot multipla mål
3. Sårbarheter upptäcks snabbare
• Automatiserade upptäckter - ”time to patch” mer
kritisk
Sten Sörenson
24
Cyberattacker - trender
CERT/CC april 2002
4. Utvecklingen av ”brandväggsvänliga” protokoll
• T.ex. IPP (Internet Printing Protocol), Active X controls,
Javas script och andra mobila koder.
5. Asymmetriska hot ökar
• Säkerhet på Internet sammanflätad - motståndskraften
i ett system bygger på anslutande systems säkerhet.
6. Attacker mot Internets infrastruktur ökar allt mer
• Distribuerade DoS-attacker
• Maskar - självreplikerande (till skillnad från virus) och
inkluderar ofta inbyggda D0S-attacker tillsammans med
den generella scanningstrafik som genereras
Sten Sörenson
25
Hotanalys
Motivation + Förmåga + Tillfälle = HOT
Hotaktörer:
 Statliga underrättelsetjänster
 Kommersiella konkurrenter
 Organiserad brottslighet
 Illojala anställda
 Terrorister
 Hacktivister
 Hackers och crackers
Sten Sörenson
26
Är detta en hacker?
Hackers - inte bara oskyldiga tonåringar
 Mer ekonomiska drivkrafter
– Koppling till organiserad brottslighet
– Ryssland och Östeuropa
– ”Hackerverktyg” utbjuds till försäljning
 Allt fler hackers involveras i ”hacktivism”
 Högre grad av organisering
– Tillfälliga nätverk: Honkers Union och Project
China
– Silverlordz, Brasilian hackerz, P()W, etc
 Har givit upphov till ny form av HUMINT på
Internet
Sten Sörenson
28
Hotanalys
Olika tillvägagångssätt - förslag på
klassificering:
 Nätverksattacker
 Virusattacker
 Fysiska attacker
 Elektroniska attacker
 Informationsattacker
Sten Sörenson
29
Riskanalys
Sannolikheten av en attack inom en viss tidsram:
1. Mot särskilda mål
2. Från särskilda hotaktörer
3. Med ett visst tillvägagångssätt
+
Bedömda sårbarheter inom samma tidsram och den
bedömda effekten av en attack
=
RISKANALYS
Sten Sörenson
30
Riskhantering
Risker är nödvändiga - om utveckling och intäkter är av
intresse...
Professionell riskhantering medger medvetet risktagande.
Det handlar ytterst om att ensamt eller i kombination:
• Möta hotbilden
• Reducera sårbarheten
• Acceptera risken
• Sprida risken
Sten Sörenson
31
Risk Avoidance –> Risk Management!
Behov,
Tillgänglighet
Hot, Sannolikhet ,
Konsekvens = Risker
Behov av
skydd
”Kostnader”
Sten Sörenson
Risker
32
Kan man försäkra sig mot cyberattacker?
 Vilket syfte har inbrottslarm i den fysiska världen?
 Brottsförebyggande eller premiesänkande?
 Vid granskning av befintliga försäkringsvillkor;
Vilka cyberattacker omfattas, är detta kalkylerat?
 Utvecklingen i omvärlden;
Downstream liability
Tredjemansansvar - EU-förslag inom e-commerce
Produktutveckling för nya försäkringsprodukter
Krav på IT-revision och Red Team-tester
 ”Livförsäkringar” för bolag? - jmf riskkapitalmarknaden
 Tekniken kan bara skydda oss mot kända hot och sårbarheter!
Sten Sörenson
33
Cyberrymdens dilemma
 Vad är en kriminell handling, ett
terrordåd eller en krigshandling?
– Hur upptäcker man det?
 Vilka är motiven?
 Vem eller vilka är avsändare?
 Statliga underrättelsetjänster
 Kommersiella konkurrenter
 Organiserad brottslighet
 Illojala anställda
 Terrorister
 Hacktivister
 Hackers och crackers
Sten Sörenson
34
Sten Sörenson
35
Handlar det om intellektets kamp?
Enligt regeringens definition på informationsoperationer är:
”Ett viktigt inslag att påverka beslutsprocesser och beslutsfattande.”...
”...att skydda och försvara information, informationssystem och förmåga till
rationellt beslutsfattande.” (källa: IT-proppen)
De aktörer som vi idag ser som potentiella hot, har ett
gemensamt: De följer inte våra spelregler!
Människans förmåga att bearbeta och analysera är begränsad.
Vår hjärna har svårt att frigöra sig från det inlärda till att se det ännu
inte inträffade.
Det gäller särskilt om dess karaktär är ny och obekant.
Till det kommer, allt för ofta, revirbenägenhet och grupptänkande, som
snävar in ansvar och fantasi.
Förmågan till att tänka fritt och nytt kan vara livsviktig!
Sten Sörenson
36
Hur gör vi på nationell svensk nivå?
Sten Sörenson
37
IW – en problembild
Finansföretag drabbas av virus via datakommunikation 
omsättningsförluster 8-10 mrd kr/dag
 kris på finansmarknaden, börsen stänger etc.




