Top10 tietoturvauhat ja miten niiltä suojaudutaan Valtorin asiakaspäivä Johtava asiantuntija Tommi Simula
Sisältö Uhka-agentit Uhkavektorit Kontrollit 2
Kuka meitä uhkaa ja miksi? Uhka-agentit 3
User error / script kiddies / opportunists Virheellisesti toimivat loppukäyttäjät, pahantekijät, tilaisuus tekee varkaan -toimijat Vähäiset tai olemattomat taidot ja resurssit Hyväksikäyttää vapaasti jaossa olevia työkaluja ja tunnettuja haavoittuvuuksia Tavoitteena kiusanteko, maine tai rahallinen hyöty Yksityistietojen varastaminen tai tuhomainen, käyttäjätilien murtaminen, kavallukset 4
Haktivismi Esim. poliittisen tai sosiaalisen motiivin omaavat hyökkäykset Rajalliset tai olemattomat resurssit Osaamisessa suurta vaihtelua, pääosin matalaa, mutta myös hyvin korkeaa Tavoitteina huomion herättäminen, maineen kasvatus, vastapuolen maineen pilaaminen WWW-sivujen tärvely, DDoS, tietovuodot Flickr.com/Pierre (Rennes) 5
Verkkorikollisuus Rahallisesti mitattuna maailman suurin markkina, pienet riskit ja suuret tuotot, 60+% kaikista hyökkäyksistä Käytössä nykyisin valtavat resurssit ja osaaminen, toiminta kansainvälistä, organisoitunutta ja kehittynyttä Tavoitteena taloudellinen hyöty Phishing, scamming, tietomurrot, kiristys, rahanpesu, kohdistetut hyökkäykset Source: Freakingnews.com Flickr/angusgr 6
Vakoilu ja kybersodankäynti Valtiollisten tahojen toteuttamaa Käytössä lähes rajattomat resurssit ja paras osaaminen Tavoitteena teknologinen, kaupallinen ja sotilaallinen vakoilu, yhteiskunnan toimintojen lamaannuttaminen, puolustuskyvyn heikentäminen Erittäin kehittynyt signaalitiedustelu, räätälöidyt haittaohjelmat, kohdistetut hyökkäykset Source: defensetech.org 7
Hyökkääjän resurssit ja osaaminen kasvavat hyökkäyskeinojen määrä ja kompleksisuus kasvavat Criminals Nations Hacktivists Script kiddies Opportunists 8
Kehittyneiden uhkien torjuntaa vaatii kehittyneitä torjuntakeinoja Kustannukset Korkea taso kybersodankäynti, vakoilu Korotettu taso haktivismi, verkkorikollisuus 100% turvallisuus Perustaso käyttäjävirheet, opportunistit, script kiddies Turvallisuus 9
Hyökkäysten motiivit Source: hackmageddon.com 10
Mitä reittejä hyökkääjät hyödyntävät? Uhkavektorit 11
Sovellushaavoittuvuudet Valmisohjelmistot Java/Flash/Acrobat/Reader (85% kaikista haavoittuvuuksista, java yksin 78%*) OpenSSL (Heartbleed, https://xkcd.com/1354/) Bash (Shellshock, https://www.youtube.com/watch?v=akshnpoxqn0) Windows XP/2003 (XP-tuki loppui 8.4.2014, 2003 loppuu 14.7.2015) WordPress (80% server-side hyökkäyksistä*) Zero-day -haavoittuvuuden keskimääräinen elinikä löydöstä korjaukseen 100 päivää (2014 toistaiseksi havaittu 10 zero-day haavoittuvuutta) Räätälöity ohjelmistokehitys Web-sovellukset (96% testatuista web-sovelluksista sisältävät merkittäviä havoittuvuuksia*) *Trustwave Global Security Report 2014 12
Mobiilisovellukset ja BYOD Nopeimmin kasvava hyökkäyskohde MDM-tuotteiden huono root/jailbreak tunnistus, heikko sandboxaus ja salausavainten suojaus Mobiiliverkon laitteilla käytetään sisäverkon sovelluksia, joiden tietoturvaan ei ole panostettu koska ne ovat sisäverkossa Vuoden 2013 aikana testatuista mobiilisovelluksista löydetyt haavoittuvuudet: Low: 100% Medium: 68% High: 32% Critical: 9% Source: Trustwave Global Security Report 2014 13
