Top10 tietoturvauhat ja miten niiltä suojaudutaan. Valtorin asiakaspäivä Johtava asiantuntija Tommi Simula

Transkriptio

1 Top10 tietoturvauhat ja miten niiltä suojaudutaan Valtorin asiakaspäivä Johtava asiantuntija Tommi Simula

2 Sisältö Uhka-agentit Uhkavektorit Kontrollit 2

3 Kuka meitä uhkaa ja miksi? Uhka-agentit 3

4 User error / script kiddies / opportunists Virheellisesti toimivat loppukäyttäjät, pahantekijät, tilaisuus tekee varkaan -toimijat Vähäiset tai olemattomat taidot ja resurssit Hyväksikäyttää vapaasti jaossa olevia työkaluja ja tunnettuja haavoittuvuuksia Tavoitteena kiusanteko, maine tai rahallinen hyöty Yksityistietojen varastaminen tai tuhomainen, käyttäjätilien murtaminen, kavallukset 4

5 Haktivismi Esim. poliittisen tai sosiaalisen motiivin omaavat hyökkäykset Rajalliset tai olemattomat resurssit Osaamisessa suurta vaihtelua, pääosin matalaa, mutta myös hyvin korkeaa Tavoitteina huomion herättäminen, maineen kasvatus, vastapuolen maineen pilaaminen WWW-sivujen tärvely, DDoS, tietovuodot Flickr.com/Pierre (Rennes) 5

6 Verkkorikollisuus Rahallisesti mitattuna maailman suurin markkina, pienet riskit ja suuret tuotot, 60+% kaikista hyökkäyksistä Käytössä nykyisin valtavat resurssit ja osaaminen, toiminta kansainvälistä, organisoitunutta ja kehittynyttä Tavoitteena taloudellinen hyöty Phishing, scamming, tietomurrot, kiristys, rahanpesu, kohdistetut hyökkäykset Source: Freakingnews.com Flickr/angusgr 6

7 Vakoilu ja kybersodankäynti Valtiollisten tahojen toteuttamaa Käytössä lähes rajattomat resurssit ja paras osaaminen Tavoitteena teknologinen, kaupallinen ja sotilaallinen vakoilu, yhteiskunnan toimintojen lamaannuttaminen, puolustuskyvyn heikentäminen Erittäin kehittynyt signaalitiedustelu, räätälöidyt haittaohjelmat, kohdistetut hyökkäykset Source: defensetech.org 7

8 Hyökkääjän resurssit ja osaaminen kasvavat hyökkäyskeinojen määrä ja kompleksisuus kasvavat Criminals Nations Hacktivists Script kiddies Opportunists 8

9 Kehittyneiden uhkien torjuntaa vaatii kehittyneitä torjuntakeinoja Kustannukset Korkea taso kybersodankäynti, vakoilu Korotettu taso haktivismi, verkkorikollisuus 100% turvallisuus Perustaso käyttäjävirheet, opportunistit, script kiddies Turvallisuus 9

10 Hyökkäysten motiivit Source: hackmageddon.com 10

11 Mitä reittejä hyökkääjät hyödyntävät? Uhkavektorit 11

12 Sovellushaavoittuvuudet Valmisohjelmistot Java/Flash/Acrobat/Reader (85% kaikista haavoittuvuuksista, java yksin 78%*) OpenSSL (Heartbleed, Bash (Shellshock, Windows XP/2003 (XP-tuki loppui , 2003 loppuu ) WordPress (80% server-side hyökkäyksistä*) Zero-day -haavoittuvuuden keskimääräinen elinikä löydöstä korjaukseen 100 päivää (2014 toistaiseksi havaittu 10 zero-day haavoittuvuutta) Räätälöity ohjelmistokehitys Web-sovellukset (96% testatuista web-sovelluksista sisältävät merkittäviä havoittuvuuksia*) *Trustwave Global Security Report

13 Mobiilisovellukset ja BYOD Nopeimmin kasvava hyökkäyskohde MDM-tuotteiden huono root/jailbreak tunnistus, heikko sandboxaus ja salausavainten suojaus Mobiiliverkon laitteilla käytetään sisäverkon sovelluksia, joiden tietoturvaan ei ole panostettu koska ne ovat sisäverkossa Vuoden 2013 aikana testatuista mobiilisovelluksista löydetyt haavoittuvuudet: Low: 100% Medium: 68% High: 32% Critical: 9% Source: Trustwave Global Security Report