Vem ska de ringa till?
Vem har ansvar för de förebyggande åtgärderna?
Slutsats: I dag hamnar detta ansvar ”mellan stolarna”
Hur skissera en lösning?
Sten Sörenson
38
Sten Sörenson
39
Sårbarhets och säkerhetsutredningen





Överlämnades till regeringen den 11/5 - 2001
Nytt system för det civila försvaret och för hantering
av allvarliga kriser i fred
Staten bör ta ett särskilt ansvar för krissituationer som
privata aktörer endast i begränsad omfattning kan
skydda sig emot samt situationer där höjd beredskap
gäller
Nationellt krishanteringsorgan som knyts till
Regeringskansliet
Planeringsmyndighet på nationell nivå
Sten Sörenson
40
Sårbarhets och säkerhetsutredningens:
Skydd mot informationsoperationer





Samordningsfunktion, beredande och rådgivande organ inom
regeringskansliet
Omvärldsbevakningsfunktion inom planeringsmyndigheten
IT-incidenthanteringsfunktion, organisatorisk fristående
ställning med anknytning till PTS
IT-teknikkompetensfunktion, organisatorisk fristående ställning
med anknytning till FRA
Evaluering- och certifieringssystem för IT-produkter och ITsystem inom FMV
Sten Sörenson
41
Sten Sörenson
42
Aktiv IT-kontroll, ”Red Team”
 Regeringskansliet, FM, FRA, FMV, FHS, FOI, RPS,ÖCB
och PTS
 Skillnader Red Team – IO/undtjänst/hacker
Reglerad
Oreglerad
Tidsbegränsad
Tillräcklig tid
Inga skador
Syftet är skador
Provocerar upptäckt
Undviker upptäckt
Alla brister
En brist räcker
Känd miljö
Okänd miljö
Sten Sörenson
43
Samhällets säkerhet och beredskap
prop 2001/02:158 14 mars 2002
 Krisberedskapsmyndigheten: omvärldsanalys, samverkan
offentlig sektor och näringsliv, hur förebygga
katastrofer, hur förbereda för nya hot, samordna
beredskapsarbete
 FRA: Ansvar för teknikkompetens
 FMV: Ansvar system för certifiering och evaluering
 PTS: Ansvar IT- incidenter, CERT
 SRV: bilda Centrum för risk- och säkerhetsutbildning
 FM: nytt regelverk ska underlätta hjälp till övriga
samhället
Sten Sörenson
44
Senaste nytt från EUs teleministrar
Info och utbildning om betydelsen av infosäkerhet
Verka för användning av goda rutiner – ”best practices”
Nationella CERT och översyn standards
Öka Europas inflytande över Internets styrning
Använda och vidareutveckla ”Common Criteria”
Biometriska system och interoperabilitet inom EU
Förslag ang infoutbyte mellan medlemsstater och
kommissionen och hur få med näringslivet
 Inrätta ”Cyber Security Task Force” för medlemsstater
och näringsliv (förslag klart medio 2002)