Pilvipalvelujen käyttö Paine pilvipalvelujen lisääntyvälle käytölle jatkuu, pääosin ilman selkeää käsitystä siirrettävän tiedon luokituksesta ja suojaamisesta Julkiset pilvipalvelut kustannustehokas vaihtoehto julkiselle tiedolle ST IV -tiedon käsittely julkisessa pilvessä suurimmassa osassa tapauksista mahdotonta ST III tai korkeamman tiedon käsittely julkisessa pilvessä käytännössä aina mahdotonta Private ja hybridi-pilvet vaihtoehto ST IV ja ST III tiedolle Tärkeää huomioida myös käyttöpalvelutoimittajien mahdolliset pilvipalveluiden sisäiset käyttöönotot 14
Haittaohjelmat 15
Haittaohjelmat Yhä kehittyneempiä, paremmin piiloutuvia, älykkäämpiä AV- ja sandbox-tunnistus, salaus Antivirus EI OLE kuollut, vaan välttämättömämpi kuin koskaan Hyvät tuotteet tunnistavat 90+%, osa selvästi alle Windows Defender / Microsoft Security Essentials eivät riitä Source: atom.smasher.org/wof/ 16
Haittaohjelmat 17
Kohdistetut hyökkäykset 2012 2013 91% kasvu kohdistetuissa hyökkäyksissä 62% kasvu tietomurtojen määrässä Keskimäärin 86 aktiivista spearfishing-kampanjaa joka päivä Suosituin hyökkäyskohde julkishallinto (16% kaikista hyökkäyksistä) Source: Symantec 18
http://www.nwwheelrepair.com/meermin.es.update.client=id.264599467 31976534653197567946413126794567319762731976171767-launch.r and=eionrte01lj784563982272/login.htm 19
20
Yksinkertaiset perusasiat Salasanat 31% havaituista hyökkäyksistä hyödyntäneet heikkoja salasanoja (mm. VPN, ssh, remote desktop, OS, sovellus) Tietoturvapäivitykset 10% kaikista havaituista hyökkäyksistä Ei tiedetä että ko. sovellus asennettu tai ei voida päivittää yhteensopivuussyistä Hallitsemattomat muutokset ympäristöihin Testauksen ja/tai testausympäristön puute Muutosten tietoturvavaikutuksia ei arvioida Väliaikaiset muutokset ja avaukset unohtuvat 21
Parhaat keinot puolustautumiseen Kontrollit 22
Kerrospuolustus tietoturvan OSI-malli Varautuminen ja suunnittelu Hallinta ja ylläpito Tilat Verkko Tietojärjestelmä Sovellus Suojattava tieto Jatkuvuus- ja toipumissuunnitelmat Henkilöstön koulutus, harjoitukset Hallintaprosessit ja työkalut Henkilöturvallisuus Fyysinen ja tilaturvallisuus Kulunvalvonta Segmentointi, salaus ja suodatus Valvonta, IDS/IPS Kovennukset Haittaohjelmasuojaus Turvallinen sovelluskehitys Päivitykset, auditoinnit Pääsynhallinta ja käyttöoikeudet Salaus 23
Kehittyneiden uhkien torjuntaa vaatii kehittyneitä torjuntakeinoja Kustannukset Korkea taso kybersodankäynti, vakoilu Korotettu taso haktivismi, verkkorikollisuus Perustaso käyttäjävirheet, opportunistit, script kiddies Turvallisuus 24
Havainnointi- ja reagointikyky 71% tietomurroista havaitsee joku muu kuin kohdeorganisaatio itse Keskimääräinen aika tietomurrosta sen havainnointiin 87 päivää Keskimääräinen aika havainnosta tilanteen hallintaan 7 päivää Teknologioita tarjolla paljon: IDS/IPS, sandboxing, netflow SIEM, lokihallinta Haavoittuvuusskannaus Teknologia yksin ei auta, vaatii ympärilleen osaamista, prosessit, sopimukset 25
Hankinnat ja sopimukset Esiselvitys Kohteen vaatimustasojen asettaminen Riskianalyysi Vaatimusten määrittely Tarjouspyyntö Vastausten arviointi Tarjousten vertailu Sopimusneuvottelu Turvallisuussopimus Vaatimusten liittäminen sopimukseen Käyttöönotto Auditointi ja hyväksyntä 26
Kiitos! Kysymyksiä? Johtava asiantuntija Tommi Simula (CISM, CISSP, GSEC, MCSE) p. 050 594 7876, tommi.simula[at]valtori.fi www.valtori.fi 27