14 Pilvipalvelujen käyttö Paine pilvipalvelujen lisääntyvälle käytölle jatkuu, pääosin ilman selkeää käsitystä siirrettävän tiedon luokituksesta ja suojaamisesta Julkiset pilvipalvelut kustannustehokas vaihtoehto julkiselle tiedolle ST IV -tiedon käsittely julkisessa pilvessä suurimmassa osassa tapauksista mahdotonta ST III tai korkeamman tiedon käsittely julkisessa pilvessä käytännössä aina mahdotonta Private ja hybridi-pilvet vaihtoehto ST IV ja ST III tiedolle Tärkeää huomioida myös käyttöpalvelutoimittajien mahdolliset pilvipalveluiden sisäiset käyttöönotot 14

15 Haittaohjelmat 15

16 Haittaohjelmat Yhä kehittyneempiä, paremmin piiloutuvia, älykkäämpiä AV- ja sandbox-tunnistus, salaus Antivirus EI OLE kuollut, vaan välttämättömämpi kuin koskaan Hyvät tuotteet tunnistavat 90+%, osa selvästi alle Windows Defender / Microsoft Security Essentials eivät riitä Source: atom.smasher.org/wof/ 16

17 Haittaohjelmat 17

18 Kohdistetut hyökkäykset % kasvu kohdistetuissa hyökkäyksissä 62% kasvu tietomurtojen määrässä Keskimäärin 86 aktiivista spearfishing-kampanjaa joka päivä Suosituin hyökkäyskohde julkishallinto (16% kaikista hyökkäyksistä) Source: Symantec 18

19 launch.r and=eionrte01lj /login.htm 19

20 20

21 Yksinkertaiset perusasiat Salasanat 31% havaituista hyökkäyksistä hyödyntäneet heikkoja salasanoja (mm. VPN, ssh, remote desktop, OS, sovellus) Tietoturvapäivitykset 10% kaikista havaituista hyökkäyksistä Ei tiedetä että ko. sovellus asennettu tai ei voida päivittää yhteensopivuussyistä Hallitsemattomat muutokset ympäristöihin Testauksen ja/tai testausympäristön puute Muutosten tietoturvavaikutuksia ei arvioida Väliaikaiset muutokset ja avaukset unohtuvat 21

22 Parhaat keinot puolustautumiseen Kontrollit 22

23 Kerrospuolustus tietoturvan OSI-malli Varautuminen ja suunnittelu Hallinta ja ylläpito Tilat Verkko Tietojärjestelmä Sovellus Suojattava tieto Jatkuvuus- ja toipumissuunnitelmat Henkilöstön koulutus, harjoitukset Hallintaprosessit ja työkalut Henkilöturvallisuus Fyysinen ja tilaturvallisuus Kulunvalvonta Segmentointi, salaus ja suodatus Valvonta, IDS/IPS Kovennukset Haittaohjelmasuojaus Turvallinen sovelluskehitys Päivitykset, auditoinnit Pääsynhallinta ja käyttöoikeudet Salaus 23

24 Kehittyneiden uhkien torjuntaa vaatii kehittyneitä torjuntakeinoja Kustannukset Korkea taso kybersodankäynti, vakoilu Korotettu taso haktivismi, verkkorikollisuus Perustaso käyttäjävirheet, opportunistit, script kiddies Turvallisuus 24

25 Havainnointi- ja reagointikyky 71% tietomurroista havaitsee joku muu kuin kohdeorganisaatio itse Keskimääräinen aika tietomurrosta sen havainnointiin 87 päivää Keskimääräinen aika havainnosta tilanteen hallintaan 7 päivää Teknologioita tarjolla paljon: IDS/IPS, sandboxing, netflow SIEM, lokihallinta Haavoittuvuusskannaus Teknologia yksin ei auta, vaatii ympärilleen osaamista, prosessit, sopimukset 25

26 Hankinnat ja sopimukset Esiselvitys Kohteen vaatimustasojen asettaminen Riskianalyysi Vaatimusten määrittely Tarjouspyyntö Vastausten arviointi Tarjousten vertailu Sopimusneuvottelu Turvallisuussopimus Vaatimusten liittäminen sopimukseen Käyttöönotto Auditointi ja hyväksyntä 26

27 Kiitos! Kysymyksiä? Johtava asiantuntija Tommi Simula (CISM, CISSP, GSEC, MCSE) p , tommi.simula[at]valtori.fi 27