(Näringsdep 2001-12-06)
Sten Sörenson
45
Senaste nytt från EUs teleministrar 2
 Enighet om skydd för privatliv vid e-kommunikation
 E-postreklam, inklusive SMS kräver samtycke i förväg,
spamming förbjuds, adress för nej
 Rätt att spara trafikuppgifter, ge möjlighet till
brottsbekämpning mm, inom Eurätten, för nationellt
säkerhetsintresse, inom EU konventionen om mänskliga
rätttigheter
 Cookies, får användas först efter info om förekomst
och med möjlighet vägra användning
(Näringsdep 2001-12-06)
Sten Sörenson
46
Ja, Ja Ja….
Men hur gör ni själva hemma på firman?
Sten Sörenson
47
Har vi råkat ut för något?
Givetvis inte! - Men kanske några misstankar……
 Riktade virusattacker vid ett antal tillfällen. Kan
slå hårt mot tidskritiskt arbete då vi måste stänga
av servrar, e-post, applikationsprogram.
 DOS-attacker mot servrar, konsekvens enligt ovan
 Vi är ett av förstahandsmålen enligt alla analyser –
Industrispionage är en realitet
 Våra konkurrenter vill vinna affärer
Sten Sörenson
48
Hur skyddar vi oss ?








Policy och regler
Organisation, IT-råd o Säkerhetsråd
Samverkan med andra – säkkluster
Outsourcing av drift – bibehållen styrning, planerade
revisioner
Egen hårdvara och testutrustning
Sektionering, utbildning, tystnadsplikt
Särskilda insatser – ”IRMA”
Teknik = state of the art = COTS
”Vi lever som vi lär”
Sten Sörenson
49
En tillkommande ledningsdimension
Ledningssamverkan
”Cyber”-ledning
”Cyber”-omvärldsuppfattning
Säkerhet,
prestanda och
funktionalitet
Informationssystem
Informationssystem
och
och
kommunikationssystem
kommunikationssystem
Sten Sörenson
Konventionell
Konventionell
ledning
ledning
Trovärdig
Trovärdig
information
information
50
Arkitektur – grunden för ett nätverks- och
tjänstebaserat system av system
Tjänstearkitektur
Teknisk tjänstearkitektur
System av system ark
Säkerhetsarkitektur
Kommunikationsarkitektur
Informationsutbytesarkitektur
Nätarkitektur
Fasta nät
Trådlösa
Sten Sörenson
51
Information Assurance
- att ge och ta
 Anpassa det svenska regelverket till det
internationella (sex nations överenskommelsen
och NATO’s)
 Anpassa till den privata sektorn och COTS
 Samhällets skydd byggs tillsammans med
näringslivet i en internationell miljö.
 Samhället kan bidra med hotbildsanalyser och
underrättelser
Sten Sörenson
52
Säkerhet i nätet - Förslag till
förhållningssätt
Använd ett logiskt slutet verksamhetsinternt intranät
Kryptera all information (allt är paket!)
IPv6 för all trafik - möjliggör mobilitet med säkerhet
Decentralisera nätdrift, signaleringsfunktioner
Skydda nätstyrningsdata på samma sätt som
ledningsinformation
 Stark autenticering av alla användare (minst två av:
något man vet + något man har + något man är)
 Auktorisera informationsbehörighet med avseende på
identitet, roll, tid, plats,...





Sten Sörenson
53
Säkerhet är...
 Säkerhet är en fråga för hela
företaget/myndigheten
 Säkerhet är en process
 Säkerhet är en försäkring
 Säkerhet måste dokumenteras
 Databrott är till största del insiderjobb